De vertrouwelijke rapporten van vele duizenden ondernemers met daarin hun competenties en psychologisch profiel blijken voor alle Rabo E-Scan klanten toegankelijk.
Het lek bij de Rabobank is ontdekt door beveiligings- en privacyonderzoeker Matthijs Koot van de Universiteit van Amsterdam. Hij deed de Rabo E-Scan, waarbij mensen aan de hand van 111 vragen kan onderzoeken hoe geschikt zij zijn als ondernemer. In het antwoord staat een heel persoonlijk profiel, waarbij ook psychologische eigenschappen een rol spelen. Het resultaat van de scan komt beschikbaar als download, die alleen de persoon zelf zou mogen downloaden.
Breed toegankelijk
Maar het persoonlijk advies bleek vervolgens breed toegankelijk. De link (https://scan.ondernemerstest.nl/web/mvc/report /download?reportCode=RABOFull&customerScanId=X, X staat voor het volgnummer) voor het ophalen van het rapport blijkt namelijk het volgnummer te bevatten. Wie dat nummer aanpast kan bij alle rapportages komen. Koot schreef een script en haalde er 3.300 op, die hij vernietigt.
"Om te testen of er een limiet zit op het aantal te downloaden rapporten (per tijdseenheid, per IP-adres, per sessie, per account, ...) en of er een human-in-the-loop zou ingrijpen heb ik in de nacht van 12 op 13 januari een batch geprobeerd te downloaden. Resultaat: 3330 volledige rapporten", stelt hij. Koot vresst dat er tot 250.000 rapportages te downloaden waren. Het lek is inmiddels gedicht.
Aangepast
De test van de Rabobank blijkt een project van het bedrijf Entrepreneur Consultancy/Entrepreneurs Scan BV. De onderneming ontkent in eerste instantie een probleem te hebben, maar na onderzoek wordt toch erkend dat er iets fout zit.
"De privacy van de klant staat bij ons hoog in het vaandel en wij schrokken enorm van dit lek. Vermoedelijk is er tijdens onze continue ontwikkeling een bug in de systemen gekomen waardoor het lek is ontstaan. Dit betreuren wij zeer", stelt Laila Spits, office manager & management assistant van Entrepeneur Consulting, in een reactie tegen Webwereld. "Op dit moment wordt onderzocht waar en waarom dit is gebeurd en zal onze technische afdeling er zorg voor dragen dat dit in de toekomst niet meer kan gebeuren." Op verzoek van Webwereld wordt toegezegd de klanten te informeren over het datalek.
Het incident staat haaks op beloften in het privacybeleid: "Uw antwoorden op de vragen ten behoeve van de samenstelling van de E-Scan worden elektronisch opgeslagen in beveiligde omgeving en zullen niet openbaar dan wel commercieel verkocht worden aan derden. Wel kunnen uw gegevens in anonieme vorm gebruikt worden voor wetenschappelijk onderzoek."
Vertrouwen van een bank
Vijf dagen na melding blijkt echter dat de klanten niet zijn geïnformeerd. "Ik ben hiervan nog niet op de hoogte gebracht", vertelt Wilco van de Beek, eigenaar van restaurant La via del Gusto, tegenover Webwereld. Hij deed test voor zichzelf in 2005. Zelf verwachtte hij wel dat de gegevens na zo'n tijd niet meer op te halen zijn. "Bij alles wat van een bank is ga ik ervan uit dat dit vertrouwelijk blijft. Voor mij dus niet zo'n probleem, maar het uitlekken van dergelijke rapporten zou niet moeten kunnen."
Het bedrijf Entrepreneurs Scan BV zegt in een reactie het lek in een nieuwsbrief te melden. Zij stellen zich op het standpunt dat het lek op 9 januari 2012 is ontstaan. Alleen klanten die een rapport op die datum of later hebben aangevraagd, zullen worden geïnformeerd. De door Webwereld benaderde persoon heeft zijn test in 2005 laten uitvoeren. Die test was ook gelekt.
Deze week presenteerde de Europese Unie een nieuwe privacyrichtlijn, die bedrijven in de toekomst verplicht om slachtoffers van datalekken binnen 24 uur te informeren.
Bron: Webwereld
Geen opmerkingen:
Een reactie posten