Kamernet lekt 1,3 miljoen persoonlijke berichten van gebruikers

  1. 6 feb 2017
  2. 0 reacties

hacker4-gabor-kalman

Ruim 1,3 miljoen persoonlijke berichten van Kamernet gebruikers zijn toegankelijk geweest voor onbevoegden. Het lek is inmiddels gedicht. De Autoriteit Persoonsgegevens is door Kamernet van het incident op de hoogte gesteld.

Het beveiligingsprobleem is ontdekt door Nelson Berg, die het probleem aantrof toen hij de website zelf gebruikte om een kamer te vinden. Op de website worden berichten via een ID gekoppeld aan gebruikers. Door verschillende autorisatieproblemen werd echter niet goed gecontroleerd of het ID dat door een gebruiker wordt aangeleverd ook daadwerkelijk aan deze gebruiker toebehoort. Dit stelde onbevoegden in staat persoonlijke berichten van gebruikers in te zien.

Om de omvang van het probleem in kaart te brengen schreef Berg een script, waarmee hij geautomatiseerd persoonlijke berichten kon downloaden. In totaal wist hij op deze manier zo’n 1,1 tot 1,3 miljoen berichten in handen te krijgen. Het lek werd door Berg op 25 januari ontdekt, waarna Kamernet op 26 februari over het probleem is geïnformeerd. Het lek is vervolgens door Kamernet dezelfde dag nog verholpen. Berg benadrukt dat Kamernet het probleem efficiënt en professioneel heeft opgelost. Na een analyse van de logbestanden meldt Kamernet dat de kwetsbaarheid alleen is uitgebuit door Berg. Er zijn dus geen aanwijzingen dat de persoonlijke berichten in handen zijn gevallen van aanvallers.

Meer over
Lees ook
Privégegevens van 20.000 Nederlandse autokopers inzichtelijk door datalek

Privégegevens van 20.000 Nederlandse autokopers inzichtelijk door datalek

De privégegevens van 20.000 Nederlandse autokopers zijn via internet toegankelijk geweest. Dit was mogelijk door een fout in de website van kredietverstrekker AutoCash. Dit meldt RTL Nieuws op basis van een tipgever. Deze geeft aan het lek al maanden geleden te hebben aangekaart bij de softwareleverancier, maar dat het lek niet is gedicht. RTL Z1

400.000 klanten van Italiaanse bank getroffen door datalek

400.000 klanten van Italiaanse bank getroffen door datalek

De gegevens van 400.000 klanten van de Italiaanse bank UniCredit zijn uitgelekt. Het gaat om twee datalekken die in 2016 en 2017 plaatsvonden. Dit maakt UniCredit bekend in een verklaring op haar website. Het eerste datalek vond plaats in de periode september-oktober 2016, terwijl het tweede datalek in juni-juli 2017 werd gedetecteerd. De bank be1

Gegevens van miljoenen klanten Dow Jones & Co uitgelekt door AWS-configuratiefout

Gegevens van miljoenen klanten Dow Jones & Co uitgelekt door AWS-configuratiefout

Persoonlijke informatie van miljoenen klanten van Dow Jones & Co, een Amerikaanse uitgeverij- en financiële informatieconcern, zijn uitgelekt. De data stond opgeslagen in een Amazon Web Service S3 bucket, die door een configuratiefout toegankelijk was voor miljoenen AWS-gebruikers. Het datalek is ontdekt door Chris Vickery, een beveiligingson1