Abonnees nieuwsbrief gelekt via SQL-injectie

Afbeelding: I have a problem with my camera - sometimes when taking landscape shots a donkey appears in shot van David Wild | Licentie: CC BY

De website van de Partij van de Dieren lekte tot voor kort de gegevens van alle abonnees van de nieuwsbrief.De nieuwsbrieven van de Partij van de Dieren zijn via de website van de partij in te zien. Om de gegevens van abonnees in te zien volstaat het aanpassen van het adres van de pagina. Door het uitbreiden van dat adres met opdrachten waarmee een databank uitgelezen kan worden, kon ook daadwerkelijk informatie uit de databank achter de website opgehaald worden. Met de juiste opdrachten kreeg de bezoeker onder meer dit te zien:

userid;usermail;dateadded;confirmed;uniqid
2796;[emailadres];1286982750;1;84bc6e4f7dedfbf5ffb4d4155fe16350
4014;[emailadres];1286982754;1;430a70324ac3c4244c4d66f7ec705a53
4868;[emailadres];1286982757;1;25a7f7fd5134233d577b80bd59b327b8
55954;[emailadres];1288971240;1;56f829c0043c63346ce4f78e75afc131
59013;[emailadres];1288971942;1;3f0516cdbe8b5792a289ffdd7e7ccb16

Deze tabel bevat onder meer het e-mailadres van de abonnee en het moment waarop het adres is ingeschreven. Niet alleen verschillende e-mailadressen van partijleider en fractievoorzitter Marianne Thieme zijn inzichtelijk, maar ook die van zo’n 37.000 andere abonnees.

De partij stelde dat het lek waarschijnlijk na “werkzaamheden aan de website” is ontstaan en heeft het gat gedicht. In een reactie schreef de partij dat “erg vervelend en uiteraard niet de bedoeling was.”