Gegevens 13.000 kinderen toegankelijk door beveiligingslek in sinterklaaswebsite omroep (11/11/22)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

NTR.

Betrokkenen

"De hacker claimt dat hij de gegevens van duizenden kinderen heeft kunnen inzien. De publieke omroep NTR bevestigt dat; het ging om de gegevens van 13.000 kinderen." (Tweakers.net, 11/11/22)

Soort (persoons)gegevens

"Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. [...] een tabel met administratieve logingegevens." (Tweakers.net, 11/11/22)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Als gevolg van een beveiligingsprobleem in de website van het Sinterklaasjournaal kon een hacker gegevens van 13.000 kinderen opvragen. Het lek zou te maken hebben met een tool die al sinds 2005 werd gebruikt en onvoldoende was beveiligd. [...] De tool gaf kinderen de mogelijkheid om bijvoorbeeld tekeningen in te sturen en kleurplaten te downloaden, maar bleek ongewild tot meer in staat. Via sql-injectie, een vaak voorkomende methode om beveiligingen te omzeilen, kon een databasedump worden gemaakt. Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. 'Dat zou niet netjes zijn', zegt hij. Volgens de hacker ging het trouwens om een tabel met de naam 'verlanglijstjes', maar [de woordvoerder van NTR] zegt dat dergelijke functionaliteit niet op de website van het Sinterklaasjournaal te vinden is. Die functionaliteit zat aanvankelijk wel in de gehackte tool, maar is inmiddels verdwenen. Het Sinterklaasjournaal riep de jonge kijkers op om hun naam en e-mailadres op de website in te vullen, omdat ze anders 'geen cadeautjes zouden krijgen'." (Tweakers.net, 11/11/22)

Respons van de organisatie

"Het gaat om een tool die sinds 2005 online staat", zegt [een woordvoerster] van de NTR. 'Die tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd.' De tool werd, ondanks de slechte beveiliging, ook dit jaar nog gebruikt." (Tweakers.net, 11/11/22)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Gegevens 13.000 kinderen toegankelijk door lek Sinterklaasjournaal.nl (11/11/22)

Zie verder:
Off-site link, opens in new window Nu.nl: Sinterklaasjournaal.nl lekt gegevens duizenden kinderen (11/11/22)
Off-site link, opens in new window PrivacyNieuws: Sinterklaasjournaal.nl lekt gegevens duizenden kinderen (11/11/22)
Off-site link, opens in new window SOLV: Gegevenslek Sinterklaasjournaal.nl (11/11/22)
Off-site link, opens in new window Nu.nl: Hacker Sinterklaasjournaal.nl claimt data 1,5 miljoen kinderen (11/11/23)
Off-site link, opens in new window Rejo Zenger: Mogelijk anderhalf miljoen e-mailadressen gelekt (11/11/23)
Off-site link, opens in new window SOLV: Update Sinterklaasjournaal.nl - een bericht van de Privacy Piet! (11/11/23)
Off-site link, opens in new window Tweakers.net: Hacker claimt toegang tot 1,5 miljoen mailadressen Sinterklaasjournaal (11/11/23)
Off-site link, opens in new window ICTRecht: Gedicht voor Sinterklaas (11/11/24)
Off-site link, opens in new window Nu.nl: Hacker Sinterklaasjournaal kon niet bij mailadressen (11/11/24)
Off-site link, opens in new window Security.nl: Mailadressen Sinterklaasjournaal niet in zak hacker Piet (11/11/24)
Off-site link, opens in new window BoF: Datalek - Gegevens toegankelijk op Sinterklaasjournaal.nl (11/11/28)

Eerdere berichten over het verzamelen van e-mailadressen via de website:
Off-site link, opens in new window Ouders Online: Sinterklaasjournaal zet ouders voor het blok (11/11/14)
Off-site link, opens in new window Internetrecht: Sinterklaasjournaal zet ouders voor het blok, mag dat? (11/11/22)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.