De persoonlijke gegevens van honderdduizenden leaserijders waren slecht beveiligd, waardoor onbevoegden er toegang toe hadden kunnen krijgen. Het ging om de gegevens van klanten van tenminste 52 leasemaatschappijen, zo laat anti-virusbedrijf ESET in een persbericht weten.

De toegang tot de gegevens van leaserijders was in de meeste gevallen mogelijk door beveiligingslekken in het softwarepakket dat het merendeel van de Nederlandse leasemaatschappijen voor hun portaal gebruikt. In een rapport stelt ESET dat het om Session Prediction en Insecure Direct Object References ging (pdf). De maatschappijen hadden allemaal een eigen versie van het portaal, dat op één server draaide. Voor elk portaal was er wel een aparte database, maar elk portaal maakte verbinding met hetzelfde account. Daardoor was het mogelijk om gegevens bij alle aangesloten leasemaatschappijen op te vragen.

Het lukte een onderzoeker om de eigen auto en zijn privégegevens op te vragen, terwijl de wagen bij een andere leasemaatschappij was ondergebracht. "Neem van mij aan dat het terugvinden van je eigen privégegevens een extra dimensie geeft aan de impact van een datalek", aldus Donny Maasland van ESET. De expert kreeg eenvoudig toegang tot alle klantgegevens van maatschappijen die met de bewuste software werkten. Na te zijn ingelicht heeft de leverancier de kwetsbaarheden verholpen.