NVJ tijdelijk offline na zwakheden
Weblog Geenstijl heeft de NVJ-site doorgelicht op technische problemen en komt tot de conclusie dat de website "zo lek is als de beveiliging van de NOS-redactie". De versleutelde webmailverbinding bleek gevoelig voor het al wat oudere Poodle-lek. Ook stond er een documentenmap open en bleken aanmeldingsformulieren voor nieuwe leden onversleuteld te worden verstuurd. De NVJ zegt dat het een 'ernstige situatie' betreft en heeft de NVJ-site tijdelijk gesloten om riskante onderdelen te laten repareren. Er zijn geen persoonlijke gegevens gelekt, omdat Geenstijl voor publicatie melding maakte van de problemen. Een externe partij zal worden ingehuurd om een security audit te laten uitvoeren, aldus NVJ-secretaris Bruning.
Geenstijl vroeg techexpert Henk van Ess om een reactie, die vooral de open directory een kwalijke zaak noemt. Van Ess: “Veel stukken zijn knullig in een mapje ‘Upload’ en ‘Documenten’ gezet. Ook mediasite Villamedia had deze aanpak.” De map documenten is bij Villamedia enkel bedoeld voor kopieën van rapporten en ander - soms tijdelijk beschikbaar - materiaal, waar binnen artikelen naar verwezen kan worden zonder de originele bronsite (indien aanwezig) te belasten. Uploads bevat enkel bestanden waar op de site aan gerefereerd worden.
Een database met NAW-gegevens, zoals bericht, stond niet online en kan derhalve niet zijn gekraakt. Andere door Geenstijl aangebrachte problemen - zoals een onversleutelde verbinding naar het content management systeem of de ftp-site (waarop dan nog moeten worden ingelogd) zijn niet bijzonder ernstig.
Praat mee