Gebruikershulpmiddelen

Site-hulpmiddelen


archief:bits_of_freedom:zwartboek_datalekken

Zwartboek Datalekken

Datalekken 2010

  • December 2010: Op de website Oxfam Novib Pakt Uit kunnen gebruikers bijvoorbeeld een koe kopen en kado doen aan mensen in Derde Wereld landen die hulp nodig hebben. Voor het kunnen doen van aankopen, moeten gebruikers eerst een account aanmaken. Zodra een gebruiker ingelogd is, is het adres in de adresbalk aan te passen en kan de gebruiker de persoonsgegevens van andere klanten inzien. De gegevens die in te zien en aan te passen zijn, bevatten onder meer klantnummer, naam, adresgegevens, e-mailadres, telefoonnummer, geslacht en in sommige gevallen ook geboortedatum. Het ziet er naar uit dat de gegevens van meer dan 46.500 gebruikers in te zien zijn geweest.
  • December 2010: De Telegraaf kwam in het bezit van onder meer een CD met alle foto’s van een MRI-onderzoek bij het Medisch Centrum Alkmaar van Joey Didulica van de club AZ. Het ziekenhuis stuurde de CD op aan een journalist die zich had voorgedaan had als de fysiotherapeut. De journalist zou daarbij alleen naar de naam en geboortedatum van de patient zijn gevraagd.
  • December 2010: Een Tilburgse kocht vorige week twee ladenkasten bij een kringloopwinkel. In de kasten bleken nog 47 medische dossiers opgeslagen te zijn. De documenten bevatten uitvoerige, vertrouwelijke informatie over de toestand van de voormalige patiënten, die bij het Regionaal Indicatie Orgaan (RIO) Midden-Brabant een zorgvraag deden.
  • November 2010: De Gemeente Eindhoven stuurde eind november een e-mail over nieuwe vergunningsaanvragen. Ze stuurde de e-mail aan 1.150 adressen en op zo’n manier dat die adressen voor alle ontvangers te zien waren. Dezelfde fout maakte ook de Gemeente Rijswijk. Naar aanleiding van de staking bij de postbezorging stuurde de gemeente ook een e-mail aan burgers die zitting in een stembureau wilde nemen. Ook bij deze e-mail waren alle adressen voor alle ontvangers zichtbaar.
  • November 2010: Het KLPD stuurde recent een lijst met nummers die moesten worden afgetapt naar de fax van een burger in plaats van het lokale Tap Service Centrum van de politie. Het gaat om een tiental personen, waarvan de telefoon en internetverbinding werd afgetapt, en waarvan de taptermijn moest worden verlengd. In de documenten staan telefoonnummers, IP-adressen en de providers. Maar ook de naam en telefoonnummers van de betrokken Officier van Justitie, het politie opsporingsteam en de namen en mobiele telefoonnummers van een aantal politiemedewerkers.
  • November 2010: De website van 3M heeft enige tijd persoonsgegevens uitgelekt van mensen die voor de Grote Gift-actie hadden gestemd. Van de mensen die een stem uitgebracht hadden waren het e-mail- en IP adres zichtbaar. Het zou gaan om de gegevens van zo’n 70.000 deelnemers. Inmiddels zijn de gegevens van de website verwijderd.
  • November 2010: Door een storing aan een aantal servers van de site Webwereld kon het voorkomen dat gebruikers soms opeens ingelogd waren met het account van andere gebruikers. Gebruikers die het overkwam konden de gegevens van een andere gebruiker inzien en reacties publiceren onder diens naam.
  • November 2010: Een lid van het gerechtshof in Arnhem is een aantal processtukken uit de ontuchtzaak tegen PVV-Kamerlid Eric Luccassen kwijtgeraakt. De raadsheer had de stukken mee naar huis genomen om zich te kunnen voorbereiden op vragen van de pers. Onderweg vergat hij de stukken.
