Nieuws

Fotohokjes Apenheul zo lek als een mandje

De foto's en e-mailadressen van bezoekers van onder andere de Apenheul in Apeldoorn werden opgeslagen in een slecht beveiligde database. Het gaat om de gegevens van mensen die een foto hebben gemaakt in één van de speciale fotohokjes. © ANP
APELDOORN - De foto's en e-mailadressen van bezoekers van onder andere de Apenheul in Apeldoorn werden opgeslagen in een slecht beveiligde database. Het gaat om de gegevens van mensen die een foto hebben gemaakt in één van de speciale fotohokjes.
In de hokjes kunnen mensen een foto maken. De geportretteerden worden in een digitale apenachtergrond gemonteerd en de foto wordt vervolgens per e-mail verzonden. Leuk, dacht beveiligingsonderzoeker Maarten Hartsuijker. De medewerker van het Apeldoornse bedrijf Classity bezocht de dierentuin en liet er een foto van zichzelf en zijn kinderen maken.
De foto kwam echter niet goed aan in de mail. 'Toen ik in de broncode van de e-mail keek, zag ik dat ze gebruikmaakten van enorm oude software. Ik bekeek de beveiliging van de server en was met een paar minuten binnen dankzij een zogeheten SQL-injectie.'

Gegevens van veel meer bedrijven

Tot zijn verbazing zag Hartsuijker een database met honderdduizenden foto's en e-mailadressen. Het waren niet alleen foto's van bezoekers van de Apenheul, maar ook van 20 tot 25 andere bedrijven. Hartsuijker stelde de Apenheul op de hoogte van het lek. Die gaf de kwetsbaarheid op haar beurt aan het bedrijf Bitmove, dat de installaties maakt voor musea en attractieparken.

Niet onschuldig

Klinkt onschuldig, toch? Een paar schattige foto's en je e-mailadres in een database? Nee, zegt Hartsuijker. Behalve dat het gewoon niet mag, maak je mensen ook kwetsbaar voor bijvoorbeeld malware of ransomware. 'Mensen verwachten immers een e-mail met daarin een link waar ze hun foto's kunnen downloaden. Als je daar foute software in verstopt, kunnen computers en smartphones daardoor besmet worden.'

Beveiliging aangepast

Woordvoerder Klaas van der Veur van Bitmove zegt dat er geen gegevens zijn gedownload en dat er daarom geen melding gemaakt hoeft te worden bij de Autoriteit Persoonsgegevens. Bitmove zegt de beveiliging te hebben aangescherpt.
Hartsuijker heeft de beveiliging nogmaals getest en zegt dat er inderdaad verbeteringen zijn doorgevoerd. 'Maar ik heb ze ook het advies gegeven om nog eens goed naar het hele systeem te kijken', aldus de Apeldoornse beveiligingsonderzoeker.

Vrijkaartjes

'De Apenheul was blij dat ik het lek had gemeld', zegt Hartsuijker. 'Ze hebben me vrijkaartjes gegeven.' En de foto met zijn dochters heeft hij alsnog kunnen downloaden.
💬 WhatsApp ons!
Heb jij een tip of opmerking? Stuur ons een bericht op 06 - 220 543 52 of stuur een mail: omroep@gld.nl!