Beveiligingslek in oude website omroepvereniging gaf toegang tot 19.000 e-mail- en IP-adressen (11/07/15)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

VARA.

Betrokkenen

Vermoedelijk gaat het om bezoekers van de website die een boodschap in het 'gastenboek' hadden achtergelaten.

Soort (persoons)gegevens

"[...] onder andere 19.000 e-mail- en ip-adressen [...]" (Tweakers.net, 11/07/15)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"De website van Mooi Weer de Leeuw, een VARA-programma dat in 2009 van de buis verdween, bevatte een beveiligingslek. Op de website konden tot vrijdagmiddag door manipulatie van een variabele sql-query's worden uitgevoerd [...]. In het geval van de VARA-website kon met sql-injection de gehele database van de website worden uitgelezen. Daardoor konden onder andere 19.000 e-mail- en ip-adressen uit de database worden gelezen, die in een tabel van een gastenboek waren opgeslagen. [...] Volgens [de ontdekker van het beveiligingslek] was het ook mogelijk om database-records aan te passen, al zegt hij dat zelf niet te hebben gedaan." (Tweakers.net, 11/07/15)

Respons van de organisatie

"[De] webmaster bij de VARA bevestigt dat de website kwetsbaar was en bestempelt het feit dat persoonsgegevens konden worden uitgelezen als 'kwalijk'. "Deze site had een vrij oud content management systeem", zegt [de webmaster]. Het cms zou niet voor andere VARA-sites worden toegepast; daarvoor wordt nu TYPO3 gebruikt. [...] Volgens [de ontdekker van het beveiligingslek] heeft de VARA niet gereageerd op zijn e-mails, waarin hij waarschuwde voor het lek. Daarop mailde hij Tweakers.net over het lek. Nadat Tweakers.net contact met de VARA had opgenomen, werd de website binnen drie kwartier offline gehaald. De website komt ook niet meer online, aldus [de webmaster]." (Tweakers.net, 11/07/15)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Lek in VARA-site gaf toegang tot 19.000 e-mailadressen (11/07/15)

Zie verder:
Off-site link, opens in new window Nu.nl: Lek in VARA-site gaf duizenden e-mailadressen bloot (11/07/16)
Off-site link, opens in new window Rejo Zenger: VARA-site lekt 19.000 e-mailadressen (11/07/17)
Off-site link, opens in new window BoF: Datalek - VARA website lekt 19.000 e-mailadressen (11/07/20)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.