  • November 2010: De Vereniging van Nederlandse Gemeenten publiceert informatie over verzoeken op grond van de Wet openbaarheid van bestuur, waarbij de naam van de aanvrager zichtbaar is. De VNG wilde met de publicatie gemeenten adviseren over de afhandeling van een bepaald verzoek. In de publicatie werd de naam van de aanvrager genoemd. Daarop volgde een klacht bij het College Bescherming Persoonsgegevens. Het CBP is van mening dat de publicaties in strijd met de Wet bescherming persoonsgegegevens zijn.
  • November 2010: Door een fout in de computersystemen van DUO kregen mensen die met hun eigen code op de site inlogden, de gegevens van iemand anders te zien. Volgens DUO het gevolg van “enorme drukte” op de website, maar de precieze oorzaak wordt niet genoemd.
  • Oktober 2010: Het UWV Hilversum stuurde uitnodigingen voor een banenmarkt, waarbij de geadresseerden door elkaar zijn gehaald. De uitnodigingen hadden wel het juiste adres, maar niet de goede naam. Bij de adressering zijn in de computer de namen en adressen verschoven door een fout waardoor de verkeerde namen bij de adressen kwamen. Zo zijn de uitnodigingen bij de werkzoekenden beland met de verkeerde naam.
  • Oktober 2010: Bits of Freedom verstuurde recentelijk haar digitale nieuwsbrief. Door een fout van een medewerker werden de e-mailadressen van de ruim 40 geadresseerden in het “BCC” veld opgenomen. Bits of Freedom heeft de betrokkenen gelijk op de hoogte gesteld en diens excuses ervoor aangeboden.
  • Oktober 2010: Wouter Bos heeft een nieuwe baan en stelde zijn contacten op de hoogte van zijn nieuwe e-ailadres. De adressen van de geadresseerden waren per ongeluk zichtbaar in de e-mail zelf, zo schrijft NRCnext. In de lijst staan topambtenaren op ministeries, bestuurders van semi-overheidsinstellingen en topmensen uit het bedrijfsleven. Ook bekende namen uit de amusements- en sportwereld.
  • Oktober 2010: Een onvoldoende beveiligde directory op de server van Kasboek.nl gaf toegang tot 8.985 bestanden waarin meer dan een miljoen banktransacties werden genoemd. De totale waarde van de transacties is ongeveer 200 miljoen euro, gemiddeld werd er ongeveer 650 euro bijgeschreven.
  • September 2010: Halverwege deze maand neemt het bedrijf Direct Sale een nieuwe website in gebruik. De software van de website wordt ook gebruikt voor de verzending van aanbiedingen per e-mail. In een van de eerste mailings gaat dat fout: de e-mailadressen van 5.750 geadresseerden zijn voor alle ontvangers zichtbaar.
  • September 2010: Een raadsheer van de Hoge Raad heeft een tas met twee strafdossiers in de trein vergeten. De tas lag, met de jas van de raadsheer, in het bagagerek en is waarschijnlijk door derden meegenomen.
  • September 2010: Uit de uitspraak van een rechter blijkt dat een secretaresse van een gezondheidsinstelling de toegang tot het EPD heeft misbruikt voor privédoeleinden. Nadat de dochter van de vrouw was aangerand, werd van aangifte afgezien op voorwaarde dat de man zich zou laten behandelen. De vrouw controleerde de status van de behandeling in het EPD, ook al was zij daartoe niet bevoegd.
  • September 2010: Het parket in Roermond faxt gevoelige gegevens per ongeluk naar een burger. Het Arrondissementsparket Roermond heeft een fax met gevoelige gegevens aan een burger in Weert gestuurd.
  • September 2010: T-Mobile stuurde de loginggegevens van een klant via Twitter. De logingegevens van een klant zijn door T-Mobile via Twitter gepubliceerd. Het bericht had direct aan de klant gestuurd moeten worden, maar werd publiek zichtbaar.
