Het gaat om de website van Jeugdzorg Plus. De persoonlijke gegevens zijn opgenomen in een database op de website, die in zijn geheel voor onbevoegden benaderbaar was. Daarbij was het mogelijk om een SQL-injectionlek met standaard software te misbruiken.

Prive-adressen

Pijnlijk bij de personeelslijst is dat er niet alleen namen op staan, maar ook privéadressen. Dat is niet zonder risico, omdat Jeugdzorg Plus ook een aantal gesloten inrichtingen herbergt, waar de gevaarlijke jongens zitten, aldus onze tipgever Pompidompiedom.

Voor hem is dat ook de reden om naar buiten te treden. “Ze nemen gewoon hun verantwoording niet. Wel gevoelige gegevens opslaan en niet de meest basale beveiliging regelen", zegt hij tegenover Webwereld. Volgens hem is dit ook niet de laatste zorginstelling waar beveiliging slecht is geregeld.

Niet noodzakelijk

Webwereld heeft contact opgenomen met Jeugdzorg Plus en het lek aangemeld. Inmiddels is besloten de website offline te halen. “We waren juist van plan een nieuwe site te maken", zegt een zegsvrouw in een eerste reactie. Zij wijst erop dat er nu een mogelijkheid tot inloggen is, maar dat dit overbodig is. “Eigenlijk hoeven we alleen statische informatie te tonen.

“Dat is toch te gek voor woorden", zegt Pompiedompie in een reactie. “Je slaat gevoelige gegevens op en dan blijkt het overbodig." De hacker heeft al langer de jacht geopend op websites die gevoelige gegevens onveilig opslaan. Iedere keer legt hij de pijnpunten bloot. Op de vraag waarom hij dat niet gebruikt om er zelf beter van te worden is hij stellig: “Ik doe dit omdat ik mij zorgen maak over al die gevoelige gegevens die in feite onbeveiligd worden bewaard. Dat is gewoon kwalijk en moet stoppen. Basale beveiliging is niet ingewikkeld."

Andere klant

Uiteindelijk blijkt uit onderzoek van Jeugdzorg Nederland dat de gegevens afkomstig zijn van een andere klant bij dezelfde hoster. "De informatie blijkt niets met jeugdzorg te maken te hebben", zegt een zegsvrouw. Inmiddels is ook het lek gedicht door simpelweg de mogelijkheid tot inloggen weg te halen.