Datalek Viruswaarheid: duizenden telefoonnummers en e-mailadressen openbaar
De persoonsgegevens van duizenden ondertekenaars van een petitie tegen de lockdown waren door gebrekkige beveiliging van de website van actiegroep Viruswaarheid voor iedereen toegankelijk. Het gaat om zeker zestienduizend formulieren met e-mailadressen en telefoonnummers. Na vragen van de Volkskrant is het lek gedicht.
De deur naar de vertrouwelijke bestanden op viruswaarheid.nl stond wagenwijd open. Enkel het aanpassen van de url, het adres van de website, was genoeg om binnen te komen. Met de juiste toevoeging was de webpagina met bestanden voor iedereen toegankelijk. Eenmaal op die pagina waren ingevulde formulieren van de petitie ‘Stop de lockdown’ en een lijst met duizenden voor- en achternamen en contactgegevens met een paar simpele muisklikken te downloaden.
‘Dit is een erg knullig datalek’, zegt Sijmen Ruwhof, ethisch hacker en beveiligingsonderzoeker. ‘Het is heel simpel om binnen te komen. Je hoeft daarvoor geen geoefende hacker te zijn. Dat maakt dit lek ook zo ernstig.’
Volgens Ruwhof had dit simpel voorkomen kunnen worden. ‘Vertrouwelijke bestanden horen niet op het publieke deel van een website te worden opgeslagen. Als dat wel gebeurt, moet je het goed afdichten met bijvoorbeeld een inlogscherm.’
Reactie Viruswaarheid
In een reactie laat Viruswaarheid weten dat het lek mogelijk samenhangt met een ddos-aanval eerder deze maand. Bij zo'n aanval worden grote hoeveelheden data naar de server van een site gestuurd om deze onbereikbaar te maken. ‘Bij het herstellen van de website is mogelijk een lek ontstaan', schrijft de actiegroep. ‘Nader onderzoek wordt uitgevoerd.’ Viruswaarheid gaat het lek melden bij de Autoriteit Persoonsgegevens.
Het is nog onduidelijk of kwaadwillenden gebruik hebben gemaakt van het datalek. Viruswaarheid heeft daarover geen signalen binnengekregen. Maar ondenkbaar is het niet. ‘Het veranderen van de url van een website is een veelgebruikte manier van hackers om te kijken of nog ergens vertrouwelijke informatie staat opgeslagen’, zegt Ruwhof.
Gelekte lijsten met privénummers en e-mailadressen kunnen worden gebruikt door cybercriminelen voor onder meer phishing. Oplichters sturen dan een e-mail, sms of whatsappbericht om mensen naar een neppe website van bijvoorbeeld een bank te lokken. Doel is vaak het stelen van inlog- of bankgegevens.
Privacy
Daarnaast is de privacy van ondertekenaars in gevaar gekomen. Door het lek kon iedereen zien wie de petitie tegen de lockdown ondersteunt. ‘Dat is zeker met de toenemende polarisatie in de samenleving rondom de coronacrisis een probleem’, zegt Ruwhof. ‘Een tegenstander van Viruswaarheid had deze informatie openbaar kunnen maken op een andere website. De namen blijven dan rondzwerven op het web.’ Bovendien gaven veel ondertekenaars expliciet aan het formulier anoniem in te willen vullen, maar ook hun telefoonnummers en mailadressen waren door het lek voor iedereen toegankelijk.
Het is niet voor het eerst dat Viruswaarheid worstelt met het gebruik van persoonsgegevens. Vorige week kwam de actiegroep in opspraak nadat een brief van de groep bij thuisadressen van huisartsen werd bezorgd. De artsen vermoedden dat Viruswaarheid een adressenbestand heeft en de informatie van de Kamer van Koophandel (KvK) heeft gekocht. Voorman Willem Engel zei dat hij niet betrokken was bij de verspreiding van de brief, maar vond het ook aannemelijk dat de adressen via de KvK waren verkregen.