Lek op vacaturesite Jobworld geeft ‘geen toegang tot privé-gegevens’

Met een lek op de ICT-vacaturesite Jobworld is het “niet mogelijk” om gegevens van gebruikers te bekijken en veranderen.

Dat laat hoofdredacteur van Webwereld, Tom Sanders, weten in een reactie op het ontdekken van een lek op de site. Gisteren ontdekte NRC Media medewerker Ivo van Doesburg een lek op de site waarmee mogelijk privé-gegevens bekeken of aangepast konden worden. Van Doesburg:

“Met het invoeren van simpele html-code in een zoekveld kan je de website van Jobworld javascript laten uitvoeren. Hiermee zou je bijvoorbeeld cookies kunnen jatten en accounts overnemen. Op deze manier zou je cv’s kunnen inzien en aanpassen. Het is in dit geval kwalijk omdat hier privé-gegevens in het geding zijn.”

Jobworld is eigendom van mediabedrijf en onderzoeksinstelling International Data Group (IDG). De onthulling is opmerkelijk omdat Webwereld ook van IDG is. De technologiewebsite riep deze maand uit tot ‘de maand van het privacylek’ oftewel ‘lektober’. Webwereld legt elke dag privacylekken bloot van overheidsinstellingen of bedrijfsnetwerken.

Sanders laat weten dat er inmiddels aan de site van Jobwereld - die van een externe leverancier is - gewerkt wordt om het lek te verwijderen. Hij benadrukt echter dat de privé-gegevens van de gebruikers “geen moment in gevaar” waren. Door cookies te stelen zouden alleen de inlognamen bemachtigd kunnen worden, informatie waar kwaadwilligen niks aan zouden hebben, aldus Sanders. Anders was de site wel “op zwart gegaan”, verzekert hij.