Door een koppeling van account aan een nummer in de URL, konden alle e-mailadressen van abonnees op de nieuwsbrief van de Consumentenbond eenvoudig worden geoogst. "Een stomme fout."
Kwaadwillenden konden alle e-mailadressen van abonnees op de nieuwsbrief van de Consumentenbond achterhalen. Wie zich namelijk wilde uitschrijven voor deze nieuwsbrief, kwam op een pagina terecht waar het e-mailadres als bevestiging wordt getoond.
Deze pagina had echter een uniek nummer in de URL. Wie handmatig of met een scriptje dit nummer wijzigde, kreeg de e-mailadressen van andere abonnees te zien, ontdekte Dennis Haverkamp, die Webwereld tipte.
Met een simpel scriptje was de hele database met e-mailadressen te oogsten. Ook kon de nieuwsbrief worden opgezegd voor alle abonnees in de database.
Afmeldpagina van onbekende abonnee Consumentenbond. Zie groter plaatje.
Stomme fout
De Consumentenbond, die vaak op de barricades staat voor privacy en security, reageert geschrokken. "Dit is natuurlijk absoluut niet de bedoeling en een hele stomme fout," aldus woordvoerster Barbara den Uijl.
De Bond heeft de gewraakte afmeldmethode meteen uitgezet en werkt aan een oplossing. Abonnees krijgen momenteel de volgende melding: "Vanwege een technisch probleem is het online afmelden nu tijdelijk niet mogelijk". Ze kunnen zich wel telefonisch afmelden. Den Uijl belooft dat alle leden en abonnees van de nieuwsbrief zullen worden geïnformeerd over het privacylek.
Update: De Consumentenbond geeft op zijn site nu ook tekst en uitleg over het lek.
Bron: Webwereld
Geen opmerkingen:
Een reactie posten