Privégegevens van werkzoekenden die staan ingeschreven bij Randstad waren voor minstens één dag voor iedereen in te zien. Door naar een webadres van Randstad te surfen kon je zonder enige moeite de e-mail- en woonadressen, mobiele telefoonnummers en salariswensen van werkzoekenden bekijken.
In een halfuur tijd lukte het RTL Z om zeven verschillende profielen in te zien. Het lek werd ontdekt door beveiligingsonderzoeker Dennis Veninga van Networking4all, die Randstad op het lek wees. Binnen enkele uren was het lek verholpen.
Verversen
Randstad maakte tijdelijk profielen van werkzoekenden online beschikbaar. Dat kwam volgens het bedrijf door een fout in de functie voor het downloaden van je profiel. Daar is woendagavond een update voor doorgevoerd die dit probleem veroorzaakte, zo meldt Randstad. Door de pagina te verversen kreeg je om de zoveel minuten een nieuw profiel van een werkzoekende te zien.
In dat profiel was onder andere de volledige naam, woonadres, geboortedatum, e-mailadres, mobiele telefoonnummer, gewenste functies, salariseis, werkervaring en opleiding te vinden. Met dat soort gegevens is het mogelijk om identiteitsfraude te plegen.
Verbazing
Het is onduidelijk hoeveel werkzoekenden in het datalek voorkomen. Volgens Randstad zijn maximaal negen profielen door een onbevoegde ingezien, maar het kan niet uitsluiten dat er meer profielen open en bloot op het internet verschenen. Een kwaadwillende zou dan een zogeheten script kunnen schrijven om geautomatiseerd al deze gegevens te verzamelen en door te verkopen of te misbruiken.
Veninga ontdekte het lek toen hij zijn Randstad-profiel wilde verwijderen. "Tot mijn verbazing kreeg ik inzicht in de gegevens van een andere kandidaat. Na meerdere malen op vernieuwen te hebben geklikt, kreeg ik wederom gegevens te zien van een andere kandidaat. Dit keer weer een willekeurig persoon."
Autoriteit Persoonsgegevens
"We vinden het heel erg vervelend voor de mensen die in het lek voorkomen", zegt een woordvoerder van Randstad tegen RTL Z. "Dit had niet mogen gebeuren, en we betreuren de situatie."
Het lek wordt door de privacy officer van Randstad gemeld bij de Autoriteit Persoonsgegevens. De mensen waarvan hun gegevens bloot op het internet stonden worden hiervan door Randstad persoonlijk op de hoogte gesteld.
