Site touroperator Corendon en Gomundo lekt persoonsgegevens

De website van Corendon en Gomundo blijkt reis- en persoonsgegevens van klanten te lekken. De gegevens werden inzichtelijk na het opgeven van makkelijk te raden klant- en boekingsnummers van anderen.

Jeroen van der Gun schrijft op zijn weblog in het artikel Datalek in website Corendon Vliegvakanties:

Bij het boeken van een reis via de website van Corendon Vliegvakanties ontvangt u een klantnummer en een boekingsnummer. Op de pagina Mijn boeking / Betalen waren deze gegevens tot voor kort voldoende om in te loggen, waarna u van uw reis de bestemming, vertrekdatum, aankomstdatum, vluchtgegevens, prijs en het nog te betalen bedrag en van de deelnemers uit uw reis de namen, fysieke adressen, telefoonnummers en geboortedata kunt bekijken. Klein probleempje: beide nummers blijken sequentieel te worden uitgegeven, wat te vermoeden was doordat ze bij elkaar in de buurt liggen en het boekingsnummer iets hoger ligt.

In verband met identiteitsfraude en woninginbraak was dit natuurlijk geen prettige situatie. Op 28 juni heb ik dit probleem aan Corendon gemeld. Op 7 juli heeft Corendon de website bewerkt zodat er nu ook naar het e-mailadres gevraagd wordt bij het inloggen, waardoor het opvragen van willekeurige boekingen niet meer mogelijk is. Op termijn wil Corendon een systeem met wachtwoorden invoeren.

Vermeldenswaardig is het tot slot nog dat GoMundo en Corendon België hetzelfde systeem voor de website gebruiken. […] Dit hangt er van af of ook deze sites sequentiële nummeringen gebruiken, wat in het geval van GoMundo erg waarschijnlijk is aangezien GoMundo dezelfde database als Coredon Nederland gebruikt, wat blijkt uit het feit dat ik er met Corendon-gegevens kan inloggen.

Op de pagina zijn ook nog screenshots opgenomen.