Aanmeldingen met gevoelige gegevens op website vliegschool toegankelijk door SQL injectie (11/10/28)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

AIS Flight Academy.

Betrokkenen

Mensen die zich voor een opleiding bij de vliegschool hebben aangemeld.

Soort (persoons)gegevens

"[...] ruim vijfhonderd aanvragen [...] [De tipgever] meldt dat het niet alleen gaat om de naam, adres en de woonplaats, maar ook om informatie over BKR-registraties. Dit omdat een opleiding tot verkeersvlieger behoorlijk prijzig is. In een enkel geval gaat het zelfs om informatie in een strafdossier, meldt [de tipgever]. 'Daarbij ging het om iemand die bekende op een brommer te hebben gereden zonder rijbewijs. Geen groot misdrijf, maar wel hele gevoelige informatie', zegt hij. 'Dit moet gewoon offline bewaard worden.'" (WebWereld, 11/10/28)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Via een simpele SQL-injection bleken ruim vijfhonderd aanvragen toegankelijk te zijn." (WebWereld, 11/10/28)

Respons van de organisatie

"Nadat Webwereld het probleem heeft gemeld bij AIS Flight Acadamy delen zij de mening van [de tipgever]. Ze hebben de persoonsgegevens offline laten halen, zodat deze ook niet meer op te halen zijn. 'We hebben het opgelost in de zin dat de informatie van de site naar offline gaat', zegt [een woordvoerder van] het bedrijf. 'Het moet niet zo zijn dat de privacy op straat ligt.' Direct na het melden woensdag zegt [de woordvoerder] verbaasd te zijn. 'We zijn net aan een nieuwe site bezig', stelt hij. Dat is een verhaal dat we bij Webwereld vaker horen. Maar het moet gezegd worden, al snel na melding wordt de website vervangen door een nieuwe website." (WebWereld, 11/10/28)

"Directeur [... van] AIS Flight Academy uit Lelystad heeft aangifte gedaan van computervredebreuk. [...] 'Het ligt inmiddels bij de IT-recherche', meldt [de directeur] tegenover Webwereld. Volgens hem is de zaak klip en klaar: "Hoe je het ook wendt of keert, het is inbraak. Er is een verschil tussen hacken en lekken, en dit is hacken. Je moet niet in mijn huis komen, dus je moet ook niet aan mijn site komen. Dan heb je met mij de verkeerde te pakken. Mensen moeten van andermans spullen afblijven.' Daarnaast overweegt [de directeur] aangifte te doen van afpersing door [de journalist] die het nieuws over de lekkende database onthulde in het kader van Lektober. Volgens [de directeur] heeft [de journalis] gedreigd dat hij geen stappen moest ondernemen, anders zou de freelance journalist de zaak 'aan de grote klok hangen op GeenStijl'. 'Dat is gewoon afpersing.' [De tipgever] laat weten dat AIS Flight Academy zelf de wet bescherming persoonsgegevens (wbp) overtreedt. Uit de database zouden bovendien zelfs paspoortnummers lekken. 'Wellicht is het verstandiger dat hij zich daarop richt', aldus [de tipgever]. [De journalist] reageert: 'Ik heb tegen hem gezegd: als ik gevraagd wordt als getuige dan zal ik dat doen met een open brief op GeenStijl, in de openheid, zoals ik dat altijd doe.' [De journalist] heeft inmiddels een advocaat in de arm genomen om een 'gepast antwoord' te kunnen geven." (WebWereld, 11/10/28)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek28 - Vliegschool lekt BKR-gegevens en strafblad (11/10/28)

Zie verder:
Off-site link, opens in new window WebWereld: Vliegschool doet aangifte van hacking en afpersing (11/10/28)
Off-site link, opens in new window BoF: Datalek - Vliegschool lekt informatie uit BKR en strafdossier (11/10/30)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.