Een hacker die schuilgaat onder de naam ins3ct3d tipte Webwereld dat de site ervaarhetov.nl gevoelig was voor een simpele hackmethode. Via een zogenaamde sql-injection, waarbij in dit geval een sql-query aan een url werd vastgeplakt, kreeg de hacker toegang tot de complete database met persoonsgegevens van 168.000 reizigers. Naast naam en adresgegevens stonden ook de e-mailadressen en telefoonnummers van sommige gebruikers geregistreerd. Er zijn zelfs databasevelden gevonden voor het opslaan van nummers van legitimatiebewijzen. De provincie Gelderland heeft de website meteen nadat het op de hoogte was gebracht offline gehaald.
De ontwikkeling van de website werd geleid door reclamebureau DMO, dat uit voorzorg alle door het bureau ontwikkelde sites die persoonsgegevens opslaan offline heeft gehaald. Volgens Frans Colthoff van DMO wordt de beveiliging van alle websites die het bureau ontwikkelt op verschillende manieren getest, maar is de sql-injection hack in het teststadium niet opgemerkt. Het bedrijf zegt nu hard te werken aan het vinden van de precieze oorzaak en het dichten van het lek. Wanneer de website weer online komt, is in handen van de provincie, aldus het bureau. Colthoff bevestigt dat in sommige gevallen ook nummers van identiteitsbewijzen in de database werden opgenomen, al zou het hier maar om een 'fractie' van de ongeveer 168.000 geregistreerde personen gaan.
Volgens ins3ct3d pleegde hij de hack om aan te tonen dat de overheid niet genoeg aandacht besteed aan de beveiliging van online-diensten. "Zo lang de overheid de burger onveilige systemen blijft opdringen, voel ik me gedwongen de veiligheid van mijn medeburgers te beschermen en hen te waarschuwen”, meldt hij tegen Webwereld.
De website ervaarhetov.nl is een initiatief van de provincie Gelderland en de verschillende vervoersbedrijven in de regio, bedoeld om het gebruik van het openbaar vervoer in de regio te stimuleren. Via de site, die al drie jaar in de lucht is, konden reizigers zich voor verschillende acties aanmelden en ook was het mogelijk een persoonlijke ov-chipkaart aan te vragen.
Bron: http://www.tweakers.net > Artikel
