Development

Software-ontwikkeling
goed/fout

Randstad onderzoekt datalek door vormgevingsupdate

Datalek was klein en wordt uitgebreid onderzocht, vertelt Randstad.

© CCO / Pixabay Tumisu
19 juli 2018

Datalek was klein en wordt uitgebreid onderzocht, vertelt Randstad.

De gister live gegane fout in de website van Randstad die heeft geleid tot een datalek blijkt veroorzaakt door een vormgevingsupdate. "We testen altijd alles uitgebreid", verzekert de woordvoerster van het uitzendbedrijf in antwoord op vragen van AG Connect. Toch is niet vooraf aan het licht gekomen dat de downloadfunctie voor persoonsprofielen door de uiterlijke verandering ineens willekeurige en wisselende profielen voorschotelde.

De doorgevoerde - en gister na melding gelijk teruggerolde - update was niet functioneel of securitygericht; het was een vormgevingsupdate. Dit vertelt de woordvoerster van Randstad in antwoord op technische vragen van AG Connect. Het is nog onbekend hoe de update voor de website heeft kunnen leiden tot het datalek. De fout gaf gebruikers toegang tot persoonlijke informatie van andere werkzoekenden die geregistreerd zijn bij Randstad.

'Geen groot datalek'

Het verversen van de profielpagina leverde dan andere profielen op, waardoor contactgegevens, woonadres, werkervaring en salariswensen inzichtelijk waren. Het is ook nog onbekend hoe een verandering van de vormgeving dergelijke toegang gaf aan onbevoegden. Randstad onderzoekt de zaak en komt naar verwachting vanmiddag met een verklaring.

De woordvoerster van Randstad spreekt de indruk tegen dat het om een groot datalek gaat. Zij vertelt dat er, voor zover bekend bij het bedrijf, slechts negen profielen ten onrechte zijn ingezien. Één daarvan is van de ontdekker zelf, die het datalek aan RTL-Z, de NOS en Randstad heeft gemeld. Daarbij heeft die ontdekker zes andere profielen gezien, vertelt de woordvoerster, waarna die profielen ook zijn doorgegeven aan de media. Vervolgens hebben journalisten bij RTL-Z en NOS nog toegang gehad tot drie andere profielen, ter verificatie van het datalek.

De getroffen personen zijn door Randstad geïnformeerd. Per mail of per telefoon, verklaart de woordvoerster. Zij voegt daar aan toe dat mensen die bezorgd zijn of dit datalek hun raakt die zorg kunnen loslaten als ze niets van het bedrijf te horen hebben gekregen.

Responsible disclosure

Terwijl het onderzoek naar dit incident nog loopt, weet de woordvoerster al wel met stelligheid te vertellen dat niet de hele Randstad-database met werkzoekenden toegankelijk was. Dit in reactie op de niet onbelangrijke nuance tussen de toegang die ontdekker en journalisten hadden, en de mogelijke toegang voor buitenstaanders. De woordvoerster stipt nog aan dat Randstad een officieel beleid heeft voor responsible disclosure voor kwetsbaarheden en datalekken. "Het is goed dat er zoveel aandacht is voor privacy. Wij nemen dit heel serieus."

Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.