Administratie interface enquetes Woonbond onbeveiligd

De administratieve interface van een online enquete applicatie van de Woonbond bleek onvoldoende beveiligd te zijn. Elke bezoeker kon gegevens bekijken en aanpassen.

Tweakers schrijft in het artikel Woonbond blundert met privégegevens enquêtes:

Toen de tweaker op 'versturen' klikte, kwam een url in beeld die de url van de beheermodule bevatte. Deze laatste url bleek door iedereen te bezoeken, zonder dat er enige vorm van authenticatie aan voorafging. In de beheermodule was het mogelijk om de resultaten van 91 ingevulde onderzoeken te bekijken. […]

Aanvankelijk reageerde de Woonbond laconiek op het lek. Woordvoerder Hans Roseboom schatte in dat het lek pas dit weekend zou kunnen worden gedicht, omdat de verantwoordelijke ontwikkelaar vrijdag 'naar school moest'. Na aandringen van Tweakers.net zorgde een inderhaast opgetrommelde systeembeheerder ervoor dat het lek binnen twee uur werd gedicht. […]

De systeembeheerder, Peter van Kesteren, zegt dat het gebrek aan beveiliging 'over het hoofd is gezien'. De systeembeheerder stelt verder dat er nauwelijks persoonsgegevens waren te achterhalen door het lek. De resultaten van de 91 verschillende onderzoeken blijken echter een veelvoud aan privégegevens te bevatten, waaronder namen, volledige woonadressen en telefoonnummers. Ook bevatten de enquêtes bij elkaar een kleine 7200 e-mailadressen. […] Het was ook mogelijk om resultaten in enquêtes te wijzigen en nieuwe records toe te voegen.