Britse gemeenten en districten hebben door een IDOR-kwetsbaarheid de privégegevens van duizenden mensen gelekt die nog een belastingschuld hebben. Het gaat om naam, adresgegevens en openstaande schuld van duizenden Britten die door slechts het aanpassen van een karakter in de adresbalk van de browser zichtbaar waren. Dat meldt The Register.

De Britse gemeenten en districten gebruiken een extern bedrijf voor het versturen van sms-berichten waarin de ontvanger wordt gewezen op de openstaande belastingschuld. De link in het sms-bericht wijst naar een pagina met de privégegevens van de persoon in kwestie. Door het aanpassen van de alfanumerieke karakters in de url was het mogelijk om de gegevens van andere personen in te zien. Zeker veertien gemeenten en districten maken gebruik van het systeem.

Het bedrijf achter het systeem erkent dat er sprake was van een kwetsbaarheid. Na ontdekking van het probleem werd de dienst uitgeschakeld en inmiddels zijn er nieuwe maatregelen genomen om misbruik tegen te gaan. Mogelijk getroffen personen zijn ingelicht. Het gaat hier om een Insecure direct object references (IDOR)-kwetsbaarheid. Deze beveiligingslekken doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.

Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor. Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren. De webwinkel van Blokker lekte op deze manier klantgegevens en bij een Weens bedrijf zorgde een IDOR-kwetsbaarheid ervoor dat de uitslagen van 136.000 coronatests lekte. Een IDOR-kwetsbaarheid zorgde bij Belastingsamenwerking West-Brabant er onlangs voor dat de gegevens van een onbekend aantal belastingplichtigen in de regio lekten.