Test

Dit is een popup

Datalek bij ‘camgirl’ websites maakt gebruikersgegevens openbaar

Inloggegevens van miljoenen gebruikers werden door het overkoepelende bedrijf wekenlang onbeveiligd online gezet.

Het Spaanse mediabedrijf VTS Media heeft wekenlang een database met gebruikersinformatie publiek toegankelijk laten staan. De database was zelfs niet eens met een wachtwoord beveiligd. VTS Media is een bedrijf dat actief is in de seksindustrie. Het heeft enkele in Spanje veel gebruikte ‘camgirl’ websites onder zijn hoede. Een aantal van de websites hebben gebruikers over heel de wereld.

De database bevatte best wel de nodige gevoelige informatie. TechCrunch wist de database in handen te krijgen en ontdekte inlogtijden van gebruikers, inclusief gebruikersnamen. Van sommige accounts waren zelfs het IP-adres, mailadressen of wachtwoorden zichtbaar. Zij konden van bijna elke gebruiker zien naar welke video’s zij zochten. Genoeg informatie dus om van sommige gebruikers de identiteit te achterhalen. En het spreekt voor zich dat dat informatie is die niemand van zichzelf wil prijsgeven, en bovendien zwaar misbruikt kan worden als ze in slechte handen valt.

Het lek had bovendien niet enkel invloed op de gebruikers. Ook van de vrouwen die video’s delen, zogenaamde ‘camgirls’, werd persoonlijke informatie te grabbel gegooid.

Ernstig falen

Het lek werd opgemerkt door het cybersecuritybedrijf Condition:Black. Toen zij VTS Media verwittigden, werd de database meteen beveiligd. Maar bij Condition:Black zijn ze heel scherp voor het Spaanse bedrijf. Zij noemen het lek een ‘ernstig falen vanuit een technisch en compliance-perspectief. Volgens hen blijkt uit de gebruikersovereenkomst ook helemaal niet duidelijk dat VTS Media de activiteit van hun gebruikers op deze schaal registreerde. Dat is voor Condition:Black onacceptabel, want een lek als deze kan voor mensen hun persoonlijk leven een grote impact hebben. De database mag dan ondertussen wel verwijderd zijn, maar men weet nog niet waartoe de informatie kan gebruikt worden.

Omdat iemands seksuele voorkeur zeer private informatie is, valt deze onder de ‘speciale’ categorie in de GDPR wetgeving. Gebruikersdata met dit label moeten dus in feite extra beveiligd worden. TVS Media heeft zijn hoofdkwartier in Barcelona waardoor het dus onder EU-wetgeving valt. Het kan niet ontkend worden dat TVS Media een inbreuk heeft gepleegd op GDPR, en het dus een zware straf boven het hoofd hangt. De boete kan oplopen tot 4% van hun jaarlijkse omzet.

 

Het Spaanse mediabedrijf VTS Media heeft wekenlang een database met gebruikersinformatie publiek toegankelijk laten staan. De database was zelfs niet eens met een wachtwoord beveiligd. VTS Media is een bedrijf dat actief is in de seksindustrie. Het heeft enkele in Spanje veel gebruikte ‘camgirl’ websites onder zijn hoede. Een aantal van de websites hebben gebruikers over heel de wereld.

De database bevatte best wel de nodige gevoelige informatie. TechCrunch wist de database in handen te krijgen en ontdekte inlogtijden van gebruikers, inclusief gebruikersnamen. Van sommige accounts waren zelfs het IP-adres, mailadressen of wachtwoorden zichtbaar. Zij konden van bijna elke gebruiker zien naar welke video’s zij zochten. Genoeg informatie dus om van sommige gebruikers de identiteit te achterhalen. En het spreekt voor zich dat dat informatie is die niemand van zichzelf wil prijsgeven, en bovendien zwaar misbruikt kan worden als ze in slechte handen valt.

Het lek had bovendien niet enkel invloed op de gebruikers. Ook van de vrouwen die video’s delen, zogenaamde ‘camgirls’, werd persoonlijke informatie te grabbel gegooid.

Ernstig falen

Het lek werd opgemerkt door het cybersecuritybedrijf Condition:Black. Toen zij VTS Media verwittigden, werd de database meteen beveiligd. Maar bij Condition:Black zijn ze heel scherp voor het Spaanse bedrijf. Zij noemen het lek een ‘ernstig falen vanuit een technisch en compliance-perspectief. Volgens hen blijkt uit de gebruikersovereenkomst ook helemaal niet duidelijk dat VTS Media de activiteit van hun gebruikers op deze schaal registreerde. Dat is voor Condition:Black onacceptabel, want een lek als deze kan voor mensen hun persoonlijk leven een grote impact hebben. De database mag dan ondertussen wel verwijderd zijn, maar men weet nog niet waartoe de informatie kan gebruikt worden.

Omdat iemands seksuele voorkeur zeer private informatie is, valt deze onder de ‘speciale’ categorie in de GDPR wetgeving. Gebruikersdata met dit label moeten dus in feite extra beveiligd worden. TVS Media heeft zijn hoofdkwartier in Barcelona waardoor het dus onder EU-wetgeving valt. Het kan niet ontkend worden dat TVS Media een inbreuk heeft gepleegd op GDPR, en het dus een zware straf boven het hoofd hangt. De boete kan oplopen tot 4% van hun jaarlijkse omzet.

 

Beveiligingcybersecuritywebcamzakelijk

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!