Privégegevens van duizenden Antwerpenaren te grabbel gegooid door stadsdiensten

dirk laenen
De persoonlijke gegevens van zo'n 3.000 mensen zijn vrij te raadplegen op het internet. Het gaat om de namen, gsm-nummers en nummerplaten van mensen die een doorlaatbewijs aanvroegen bij de Stad Antwerpen om de stad met de wagen in te mogen tijdens Autoloze Zondag, komend weekend.

Het hack is aan het licht gekomen via ICT'er Hans Maes van Bitnet.be. Hij kwam naar eigen zeggen toevallig achter de fout in de URL. Wie de voucher invult om een doorrijvoucher te krijgen, krijgt een online pdf-bestand toegestuurd met zijn toelating. De link in kwestie is een onbeveiligde http-site. "Toen ik die link zag, merkte ik dat die eindigde met vier cijfers. Ik stelde me de vraag wat er zou gebeuren als je een cijfertje zou veranderen en er gewoon een bij zou tellen. Tot mijn grote verbazing kwam ik uit op een andere voucher en kon ik alle informatie aflezen," vertelt Maes. De grote fout die hier gemaakt werd is dat de unieke ID code te makkelijk gekozen is."

Bovendien kon iedereen heel snel een voucher ontvangen zonder dat een ambtenaar jouw aanvraag controleerde. "Zodra je je gegevens invoerde, maakte het systeem de voucher al automatisch aan," weet Maes.
 

Hack

Ethische hackers plaatsen echter vraagtekens bij de actie van Maes. Experts beweren dat Maes wel degelijk op zoek ging naar een uitbuitbare fout én dat hij kwetsbaarheid bekendmaakte voor Stad Antwerpen de kans had om het lek te dichten. Daardoor krijgen mensen met minder goede bedoelingen meteen de kans om de gegevens te stelen, klinkt het. Ook de stad spreekt over hacking. Maes ontkent de aantijgingen. "Het enige wat je moest doen is een cijfer bijtellen. Dat kan elk kind."

"Vorig jaar gebruikten we dit systeem ook en waren er geen problemen", zegt Dirk Delachambre van de Stad Antwerpen. "De site is momenteel offline gehaald waardoor de gegevens niet meer zichtbaar zijn. Onze technische dienst is bezig met het zoeken naar een oplossing want nu kunnen mensen ook geen doorgang aanvragen. Alle betrokken mensen zullen verontschuldigingen aangeboden krijgen van de stad Antwerpen."




8 reacties

Alle reacties worden voor publicatie gelezen -en goed- of afgekeurd- door het moderatie-team van HLN. Elke reactie moet voldoen aan deze gedragsregels.
Je naam en voornaam verschijnen bij je reactie.


  • Victor Ypres

    "Vorig jaar gebruikten we dit ook en waren er geen problemen". Als ze al niet inzien hoe dit qua security het meest idiote is dat je kan bedenken, mag je er zeker van zijn dat ze totaal niet kunnen weten of vorig jaar iemand de gegevens vastgekregen heeft. Wat een amateurisme.

  • huib matthijssen

    Nou daar ga je dan met je pryvicie

  • herman maes

    Ok HLN... Dus omdat ik als (Dailybits) dit nieuws verspreid, wat op Twitter voorbijkwam, ben ik nu de vinder van dit security issue (geen hack trouwens) en maken jullie er een soort interview van met mij. Origineel en pijnlijk voorbeeld van snel snel iets online gooien, zonder te kijken wat de bron is... ;-/ Ik vertrouw erop dat mijn username hier zo snel mogelijk wordt weggehaald?

  • Karel De Brouwer

    Goe bezig NVA

  • Yves Van Rossem

    Klacht indienen tegen de stad Antwerpen en een forse schadevergoeding vragen. Tip: Verenig uzelf om de advokaatkosten te minimaliseren.