De website, die is bedoeld om werkgevers en werkzoekenden bij elkaar te brengen, herbergt geanonimiseerde cv's van 3500 werkzoekenden. Daarnaast kunnen kandidaten reageren op vacatures, waarbij de sollicitaties privacygevoelige gegevens bevatten.

Door gebruik te maken van een SQL Insertion hack, een manier om direct databasecommando's uit te voeren, konden de aanvallers het beheersgedeelte van het systeem binnenkomen. Hierdoor konden de aanvallers de informatie van actieve sollicitaties zien.

"Dit betreft de persoonlijke gegevens van zo'n 20-30 sollicitanten", bekent Erik van Bougonje voorlichter bij JobsRepublic, het bedrijf dat de site heeft gebouwd. "Dit is dus beperkter in omvang dan wat andere media melden, maar het is natuurlijk wel te veel."

Werken aan privacy

Nadat de hack op een portal werd beschreven en het bedrijf hier lucht van kreeg, is de website offline gehaald en werd een beveiligingsbedrijf ingehuurd. Volgens Van Bougonje wordt er nu een penetratietest op de applicatie los gelaten om ook andere fouten te vinden.

"Wat wij vooral betreuren is dat de privacy in het geding is", verzucht van Bougonje. Zijn bedrijf zegt privacy hoog in het vaandel te hebben en strenge interne regels te hebben wie waarnaar mag kijken. Hij benadrukt dan ook dat de cv's geanonimiseerd worden gepubliceerd.

Ethische hackers

JobsRepublic zegt 'lelijk verrast' te zijn door de aanval, maar ziet wel dat ze met ethische hackers te maken hebben. "Er zijn screenshots online gezet, maar de gevoelige gegevens zijn daaruit gehaald", zegt van Bourgonje. "De hackers hebben het netjes gedaan."

Als het aan JobsRepublic ligt dan wordt er ook geen aangifte gedaan. Het bedrijf hoopt dat de energie wordt gestoken in het leren van de fouten en het veiliger krijgen van het systeem. "Uiteindelijk is dat aan de gemeenten, want zij zijn de eigenaar van de gegevens."

Als alles goed gaat, is de website dinsdag weer bereikbaar.