Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
NTR.
"De hacker claimt dat hij de gegevens van duizenden kinderen heeft kunnen inzien. De publieke omroep NTR bevestigt dat; het ging om de gegevens van 13.000 kinderen." (Tweakers.net, 11/11/22)
"Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. [...] een tabel met administratieve logingegevens." (Tweakers.net, 11/11/22)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"Als gevolg van een beveiligingsprobleem in de website van het Sinterklaasjournaal kon een hacker gegevens van 13.000 kinderen opvragen. Het lek zou te maken hebben met een tool die al sinds 2005 werd gebruikt en onvoldoende was beveiligd. [...] De tool gaf kinderen de mogelijkheid om bijvoorbeeld tekeningen in te sturen en kleurplaten te downloaden, maar bleek ongewild tot meer in staat. Via sql-injectie, een vaak voorkomende methode om beveiligingen te omzeilen, kon een databasedump worden gemaakt. Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. 'Dat zou niet netjes zijn', zegt hij. Volgens de hacker ging het trouwens om een tabel met de naam 'verlanglijstjes', maar [de woordvoerder van NTR] zegt dat dergelijke functionaliteit niet op de website van het Sinterklaasjournaal te vinden is. Die functionaliteit zat aanvankelijk wel in de gehackte tool, maar is inmiddels verdwenen. Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen, omdat ze anders 'geen cadeautjes zouden krijgen'." (Tweakers.net, 11/11/22)
"Het gaat om een tool die sinds 2005 online staat", zegt [een woordvoerster] van de NTR. 'Die tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd.' De tool werd, ondanks de slechte beveiliging, ook dit jaar nog gebruikt." (Tweakers.net, 11/11/22)
Eerste publicatie:
Tweakers.net: Gegevens 13.000 kinderen toegankelijk door lek Sinterklaasjournaal.nl (11/11/22)
Zie verder:
Nu.nl: Sinterklaasjournaal.nl lekt gegevens duizenden kinderen (11/11/22)
PrivacyNieuws: Sinterklaasjournaal.nl lekt gegevens duizenden kinderen (11/11/22)
SOLV: Gegevenslek Sinterklaasjournaal.nl (11/11/22)
Nu.nl: Hacker Sinterklaasjournaal.nl claimt data 1,5 miljoen kinderen (11/11/23)
Rejo Zenger: Mogelijk anderhalf miljoen e-mailadressen gelekt (11/11/23)
SOLV: Update Sinterklaasjournaal.nl - een bericht van de Privacy Piet! (11/11/23)
Tweakers.net: Hacker claimt toegang tot 1,5 miljoen mailadressen Sinterklaasjournaal (11/11/23)
ICTRecht: Gedicht voor Sinterklaas (11/11/24)
Nu.nl: Hacker Sinterklaasjournaal kon niet bij mailadressen (11/11/24)
Security.nl: Mailadressen Sinterklaasjournaal niet in zak hacker Piet (11/11/24)
BoF: Datalek - Gegevens toegankelijk op Sinterklaasjournaal.nl (11/11/28)
Eerdere berichten over het verzamelen van e-mailadressen via de website:
Ouders Online: Sinterklaasjournaal zet ouders voor het blok (11/11/14)
Internetrecht: Sinterklaasjournaal zet ouders voor het blok, mag dat? (11/11/22)
