Serieus datalek bij Kamernet.nl

Het lek bij de website die zich richt op het verhuren en huren van kamers aan studenten, werd ontdekt door beveiligingsonderzoeker Nelson Berg. Kamernet.nl heeft het lek binnen een dag nadat Berg aan de bel trok gerepareerd.

Berg ontdekte het lek op 25 januari, toen hij op zoek was naar een kamer in Amsterdam . Hij laat op zijn website zien dat hij de persoonlijke berichten van mensen kon bekijken zonder dat hij over inloggegevens beschikte. Kamernet wordt door veel studenten gebruikt om een kamer te vinden, waarbij er vaak veel persoonlijke informatie wordt uitgewisseld. Het systeem van Kamernet.nl controleerde niet of een gebruiker wel geautoriseerd was om die berichten te bekijken. Berg besloot een test uit te voeren en schreef een script om te kijken hoeveel berichten hij kon bekijken.

Versleutelde schijf

In totaal had Berg toegang tot ruim 1,3 miljoen berichten. Hij bewaarde de bemachtigde privéberichten op een speciale schijf, die inmiddels is gewist. Wel heeft de onderzoeker een aantal screenshots als bewijs van het datalek, die op een versleutelde schijf worden bewaard.

De fout zat in de berichtendienst van de website en was al "langere tijd" aanwezig, zegt een woordvoerder. Volgens Kamernet.nl blijkt uit de logbestanden dat niemand van de kwetsbaarheid gebruik heeft gemaakt.

Lek is gemeld

Kamernet is in heel Nederland actief. Het heeft het lek gemeld aan de Autoriteit Persoonsgegevens, aangezien dat sinds 1 januari 2016 verplicht is. De organisatie heeft gebruikers tot nu toe niet op de hoogte gesteld van het lek, maar overweegt dit alsnog te doen.