De Duitse hackersclub CCC (Chaos Computer Club) heeft tijdens eigen onderzoek meer dan vijftig datalekken gevonden waarbij onderzoekers toegang tot meer dan 6,4 miljoen persoonsgegevens hadden. Het zou ook gaan om een datalek bij het Nederlandse ministerie van Volksgezondheid.

De gegevens, onder andere van klanten, passagiers, sollicitanten en patiënten, waren eenvoudig te vinden, aldus de CCC. Het ging onder andere om onbeveiligde MySQL-servers en Elasticsearch-installaties, alsmede publiek toegankelijke Git-repositories en Symfony-profilers, een PHP-ontwikkeltool. Naast persoonsgegevens troffen de onderzoekers ook private keys en access tokens voor clouddiensten aan.

Bij de helft van de onbeveiligde diensten en systemen was het direct mogelijk om persoonsgegevens te benaderen. De CCC waarschuwde de getroffen instanties, waarvan driekwart de hackersclub bedankte en gevonden problemen verhielp. Tien procent reageerde niet maar verhielp het probleem wel. "Het is ontnuchterend hoe onzorgvuldig sommige bedrijven met hun data, of erger, met de data van hun klanten omgaan", zegt CCC-woordvoerder Matthias Marx.

De CCC doet verschillende aanbevelingen voor het beveiligen van gegevens, zoals het veilig omgaan met access tokens voor clouddiensten. Ook wordt aangeraden om testsystemen niet vanaf het internet toegankelijk te maken en niet met echte gebruikersgegevens te testen. Verder horen back-ups, logbestanden en gevoelige configuratiebestanden niet in openlijke toegankelijke directories van webservers te staan.

Onder de getroffen organisaties bevinden zich het Nederlandse ministerie van Volksgezondheid, BMW, Deutsche Bahn, Deutsche Post, Deutsche Telekom, de Duitse Krijgsmacht, MediaMarkt en Nestle, zo blijkt uit het overzicht date de CCC online zette. Details over het soort datalek bij deze organisaties zijn niet gegeven.