Gegevens krantenbezorgers op straat

Afbeelding: newspaper and glasses van Dominique Godbout | Licentie: CC BY 2.0

Oude software en een slecht gekozen wachtwoord maakten de persoonsgegevens van meer dan honderdduizend jongeren in het bestand met bezorgers van Telegraaf Media Groep toegankelijk.

In het artikel Brakke beveiliging Telegraaf veroorzaakt lekdrama van Webwereld:

Het lek wordt veroorzaakt door een verouderde databasesoftware. Zo gebruikt het bedrijf als database MySQL versie 4.1.5, terwijl de actuele versie 5.5.21 is. In de gebruikte versie zitten diverse lekken waardoor aanvallers zichzelf toegang tot de privacygevoelige gegevens kunnen verschaffen.

Op de database wordt gewerkt met PHPMyAdmin versie 2.6.4-pl2, waarin ook zwakheden zitten. De laatste versie van die software is versie 3.4.10.1. TMG draait programmatuur op het Linux-besturingssysteem Debian, maar heeft ook daar niet de laatste patches gedraaid.

Toch hoeft dat allemaal geen ingang te vormen voor mensen om bij de data te komen. Maar de PHPMyAdmin-interface maakt toegang eenvoudig, omdat aanmelden als beheer gebeurt met gebruiker ‘admin’ en het wachtwoord ‘manager’.

De meeste bezorgers zijn jongeren onder de 18 jaar, die zich in de laatste jaren hebben aangemeld met hun persoonsgegevens. Daarbij gaat het om naam, adres, woonplaats, geboortedatum, telefoonnummer, geslacht, gecodeerd wachtwoord en beschikbaarheid om kranten rond te brengen. Het ogenschijnlijk gebruikte bestand bevat de gegevens van 58.473 bezorgers. Diezelfde data komt ook voor in een testtabel, maar beslaat dan 113.358 mensen en in een database ‘itrendsbump’ nog eens 128.001 personen.

Daarnaast zijn de logingegevens van zo’n 496 medewerkers in de database te vinden. Omdat de wachtwoorden te kraken zijn, zullen deze vervangen moeten worden in het systeem en op alle locaties waar mensen hetzelfde wachtwoord gebruiken.

In een reactie erkent TMG het probleem met de site. “Die site is onze verantwoordelijkheid, maar hij staat bij een derde partij. Men was net bezig hem op te ruimen, want we gebruiken hem niet meer”, vertelt Hans Elekan, hoofd communicatie van TMG. “Dat hoort niet zo. Het is buitengewoon slordig.”