  • Augustus 2010: Op de website van het voormalige TV programma Breekijzer stond tot eind vorige week een formulier waarop mensen klachten konden aanmelden voor behandeling in het programma. Behalve een omschrijving van klacht werd de klagers ook gevraagd om persoonsgegevens, zoals naam, adres, telefoonnummers, e-mailadres en geslacht. Vanzelfsprekend bevatte een aantal van de omschrijvingen zelf ook gevoelige gegevens. Door het aanpassen van het volgnummer in het adres van de browser konden bezoekers gemakkelijk ook de klachten van anderen inzien. Een grove telling doet vermoeden dat bijna 13.000 klachten op die manier publiekelijk waren. Door het aanpassen van het volgnummer in het adres van de browser konden bezoekers gemakkelijk ook de klachten van anderen inzien. Een grove telling doet vermoeden dat bijna 13.000 klachten op die manier publiekelijk waren.
  • Juli 2010: Jeroen van der Gun schrijft dat hij inzage kon krijgen in de persoons- en reisgegevens van andere klanten van de touroperator Corendon. Na het boeken van een reis kan een klant op basis van zijn klant- en boekingsnummer inzage krijgen in de details van de geboekte reis. De twee nummers blijken op volgorde te worden uitgedeeld. De nummers van andere klanten zijn daardoor gemakkelijk te raden. Hetzelfde geldt voor de website van GoMundo, een andere handelsnaam van Corendon.
  • Juli 2010: De gemeente Tynaarlo verstuurde afgelopen woensdag haar digitale nieuwsbrief. Door een fout van een medewerker werden de e-mailadressen van alle 300 geadresseerden in het “To” veld opgenomen.
  • Juli 2010: Begin dit jaar zette het Nederlands Instituut voor Forensische Psychiatrie en Psychologie (NIFP) patientenkaarten met medische en strafrechtelijke gegevens op straat, zo blijkt uit een persbericht van het CBP. Uit onderzoek blijkt dat het NIFP jarenlang onbeveiligd in een kelder van een pand had opgeslagen, zonder zicht te hebben op verlies of onrechtmatige verwerking.
  • Juli 2010: De vereniging van kabelbedrijven, NLkabel, verstuurde eerder vandaag haar dagelijkse nieuwsbrief. Zo'n 375 adressen kwamen per ongeluk in de e-mail zelf terecht. NLkabel bevestigde in een op volgende e-mail de fout.
  • Juni 2010: De website wksuperpool.nl bleek slecht beveiligd te zijn: door het adres van de website aan te passen kon men eenvoudig bij de door de website opgeslagen gegevens. In de database waren vele e-mailadressen en slecht beveiligde wachtwoorden te achterhalen. De beheerder bevestigde de fout.
  • Juni 2010: Iemand die bij een gemeente een gemeentegids aanvroeg, kreeg per ongeluk niet de gevraagde gids maar de signaleringslijst toegestuurd. De signaleringslijst is lijst van namen van ongeveer 2800 namen van mensen die niet zomaar een nieuw paspoort mogen krijgen of die hun paspoort moeten inleveren. Het Ministerie van Binnenlandse Zaken bevestigt de fout.
  • Mei 2010: Een database van 3FM bleek niet goed beveiligd en onder meer 22.000 e-mailadressen werden gekopieëerd. Delen van de database structuur werden op een website gepubliceerd. 3FM bevestigd de hack.
  • Mei 2010: De website Ervaar het OV, gebruikt door de provincie Gelderland voor de promotie van het openbaar vervoer en de OV chipkaart, blijkt lek te zijn. De gegevens van 168.000 reizigers, waaronder naam, adres, geboortedatum, e-mailadres en telefoonnummer.
  • Mei 2010: Bij de achteringang van het politiebureau in Arnhem werd vorig week een dossier gevonden met met gegevens en foto’s van elf verdachten. De politie erkent de fout.
  • Mei 2010: De politie van de regio Amsterdam-Amstelland publiceerde gisteren een bericht over een drugstransport. De foto bij het bericht bevatte de naam- en adresgegevens van een van de verdachten. De politie erkent de fout.
