Randstad onderzoekt datalek door vormgevingsupdate
De gister live gegane fout in de website van Randstad die heeft geleid tot een datalek blijkt veroorzaakt door een vormgevingsupdate. "We testen altijd alles uitgebreid", verzekert de woordvoerster van het uitzendbedrijf in antwoord op vragen van AG Connect. Toch is niet vooraf aan het licht gekomen dat de downloadfunctie voor persoonsprofielen door de uiterlijke verandering ineens willekeurige en wisselende profielen voorschotelde.
© CCO / Pixabay
CCO / Pixabay
De doorgevoerde - en gister na melding gelijk teruggerolde - update was niet functioneel of securitygericht; het was een vormgevingsupdate. Dit vertelt de woordvoerster van Randstad in antwoord op technische vragen van AG Connect. Het is nog onbekend hoe de update voor de website heeft kunnen leiden tot het datalek. De fout gaf gebruikers toegang tot persoonlijke informatie van andere werkzoekenden die geregistreerd zijn bij Randstad.
'Geen groot datalek'
Het verversen van de profielpagina leverde dan andere profielen op, waardoor contactgegevens, woonadres, werkervaring en salariswensen inzichtelijk waren. Het is ook nog onbekend hoe een verandering van de vormgeving dergelijke toegang gaf aan onbevoegden. Randstad onderzoekt de zaak en komt naar verwachting vanmiddag met een verklaring.
De woordvoerster van Randstad spreekt de indruk tegen dat het om een groot datalek gaat. Zij vertelt dat er, voor zover bekend bij het bedrijf, slechts negen profielen ten onrechte zijn ingezien. Één daarvan is van de ontdekker zelf, die het datalek aan RTL-Z, de NOS en Randstad heeft gemeld. Daarbij heeft die ontdekker zes andere profielen gezien, vertelt de woordvoerster, waarna die profielen ook zijn doorgegeven aan de media. Vervolgens hebben journalisten bij RTL-Z en NOS nog toegang gehad tot drie andere profielen, ter verificatie van het datalek.
De getroffen personen zijn door Randstad geïnformeerd. Per mail of per telefoon, verklaart de woordvoerster. Zij voegt daar aan toe dat mensen die bezorgd zijn of dit datalek hun raakt die zorg kunnen loslaten als ze niets van het bedrijf te horen hebben gekregen.
Responsible disclosure
Terwijl het onderzoek naar dit incident nog loopt, weet de woordvoerster al wel met stelligheid te vertellen dat niet de hele Randstad-database met werkzoekenden toegankelijk was. Dit in reactie op de niet onbelangrijke nuance tussen de toegang die ontdekker en journalisten hadden, en de mogelijke toegang voor buitenstaanders. De woordvoerster stipt nog aan dat Randstad een officieel beleid heeft voor responsible disclosure voor kwetsbaarheden en datalekken. "Het is goed dat er zoveel aandacht is voor privacy. Wij nemen dit heel serieus."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee