Vandaag is het zoveelste privacylek aan de oppervlakte gekomen, nu van de gepensioneerdenvereniging van de KLPD. Maar de laatste tijd is het elke week tenminste één keer raak: ligt er weer een database op straat met gebruikersnamen, wachtwoorden en adressen.

Simpele middelen

Steeds blijkt weer op pijnlijke wijze dat organisaties en overheden veel te weinig aandacht besteden aan het beveiligen van de privégegevens die ze beheren. In de meeste gevallen zijn de aanvallers binnengekomen met behulp van de meest eenvoudige hulpmiddelen. Terwijl het aan de andere kant ook simpel is om de gevoelige gegevens goed te beschermen.

Om dat onder de aandacht te brengen zal Webwereld in samenwerking met freelance onderzoeksjournalist Brenno de Winter in oktober elke werkdag een privacylek openbaar maken. Vanzelfsprekend doet Webwereld dit helemaal verantwoordelijk. Voordat de lekken in de openbaarheid worden gebracht, wordt de bewuste organisatie op de hoogte gebracht van het lek. Zo kan die lekkende partij actie ondernemen voordat wij overgaan tot publicatie. Daarnaast zal er geen enkele database worden gedownload of geopenbaard.

Bewustwording

Veel organisaties begrijpen niet hoe schadelijk het is om gegevens niet te beveiligen. Ze negeren stelselmatig dat het beheer van privacygevoelige gegevens een grote verantwoording met zich meebrengt.

Zo stelde de webmaster van de gepensioeneerdenvereniging van de KLPD: “Als er gegevens op straat liggen, so what?" Maar het gaat hier wel om namen, adressen en bankgegevens die keurig bij elkaar staan. Informatie die dus op allerlei manieren valt te misbruiken door kwaadwillenden.

Te simpel

En het zijn niet alleen de hobbyclubs die dit overkomt. Het gaat ook om ziekenhuizen, dokterspraktijken, gemeenten en overheidsdiensten. Zo heeft midden augustus de gemeente Den Helder privé-gegevens gelekt. Ook daar viel via een simpele SQL-injectie gegevens te stelen: van 1600 burgers. Eerder deze maand was het de beurt aan de website van Zorgnet Limburg, waar hackers eveneens binnen konden komen met een SQL-injectie. Naast gewone burgers, komen ook gegevens van BN'ers op straat te liggen.

Het pijnlijke is telkens dat het om lekken gaat die zo eenvoudig te misbruiken zijn dat de getroffen organisatie dit makkelijk had kunnen voorkomen. Zelfs organisaties die al eens gewezen zijn op problemen in het recente verleden blijken later nog altijd lek.

Dagelijks een lek

Webwereld krijgt dagelijks meldingen van privacylekken binnen. Zo blijkt bijvoorbeeld de website Werken voor Amsterdam van de Gemeente Amsterdam niet hackerproof. Ook hebben wij vandaag Warner Music gewaarschuwd, dat het al enige tijd gehackt blijkt te zijn. Met dank aan onze vaste klokkenluider Pompiedompiedom die deze zaken op het spoor is gekomen.

Dit is nog maar het topje van de ijsberg. Beheerders van privégegevens zijn zich blijkbaar niet bewust van hun verantwoordelijkheid. Ze behoren de gegevens die ze opslaan afdoende te beveiligen, want als die informatie in handen komt van black hat hackers zijn de gewone gebruikers het slachtoffer. Met deze actie wil Webwereld de verantwoordelijken van de slechte beveiliging aanspreken en tot actie dwingen.

Lekken genoeg

Webwereld heeft op dit moment de beschikking over genoeg lekken om de hele maand lektober door te komen. Maar als u nog een mooi en groot lek kent, dan horen we dat graag. We nemen ze met liefde én zorgvuldigheid in ontvangst, waarna we er over kunnen publiceren. Natuurlijk mag het lek niet zijn misbruikt en de database mag niet zijn gedownload of op enige manier openbaar zijn gemaakt. Het duiden van de privacygevoelige gegevens is voldoende.