D9D1E2

Datalekken in Nederland

2012

Website bank lekt rapporten met competenties en psychologische profielen ondernemers (12/01/26)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Rabobank, Entrepreneur Consultancy/Entrepreneurs Scan BV.

Verwerking

Rabo E-Scan.

Betrokkenen

(Aspirant-)ondernemers die de Rabo E-Scan hebben gedaan.

Soort (persoons)gegevens

"Hij deed de Rabo E-Scan, waarbij mensen aan de hand van 111 vragen kan onderzoeken hoe geschikt zij zijn als ondernemer. In het antwoord staat een heel persoonlijk profiel, waarbij ook psychologische eigenschappen een rol spelen. Het resultaat van de scan komt beschikbaar als download, die alleen de persoon zelf zou mogen downloaden." [Bron]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Het lek bij de Rabobank is ontdekt door beveiligings- en privacyonderzoeker [...] tot recent verbonden aan de Universiteit van Amsterdam. Hij deed de Rabo E-Scan, waarbij mensen aan de hand van 111 vragen kan onderzoeken hoe geschikt zij zijn als ondernemer. In het antwoord staat een heel persoonlijk profiel, waarbij ook psychologische eigenschappen een rol spelen. Het resultaat van de scan komt beschikbaar als download, die alleen de persoon zelf zou mogen downloaden. Maar het persoonlijk advies bleek vervolgens breed toegankelijk. De link (https://scan.ondernemerstest.nl/web/mvc/report /download?reportCode=RABOFull&customerScanId=X, X staat voor het volgnummer) voor het ophalen van het rapport blijkt namelijk het volgnummer te bevatten. Wie dat nummer aanpast kan bij alle rapportages komen. [De ontdekker] schreef een script en haalde er 3.300 op, die hij vernietigt. 'Om te testen of er een limiet zit op het aantal te downloaden rapporten (per tijdseenheid, per IP-adres, per sessie, per account, ...) en of er een human-in-the-loop zou ingrijpen heb ik in de nacht van 12 op 13 januari een batch geprobeerd te downloaden. Resultaat: 3330 volledige rapporten', stelt hij. [De ontdekker] vreest dat er tot 250.000 rapportages te downloaden waren." [Bron]

Respons van de organisatie

"Het lek is inmiddels gedicht. De test van de Rabobank blijkt een project van het bedrijf Entrepreneur Consultancy/Entrepreneurs Scan BV. De onderneming ontkent in eerste instantie een probleem te hebben, maar na onderzoek wordt toch erkend dat er iets fout zit. 'De privacy van de klant staat bij ons hoog in het vaandel en wij schrokken enorm van dit lek. Vermoedelijk is er tijdens onze continue ontwikkeling een bug in de systemen gekomen waardoor het lek is ontstaan. Dit betreuren wij zeer', stelt [de] office manager & management assistant van Entrepeneur Consulting in een reactie tegen Webwereld. 'Op dit moment wordt onderzocht waar en waarom dit is gebeurd en zal onze technische afdeling er zorg voor dragen dat dit in de toekomst niet meer kan gebeuren.' Op verzoek van Webwereld wordt toegezegd de klanten te informeren over het datalek. [...] Vijf dagen na melding blijkt echter dat de klanten niet zijn ge´nformeerd. [...] Het bedrijf Entrepreneurs Scan BV zegt in een reactie het lek in een nieuwsbrief te melden. Zij stellen zich op het standpunt dat het lek op 9 januari 2012 is ontstaan. Alleen klanten die een rapport op die datum of later hebben aangevraagd, zullen worden ge´nformeerd. De door Webwereld benaderde persoon heeft zijn test in 2005 laten uitvoeren. Die test was ook gelekt." [Bron]

Bronnen

WebWereld: Rabobank lekt duizenden ondernemersrappporten (12/01/26)
[Open link in dit venster | Open link in nieuw venster]

.