020 530 0160

Datalek bij fotohokjes Apenheul

Gepubliceerd op 9 augustus 2017 categorieën 

Alhoewel de titel een heerlijk ‘zomer-komkommertijd’ artikel doet vermoeden (of wellicht klinkt als een broodje aap) ging het afgelopen week bij de Apenheul toch bijna flink mis. De foto’s en e-mailadressen van bezoekers van de Apenheul in Apeldoorn zijn namelijk maandenlang opgeslagen in een slecht beveiligde database. Hierdoor hadden kwaadwillenden toegang kunnen krijgen tot honderdduizenden foto’s en e-mailadressen, en zodoende hadden een flinke hoeveelheid persoonsgegevens op straat kunnen komen te liggen.

Het gaat om informatie van mensen die van zichzelf een plaatje lieten schieten in de fotohokjes in het attractiepark. De geportretteerden worden in een digitale apenachtergrond gemonteerd en de foto wordt daarna per e-mail verzonden. Zo ook Maarten Hartsuijker, van beveiligingsbedrijf Classity, die het lek van de namen, e-mailadressen en foto’s op het spoor kwam na een bezoek aan de Apenheul. Hij nam een foto in het FotoHotShot-hokje en kreeg een e-mail met een link naar de site waar de foto stond.

“Er ging iets mis bij het openen, waarop ik naar de broncode keek en direct zag dat er van zwakke code gebruikgemaakt werd”, aldus Hartsuijker in gesprek met technologiewebsite Tweakers. Onder andere trof hij de mogelijkheid tot SQL-injectie aan. Zodoende kon hij de database met foto’s en andere gegevens benaderen. “Het was veel breder dan alleen de Apenheul. Ik kon bij 25 databases van andere bedrijven”, beschrijft Hartsuijker, die benadrukt dat hij de databases niet binnengehaald heeft. Volgens hem waren er 500.000 entries in de database en stonden er gegevens vanaf 2015 in, al waren afbeeldingen uit die tijd wel verwijderd.

Na contact met de Apenheul en Bitmove, het bedrijf dat de fotohokjes ontwikkeld heeft, is Bitmove erin geslaagd het SQL-lek te dichten en zijn er meer beveiligingsmaatregelen doorgevoerd. Ook stelt Klaas van der Veur, woordvoerder van Bitmove, in gesprek met omroep Gelderland dat er geen gegevens zijn gedownload en dat er daarom geen melding gemaakt hoeft te worden bij de Autoriteit Persoonsgegevens. Bitmove zegt de beveiliging te hebben aangescherpt, zodat de persoonsgegevens van onder andere bezoekers van de Apenheul weer veilig lijken en er weer met een gerust hart familiekiekjes gemaakt kunnen worden in het FotoHotShot-hokje!

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Michiel van der Zijpp

publicaties

Gerelateerde artikelen