Abonnees van XS4ALL kunnen zonder probleem een compleet overzicht van alle e-mailadressen van de andere gebruikers krijgen. Ideaal voor spammers.
In een bericht dat in diverse nieuwsgroepen is geplaatst, wordt uit de doeken gedaan hoe iedere abonnee van XS4ALL een lijst met de loginnamen van alle abonnees van de provider kan krijgen. XS4ALL heeft naar eigen zeggen 105.000 tot 110.000 abonnees.
Het ‘lek’ kwam aan het licht door een artikel in Vrij Nederland. Daarin stelt directeur Juliette Quaedvlieg van de door XS4ALL aangeklaagde spammer AbFab dat iedere abonnee van de provider ‘met één druk op de knop’ alle e-mailadressen van alle abonnees van XS4ALL kan krijgen.
In werkelijkheid vereist het verkrijgen van de lijst met e-mailadressen van XS4ALL-abonnees iets meer werk, maar veel scheelt het niet. Kennis van het besturingssysteem Unix is overbodig. Met een simpel commando verschijnen de gebruikersnamen per letter op het scherm.
Dubbele moraal
Het bekend worden van het lek komt op een voor XS4ALL ongelukkig moment. Anderhalve week geleden spande de provider een rechtszaak aan tegen AbFab. In de dagvaarding verwijt XS4ALL de spammer onder meer ‘het aanleggen van grote bestanden met e-mailadressen’.
Thijs Cobben van AbFab meent dat XS4ALL er een dubbele moraal op na houdt. “Aan de ene kant ontketenen ze een heksenjacht tegen ons en profileren ze zich als de privacyprovider bij uitstek, en aan de andere kant liggen alle mailadressen voor het oprapen.”
Sjoera Nas van XS4ALL noemt de kritiek van AbFab ‘vergezocht’ en ‘erg flauw’. “Het gaat om het probleem ‘spam’, niet om lijsten met e-mailadressen. Wij streven zelf naar opt-in wetgeving. Daarvoor moeten ook lijsten worden aangelegd van mensen die wel of geen spam willen aanleggen.”
Nette e-mailmarketeer
Zelf heeft AbFab geen gebruik gemaakt van de mogelijkheid om de adressenlijst van XS4ALL te bemachtigen. “Dat zou een overtreding van de databankenwet”, aldus Cobben. “Wij zijn een nette e-mailmarketeer. Maar er zijn ook minder nette partijen. Het is dus niet zo gek dat XS4ALL-abonnees zoveel spam krijgen.”
Nas denkt dat er geen spammers zijn die ooit gebruikgemaakt hebben van de mogelijkheid om op de beschreven manier e-mailadressen te verzamelen. “In al die jaren dat we bestaan, hebben we nog nooit een klant van ons zien spammen. De meeste spammers komen ook op andere manieren aan hun e-mailadressen: via webpagina’s en nieuwsgroepen of met behulp van een adressengenerator.”
XS4ALL blijft dan ook doorgaan met het aanbieden van de zogeheten ‘shell-toegang’. “Wij zijn een van de weinige Nederlandse providers die die mogelijkheid nog bieden. Klanten komen daarom ook naar ons. Commando’s waarmee je een overzicht van de logins kunt krijgen of kunt zien wie er online is, horen gewoon bij Unix.”
Wel zal XS4ALL het moeilijker gaan maken om een lijst met adressen te bemachtigen. De provider stapt binnenkort over naar het Unix-systeem FreeBSD. “Daarbij zullen we extra beveiliging aanbrengen.”