Achtergrond
KRO-NCRV

Privacy-waakhond: 'Bedrijven moeten hun digitale veiligheid op orde brengen'

foto: NPO Radio 1foto: NPO Radio 1
  1. Nieuwschevron right
  2. Privacy-waakhond: 'Bedrijven moeten hun digitale veiligheid op orde brengen'

"Bedrijven en andere partijen moeten ervoor zorgen dat hun digitale veiligheid conform de norm wordt gehandhaafd." Dat zegt de Autoriteit Persoonsgegevens, nadat ze inzicht kregen in de resultaten van het onderzoek van Reporter Radio en NRC naar openstaande Trello-borden. Door verkeerd gebruik van deze samenwerkingsapplicatie zijn er velen persoonsgegevens op straat komen te liggen.

Trello vergemakkelijkt het online samenwerken, maar gebruikers van de app zetten hiermee onbedoeld veel privacygevoelige informatie online. Het is niet moeilijk om met slimme Google zoekopdrachten, tal van e-mailadressen en telefoonnummers op tafel te krijgen.

Ook zijn er wachtwoorden van e-mailadressen, websites, FTP-servers en van PayPal accounts te vinden. De standaard instelling op de zogeheten 'Trello-boards' zorgt ervoor dat de borden niet publiekelijk te vinden zijn. Gebruikers kunnen er zelf voor kiezen om het bord op openbaar te zetten, met alle gevolgen van dien.

De privacy-waakhond vindt "dit er op z'n minst slordig uitzien en ziet hierin ook een mogelijk gevaar voor de privacy als er persoonsgegevens bij betrokken zijn. Daarnaast wijzen we erop dat het gebruik van deze of andere applicaties een risico kan vormen voor de persoonsgegeven en dat partijen dan ook meld plichtig zijn voor datalekken."

Hoe deden wij ons onderzoek?

Er is geen database te vinden van openstaande Trello-borden, deze is echter wel zelf te maken. Openstaande Trello-borden worden namelijk geïndexeerd door zoekmachines als Google. Dit betekent dat er gemakkelijk naar openstaande Trello-borden te zoeken is met zo geheten search operators.

Het onderzoek begon door te Googlen op inurl:https://trello.com/b/; zo zorg je ervoor dat elk resultaat dat je krijgt van Google op openbare Trello-borden uitkomt. De /b/ in de link betekent dat je op een bord bent.

De volgende stap die we maakten, was het zoeken naar persoonlijke e-mailadressen. We maakte de volgende zoekopdracht: inurl:https://trello.com AND intext:@gmail.com. Elk zoekresultaat levert een Gmailadres op, dat op een openbaar Trello-bord staat.

De hoeveelheid is schokkend, tientallen pagina’s met unieke e-mailadressen komen naar voren. Om op bijvoorbeeld wachtwoorden te zoeken, typen we in: inurl:https://trello.com AND intext:gmail.com AND intext:password. Het resultaat is schokkend, we vinden zonder enige moeite honderden wachtwoorden van e-mailadressen. Op deze manier bleek het ook niet moeilijk te zijn om inloggegevens van een hoop andere diensten te vinden.

Niet vindbaar

Trello laat in een reactie weten dat ze hun best doen, om gebruikers duidelijk te maken dat openbare Trello-borden worden geïndexeerd door zoekmachines. Op de vraag waarom ze er niet voor zorgen dat de openstaande Trello-borden niet vindbaar zijn door zoekmachines, gaven ze geen antwoord.

Vanavond om 19:00 op NPO Radio1 in Reporter Radio: De zwakke plek van Trello.

Ster advertentie
Ster advertentie