De persoonsgegevens van de bewoners van De Digitale Stad zijn toegankelijk geweest voor bedrijven die bij DDS Services, tegenwoordig onderdeel van Energis, een site laten hosten.
Een wachtwoord was niet nodig om de database met persoonsgegevens (naam, adres en telefoonnummer) in te zien. De bewonersgegevens van DDS zijn inmiddels afgeschermd. Maar 116 andere databases van sites die bij Energis gehost worden, staan nog altijd ‘open’ voor de klanten van het bedrijf.
Webdesigner Rutger van Waveren ontdekte het probleem toen hij voor een klant een site bij Energis moest neerzetten. Verscheidene databases bij de hostingprovider (waaronder een overzicht met de gegevens van 38.000 DDS-bewoners) bleken wagenwijd open te staan. Toegang tot de ftp-servers van DDS Services was voldoende om de informatie te bekijken en te verwijderen.
Van Waveren: “Om de site voor mijn klant bij Energis neer te zetten, had ik een gebruikersnaam en een wachtwoord gekregen. Dat was genoeg om 117 databases op te vragen en eventueel te verwijderen. Verder was er geen enkele bescherming.” Dat betekent dat ook andere klanten van Energis zonder problemen konden rondsnuffelen in de database met een deel van het bewonersbestand van De Digitale Stad.
De hostingactiviteiten van DDS werden in november vorig jaar overgenomen door Energis. DDS City, het onderdeel van DDS waarin de postbussen en homepages van DDS-bewoners zijn ondergebracht, wordt nog steeds gehost door DDS Services, nu dus onderdeel van Energis.
Lakse reactie
Energis reageerde volgens Van Waveren ‘laks’ op zijn melding over het lek: “Volgens een medewerker zou het heel moeilijk zijn om de databases af te schermen als verschillende klanten gebruik maken van dezelfde server.” Van Waveren, die zelf bij een hostingbedrijf heeft gewerkt, bestrijdt dat. “Het is eenvoudig te beveiligen. Dit maakt een enorm amateuristische indruk.”
Van Waveren lichtte ook DDS in. “Vorige week had ik Chris Göbel, een van de directeuren van DDS, aan de telefoon. Die zei: ‘Stuur maar een mailtje’. Sindsdien heb ik niets meer gehoord.”
Energis ondernam uiteindelijk wel actie. Begin deze week heeft het bedrijf de database met persoonsgegevens van DDS-bewoners afgeschermd. 116 databases van andere bedrijven en instellingen die hun site laten hosten bij DDS Services, zijn echter nog wel steeds toegankelijk voor klanten van de hostingafdeling van Energis.
Martin Nachtegaal van Energis belooft echter dat ook aan die situatie ‘binnen twee maanden’ een einde zal komen. “We bereiden op dit moment een migratie van onze klanten naar een nieuwe server voor. Dan kunnen zij alleen maar bij hun eigen gegevens. We zijn er hard mee bezig, maar het heeft nogal wat voeten in de aarde.”
Erfenis
Volgens Nachtegaal ligt het veiligheidsprobleem overigens voor een deel bij de klanten van Energis. “Sommige klanten zetten gewoon geen wachtwoord op hun scripting. Dat is niet mijn verantwoordelijkheid.”
De slechte beveiliging van databases is volgens Nachtegaal een ‘erfenis’ uit de tijd dat DDS Services nog onderdeel was van DDS Holding. “In de DDS-tijd was er weinig geld beschikbaar voor het beheer. DDS Services was wel een winstgevend onderdeel van DDS, maar het geld stroomde er bij DDS City weer uit. Daardoor is er nooit wat structureel opgeruimd. De situatie bij DDS was gewoon minder secure. Bij DDS lag de lat niet zo hoog.”
Slecht moment
Het ‘lek’ van de DDS-persoonsgegevens komt op een voor DDS slecht moment. De directie van DDS onderzoekt op dit moment de mogelijkheden om DDS om te vormen in een betaalde provider. Een van de zaken waarmee DDS zich wil onderscheiden van andere providers is de privacybescherming van de aangesloten abonnees.
In een brief waarin directeur Joost Flint onlangs de toekomst van DDS als betaalde dienst schetste, staat onder meer: “Een substantieel deel (van de bewoners, MR) blijft bewoner en zal betalen voor wat eens gratis was. Na verloop van tijd komen er ook nieuwe bewoners bij bijvoorbeeld omdat de huren lager blijken dan elders, de privacy beter beschermd of omdat DDS andere mogelijkheden zal bieden.”