Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
In Nederland wordt er in verschillende steden en wijken gewerkt met het preventieprogramma CtC (Communities that Care). CtC wordt uitgevoerd door het Nederlands Jeugd Instituut. Het Verwey-Jonker Instituut en de Vrije Universiteit onderzoeken de resultaten. (Bron: vragenlijst op de website van het Verwey-Jonker Instituut. Op deze pagina lijkt te kunnen worden doorgeklikt naar de vragenlijsten van Capelle, Gouda, Middelburg, Spijkenisse en Zwijndrecht.) De deelnemende jongeren hebben de uitnodiging om deel te nemen, met wachtwoord, per brief ontvangen van de betreffede gemeente.
Jongeren tussen 12 en 17 jaar.
"De enquêtewas anoniem, [en er werd] onder andere gevraagd in welke wijk men woonde en naar seksuele ervaringen. Wanneer een deelnemer wilde kon het e-mailadres worden ingevuld om na het invullen kans te maken op een IPod of bioscoopkaartjes." (Binnenlands Bestuur, 11/09/28)
"... hoe jongeren denken over hun leven, school, familie, werk, onderwijs, drugsgebruik en andere zaken. [...] Zeer kwalijk, er worden immers zeer gerichte vragen gesteld over bijvooorbeeld drugsgebruik van de deelnemer!" (VPInfo, 11/09/22)
Inbreuk op de vertrouwelijkheid en mogelijk de integriteit van de verwerkte gegevens.
"Nog slordiger is het wachtwoord die iedere deelnemer heeft ontvangen. Deze begint standaard met spijk gevolgd door 4 cijfers. VPinfo heeft een aantal brieven ingezien die verstuurd zijn. Het lijkt er op dat er keurig bij spijk0001 is gestart. Waarom er niet gekozen is voor sterke wachtwoorden als bijvoorbeeld #&5ga)2e is voor ons een raadsel. [Een op de pagina weergegeven deel van de brief wijst er op dat alle deelnemers de gebruikersnaam 'ik' hadden en dat alleen het wachtwoord verschilde.] Deze fout is niet alleen door Spijkenisse gemaakt. Het zelfde onderzoek wordt ook verricht voor Middelburg, Zwijndrecht, Capelle en Gouda. Een test wees uit dat de samenstelling van het wachtwoord, voor deelnemers uit Gouda mogelijk is met bijvoorbeeld goud0123. Met een aantal willekeurige wachtwoorden kreeg de redactie toegang tot de vragen. [...] Tijdens ons onderzoek werd duidelijk dat reeds ingevulde formulieren in te zien zijn. Deze zijn daarna aan te passen. [...] Daarnaast wordt het onderzoek uitgevoerd op een niet beveiligde (https) website." (VPInfo, 11/09/22)
"Uiteindelijk bleek dat niet alleen Spijkenisse, maar ook de gemeenten Capelle, Gouda, Middelburg en Zwijndrecht de online enquête van het Verwey-Jonkerinstituut online hadden staan met hetzelfde beveiligingslek." (Binnenlands Bestuur, 11/09/28)
"[De verantwoordelijke wethouder van Spijkenisse] is geschrokken van de hack, maar is blij dat er geen NAW-gegevens van de deelnemers op straat liggen. ‘We gaan in elk geval kijken vanaf welke verschillende IP-adressen het onderzoek is ingevuld. Van één IP-adres is in elk geval bekend dat vanaf daar acht enquêtes zijn ingevuld.' [...] Het [Verwey-Jonker]instituut heeft de enquêtes inmiddels offline gezet." (Binnenlands Bestuur, 11/09/28)
Eerste publicatie:
VPInfo: Blunder in jongerenonderzoek (update 23-09 11:30) (11/09/22)
Zie verder:
Binnenlands Bestuur: Jongerenonderzoek gemeenten eenvoudig gehackt (11/09/28)
PrivacyNieuws: Jongerenonderzoek gemeenten eenvoudig gehackt (11/09/30)
Rejo Zenger: Gevoelige gegevens jongerenonderzoek gelekt
BoF: Datalek - Jongerenonderzoek Spijkenisse lekt privé informatie
