Gegevens 13.000 kinderen toegankelijk door lek Sinterklaasjournaal.nl

Gepost op 22 november 2011 door Webmaster. Bron: Tweakers.net.

Als gevolg van een beveiligingsprobleem in de website van het Sinterklaasjournaal kon een hacker gegevens van 13.000 kinderen opvragen. Het lek zou te maken hebben met een tool die al sinds 2005 werd gebruikt en onvoldoende was beveiligd.

De hacker claimt dat hij de gegevens van duizenden kinderen heeft kunnen inzien. De publieke omroep NTR bevestigt dat; het ging om de gegevens van 13.000 kinderen. "Het gaat om een tool die sinds 2005 online staat", zegt woordvoerster Helen Albada van de NTR. "Die tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd." De tool werd, ondanks de slechte beveiliging, ook dit jaar nog gebruikt.

De tool gaf kinderen de mogelijkheid om bijvoorbeeld tekeningen in te sturen en kleurplaten te downloaden, maar bleek ongewild tot meer in staat. Via sql-injectie, een vaak voorkomende methode om beveiligingen te omzeilen, kon een databasedump worden gemaakt. Onder andere naam, e-mailadres en leeftijd werden in de database opgeslagen. De hacker, die anoniem wil blijven, plaatste op het internet een gedeeltelijke en gecensureerde dump van een tabel met administratieve logingegevens. Hij zegt dat hij bewust niet meer dan die informatie uit de database heeft gedownload. "Dat zou niet netjes zijn", zegt hij.

Volgens de hacker ging het trouwens om een tabel met de naam 'verlanglijstjes', maar Albada zegt dat dergelijke functionaliteit niet op de website van het Sinterklaasjournaal te vinden is. Die functionaliteit zat aanvankelijk wel in de gehackte tool, maar is inmiddels verdwenen. Het ging bij de hack niet om het 'grote boek' waar gegevens van 1,5 miljoen kinderen in stonden, benadrukt de NTR.