  • Mei 2010: Door een fout van het secretariaat van de stichting Hypotheekleed is een email met vertrouwelijk gegevens van DSB gedupeerden, onbedoeld bij een van de aangesloten particulieren terecht zijn gekomen. De stichting erkent de fout.
  • April 2010: Een rechter van de Haarlemse rechtbank heeft een dossier en een beveiligde USB stick over een lopende strafzaak in de trein laten liggen. De rechtbank bevestigt de vermissing. Het dossier is later teruggevonden.
  • April 2010: Op de website van de gemeente Groningen worden de bouwaanvragen gepubliceerd waarbij men de documenten vergeet te anonimiseren. Het gevolg is de persoonsgegevens van de aanvragers online komen te staan. Na een melding maakt de gemeente dat deel van de website ontoegangelijk.
  • April 2010: Een publieke toegangelijke directory op de website van Extremediscount.nl zou de gegevens van ruim 1.000 klanten bevatten. De naw- en rekening gegevens staan in pdf bestanden die zijn aangemaakt na een retouraanvraag of een orderannulering.
  • April 2010: Een computer met psychiatrische en psychologische rapportages, medische verslagen en familiaire omstandigheden van zo'n vijftien gevangenen die in 2002 het Arnhemse huis van bewaring vastzaten, is als huisvuil op straat gezet. Het Ministerie van Justitie bevestigt het verlies.
  • April 2010: De gemeente Groningen publiceert volledige aanvragen voor bouwvergunningen online, inclusief de persoonsgegevens van de aanvrager. Na een melding haalt de gemeente de gegevens van de website.
  • Maart 2010: Via de website van de Huisartsenopleiding zijn de gegevens van alle sollicitanten toegankelijk, inclusief BSN, mobiele telefoonnummers, specialisatie, door eenvoudigweg een URL te veranderen. Na een tip van Bits of Freedom is het lek gedicht. De Huisartsenopleiding gaf aan een meldplicht datalekken te ondersteunen.
  • Februari 2010: De Telegraaf ontving via de post de jaaropgaven over 2009 van alle ambtenaren, bestuurders en medewerkers van de gemeenten Woudenberg en Scherpenzeel. Het is niet bekend hoe de documenten gelekt zijn.
  • Februari 2010: De gemeenten Zaanstad en Lith lekken privé-adressen van alle kandidaten voor de Tweede Kamerverkiezingen van 2006. De adressen zitten in de metadata van de stemcomputersoftware die toen gebruikt werd.
  • Februari 2010: Uit een onderzoek van de Algemene Onderwijsbond blijkt dat veel scholen onbedoeld gevoelige informatie publiceren. Na melding halen de meeste scholen de informatie weg. Sommige scholen hebben ook contact opgenemen met Google, om de informatie daar uit de cache te halen.
  • Februari 2010: Een lijst met mail-, huisadressen en 06-nummers van alle PvdA-politici én donateurs in de regio Amsterdam ligt op straat. Het gaat om de gegevens van honderden PvdA-leden die in 2007 actief waren voor de partij. Veel leden zijn nu ook nog steeds actief in de partij. Een paar uur later is de open directory afgesloten, maar is de lijst nog wel via Google Cache te vinden.
  • Februari 2010: De contactgegevens waaronder telefoonnummers van meer dan 170.000 werknemers en contractanten van Shell zijn gelekt naar mensenrechten- en milieugroeperingen. Shell vermoedt dat de gegevens door een ontevreden (ex-)werknemer zijn gelekt.
  • Februari 2010: Onroerend goed veilingmonitor Veilingnotaris.nl lekt honderden paspoortnummers en andere identiteitsdocumenten. De nummers zijn gekoppeld aan persooonsgegevens. Deze pdf documenten zijn onder meer terug te vinden via Google.
