Het probleem werd ontdek door Salih Kilic van de Web-2.0-startup Important People. Hij speelde wat met het internetadres en ontdekte dat inloggen niet nodig was om toch gebruik te maken van de hele cursus. "Ik heb erg veel interesse in lifehacking", zegt Kilic in een toelichting tegenover Webwereld.

Jaar lang open

Kern van het probleem is dat de cursussen achter een URL-verborgen zit. Omdat er ook proeflessen beschikbaar zijn, hoeft een aanvaller niet meer te doen dan het adres van de webstek te veranderen van "Proefles" in "cursus" om volledig toegang tot de lessen te krijgen.

Kilic meldde het manco een jaar geleden aan bij de HEMA en gaf uitleg tijdens een bezoek aan het hoofdkantoor. Omdat de onderneming cursussen weggeeft in het kader van een wedstrijd probeerde de ondernemer het lek nogmaals uit en constateerde dat de cursussen nog altijd gratis te volgen zijn.

Klantvriendelijkheid voorop

HEMA zegt in een reactie blij te zijn met het signaal. "Het is goed om te weten", zegt woordvoerder Jan Willem te Gussinklo Ohmann tegenover Webwereld. "We gaan er zeker naar kijken hoe we dit kunnen oplossen."

Hij verwacht niet dat de cursussite nu meteen wordt dicht getimmerd. "We willen focussen op klantvriendelijkheid van onze site."

Niet legaal

Volgens ICT-jurist Arnoud Engelfriet betekent de zwakheid niet dat mensen nu een vrijbrief hebben om gratis te gaan studeren. Hij wijst erop dat het sinds de nieuwe Wet Computercriminaliteit uit 2006 strafbaar is misbruik van een systeem te maken, zelfs al is het niet beveiligd. "Je moet wel weten dat je je op verboden terrein begeeft", waarschuwt hij.

Overigens wijst hij erop dat mensen weet moeten hebben dat iets illegaal is. "Stel dat iemand een bericht doorstuurt met een link naar een gratis cursus, dan hoeft de afnemer dat weer niet te weten", legt hij uit.

Update: Cursus Planet

Naar nu blijkt is de HEMA niet de enige met dit probleem. Ook de website

Cursus Planet heeft een

vergelijkbaar lek. Cursus Planet reageerde niet op een verzoek om commentaar.