[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]
"Hij deed de Rabo E-Scan, waarbij mensen aan de hand van 111 vragen kan onderzoeken hoe geschikt zij zijn als ondernemer. In het antwoord staat een heel persoonlijk profiel, waarbij ook psychologische eigenschappen een rol spelen. Het resultaat van de scan komt beschikbaar als download, die alleen de persoon zelf zou mogen downloaden." [Bron]
"Het lek bij de Rabobank is ontdekt door beveiligings- en privacyonderzoeker [...] tot recent verbonden aan de Universiteit van Amsterdam. Hij deed de Rabo E-Scan, waarbij mensen aan de hand van 111 vragen kan onderzoeken hoe geschikt zij zijn als ondernemer. In het antwoord staat een heel persoonlijk profiel, waarbij ook psychologische eigenschappen een rol spelen. Het resultaat van de scan komt beschikbaar als download, die alleen de persoon zelf zou mogen downloaden. Maar het persoonlijk advies bleek vervolgens breed toegankelijk. De link (https://scan.ondernemerstest.nl/web/mvc/report /download?reportCode=RABOFull&customerScanId=X, X staat voor het volgnummer) voor het ophalen van het rapport blijkt namelijk het volgnummer te bevatten. Wie dat nummer aanpast kan bij alle rapportages komen. [De ontdekker] schreef een script en haalde er 3.300 op, die hij vernietigt. 'Om te testen of er een limiet zit op het aantal te downloaden rapporten (per tijdseenheid, per IP-adres, per sessie, per account, ...) en of er een human-in-the-loop zou ingrijpen heb ik in de nacht van 12 op 13 januari een batch geprobeerd te downloaden. Resultaat: 3330 volledige rapporten', stelt hij. [De ontdekker] vreest dat er tot 250.000 rapportages te downloaden waren." [Bron]
"Het lek is inmiddels gedicht. De test van de Rabobank blijkt een project van het bedrijf Entrepreneur Consultancy/Entrepreneurs Scan BV. De onderneming ontkent in eerste instantie een probleem te hebben, maar na onderzoek wordt toch erkend dat er iets fout zit. 'De privacy van de klant staat bij ons hoog in het vaandel en wij schrokken enorm van dit lek. Vermoedelijk is er tijdens onze continue ontwikkeling een bug in de systemen gekomen waardoor het lek is ontstaan. Dit betreuren wij zeer', stelt [de] office manager & management assistant van Entrepeneur Consulting in een reactie tegen Webwereld. 'Op dit moment wordt onderzocht waar en waarom dit is gebeurd en zal onze technische afdeling er zorg voor dragen dat dit in de toekomst niet meer kan gebeuren.' Op verzoek van Webwereld wordt toegezegd de klanten te informeren over het datalek. [...] Vijf dagen na melding blijkt echter dat de klanten niet zijn geïnformeerd. [...] Het bedrijf Entrepreneurs Scan BV zegt in een reactie het lek in een nieuwsbrief te melden. Zij stellen zich op het standpunt dat het lek op 9 januari 2012 is ontstaan. Alleen klanten die een rapport op die datum of later hebben aangevraagd, zullen worden geïnformeerd. De door Webwereld benaderde persoon heeft zijn test in 2005 laten uitvoeren. Die test was ook gelekt." [Bron]
WebWereld: Rabobank lekt duizenden ondernemersrappporten (12/01/26)
[Open link in dit venster | Open link in nieuw venster]