De webshop van goed doel Oxfam Novib zette de deur open naar gegevens van iedereen die er ooit iets heeft besteld. Het lek zat in het adresboek, waarlangs mensen onbedoeld toegang kregen tot de adresgegevens van alle 46.000 klanten.
Het databasenummer van elke klant werd meegegeven in de url van het adresboek. Wie zijn eigen adres bekeek, kon door een cijfer te veranderen de adresgegevens van wildvreemden zien. Door een macro te bouwen die de url verandert en de formulieren uitleest, was het mogelijk om de database met adresgegevens in zijn geheel leeg te halen.
De gegevens die konden worden achterhaald zijn naam, adres, e-mailadres en telefoonnummer. Het bankrekeningnummer werd niet getoond, hoewel dat wel bij Oxfam Novib bekend is. Het lek kwam aan het licht nadat op GoT een ander lek werd ontdekt. Dat lek, waarbij mensen per ongeluk na een bestelling de verkeerde adresgegevens zagen, was dinsdag gerepareerd.
Een tipgever stuurde Tweakers.net ter bewijs een spreadsheet met de gegevens van duizend klanten, om te laten zien dat het gemakkelijk mogelijk was dit lek te misbruiken. Tweakers.net heeft het proces herhaald en kon eveneens de gegevens van klanten uitlezen.
Het probleem was nog niet bekend bij Oxfam Novib. "We hadden wel telefoontjes gekregen over het andere lek, waarbij mensen verkeerde adresgegevens zagen", zegt Fernando van der Brug van Oxfam Novib. "We hebben vorige week een kleine wijziging doorgevoerd, wellicht is het lek daaraan te wijten." Oxfam Novib heeft de webshop momenteel offline gehaald, totdat het lek is verholpen.