De Belgische website voor het aankopen van een staatsobligatie, lekte de adresgegevens van alle Belgen. Door de naam, geboortedatum en postcode van een persoon in te geven, onthulde de website het volledige adres van de persoon.
Via een twaalf jaar oude website was het tot voor kort mogelijk de adresssen van alle Belgen op te zoeken. Het gaat om de website van het Agentschap voor de Schuld, die de laatste weken piekte in bezoekersaantallen door de uitgifte van een nieuwe staatsobligatie.
Het adres van eender welke Belg kon worden opgezocht door de naam, geboortedatum en postcode van een persoon in te geven. Deze gegevens zijn doorgaans eenvoudig te verkrijgen door even te zoeken op social mediasites. Bij sommige zoekopdrachten kon ook de naam van de wettelijke partner worden gevonden.
Cybersecurity-normen uit 2011
Het hack kwam aan het licht via VRT NWS, nadat een ethische hacker de kwetsbaarheid tipte. Het lek werd vervolgens enkele uren later gedicht door het betrokken Agentschap. Zij beloven een onderzoek in te stellen naar uitbuiting van de kwetsbaarheid. Dat zal de nodige tijd in beslag nemen, aangezien het de website al twaalf jaar op dezelfde wijze functioneert.
Jean Deboutte, directeur van het Agentschap voor de Schuld, verklaart het lange bestaan van het lek als volgt: “Pas dit jaar steeg het aantal gebruikers fors en deze laatste staatsbon is een groot succes. De volumes via onze site zijn nu zo hoog. Daardoor komen dit soort problemen nu naar boven.”
Het is opmerkelijk dat een officiële website van de overheid niet op regelmatige basis updates op vlak van beveiliging krijgt. Het cybersecurity-landschap verandert enorm in twaalf jaar tijd en het gaat hier om een fout die zonder diepgaande kennis over hacken al uit te buiten viel. Bovendien hanteert de EU steeds strengere regels om de privacy van EU-burgers te garanderen, voornamelijk richting bedrijven.