maandag 16 januari 2012

Gemeente Meppel lekt paspoorten en BSN-nummers

De website van de gemeente Meppel blijkt lek. Paspoorten, burgerservicenummers en mailtjes met ambtenaren blijken via zoekmachine Google eenvoudig te achterhalen.

In totaal blijken 1700 dossiers van vergunningaanvragers inzichtelijk door een lek in de gemeentewebsite. Dat bericht het Dagblad van het Noorden afgelopen zaterdag op basis van onderzoek door een 26-jarige internetdeskundige.

11 GB aan data

Via de gemeentesite zijn de dossiers met burgerservicenummers, handtekeningen en identiteitskaarten van burgers te downloaden. Verder zijn er handgeschreven notities en mailtjes van inwoners met ambtenaren terug te vinden. De krant kwam in totaal op 11 gigabyte aan informatie die via het lek te achterhalen is.

De gemeente schrijft in een persbericht dat er geen reden tot ongerustheid is, omdat vergunninggegevens voor iedereen inzichtelijk zijn.

Via Google

Het College Bescherming Persoonsgegevens (CBP) denkt daar anders over. Het CBP neemt het lek uiterst serieus en doet ook onderzoek, schrijft de krant afgelopen zaterdag. De instantie kan de gemeente aanspreken op tekortkomingen in databeveiliging. Het is volgens de krant kinderlijk eenvoudig om bij de privacygevoelige bestanden te komen. Via Google waren de documenten binnen zes stappen te achterhalen.

Dat gaat via een zogenaamd 'directory traversal' exploit. Met behulp van dit http-exploit kan via een aanpassing in de url (../) gebladerd worden in directories. Zonder verder wachtwoorden of toegangscodes te gebruiken.

Tussen twee vuren

Voorlichter Leo Weterings van de gemeente Meppel zegt nog tegen Webwereld: "Het moet niet kunnen dat mensen op deze manier inzicht krijgen in de gegevens. We zitten tussen twee kanten. Aan de ene kant moet de burger bij de digitale gegevens kunnen om een bezwaar te kunnen schrijven. Aan de andere kant zitten we met de privacygegevens van diezelfde burger."

De gemeente onderzoekt nu de mogelijkheden om gevoelige informatie apart op te slaan van de algemene vergunningsgegevens. Tot het onderzoek is afgerond kunnen burgers hun digitale vergunningsgegevens niet raadplegen.

Bron: Webwereld

Geen opmerkingen:

Een reactie posten