Webwereld brengt deze maand iedere dag een datalek naar buiten. Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk!, juicht Karin Spaink. Het artikel is ook in Parool verschenen.
Datalekken vinden is inmiddels een gewilde sport geworden. Helaas is het geen topsport: terwijl instanties instellingen en bedrijven steeds meer gegevens van ons willen, zijn diezelfde dataverzamelaars vaak laks met de beveiliging ervan – wat raar is.
Juist wanneer onze gegevens zo onmisbaar zijn voor hun bedrijfsvoering, voor onze identificatie en voor het correct uitvoeren en verwerken van onze transacties, verdienen die een hoge graad van bescherming. Desondanks gaan veel websites en applicaties gebukt onder elementaire fouten. Derden kunnen daardoor makkelijk met onze gegevens aan de haal gaan. Privacyschendingen, fraude, identiteitsdiefstal en valse verdenkingen zijn het gevolg.
Zo bleek vorige maand dat je bij de Belastingdienst met een willekeurig DigiD op andermans naam een toeslag voor huur-, zorg- of kinderbijslag kon aanvragen, diens rekeningnummer in het jouwe kon veranderen en die toeslag kon wegsluizen. De Belastingdienst is zo naar schatting voor ruim een miljoen opgelicht; honderden – mogelijk duizenden – mensen zijn ofwel hun toeslag misgelopen, ofwel valselijk als fraudeurs aangemerkt.
SQL-injects en cross-site scripting (XSS) klinken ingewikkeld, maar elke skriptkiddie kan het, waardoor de achterdeur van veel site wagenwijd openstaan. Via deze weg en kun je volledige databases uitlezen of iemands inlogsessie overnemen. Door precies zo’n fout kon ik een paar jaar geleden alle 1,2 miljoen patiëntendossiers van een groot ziekenhuis bekijken, ja zelfs veranderen. Dat zulke basisfouten nog steeds bij de vleet worden gemaakt, is verontrustend.
Webwereld is het zat. Het blad heeft oktober prominent uitgeroepen tot lekmaand en wil elke dag een datalek publiceren. Alles in het nette, uiteraard: het blad zal eerst de falende instanties waarschuwen, opdat men daar de boel kan repareren. Pas dan wordt het lek daadwerkelijk gepubliceerd.
Behalve een hopelijk leerzaam lesje voor overheid, bedrijven en instellingen, is het initiatief ook een slim charme-offensief van hackers. Ze tonen er hun goede wil mee aan, laten zien dat zij vaak meer kaas hebben gegeten van beveiliging dan allerlei dure ontwikkelaars, en onderstrepen de noodzaak voor zowel een meldplicht van datalekken als bescherming van de melders ervan. (Nog vorige week deed de provincie Noord-Holland aangifte tegen iemand die braaf een lek in hun site meldde.)
Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk! Nu de ziekenhuizen, de huisartsen, de apothekers, de datingsites, de zorgcentra, de jeugdzorg, de scholen, de Belastingdienst, de politiesystemen, de ambulances, de verzekeraars, de notarissen, de advocaten en al die anderen nog.