Publieke omroep NTR heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat de anonimiteit van deelnemers aan een onderzoek naar interne sociale veiligheid en werkcultuur bij de omroep niet gewaarborgd was. "Bij de NTR is er een menselijke fout gemaakt door ons, waardoor er één vinkje niet is aangevinkt", zo laat een woordvoerder van CAOP, de organisatie die het onderzoek uitvoert, tegenover het AD weten.
De raad van toezicht (rvt) van de omroep besloot na een rapport over misstanden twee onderzoeken te starten. Eén daarvan betrof een online enquête over interne sociale veiligheid en werkcultuur bij de NTR. "Oplettende medewerkers hebben de rvt bericht dat de beveiliging van de persoonlijke links niet op orde is", zo blijkt uit een interne mededeling die de raad van toezicht aan het personeel deed en in handen van het AD kwam.
Door het vergeten vinkje was het mogelijk om de vragenlijst van andere medewerkers te bekijken. Hiervoor was het nodig om 'te rommelen' met de url in de adresbalk, aldus de woordvoerder van CAOP. "Dat is een slechte zaak, niet best. Na een melding hebben we dat gelijk dichtgezet en van de zaak melding gemaakt bij de Autoriteit Persoonsgegevens." Het lijkt hier om een IDOR-kwetsbaarheid te gaan.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Bekende voorbeelden zijn bijvoorbeeld bij een webshop waar het aanpassen van een factuurnummer ervoor zorgt dat de facturen van andere klanten zomaar zichtbaar worden.
Na ontdekking van het datalek werd de enquêtesoftware getest en afgelopen maandag weer beschikbaar voor medewerkers gemaakt. De enquête werd echter weer snel offline gehaald. Medewerkers die de enquête wilden doen werden automatisch herkend, waarvan deze medewerkers schrokken. Volgens een woordvoerder hadden medewerkers een extra beveiligingsstap verwacht, maar werd deze maatregel 'onzichtbaar' genomen. "Er is gewoon weinig vertrouwen binnen de organisatie, de NTR heeft niet voor niets dit onderzoek uitgezet."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.