Webwereld bericht dat door een fout in een veel gebruikt content management systeem (CMS), de gegevens van 2,3 miljoen Nederlanders op straat liggen.
Volgens het bericht zouden de websites van onder meer QMusic, 3FM, en Omroep.nl lek zijn. De software die op die websites gebruikt wordt was, zo begrijp ik uit de berichtgeving door Webwereld, kennelijk gevoelig voor een zogenaamde 'SQL-injecties' (hetgeen impliceert dat basale programmeerfouten zijn gemaakt). Bovendien bleken de wachtwoorden op de website niet of onvoldoende versleuteld te zijn, waardoor beheerderswachtwoorden gemakkelijk achterhaald konden worden.
Over de juridische actie(s) die de personen wiens gegevens nu op straat liggen kunnen ondernemen [intlink id="8322" type="post"]heb ik onlangs al geschreven[/intlink]. Ik verwijs graag naar dit eerdere bericht en zal hier niet in herhaling vallen.
Of de bedrijven/instellingen wiens website(s) nu getroffen zijn ook actie kunnen ondernemen tegen de aanbieder van het gehachte CMS, zal afhangen van de vraag wat zij contractueel zijn overeengekomen. Jurisprudentie over het voorkomen van SQL-injecties, over het deugdelijk versleutelen van wachtwoorden en over het niet steeds gebruiken van hetzelfde wachtwoord is mij niet bekend. Ik zou echter wel uitermate teleurgesteld zijn wanneer een rechter zou oordelen dat dit (stuk voor stuk en gezamenlijk) geen tekortkomingen van de programmeur zouden zijn.
Het is echter niet ondenkbaar, want in de IT bepaald niet ongebruikelijk, dat in de betreffende contracten kort samengevat staat dat geen enkele garantie op de software wordt geboden. In dat geval zouden de afnemers de tekortkomingen in de software min of meer hebben geaccepteerd. Juist vanwege de aansprakelijkheid die er vanuit privacyrechtelijke optiek vermoedelijk in dit geval bestaat, zou dat kunnen betekenen dat de betreffende bedrijven/instellingen hun schade (zoals aansprakelijkheid jegens hun klanten) niet kunnen verhalen op de leverancier van het CMS.
Het is ook denkbaar dat bijvoorbeeld een acceptatieprocedure in het contract is opgenomen. In een dergelijke procedure wil nog wel eens staan dat zodra de software geaccepteerd is, de op dat moment toch nog aanwezige fouten ook zijn geaccepteerd. Als een dergelijke clausule in het contract is opgenomen, is het van groot belang de software zeer kritisch te testen (bij wijze van spreken zelf een hacker inschakelen). Wanneer immers niet kritisch wordt getest, bestaat het risico dat bepaalde fouten worden "geaccepteerd" (voor lief genomen) en dat van een tekortkoming van de leverancier voor die fouten dus (waarschijnlijk) geen sprake is.
Wat er in die contracten staat is mij niet bekend, evenmin als de precieze details van de hack. Wat daar ook van zij, deze en vele andere hacks laten wel (wederom) zien dat het van groot belang is dat organisaties uitermate kritisch dienen te zijn bij de keuze voor systemen waarbij persoonsgegevens via het internet zijn te benaderen.
Gegevens van 2,3 miljoen Nederlanders op straat door programmeerfout
Webwereld bericht dat door een fout in een veel gebruikt content management systeem (CMS), de gegevens van 2,3 miljoen Nederlanders op straat liggen. Volgens het bericht zouden de websites van onder meer QMusic, 3FM, en Omroep.nl lek zijn. De software die op die websites gebruikt wordt was, zo begrijp ik uit de berichtgeving door Webwereld, kennelijk gevoelig voor een zogenaamde 'SQL-injecties' (hetgeen impliceert dat basale programmeerfouten zijn gemaakt). Bovendien bleken de wachtwoorden op...
Leestijd
Auteur artikel
Mark Jansen
Gepubliceerd
25 november 2011
Laatst gewijzigd
16 april 2018