Het bedrijf Verzuimdata heeft een lek in zijn systeem gedicht, waarmee het voor ingelogde gebruikers mogelijk was om de gegevens van andere klanten van het bedrijf in te zien. Daarbij ging het om bedrijfs- en verzekeringsgegevens.

 

Het lek werd door een anonieme partij gemeld bij Tweakers, waarna er dinsdag contact is gelegd met de organisatie. Een woordvoerder van Verzuimdata heeft het lek bevestigd en meldde verder dat de getroffen pagina's binnen een dag tijdelijk zijn uitgeschakeld. Uit onderzoek naar het incident blijkt dat er gegevens van zeven klanten ingezien zijn, waarschijnlijk door de melder van het lek zelf. De Autoriteit Persoonsgegevens wordt over het lek ingelicht, ook al zou dat strikt genomen niet nodig zijn. Daarnaast vindt er communicatie plaats naar de getroffen klanten. Woensdagavond heeft een nieuwe release van de software plaatsgevonden, waarin het lek is verholpen.

Het lek bevond zich in de omgeving voor ingelogde gebruikers op de site verzuimdata.nl. Daar krijgt een gebruiker een dashboard te zien met verschillende mogelijkheden. Zo zijn er knoppen om bijvoorbeeld de eigen verzekering in te zien en het contactpersoon van de eigen organisatie te wijzigen. Door een id in de url aan te passen, was het mogelijk om de gegevens van andere klanten in te zien. Bijvoorbeeld het e-mailadres, telefoonnummer, polisnummer van de verzuimverzekering, premie en andere bedrijfsgegevens. De woordvoerder van Verzuimdata legt uit dat het lek niet op alle pagina's aanwezig was.

Tweakers had in eerste instantie beperkte informatie over het lek aangeleverd in de vorm van een schermafbeelding die ontdaan was van identificerende informatie. Op basis daarvan kon Verzuimdata het lek al dichten. Op de vraag of er al een vermoeden bestond naar de oorsprong van het lek antwoordde de woordvoerder dat dit vermoeden niet aanwezig was, maar dat het soort lek bekend moest zijn omdat het op sommige pagina's niet aanwezig was.

Verzuimdata heeft verschillende klanten, waaronder werkgevers en verzekeraars. Het bedrijf biedt onder andere diensten aan om gegevens over verzuim van werknemers bij te houden en te delen.

Reacties mogelijk gemaakt door CComment