De zogenaamde ‘open directory’ – een onbeveiligde map – werd ontdekt door het blog Slebs. “Je verzint het niet, wij dachten dat dit fenomeen (een open directory, red.) zo rond 2007 wel uitgestorven was. Maar nee, bij de KRO-NCRV doen ze er nog gewoon aan”, schrijft Slebs.
In de brieven beschreven aanmelders waarom zij graag mee wilden doen aan een seizoen van Boer Zoekt Vrouw. De bijbehorende foto’s geven bij iedere brief een beeld van wie hem heeft geschreven.
Het lek werd vrijdagochtend rond 11.30 uur gedicht, waardoor foto’s en brieven niet meer inzichtelijk zijn. KRO-NCRV zegt in een reactie “enorm geschrokken” te zijn en excuses aan te bieden aan alle betrokkenen. “Dit had natuurlijk nooit mogen gebeuren. Bij constatering is onmiddellijk actie ondernomen, het datalekprotocol in werking gesteld en het lek gedicht. Momenteel wordt uitgezocht hoe dit heeft kunnen gebeuren en welke gegevens mogelijk openbaar toegankelijk zijn geweest.”
Minimaliseren
“Het is vrij ernstig dat je als professionele organisatie mensen oproept om zich aan te melden met persoonlijke informatie, en dat je dan de beveiliging niet op orde hebt”, vertelt David Korteweg van privacy-organisatie Bits of Freedom.
“Je kan datalekken niet voorkomen, maar wel minimaliseren. En er is een wettelijke verplichting voor partijen die gegevens vragen om daar goed mee om te gaan.”
Volgens beveiligingsonderzoeker Loran Kloeze is het datalek vrij knullig: “Een simpele instelling op de webserver voorkomt dat je de inhoud van zo’n map kan inzien.”
