De app van de Dam tot Damloop was slecht beveiligd, waardoor relatief eenvoudig duizenden e-mailadressen van deelnemers waren te verzamelen. Ook de volledige namen en in een onbekend aantal gevallen geboortedata van lopers waren voor iedereen in te zien. Dat blijkt uit onderzoek van de NOS.
24 september 2019 • Nieuws
Datalek in app voor volgers van de Dam tot Damloop
Het lek bevond zich in een deel van de app waarmee mensen de locatie van deelnemers konden volgen. De zoekfunctie van de app bleek niet goed beveiligd, waardoor een kwaadwillende veel meer informatie dan nodig kon verzamelen. Na melding door de NOS is het probleem opgelost.
Bij wijze van proef verzamelde de NOS de gegevens van 6500 starters. Dat bleek 4000 e-mailadressen op te leveren. “Dat is te kwalificeren als een datalek”, zegt juriste Charlotte Meindersma. Aan de Dam tot Damloop deden dit jaar 46.000 mensen mee.
Achterliggende systeem
Het probleem is veroorzaakt door een extern bedrijf, dat functionaliteit aanbiedt voor het volgen van deelnemers aan hardloopwedstrijden.
De software van dat bedrijf wordt niet alleen gebruikt voor de Dam tot Damloop en de korte variant in Zaandam, de Dam tot Damloop by Night, maar ook voor honderden andere hardloopwedstrijden binnen en buiten Nederland. Ook voor die wedstrijden zijn in sommige gevallen e-mailadressen op te vragen.
“Je zou deze informatie helemaal niet bij de app op moeten kunnen vragen”, zegt ethisch hacker Rik van Duijn van KPN Security. “De app haalt informatie op zonder te controleren of je daar wel recht op hebt.”
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
