Datalek NTR door 'vergeten vinkje' bij online enquête over sociale veiligheid
Publieke omroep NTR heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat de anonimiteit van deelnemers aan een onderzoek naar interne sociale veiligheid en werkcultuur bij de omroep niet gewaarborgd was. "Bij de NTR is er een menselijke fout gemaakt door ons, waardoor er één vinkje niet is aangevinkt", zo laat een woordvoerder van CAOP, de organisatie die het onderzoek uitvoert, tegenover het AD weten.
De raad van toezicht (rvt) van de omroep besloot na een rapport over misstanden twee onderzoeken te starten. Eén daarvan betrof een online enquête over interne sociale veiligheid en werkcultuur bij de NTR. "Oplettende medewerkers hebben de rvt bericht dat de beveiliging van de persoonlijke links niet op orde is", zo blijkt uit een interne mededeling die de raad van toezicht aan het personeel deed en in handen van het AD kwam.
Door het vergeten vinkje was het mogelijk om de vragenlijst van andere medewerkers te bekijken. Hiervoor was het nodig om 'te rommelen' met de url in de adresbalk, aldus de woordvoerder van CAOP. "Dat is een slechte zaak, niet best. Na een melding hebben we dat gelijk dichtgezet en van de zaak melding gemaakt bij de Autoriteit Persoonsgegevens." Het lijkt hier om een IDOR-kwetsbaarheid te gaan.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Bekende voorbeelden zijn bijvoorbeeld bij een webshop waar het aanpassen van een factuurnummer ervoor zorgt dat de facturen van andere klanten zomaar zichtbaar worden.
Na ontdekking van het datalek werd de enquêtesoftware getest en afgelopen maandag weer beschikbaar voor medewerkers gemaakt. De enquête werd echter weer snel offline gehaald. Medewerkers die de enquête wilden doen werden automatisch herkend, waarvan deze medewerkers schrokken. Volgens een woordvoerder hadden medewerkers een extra beveiligingsstap verwacht, maar werd deze maatregel 'onzichtbaar' genomen. "Er is gewoon weinig vertrouwen binnen de organisatie, de NTR heeft niet voor niets dit onderzoek uitgezet."
Precies
Blijkbaar was de anonimiteit van deelnemers niet de bedoeling. Als je persoonlijke links gebruikt en een login nodig hebt, hoe kan het dan ooit een anoniem onderzoek zijn??
Of alleen anoniem voor de rest van de wereld? Wat dus ook mislukt was
Lees het nog een keer en laat het lampje branden.
Iets dat persoonlijk is, is nooit helemaal anoniem.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.