Mogelijk tot 250.000 ondernemersprofielen gelekt

Afbeelding: Crisis? What Crisis? van FaceMePLS | Licentie: CC BY

De competentieprofielen werden tot vorige week gelekt via een website van de Rabobank. De beveiliging bleek ondermaats.

In het artikel¬†250k (?) “Rabo E-Scan” ondernemersprofielen publiek toegankelijk schrijft¬†Matthijs R. Koot:

Rabobank biedt via RUG spin-off Entrepreneur Consultancy een competentietest voor ondernemers aan, de zogenaamde “Rabo E-Scan”; ook bekend onder Entrepreneur Consultancy’s algemenere label “E-Scan Ondernemerstest” of kortweg “E-Scan”. […] Het rapport bevat persoonsnaam, geboortedatum, branche en een competentieprofiel met een radardiagram waarin het profiel van de gebruiker wordt getoetst aan het normprofiel voor zijn/haar branche.

Ik heb de test gedaan en mijn rapport aangeschaft. De downloadlink die ik kreeg bevatte een parameter customerScanId=X (X=getal), en toen ik 1 van X aftrok kreeg ik tot mijn verbazing het rapport van een vorige gebruiker. Toegang tot een rapport is dus niet beperkt tot de gebruiker die het heeft gegenereerd. […]

Om te testen of er een limiet zit op het aantal te downloaden rapporten (per tijdseenheid, per IP-adres, per sessie, per account, …) en of er een human-in-the-loop zou ingrijpen heb ik in de nacht van 12 op 13 januari een batch geprobeerd te downloaden. Resultaat: 3330 volledige rapporten. Dat doet mij vermoeden dat ALLE 250k (?) rapporten de facto openbaar zijn. […]