Enquêtetool belangenorganisatie lekt gegevens van respondenten (11/01/07)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

De Woonbond.

Betrokkenen

Invullers van een enquête van de Woonbond.

Soort (persoons)gegevens

"[Het] was [...] mogelijk om de resultaten van 91 ingevulde onderzoeken te bekijken. De onderzoeken waren afkomstig van huurdersverenigingen uit het hele land, van Groningen tot Spijkenisse, die de Woonbond een enquête lieten uitvoeren. [...] De resultaten van de 91 verschillende onderzoeken blijken echter een veelvoud aan privégegevens te bevatten, waaronder namen, volledige woonadressen en telefoonnummers. Ook bevatten de enquêtes bij elkaar een kleine 7200 e-mailadressen. Daarnaast waren er onderzoeken naar de tevredenheid van bewoners, die dan ook openlijk klagen over hun buren. "Ik heb last van buren die oud brood en rotzooi uit ramen en vanaf balkons gooien", schrijft een geënquêteerde, van wie ook alle persoonsgegevens worden weergegeven. Een ander klaagt niet serieus te zijn genomen na aangifte van een ernstig misdrijf." (Tweakers.net, 11/01/07)

Type incident

Inbreuk op de integriteit en de vertrouwelijkheid van de verwerkte persoonsgegevens.

Omschrijving van het incident

"Een Tweakers.net-lezer, die anoniem wil blijven, ontdekte het gebrek aan beveiliging toen hij een enquête van een huurdersorganisatie wilde invullen. Deze enquête werd door de Woonbond georganiseerd. Toen de tweaker op 'versturen' klikte, kwam een url in beeld die de url van de beheermodule bevatte. Deze laatste url bleek door iedereen te bezoeken, zonder dat er enige vorm van authenticatie aan voorafging. In de beheermodule was het mogelijk om de resultaten van 91 ingevulde onderzoeken te bekijken. [...] Het was ook mogelijk om resultaten in enquêtes te wijzigen en nieuwe records toe te voegen. Daarnaast konden antwoorden van enquêtes worden geëxporteerd naar het formaat van het statistiekenprogramma SPSS." (Tweakers.net, 11/01/07)

Respons van de organisatie

"Aanvankelijk reageerde de Woonbond laconiek op het lek. Woordvoerder [...] schatte in dat het lek pas dit weekend zou kunnen worden gedicht, omdat de verantwoordelijke ontwikkelaar vrijdag 'naar school moest'. Na aandringen van Tweakers.net zorgde een inderhaast opgetrommelde systeembeheerder ervoor dat het lek binnen twee uur werd gedicht. De systeembeheerder, [...], zegt dat het gebrek aan beveiliging 'over het hoofd is gezien'. De problemen zouden pas sinds deze week spelen, omdat toen een nieuwe website werd gelanceerd. Voor die tijd zou de administratiemodule niet extern te benaderen zijn geweest, stelt [de systeembeheerder]. Hij stelt dat dit soort problemen kan optreden als een website wordt ontwikkeld. [...] De Woonbond is niet van plan om geënquêteerden aan te schrijven met het bericht dat hun gegevens zichtbaar waren. Wel wordt onderzocht wie mogelijk misbruik van het beveiligingsprobleem heeft gemaakt. Systeembeheerder [...] sluit aangifte tegen eventuele misbruikers niet uit." (Tweakers.net, 11/01/07)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Woonbond blundert met privégegevens enquêtes (11/01/07)

Zie verder:
Off-site link, opens in new window BoF: Datalek - administratie enquêtes open en bloot (11/01/08)
Off-site link, opens in new window Rejo Zenger: Administratie interface enquetes Woonbond onbeveiligd



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.