Verbeter de buurt-app lekte jarenlang persoonlijke gegevens

Bovenaanzicht van een woonwijk

De meldingsapp Verbeter de buurt was lange tijd zo lek als een mandje. Door een datalek lagen privégegevens van duizenden gebruikers jarenlang op straat, zowel van geregistreerde als anonieme gebruikers. De ontwikkelaar heeft de problemen inmiddels verholpen en melding gedaan bij de Autoriteit Persoonsgegevens.

Het lek kwam aan het licht door de ethische hacker Jan van Kampen, zo schrijft het Noordhollands Dagblad.

Misstanden melden bij de gemeente met Verbeter de buurt-app

Een groot aantal gemeenten in ons land maakt gebruik van de app Verbeter de buurt. Hiermee kunnen inwoners misstanden melden bij de gemeente, variërend van loszittende stoeptegels tot illegaal gedumpt afval. Het is een laagdrempelige manier om wantoestanden kenbaar te maken. Ook is het een handige manier om te inventariseren wat er zoal speelt in de buurt en gemeente.

Iedere melding die via de Verbeter de buurt-app wordt ingediend, is zichtbaar voor iedereen. Wie niet wil dat zijn naam in beeld verschijnt, is er de mogelijkheid om een anoniem account aan te maken. Als je dan een klacht indient, gebeurt dat onder de pseudoniem ‘Anonieme Buurtverbeteraar’. Daarvoor hoeven ze alleen de optie ‘Anoniem melden’ aan te vinken.

Zo anoniem is Verbeter de buurt-app niet

Zo anoniem zijn deze personen echter niet. Ethische hacker Jan van Kampen, die tevens kunstenaar is, zag dat iemand had geklaagd over een kunstproject van hem. Deze persoon deed dat anoniem. Van Kampen wilde graag weten wie deze persoon was en ging op onderzoek uit. Via een proxy zag hij dat de API waar de app gebruik van maakt bij elke melding de owner_email meestuurt. Aangezien veel mensen hun voornaam of voorletters met achternaam gebruiken, is het kinderlijk te achterhalen wie degene is die achter het e-mailadres schuilgaat. Zeker als het om iemand gaat die in een kleine gemeente woont, waar iedereen elkaar kent.

Van Kampen probeerde contact te leggen met de ontwikkelaar, maar dat was makkelijker gezegd dan gedaan. Er was geen responsible disclosure, waar ethische hackers problemen kunnen voorleggen aan de ontwikkelaar. Vervolgens belde bij verschillende malen met het telefoonnummer van de ontwikkelaar, maar er werd niet opgenomen. Tot slot vulde hij het contactformulier in, maar ook daar werd niet op gereageerd. Als ultieme poging besloot hij om contact op te nemen met de gemeente. Toen ging het balletje rollen en belde de ontwikkelaar naar Van Kampen. Die rolde een patch uit, waardoor e-mailadressen niet langer werden verstuurd naar de API. Tevens meldde hij het lek bij de Autoriteit Persoonsgegevens.

Nog meer persoonlijke informatie vrij toegankelijk

Aangezien de e-mailadressen van anonieme gebruikers zo eenvoudig te achterhalen waren, besloot de ethische hacker om verder op onderzoek uit te gaan. Hij ontdekte dat de Verbeter de buurt-app nog veel meer persoonlijke informatie lekt via de API. Deze data was opgeslagen in een veld dat private_note heet. Dit is een veld waar gebruikers informatie kunnen toevoegen die niet geschikt is voor publicatie, zoals een telefoonnummer, adresgegevens en aantekeningen van melders. Deze gegevens worden volgens de ontwikkelaar alleen doorgestuurd naar de gemeente. In werkelijkheid wordt deze info naar iedereen gestuurd.

Van Kampen vermoedt dat private_note tevens gebruikt wordt door ambtenaren om aantekeningen toe te voegen bij een melding. Hij zag namelijk regelmatig opmerkingen die in de derde persoon geschreven waren. Bijvoorbeeld: ‘Meneer A, wonende op adres B, doet melding van C. Zijn telefoonnummer is D.’ Bewijs heeft hij hier niet voor.

Het belangrijkste volgens de ethische hacker is dat er veel persoonlijke en gevoelige informatie in dit veld staat. En die is toegankelijk voor iedereen. De ontwikkelaar heeft ook dit euvel verholpen. Van Kampen vindt het vreemd dat van alle gemeenten die de Verbeter de buurt-app gebruiken, nooit iemand heeft gemerkt dat er een grote hoeveelheid persoonlijke informatie voor het oprapen ligt. Zodoende waren de privégegevens van duizenden gebruikers jarenlang toegankelijk voor iedereen.

Voor de ontwikkelaar heeft Van Kampen een duidelijk advies: “Mijn leerlingen (6-12 jaar) hadden deze (persoons)datalekken kunnen vinden. Dus step up your game, Verbeter de buurt. Dit kan en mag echt niet.”

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen