De website waar mensen rechtstreeks de nieuwe staatsbon kunnen kopen, vertoonde een ernstig datalek. Iedereen kon de adressen en soms ook de wettelijke partner van alle Belgen opzoeken. Het Agentschap voor de Schuld heeft het lek ondertussen gedicht.
De website van het Agentschap voor de Schuld is nog nooit zo populair geweest als afgelopen week. Mensen kochten er al voor meer dan 2 miljard euro aan staatsbons. Zo vermeden ze vaak kosten die een bank wel aanrekent.
Een ethische hacker liet ons via een anonieme tip weten dat er iets aan de hand was met de site. De technologie-experten van de VRT startten een zoektocht en vonden al snel een datalek in de tool die mensen gebruiken om in te tekenen op de nieuwe staatsbon.
In de velden waar je je naam, geboortedatum en postcode moet invullen, kon je de gegevens van eender welke Belg invullen. Je kreeg dan de adresgegevens van die persoon te zien en soms zelfs ook de naam van de wettelijke partner.
Er was dus geen sprake van een veiligheidslek rond bijvoorbeeld de overschrijving van het geld, maar om een privacyprobleem. Zo slaagden we er probleemloos in om de adresgegevens op te zoeken van viroloog Marc Van Ranst of Justitieminister Vincent Van Quickenborne, twee mensen die al in zogenoemde safehouses hebben gezeten omdat ze werden bedreigd.
Ook adresgegevens van bekende Vlamingen konden makkelijk worden opgezocht. Het enige dat je moest doen, was de geboortedatum en de postcode van de betrokkene opzoeken, maar dat duurde doorgaans maar enkele minuten via Google of Facebook.
VRT NWS bracht het Agentschap voor de Schuld op de hoogte, waar ze meteen aan de slag gingen. "We nemen dit lek heel serieus", reageert directeur Jean Deboutte. "Dit is heel vervelend en moest onmiddellijk worden stopgezet." Na enkele uren kregen we het bericht van het Agentschap dat het lek was gedicht.
"De velden die privacygevoelig zijn, worden nu automatisch verborgen. We gaan ook onderzoeken wie systematische zoekopdrachten heeft gedaan." Dat zal niet eenvoudig zijn, want elke keer dat er staatsbons konden worden gekocht (dit jaar al drie keer), konden de gegevens worden opgevraagd.
Letermebon
De betrokken tool blijkt al 12 jaar oud. Hij werd ontwikkeld na het succes van de zogenoemde Letermebon. Die staatsbon werd in 2011 uitgegeven. "De tool bestond nog niet en dus moest dat nog op papier worden verwerkt", verduidelijkt Deboutte. "Toen hebben we de tool laten ontwikkelen, maar die werd eigenlijk nauwelijks gebruikt."
"Pas dit jaar steeg het aantal gebruikers fors en deze laatste staatsbon is een groot succes. De volumes via onze site zijn nu zo hoog. Daardoor komen dit soort problemen nu naar boven. We gaan sowieso de hele website onder handen nemen, ook naar veiligheid toe."
"Overheid heeft voorbeeldfunctie"
Privacy-experte Magali Feys reageert op zich niet erg verbaasd op het datalek. "We zien het jammer genoeg vaker in onze praktijk. Datalekken komen nu eenmaal voor. Dat is een spijtige zaak. Het is natuurlijk extra spijtig dat het bij de overheid gebeurt, omdat dat een grotere impact kan hebben."
"We zien dat er vaak nog te weinig op voorhand rekening wordt gehouden met de privacywetgeving", gaat Feys verder. "Niet zozeer vanuit het juridische, maar vooral ook vanuit het technische. Het is heel belangrijk dat je ook een technische analyse gaat doen op informatieveiligheid."
"Dat zit er vandaag nog niet genoeg in ingebakken, niet bij overheden en ook niet bij bedrijven. Dat moet echt wel anders. En natuurlijk moet de overheid het voorbeeld hierin geven", stelt advocate Feys, wier kantoor ook overheidsdiensten bijstaat inzake privacy. "Ik zie wel een kentering, maar het mag zeker nog meer op de agenda komen."
Over eventuele aansprakelijkheid van de overheid in deze zaak, merkt Magali Feys op dat er twee aspecten zijn. "Hoe is het datalek kunnen ontstaan, heeft men op voorhand niet de juiste checks gedaan? Maar even belangrijk: hoe werd gereageerd op het lek? En hier heeft men onmiddellijk actie ondernomen."
0 件のコメント:
コメントを投稿