Miljoenen gegevens van Antwerpenaars onvoldoende afgeschermd

link-iconDe gegevens die Antwerpenaars ingeven om een afspraak te maken bij een stadsloket waren de afgelopen maanden (en mogelijk jaren) niet afgeschermd. Iedereen kon de gegevens van andere mensen opvragen door een simpele handeling.  Wie een online afspraak maakt voor een van de stadsloketten op de stedelijke website Antwerpen.be moet naam, email, telefoon, adres en geboortedatum ingeven. Daarna krijgt de aanvrager een pagina met de ingegeven persoonlijke informatie en de afspraakdetails. Cedric de Vroey, zelfstandig adviseur privacy- en cybersecurity, merkte dat er op deze pagina een zwaar beveiligingsprobleem is. Het bleek mogelijk om de gegevens van andere gebruikers anoniem te openen én te bewerken, en dat voor alle afspraken die sinds 2013 werden gemaakt in het systeem. Het gaat om miljoenen gegevens van burgers die gewoon publiek online stonden. Je moet niet eens hacken: het enige wat je moet doen, is het cijfer achteraan het url-adres van je afspraak aanpassen en je krijgt de gegevens van andere gebruikers te zien. De Vroey noemde dit “een heel groot privacylek.” Hij wees Digipolis, het bedrijf dat instaat voor de informatica van de stad Antwerpen, op het veiligheidsprobleem. Die gaf toe dat de beveiliging van de privacy onvoldoende was. — bron: Gazet van Antwerpen

Uit een nieuwe test bleek een paar dagen later dat de gegevens ondertussen wél goed zijn afgeschermd.