Contactgegevens van zeker 16.000 activisten van Viruswaarheid waren door een datalek voor iedereen op internet tijden lang zichtbaar. Dat meldt de Volkskrant. Nadat de krant de groep van het lek op de hoogte stelde is het meteen gedicht.
Het lek zat namelijk in de site van de actiegroep zelf. Om bij de gegevens te komen hoefden bezoekers alleen maar de url aan te passen. Wie de goede extensie intikte kwam zonder inloggen terecht op de door bezoekers ingevulde formulieren van de ‘Stop de lockdown’-petitie.
Voorkant
Aan de voorkant kon je de petitie invullen en daarbij meteen aangeven welke gegevens zichtbaar mochten zijn en welke niet. Naast wat er aan de voorkant te zien was, had de groep een heel bestand met gegevens die niet openbaar mocht worden. Op de lijst stonden duizenden voor- en achternamen met daarbij vaak ook veel verdere contactgegevens.
Via het eenvoudig intikken van de extensie had iedereen toegang tot allerlei gegevens van aanhangers van de actiegroep tegen de coronamaatregelen. Dat waren ook gegevens van mensen die anoniem hadden getekend.
De actiegroep zelf zegt dat het lek waarschijnlijk ontstond bij een DDoS-aanval van eerder deze maand. Dit weerspreekt ethisch hacker en beveiligingsonderzoeker Sijmen Ruwhof in de Volkskrant. Volgens de expert kan een DDoS-aanval of andere hack niet de oorzaak zijn van het feit dat vertrouwelijke gegevens toch al op een publiek deel van de website staan.
“Dit is een erg knullig datalek”, zegt Ruwhof tegen de krant. “Het is heel simpel om binnen te komen. Je hoeft daarvoor geen geoefende hacker te zijn. Dat maakt dit lek ook zo ernstig.”
Signalen
Het is nog niet duidelijk of kwaadwillenden gebruik hebben gemaakt van het datalek. Viruswaarheid zegt daarover nog geen signalen te hebben.
De gelekte lijsten hadden cybercriminelen eenvoudig kunnen bemachtigen en vervolgens gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Verder stelt Ruwhof dat het vooral schadelijk kan zijn voor de ondertekenaars zelf. Want ook al is het bestand nu offline, het is al wel geïndexeerd door de zoekmachines. Bovendien bleek uit het bestand dat veel ondertekenaars anoniem wilden blijven.
Het datalek is niet het eerste voor de actiegroep. Vorige week bleek bijvoorbeeld dat een brief van Viruswaarheid bij de huisadressen van huisartsen an huis waren bezorgd. Artsen vermoeden dat de groep daarbij gebruikmaakte van het adressenbestand van de Kamer van Koophandel (KvK). Die kun je bemachtigen door het te kopen.
Lees ook:
- Impact corona goed te zien in zoektermen
- Veilige digitale data-uitwisseling blijft een uitdaging
