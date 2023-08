Sinds donderdag kan er ingetekend worden op de nieuwe staatsbon en daardoor was de website van het Agentschap voor de Schuld nog nooit zo populair. Donderdagnamiddag kreeg de website zelfs te maken met technische problemen door de grote belangstelling. Er werd al voor meer dan 2 miljard euro aan staatsbons aangekocht, maar er bleek ook een ernstig probleem bij de website.

Een ethische hacker liet aan VRT NWS weten dat er iets aan de hand was met de website. Na verder onderzoek bleek dat er een datalek zat in de tool die mensen gebruiken om in te tekenen op de nieuwe staatsbon. In de velden waar je je naam, geboortedatum en postcode moest invullen, kon je de gegevens van eender welke Belg invullen. Je kreeg dan de adresgegevens van die persoon te zien en soms zelfs ook de naam van de wettelijke partner.

Veiligheidsproblemen omtrent bankgegevens bijvoorbeeld waren er niet, maar het was wel een groot privacyprobleem. VRT NWS bracht het Agentschap voor de Schuld op de hoogte en zij gingen meteen aan de slag. Na enkele uren was het probleem opgelost, aldus het agentschap.

“Gebruikers konden door het oneigenlijk gebruik van ons programma het adres van andere mensen achterhalen, ze konden geen financiële gegevens uitvissen”, benadrukt directeur Jean Deboutte van het Agentschap voor de Schuld. “Intussen werd het probleem verholpen en is het niet meer mogelijk om onze tool te misbruiken. We weten niet of iemand hier effectief misbruik van heeft gemaakt en zullen de komende dagen onze logs onderzoeken”, aldus Deboutte.

“Blijkbaar werd het lek veroorzaakt door een stukje oude softwarecode”, zegt Niels Hofmans van Intigriti, een Belgisch ethisch hackerscollectief. “Tegenwoordig worden problemen rond beveiliging en privacy heel ernstig genomen, zeker sinds de wetgeving rond GDPR.” Hofmans vindt het bewonderenswaardig dat het lek zo snel werd gedicht. “Het Agentschap voor de Schuld zag de ernst blijkbaar snel in, waardoor het probleem al na een paar uur van de baan was. Het was wel belangrijk dat dit snel opgelost zou worden, aangezien de persoonsgegevens van iedereen en dus ook van bekende landgenoten zoals Marc Van Ranst zomaar konden worden opgezocht.”

