Datalek bij Randstad: privégegevens werkzoekenden op straat
Privégegevens van werkzoekenden die staan ingeschreven bij Randstad waren voor een onbekende periode voor iedereen in te zien. Door naar een webadres van Randstad te surfen kon je zonder enige moeite de e-mail- en woonadressen, mobiele telefoonnummers en salariswensen van werkzoekenden bekijken.
In een halfuur tijd lukte het RTL Z om acht verschillende profielen in te zien. Het lek werd ontdekt door beveiligingsonderzoeker Dennis Veninga van Networking4all, die Randstad op het lek wees. Binnen enkele uren was het lek verholpen.
Het lijkt erop dat Randstad tijdelijk profielen van werkzoekenden online beschikbaar maakte, bijvoorbeeld als een profiel werd aangepast of opgevraagd. Mogelijk komt dit door een fout in de cache: de plek waar gegevens tijdelijk worden opgeslagen. Door de pagina te verversen kreeg je om de zoveel minuten een nieuw profiel van een werkzoekende te zien.
In dat profiel is onder andere de volledige naam, woonadres, geboortedatum, e-mailadres, mobiele telefoonnummer, gewenste functies, salariseis, werkervaring en opleiding te vinden. Met dat soort gegevens is het mogelijk om identiteitsfraude te plegen.
Verbazing
Het is onduidelijk hoeveel werkzoekenden in het datalek voorkomen. Het is mogelijk dat dagelijks de privégegevens van tientallen tot zelfs honderden profielen beschikbaar zijn geweest voor derden. Een kwaadwillende zou een zogeheten script kunnen schrijven om geautomatiseerd al deze gegevens te verzamelen en door te verkopen of te misbruiken.
Veninga ontdekte het lek toen hij zijn Randstad-profiel wilde verwijderen. "Tot mijn verbazing kreeg ik inzicht in de gegevens van een andere kandidaat. Na meerdere malen op vernieuwen te hebben geklikt, kreeg ik wederom gegevens te zien van een andere kandidaat. Dit keer weer een willekeurig persoon."
Autoriteit Persoonsgegevens
"We vinden het heel erg vervelend voor de mensen die in het lek voorkomen", zegt een woordvoerder van Randstad tegen RTL Z. "Dit had niet mogen gebeuren." Ook wordt het lek naar alle waarschijnlijkheid gemeld bij de Autoriteit Persoonsgegevens: "We doen eerst onderzoek samen met onze it-afdeling en privacy officer, maar het is zeer aannemelijk dat we dit gaan melden bij de autoriteit."