D9D1E2

Datalekken in Nederland

2012

Website mediabedrijf lekt persoonsgegevens kandidaat-krantenbezorgers (12/02/28)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Telegraaf Media Groep.

Verwerking

Registratie kandidaat-krantenbezorgers op website.

Betrokkenen

"De meeste bezorgers zijn jongeren onder de 18 jaar, die zich in de laatste jaren hebben aangemeld met hun persoonsgegevens." [Bron]

Soort (persoons)gegevens

"Daarbij gaat het om naam, adres, woonplaats, geboortedatum, telefoonnummer, geslacht, gecodeerd wachtwoord en beschikbaarheid om kranten rond te brengen. Het ogenschijnlijk gebruikte bestand bevat de gegevens van 58.473 bezorgers. Diezelfde data komt ook voor in een testtabel, maar beslaat dan 113.358 mensen en in een database 'itrendsbump' nog eens 128.001 personen. Daarnaast zijn de logingegevens van zo'n 496 medewerkers in de database te vinden. Omdat de wachtwoorden te kraken zijn, zullen deze vervangen moeten worden in het systeem en op alle locaties waar mensen hetzelfde wachtwoord gebruiken." [Bron]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Het gaat om data die op een server van het voormalige DistriQ staat. Die organisatie houdt zich bezig met de bezorging van kranten, zoals de Telegraaf en enkele andere kranten. Het bedrijf dat nu TMG Distributie (Telegraaf Media Groep) heet, blijkt op een server de gegevens van potentiŽle bezorgers bij te houden. Het lek wordt veroorzaakt door een verouderde databasesoftware. Zo gebruikt het bedrijf als database MySQL versie 4.1.5, terwijl de actuele versie 5.5.21 is. In de gebruikte versie zitten diverse lekken waardoor aanvallers zichzelf toegang tot de privacygevoelige gegevens kunnen verschaffen. Op de database wordt gewerkt met PHPMyAdmin versie 2.6.4-pl2, waarin ook zwakheden zitten. De laatste versie van die software is versie 3.4.10.1. TMG draait programmatuur op het Linux-besturingssysteem Debian, maar heeft ook daar niet de laatste patches gedraaid. Toch hoeft dat allemaal geen ingang te vormen voor mensen om bij de data te komen. Maar de PHPMyAdmin-interface maakt toegang eenvoudig, omdat aanmelden als beheer gebeurt met gebruiker 'admin' en het wachtwoord 'manager'." [Bron]

Respons van de organisatie

"In een reactie erkent TMG het probleem met de site. 'Die site is onze verantwoordelijkheid, maar hij staat bij een derde partij. Men was net bezig hem op te ruimen, want we gebruiken hem niet meer', vertelt [het] hoofd communicatie van TMG. 'Dat hoort niet zo. Het is buitengewoon slordig.'" [Bron]

Bronnen

Nu.nl: Gegevens krantenbezorgers op straat (12/02/28)
[Open link in dit venster | Open link in nieuw venster]

WebWereld: Brakke beveiliging Telegraaf veroorzaakt lekdrama (12/02/28)
[Open link in dit venster | Open link in nieuw venster]

.