In een onderzoek van security consultant Dennis Veninga is naar voren gekomen dat de privégegevens van werkzoekenden bij uitzendbureau Randstad door bezoekers van de website in te zien waren. Door naar een webpagina te gaan van het uitzendbureau konden bezoekers gegevens als e-mailadressen en fysieke adressen, telefoonnummers, en zelfs salariswensen bekijken van mensen die ingeschreven staan bij Randstad.

Programmeerfout

Veninga ontdekte het lek op woensdagmiddag toen hij zijn profielpagina bezocht en deze een aantal keer ververste, waarbij steeds de profielpagina van een andere gebruiker werd getoond. Na het ontdekken van het lek heeft hij Randstad op de hoogte gesteld. Randstad heeft het lek gemeld bij de Autoriteit Persoonsgegevens.

Randstad gaf zelf in een reactie tegen RTL Z aan dat ze de situatie betreuren. Het is onduidelijk hoeveel profielen in te zien waren dankzij het lek. RTL Z heeft zelf het beveiligingslek ook bekeken en konden in korte tijd zeven verschillende profielen inzien. Ook de NOS heeft een eigen onderzoek gedaan naar aanleiding van de melding van Veninga en kon ook zeven profielen van gebruikers bekijken, al melden zij wel dat het gaat om willekeurige profielen en er geen mogelijkheid was om doelgericht te zoeken naar gebruikers.

Veninga heeft tijdens zijn onderzoek geen gegevens uit de gevonden profielen opgeslagen, en heeft geen misbruik gemaakt van het lek. Randstad heeft aangegeven een update te hebben doorgevoerd waarmee het probleem moet zijn verholpen.

Lees relevante artikelen

Categorie  Research SSL & Security | Tags  research Security