PrivacyNieuws.nl PrivacyNieuws.nl
Databeveiliging & Dataverlies

Verbeter de buurt-app lekte jarenlang persoonlijke gegevens

Gegevens
Hoofdcategorie: Internet en Telecom

De meldingsapp Verbeter de buurt was lange tijd zo lek als een mandje. Door een datalek lagen privégegevens van duizenden gebruikers jarenlang op straat, zowel van geregistreerde als anonieme gebruikers. De ontwikkelaar heeft de problemen inmiddels verholpen en melding gedaan bij de Autoriteit Persoonsgegevens.

Een groot aantal gemeenten in ons land maakt gebruik van de app Verbeter de buurt. Het is een laagdrempelige manier om wantoestanden kenbaar te maken. Ook is het een handige manier om te inventariseren wat er zoal speelt in de buurt en gemeente.

Iedere melding die via de Verbeter de buurt-app wordt ingediend, is zichtbaar voor iedereen. Wie niet wil dat zijn naam in beeld verschijnt, is er de mogelijkheid om een anoniem account aan te maken. 

Zo anoniem zijn deze personen echter niet. Ethische hacker Jan van Kampen, die tevens kunstenaar is, zag dat iemand had geklaagd over een kunstproject van hem. Deze persoon deed dat anoniem. Van Kampen wilde graag weten wie deze persoon was en ging op onderzoek uit. Via een proxy zag hij dat de API waar de app gebruik van maakt bij elke melding de owner_email meestuurt. Aangezien veel mensen hun voornaam of voorletters met achternaam gebruiken, is het kinderlijk te achterhalen wie degene is die achter het e-mailadres schuilgaat. Zeker als het om iemand gaat die in een kleine gemeente woont, waar iedereen elkaar kent.

Van Kampen probeerde contact te leggen met de ontwikkelaar, maar dat was makkelijker gezegd dan gedaan. Er was geen responsible disclosure, waar ethische hackers problemen kunnen voorleggen aan de ontwikkelaar. Vervolgens belde bij verschillende malen met het telefoonnummer van de ontwikkelaar, maar er werd niet opgenomen. Tot slot vulde hij het contactformulier in, maar ook daar werd niet op gereageerd. Als ultieme poging besloot hij om contact op te nemen met de gemeente. Toen ging het balletje rollen en belde de ontwikkelaar naar Van Kampen. Die rolde een patch uit, waardoor e-mailadressen niet langer werden verstuurd naar de API. Tevens meldde hij het lek bij de Autoriteit Persoonsgegevens.

Alles bij de bron; VPN-gids

 

Internet en Telecom

Schrijf je in voor onze wekelijkse Nieuwsbrief