[Dutch] 250k (?) "Rabo E-Scan" ondernemersprofielen publiek toegankelijk

UPDATE 2012-02-06: relevant leesvoer: Designing Security with Brand in Mind.

UPDATE 2012-01-31: Bits of Freedom heeft dit toegevoegd aan het Zwartboek Datalekken.
 
UPDATE 2012-01-27, deel 2: merk op dat ik per 1 januari 2012 niet meer in dienst ben bij de UvA (zie mijn LinkedIn-profiel). Onderstaande bevinding maakt (formeel) geen deel uit van het onderzoek waarop ik later dit jaar hoop te mogen promoveren; alles op dit blog is op persoonlijke titel, tenzij anders vermeld.
 
UPDATE 2012-01-27: vanochtend ben ik live geïnterviewd tijdens het NOS Radio 1 journaal van 07:00 (vanaf 11m20s, lengte 5 minuten). O.a. gezegd dat gebruikers en afnemers van IT-diensten strenger en slimmer eisen moeten leren stellen aan IT-leveranciers t.a.v. privacy en beveiliging, en dat Rabobank haar technische beveilingsexperts de betrokken leverancier met diens toestemming had moeten laten doorlichten. 

UPDATE 2012-01-26: dit item staat op de NOS website en is genoemd tijdens het NOS journaal van 20:00 (vanaf 13m30s, lengte 23 seconden)

Rabobank biedt via RUG spin-off Entrepreneur Consultancy een competentietest voor ondernemers aan, de zogenaamde "Rabo E-Scan"; ook bekend onder Entrepreneur Consultancy's algemenere label "E-Scan Ondernemerstest" of kortweg "E-Scan". In de Engelstalige voorwaarden wordt naar E-Scan verwezen als "psychological profile". De test zou door meer dan 300.000 mensen zijn gedaan. De test bestaat uit 111 meerkeuzevragen en levert een rapport op waarvan de volledige versie voor EUR 19,95 als .pdf kan worden gedownload (zie dit voorbeeld). Het rapport bevat persoonsnaam, geboortedatum, branche en een competentieprofiel met een radardiagram waarin het profiel van de gebruiker wordt getoetst aan het normprofiel voor zijn/haar branche. Voorbeeld:

Ik heb de test gedaan en mijn rapport aangeschaft. De downloadlink die ik kreeg bevatte een parameter customerScanId=X (X=getal), en toen ik 1 van X aftrok kreeg ik tot mijn verbazing het rapport van een vorige gebruiker. Toegang tot een rapport is dus niet beperkt tot de gebruiker die het heeft gegenereerd. Na wat digitaal apenkooien kwam ik uiteindelijk op dit minimale stappenplan voor misbruik door willekeurige buitenstaanders (het lek is inmiddels gedicht):

• log in op een Facebook account
• ga naar https://scan.ondernemerstest.nl/web/mvc/registration
• klik op "Login" (Facebook login)
• klik op "Toestaan"
• download https://scan.ondernemerstest.nl/web/mvc/report/download?reportCode=RABOFull&customerScanId=X, waarbij 0 < X < ~244000

Om te testen of er een limiet zit op het aantal te downloaden rapporten (per tijdseenheid, per IP-adres, per sessie, per account, ...) en of er een human-in-the-loop zou ingrijpen heb ik in de nacht van 12 op 13 januari een batch geprobeerd te downloaden. Resultaat: 3330 volledige rapporten. Dat doet mij vermoeden dat ALLE 250k (?) rapporten de facto openbaar zijn. Is dat een praktisch probleem?

1. Voor gebruikers met een sterk competentieprofiel en/of die reeds een eigen zaak runnen: nee, waarschijnlijk niet;
2. Voor gebruikers met een zwak competentieprofiel die nog op zoek zijn naar investeerders en/of zakenpartners: ja, mogelijk wel;
3. Voor Entrepeneur Consultancy: ja, omdat klanten ervan zullen uitgaan dat hun rapport niet voor buitenstaanders toegankelijk is en dat nu toch het geval blijkt - met (tijdelijke) imagoschade als mogelijk gevolg.

Vanwege (2) en (3) wordt aanbevolen Privacy by Design (PbD) en veilig programmeren bewust als uitgangspunten te nemen bij IT-ontwikkeling; bij uitbesteding dient de opdrachtgever daar naar te vragen.

Betrokkenen zijn geïnformeerd in aanloop naar het Webwereld-artikel geschreven door Brenno de Winter. De publicatie van dat artikel en deze blogpost zijn afgestemd. Op 31 januari verwijder ik de 3330 rapporten van mijn (versleutelde) opslag.

N.B.: ondanks deze onvolkomenheid kan E-Scan rekenen op mijn aanbeveling. E-Scan is nuttig gereedschap, en Entrepreneur Consultancy is een succesvoorbeeld van wetenschappelijke spin-off: precies het soort ondernemerschap dat Nederland nodig heeft. Als betalende klant wiens rapport door het lek óók openbaar is verwacht ik echter wél dat betrokkenen een professionele technische IT security audit laten uitvoeren om ook eventuele andere lekken te (laten) ontdekken en dichten.