Privégegevens op straat na lek Wksuperpool-site

De beveiliging van de site Wksuperpool.nl, waar internetters uitslagen van WK-wedstrijden kunnen voorspellen, was tot woensdag zo lek als een mandje. Iedereen kon de database, de sourcecode en de mailadressen opvragen.

De beveiligingsproblemen van Wksuperpool.nl werden blootgelegd door tweaker DennusB. Door simpelweg een foldernaam in de adresbalk van de browser in te vullen, kwam hij erachter dat de sql-database en de sourcecode van de site konden worden opgevraagd. Daarnaast waren in een sql-bestand honderden onversleutelde mailadressen te vinden. De wachtwoorden waren wel met een md5-hash gecodeerd, maar een kwaadwillende had onder meer met rainbow tables nog veel passwords kunnen achterhalen. Uit de source bleek ook dat de WK-site extreem kwetsbaar voor sql-injecties was. "De beveiliging is nul komma nul", aldus DennusB.

Onduidelijk is hoeveel mensen toegang tot de back-end van de site hebben gehad. Het bedrijf JIM Internet Services, beheerder van de site, zegt tegenover Tweakers.net 'geen mededelingen' over het voorval te kunnen doen. Wel zijn de url die toegang tot de source gaf en de database sinds woensdag afgeschermd. Wksuperpool wist deze maand gemiddeld meer dan 50.000 hits per dag te genereren, zo blijkt uit de statistieken van de site. De site kent meer dan 18.000 deelnemers.

Het gebeurt vaker dat sites die relatief snel worden ontwikkeld naar aanleiding van actuele gebeurtenissen zoals een WK, slecht beveiligd zijn. "Dit is precies het soort risico waar wij aandacht voor vragen met ons Zwartboek datalekken en dit is ook waarom wij in onze recent gepubliceerde Zelfverdedigingsgids voor internetgebruikers adviseren om tijdelijke e-mailadressen te gebruiken voor websites die je nog niet helemaal vertrouwt", zegt Ot van Daalen van Bits of Freedom. De privacyorganisatie raadt internetters aan terughoudend te zijn met het verstrekken van persoonlijke gegevens op websites.