Website krant lekt persoonsgegevens abonnees (11/02/19)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

NRC.

Betrokkenen

"Voor de duidelijkheid: de gegevensdatabase stond niet open, en de gegevens van 200.000 abonnees lagen dus niet op straat. Wat er wel gebeurde: een kleine groep abonnees kreeg de verkeerde gegevens voorgeschoteld." (NRC, 11/02/20)

Soort (persoons)gegevens

"Het gaat om naam, adres, abonneenummer en soort abonnement, telefoonnummer, e-mailadres en bankrekening." (WebWereld, 11/02/19)

Type incident

Inbreuk op de vertrouwelijkheid en de integriteit van de verwerkte gegevens.

Omschrijving van het incident

"Door een op hol geslagen database worden abonnees van NRC ingelogd op het account van een ander. Naam, adres, e-mail, telefoon en bankrekening zijn zo te zien én te wijzigen. Als gevolg van de nieuw opgetrokken betaalmuur is de database met inlog- en klantgegevens van alle abonnees van NRC Media op tilt geslagen. Abonnees werden ineens ingelogd op het account van een heel andere abonnee. Daarmee zijn alle gegevens van die vreemde abonnee niet alleen zichtbaar, maar ook te wijzigen. Het gaat om naam, adres, abonneenummer en soort abonnement, telefoonnummer, e-mailadres en bankrekening. Al deze data kan ook worden gewijzigd of gewist. Daarnaast geeft de database, waarin de gegevens van de circa 200.000 abonnees zitten, allerhande foutmeldingen. Pogingen om uit te loggen resulteerden in een 404 melding. Wie daarna opnieuw inlogde belandde in het account van wéér een andere abonnee. Webwereld werd vrijdagmiddag getipt door een oplettende lezer. [...] Het instellen van de betaalmuur is waarschijnlijk een van de oorzaken. Hierdoor is het autorisatie- en registratiesysteem overbelast geraakt, waardoor de backend van de site en de database op hol zijn geslagen. NRC heeft een single sign-on (SSO) module op basis van CAS, die in-house is gebouwd door ontwikkelaars van uitgever NRC Media." (WebWereld, 11/02/19)

Afgelopen vrijdag raakte het inlogsysteem op nrc.nl overbelast. Daardoor hadden sommige abonnees moeite met inloggen. Dit probleem was snel opgelost: de servercapiciteit werd verhoogd. Maar het had een andere, meer ernstige, bijwerking. Namelijk dat een kleine groep abonnees bij hun accountgegevens de gegevens van een andere abonnee zagen en deze ook konden wijzigen. Na enkele meldingen op vrijdagmiddag, leken de problemen snel opgelost. Maar zaterdagochtend doken deze weer op en tipte een Webwereld-redacteur ons." (NRC, 11/02/20)

Respons van de organisatie

"[...] enkele abonnees meldden het gęnante datalek vrijdag al bij het NRC, waarna een onderzoek is ingesteld, meldt [...], internetchef van NRC. Nadat Webwereld zaterdagochtend waarschuwde dat het systeem nog steeds lek was is de database direct in de onderhoudsmodus gezet. [...] Er komt een vervolgonderzoek samen met de leveranciers naar de oorzaken van de overbelasting, storingen en lekkende database. NRC zal alle mutaties die sinds donderdag in het systeem zijn uitgevoerd nalopen en mogelijk ongewenste wijzigingen terugdraaien, belooft [...]. [...] NRC heeft zondagmiddag een verklaring geplaatst op het blog met 'oprechte excuses' [en een toelichting op het incident]." (WebWereld, 11/02/19)

"Na enkele meldingen op vrijdagmiddag, leken de problemen snel opgelost. Maar zaterdagochtend doken deze weer op en tipte een Webwereld-redacteur ons. Toen hebben we onmiddellijk de database van de abonnementen in onderhoudsmodus gezet. Ondertussen zijn onze programmeurs en leveranciers hard aan het werk om ervoor te zorgen dat dit probleem niet nog eens de kop opsteekt." (NRC, 11/02/20)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: NRC lekt privédata 200.000 abonnees - Update (11/02/19)
Off-site link, opens in new window NRC: Uw abonneegegevens blijven intact (11/02/20)

Zie verder:
Off-site link, opens in new window Nu.nl: Privégegevens NRC-abonnees open en bloot (11/02/19)
Off-site link, opens in new window PrivacyNieuws: Fail - NRC lekt privédata 200.000 abonnees (11/02/19)
Off-site link, opens in new window BoF: Datalek: Privégegevens NRC-abonnees open en bloot (11/02/20)
Off-site link, opens in new window Rejo Zenger: Privégegevens NRC-abonnees open en bloot (11/02/20)
Off-site link, opens in new window WebWereld: NRC lekt privédata 200.000 abonnees - Update 2 (11/02/21)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.