Vorige week kwam Annapa.com al in het nieuws door een groot veiligheidslek dat in de Telegraaf werd gepubliceerd. De Nederlandse kantoorsite – waar mensen onder meer een online agenda kunnen bijhouden en mail kunnen versturen – dacht alle lekken kundig te hebben gedicht. Dit bleek niet zo te zijn. Tot maandag was het voor de doorsnee internetter heel eenvoudig om achter persoonlijke gegevens van gebruikers te komen, zo ontdekte een lezer van WebWereld. Hierbij ging het om telefoonnoties en om contactgegevens. Wie zich heeft aangemeld bij Annapa kan online een adresboek van contactpersonen bijhouden. Hierin worden onder meer namen, adresgegevens- e-mailadressen en telefoonnummers opgeslagen. Vanzelfsprekend zijn deze gegevens ook te bewerken. Hierin was het nieuwe lek gelegen. Na het klikken op de knop 'Bewerken' verschijnt er een lange URL in de adresbalk, met op het eind een unieke string eindigend op bijvoorbeeld 'ID=1056'. Dit unieke nummer bleek zonder probleem aangepast te kunnen worden. Door een ander ID-nummer in te typen, kwam men uit bij de gegevens van de contactpersonen van andere Annapa-gebruikers. Deze gegevens bleken niet alleen te kunnen worden ingezien, ze konden zelfs worden aangepast of compleet verwijderd. Dit nieuwe lek is pijnlijk voor de druk adverterende site omdat er een gespecialiseerd beveiligingsbedrijf was ingehuurd om de hele site door te lichten. Inmiddels is het lek gedicht. Wie nu het ID-nummer in de adresbalk van de browser probeert te veranderen, krijgt de mededeling 'U heeft een ongeldige bewerking uitgevoerd'. En zo hoort het.