Panelleden onderzoeksbedrijf hebben toegang tot accounts van anderen (11/03/04)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

Motivaction, Simstore.

Betrokkenen

Panelleden van Motivation.

"[De directeur van Motivaction] schat dat de accounts van enkele honderden panelleden te misbruiken waren, maar kan geen precies aantal noemen. Het lukte Tweakers.net echter om met diverse willekeurig gekozen id's in te loggen op accounts." (Tweakers.net, 11/03/04)

Soort (persoons)gegevens

"Eenmaal ingelogd konden gegevens worden bekeken en gewijzigd, waaronder adresgegevens, maar ook een indicatie van het inkomen en opvattingen over bepaalde zaken. Ook konden in de cadeauwinkel van Stempunt.nu items worden besteld met het puntensaldo dat panelleden hadden verdiend door enquêtes in te vullen." (Tweakers.net, 11/03/04)

Type incident

Inbreuk op de vertrouwelijkheid en (potentieel) de integriteit van de verwerkte gegevens.

Omschrijving van het incident

"Motivaction werkt voor sommige enquêtes samen met het bedrijf Simstore, dat onderzoek doet naar e-commerce. Daarbij programmeert Simstore enquêtes, die aan panelleden van Motivaction worden verzonden. Aan het eind van de enquête worden de panelleden doorgestuurd naar Stempunt.nu, de enquête-site van Motivaction, waar ze worden beloond voor hun deelname. Bij die koppeling ging echter iets mis; Motivaction authenticeerde de gebruiker niet zelf, maar liet de controle over aan Simstore. Dat bedrijf controleerde echter evenmin of gebruikers bevoegd waren. Door de id van een enquête aan te passen, kon deze worden ingevuld namens een andere gebruiker. Dankzij het gebrek aan verdere controle, was het opgeven van een ander id voldoende om op de Stempunt-website als een ander in te loggen. De id's waren opeenvolgend, waardoor het verhogen van het eigen nummer met een of twee cijfers vaak voldoende was om in te loggen als een andere gebruiker." (Tweakers.net, 11/03/04)

Respons van de organisatie

"Directeur [...] van Motivaction laat weten het beveiligingsprobleem te betreuren. "Dit is nooit onze bedoeling geweest", aldus [...]. "Dat wij geld verliezen doordat cadeaus kunnen worden verzonden is één ding, maar dat privégegevens zijn in te zien is erg vervelend." Het bedrijf heeft Stempunt.nu een kwartier na de melding van Tweakers.net offline gehaald, hoewel het nog enige tijd mogelijk was om enquêtes in te vullen. Inmiddels is de koppeling tussen Motivaction en Simstore stopgezet, totdat de beveiligingsproblemen zijn opgelost. [...] Simstore verwijst voor commentaar door naar Motivaction." (Tweakers.net, 11/03/04)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Panelleden Motivation hadden toegang tot accounts van anderen (11/03/04)

Zie verder:
Off-site link, opens in new window PrivacyNieuws.nl: Panelleden Motivaction hadden toegang tot accounts van anderen (11/03/05)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.