Persoonsgegevens van duizenden mensen die de door de actiegroep Viruswaarheid geïnitieerde petitie 'Stop de lockdown' tegen de huidige coronamaatregelen hebben getekend, waren openbaar toegankelijk en door iedereen in te zien. Volgens de Volkskrant gaat het om telefoonnummers en e-mailadressen afkomstig van zeker zestienduizend formulieren. De oorzaak moet worden gezocht in de gebrekkige beveiliging van de website van Viruswaarheid, aldus de krant.
De Volkskrant sprak ethisch hacker Sijmen Ruwhof over het lek. Ruwhof spreekt van een 'ernstig' lek, met name omdat het een wel 'erg knullig' datalek betreft: 'Het is heel simpel om binnen te komen. Je hoeft daarvoor geen geoefende hacker te zijn. Dat maakt dit lek ook zo ernstig.'
Hoe simpel was dat dan? Kennelijk was het wijzigen van de url in je adresbalk al voldoende: met de juiste toevoeging kon iedereen die dat wilde door de documenten snuffelen. Het lijkt er dan ook op dat de ingezonden formulieren op een niet-afgeschermd deel van de website zijn beland.
In termen van online privacy en het borgen van privacygevoelige informatie geldt dat als een behoorlijke faux-pas, zeker omdat het eenvoudig voorkomen had kunnen worden. Ruwhof: 'Vertrouwelijke bestanden horen niet op het publieke deel van een website te worden opgeslagen. Als dat wel gebeurt, moet je het goed afdichten met bijvoorbeeld een inlogscherm.'
Privacy in het geding, en ook phishing en oplichting kan niet worden uitgesloten
Het is niet bekend of kwaadwillenden het lek daadwerkelijk hebben misbruikt. Viruswaarheid heeft vooralsnog geen signalen opgevangen van misbruik, maar het is niet ondenkbaar. Volgens Sijmen Ruwhof is het wijzigen van de url namelijk een veel voorkomende manier waarop aanvallers proberen om ergens binnen te komen: 'Dat doen hackers om te kijken of nog ergens vertrouwelijke informatie staat opgeslagen.'
Maar wat kunnen kwaadwillenden nou met die informatie? Eén optie is dat de contactgegevens gebruikt wordt voor phishing en oplichting. Denk aan valse mails en sms'jes, maar ook WhatsAppfraude kan niet worden uitgesloten. De mogelijkheden zijn eindeloos, daar zal iedere volger van Opgelicht?! ongetwijfeld alles van weten.
Vanwege de omvang van de data - het gaat om minstens zestienduizend formulieren - is doorverkopen aan kwaadwillenden bovendien een lucratieve optie. Eerder gebeurde dat al met gegevens van vijftigplussers die afkomstig waren van diverse callcenters.
Gevoelige kwestie
Wat ook meespeelt, is dat het voor veel ondertekenaars wellicht een gevoelige kwestie is: door het lek kon iedereen in principe zien wie de tegenstanders van de lockdownmaatregelen zijn. Volgens de Volkskrant gaven veel ondertekenaars bovendien aan dat ze de petitie anoniem wilden ondertekenen: ook de gegevens van deze ondertekenaars waren echter gewoon in te zien.
Ruwhof: 'Dat is zeker met de toenemende polarisatie in de samenleving rondom de coronacrisis een probleem. Een tegenstander van Viruswaarheid had deze informatie openbaar kunnen maken op een andere website.'
Viruswaarheid geeft aan het lek te zullen melden bij de Autoriteit Persoonsgegevens.
Bron: De Volkskrant / Bijschrift foto: Willem Engel van actiegroep Viruswaarheid is in discussie met een politieagent tijdens een onaangekondigd protest op het Plein (10 oktober 2020)