Datalek in app voor volgers van de Dam tot Damloop
De app van de Dam tot Damloop was slecht beveiligd, waardoor relatief eenvoudig duizenden e-mailadressen van deelnemers waren te verzamelen. Ook de volledige namen en in een onbekend aantal gevallen geboortedata van lopers waren voor iedereen in te zien. Dat blijkt uit onderzoek van de NOS.
Het lek bevond zich in een deel van de app waarmee mensen de locatie van deelnemers konden volgen. De zoekfunctie van de app bleek niet goed beveiligd, waardoor een kwaadwillende veel meer informatie dan nodig kon verzamelen. Na melding door de NOS is het probleem opgelost.
Bij wijze van proef verzamelde de NOS de gegevens van 6500 starters. Dat bleek 4000 e-mailadressen op te leveren. "Dat is te kwalificeren als een datalek", zegt juriste Charlotte Meindersma. Aan de Dam tot Damloop deden dit jaar 46.000 mensen mee.
Achterliggende systeem
Het probleem is veroorzaakt door een extern bedrijf, dat functionaliteit aanbiedt voor het volgen van deelnemers aan hardloopwedstrijden.
De software van dat bedrijf wordt niet alleen gebruikt voor de Dam tot Damloop en de korte variant in Zaandam, de Dam tot Damloop by Night, maar ook voor honderden andere hardloopwedstrijden binnen en buiten Nederland. Ook voor die wedstrijden zijn in sommige gevallen e-mailadressen op te vragen.
"Je zou deze informatie helemaal niet bij de app op moeten kunnen vragen", zegt ethisch hacker Rik van Duijn van KPN Security. "De app haalt informatie op zonder te controleren of je daar wel recht op hebt."
Spam en phishing
Kwaadwillenden zouden het beveiligingsprobleem kunnen misbruiken bij het versturen van phishing-mailtjes of spam. Doordat criminelen de namen en soms zelfs geboortedata van hun slachtoffers weten, kunnen ze hun boodschappen beter personaliseren.
Le Champion, de organisatie achter de Dam tot Damloop, zegt in een reactie het datalek te betreuren en er melding van te maken bij de Autoriteit Persoonsgegevens. Ook zullen de nodige stappen worden genomen om te voorkomen dat dit nogmaals kan gebeuren.