  • Februari 2010: De gemeente Tilburg heeft per ongeluk 500 emailadressen van stadsbewoners bekendgemaakt. Een email werd zo verstuurd dat alle 500 geadresseerden elkaars mailadressen konden lezen.
  • Januari 2010: Het in werking zetten van een nieuw profielensysteem van Rijkswaterstaat leidt tot problemen. Burgers komen ongevraagd in persoonlijke profielen van onbekenden terecht. Bij het klikken op de link in de e-mail werd de gebruiker geleid naar de informatie van een vorige registrant.

Datalekken 2009

  • December 2009: In december 2009 is een USB-stick met de gegevens van 3.000 klanten van de Rabobank kwijtgeraakt. De stick bevatte persoonsgegevens, beleggingsvormen en in veel gevallen de hoogte van het belegde vermogen. Lees meer in De Gelderlander.
  • Augustus 2009: Het adresboek van persbureau GPD bleek in augustus 2009 voor iedereen via Google beschikbaar te zijn gemaakt. Hierdoor zijn de telefoonnummers van bekende Nederlanders die een geheim nummer hebben, waaronder Geert Wilders en Gerard Spong, beschikbaar gekomen. Lees meer op Tweakers.
  • Augustus 2009: De website van Stayokay bleek onvoldoende beveiligd te zijn, waardoor het mogelijk was om, door een wijziging van de URL, de orders van anderen in te zien. Lees meer op Tweakers.
  • Mei 2009: Het Dagblad van het Noorden heeft in mei 2009 meer dan 32.000 emailadressen van haar klanten per ongeluk toegankelijk gemaakt via haar website. De adressen zijn geïndexeerd in zoekmachines. Lees meer op WebWereld.
  • Mei 2009: Door een nooit gepatcht gat in de Majordomo listserver van Vuurwerk/Tele2 kunnen met een simpel mailcommando 114.093 e-mailadressen worden geoogst. Lees meer op WebWereld.
  • April 2009: Door een fout in de website van de Geschillencommissie waren alle lopende en afgesloten dossiers tot 2005 online in te zien door personen die een geschil hadden lopen. Dit zijn tienduizenden geschillen. De dossiers bevatten gevoelige persoonsgegevens, zoals jaarafrekeningen, bankafschriften en NAW-gegevens. Pas in april 2009 is dit lek ontdekt door een journalist en de website is vervolgens off-line gegaan. Lees meer op de website van de NOS.
  • Maart 2009: De website ov-fiets.nl, van de Nederlandse Spoorwegen, lektte tot voor kort de gegevens van haar klanten. In ieder geval de naam, het adres, de woonplaats en het bankrekeningnummer van de klanten waren zichtbaar. Ook pasnummers en pincodes om een fiets uit de diverse kluizen te halen zijn terug te lezen. OV-fiets heeft ruim 50.000 abonnees. Lees meer op WebWereld.
  • Maart 2009: Een website van de politie waarop mensen die geflitst waren de foto’s van hun overtreding konden bekijken, blijkt lek te zijn geweest. Geflitste bestuurders konden na inloggen ook de foto’s van andere overtreders zien, waar soms precies op staat wie een auto bestuurt en wie er naast zit. Lees meer op de website van De Telegraaf.
  • Februari 2009: Een site waar gratis condooms konden worden besteld, maakte de gegevens van al haar klanten – ongeveer 10.000 – per ongeluk on-line beschikbaar. De site was juist bedoeld voor personen die zich schaamden om via een winkel condooms te kopen. Dit lek kwam in februari 2009 aan het licht. Lees meer op Nu.nl.
  • Januari 2009: Volgens een melding op de website van Monsterboard zijn contact- en accountgegevens ontvreemd, waaronder gebruikersaccounts en wachtwoorden, e-mailadressen, namen, telefoonnummers en beperkte demografische gegevens. Lees meer op WebWereld.
archief/bits_of_freedom/zwartboek_datalekken.txt · Laatst gewijzigd: 2017/09/10 14:22 door KapiteinG