Databases waar de afbeeldingen en e-mailadressen in terechtkwamen van fotohokjes met greenscreentechniek, waren door een sql-injectie te benaderen. Onder andere waren foto's van bezoekers van de Apenheul in te zien.
Maarten Hartsuijker van beveiligingsbedrijf Classity kwam het lek van de namen, e-mailadressen en foto's op het spoor na een eigen bezoek aan de Apenheul. Hij nam een foto in het FotoHotShot-hokje van het dierenpark en kreeg een e-mail met een link naar een site waar de foto stond.
"Er ging iets mis bij het openen waarop ik naar de broncode keek en direct zag dat er van zwakke code gebruikgemaakt werd", vertelt Hartsuijker aan Tweakers. Onder andere trof hij de mogelijkheid tot sql-injectie aan. Zodoende kon hij de database met foto's en andere gegevens benaderen. "Het was veel breder dan alleen de Apenheul. Ik kon bij 25 databases van andere bedrijven", beschrijft de onderzoeker, die benadrukt dat hij de databases niet binnengehaald heeft. Volgens hem waren er 500.000 entries in de database en stonden er gegevens vanaf 2015 in, al waren afbeeldingen uit die tijd wel verwijderd.
Hij nam contact op met de Apenheul en Bitmove, het bedrijf dat de fotohokjes ontwikkeld heeft. Na enkele pogingen slaagde een ontwikkelaar in opdracht van Bitmove erin het sql-lek te dichten en inmiddels zijn er meer beveiligingsmaatregelen doorgevoerd. Naast de Apenheul werden de greenscreen-installaties van Bitmove gebruikt door onder meer een brouwerij, waarschijnlijk Heineken, en een voetbalclub. Volgens Bitmove zijn er in vijf maanden tijd bijna 60.000 foto's bij de hokjes in de Apenheul gemaakt en meer dan 15.000 opt-in e-mailadressen verzameld.