Hack klachtensite bezoekbas.nl bevestigd

Schiphol heeft zojuist bevestigd dat bezoekbas.nl inderdaad is gehackt. Gisteren maakte SchipholWatch al melding van een mogelijke inbraak op het computersysteem van de klachtensite.

Illustratie: Twitter.com

“We zijn erop attent gemaakt dat er een kwetsbaarheid zat in de website van BAS. Er zijn geen aanwijzingen dat persoonsgegevens onttrokken zijn”, aldus een tweet van het social media-team van het vliegveld.

Direct offline
Gisteren werd na de ontdekking – rond 10 uur ’s ochtends – direct de hele website offline gehaald. Later op de dag verscheen het grootste gedeelte van de site weer op het web, maar bleef het onmogelijk online een klacht in te dienen.

Dit duidt erop dat het lek zat in het meest gevoelige deel van de site, het deel waarop mensen hun privé-gegevens achterlaten om een klacht te kunnen indienen over vlieglawaai of andere hinder.

De site verplicht de indiener immers veel privacy-gevoelige informatie op te geven, voordat een klacht kan worden ingestuurd. Dat zijn onder meer de adresgegevens inclusief het huisnummer, het e-mail adres en ook moet een ‘klant’ een wachtwoord kiezen.

Al met al informatie die de gemiddelde omwonende niet graag op straat ziet liggen.

Illustratie: Twitter.com

Dat het gaat om een ernstige kwetsbaarheid is ook op te maken uit het feit dat de luchthaven nu werkt aan het installeren van de volledig nieuwe meldingsmodule die al in de maak was. Kennelijk is het lek in de bestaande module niet eenvoudig te dichten.

Het Bewoners Aanspreekpunt Schiphol (BAS) belooft al ruim een jaar aan een nieuwe site te werken, die ook voor mobiel gebruik geschikt is. De organisatie kreeg steeds meer kritiek op de verouderde bestaande site.

Onbeveiligde verbinding
Ook werd Schiphol vaak via Twitter en ook per e-mail erop aangesproken dat de site niet beschikte over een beveiligde http-verbinding. Voor een site die privacy-gevoelige informatie van gebruikers vraagt, is zo’n onbeveiligde verbinding tegenwoordig ‘not done’.

Een onbeveiligde http-verbinding heeft voor BAS wel het voordeel dat de site veel lager in Google-resultaten verschijnt dan wanneer de site wél via het beveiligde https-protocol zou kunnen worden benaderd. De site blijft zo minder goed vindbaar op het internet, waarmee het aantal klachten kan worden beperkt.

Melding Autoriteit Persoonsgegevens
Hoewel Schiphol aangeeft dat er waarschijnlijk geen persoonsgegevens zijn gestolen, moet dat nog nader worden onderzocht. Als dat wél het geval blijkt te zijn, of als er een kans bestaat dat dit is gebeurd, zal BAS hiervan verplicht melding moeten maken bij de Autoriteit Persoonsgegevens (AP).

Ook zullen dan alle gebruikers van wie mogelijk gegevens opgehaald zijn, individueel moeten worden benaderd. BAS is een joint-venture van Luchtverkeersleiding Nederland en de Schiphol Groep.

Binnen 72 uur melden
Datalekken moeten volgens Justitie binnen 72 uur na ontdekking worden gemeld bij de AP. Gebeurt dat niet, dan staat daarop een boete van maximaal 10 miljoen euro of 2 procent van de omzet van de gehackte onderneming.

Voor BAS betekent dit dat het lek uiterlijk vrijdagochtend om 10 uur gemeld moet zijn bij de autoriteiten. Of dit gebeurt is niet te controleren, omdat de AP geen meldingen publiceert en ook geen vragen beantwoordt over specifieke gevallen.

Als u zich zorgen maakt over het mogelijk gelekt zijn van uw eigen gegevens, kunt u BAS via het e-mail adres info@nullmailbas.nl om meer informatie vragen. Ook kunt u daar uw klachten over vliegherrie heensturen zo lang de nieuwe klachtenmodule nog niet geïnstalleerd is.

Update 23 okt 2019, 16:40 uur
Schiphol gaat het datalek melden bij de Autoriteit Persoonsgegevens.

Illustratie: Twitter.com

Eén antwoord op “Hack klachtensite bezoekbas.nl bevestigd”

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *