Autoriteit Persoonsgegevens lekt URL van interne applicatie bij bekijken websites

lektRecent, 22 juli 2019, viel het mij voor de tweede maal in Google Analytics op, dat als iemand van de Autoriteit Persoonsgegevens(AP) deze website bezoekt de bron zichtbaar is. Ik bedoel dat Google Analytics de URL van het intranet van de AP toont. Nieuwgierig als ik ben hoe het bezoek aan de website ZorgICTZorgen zich ontwikkelt, kijk ik af en toe naar het real-time-overzicht. Op de kaart kan je met grote stippen zien in welke plaats iemand inlogt. Als iemand in Den Haag inlogt, ben ik altijd wat alerter. Meestal is de bron afgeschermd zodat die niet zichtbaar is. Van de AP dus blijkbaar niet. De reden van het bezoek aan mijn website door één of meerdere medewerkers van de AP was gelegen in een recente publicatie over de boete en last onder dwangsom die de organisatie oplegde aan het Haga-ziekenhuis. Het doet mij in ieder geval deugd te weten dat binnen de AP-organisatie men mijn blogs in ieder geval leest. 

Niet eerste keer

Een jaar terug ongeveer viel mij hetzelfde al een keer op en deed ik melding ervan bij de AP middels het tip-formulier online. Ook gisteren deed ik een melding op deze wijze aan de AP. Beide keren kreeg ik geen enkele reactie hierop ondanks dat uitgebreide vermelding van NAW en contactgegevens. Ook al zou men het als ongevaarlijk en niet relevant beschouwen, lijkt me een retour-mail voor dit gratis advies niet overbodig. Ik voel me door het absoluut niet reageren gerechtigd nu hier vrij over te publiceren.

Afschermen

Van verreweg de meeste instellingen en bedrijven die mijn website bezoeken is de bron-URL niet te zien. Een enkele keer wel. Zo zag ik ook enkele dagen terug de URL van het Ikazia-ziekenhuis passeren.(www.ikazia.nl). De bedrijven die nooit moeite doen om aanwezigheid geheim te houden zijn de webcrawlers. Een webcrawler of spider is een bot die het internet op een methodische en geautomatiseerde manier doorbladert. Spiders maken veelal een lokale kopie van de gevonden pagina’s om deze later te kunnen verwerken en indexeren voor bijvoorbeeld zoekmachines.

Keuze

Op mijn website staat in de privacyverklaring expliciet vermeld dat de website gebruik maakt van een cookie van Google Analytics. Daarbij staat ten overvloede vermeld dat men door het veranderen van instellingen in de webbrowser de cookie kan weigeren.

URL

De zichtbare URL van de AP is: Intranet.CBP.local. Je kunt in de vermelding op de  schermafbeelding die ik maakte meteen zien dat men na de  naamswijziging op 1 januari 2016 niet de moeite heeft genomen om de naamgeving van een intern systeem aan te passen. Voor die datum heette de toezichthouder College Bescherming Persoonsgegevens(CBP). Naast naamborden, websites en briefpapier had het in de lijn van de lijn van verwachting gelegen om ook de naamgeving van het intranet aan te passen.

Onverstandig

Men de lekt URL van een interne applicatie en dat is informatie die van nut kan zijn bij social-engineering. Bijvoorbeeld de AP een HTML-mail sturen met een klikbare link die zogenaamd een bij de gebruiker herkenbare/vertrouwde URL opent, maar in werkelijkheid een website laadt met, zeg, 1) een nep-inlogscherm om credentials te stelen, en/of 2) een JavaScript-gebaseerde poortscanner om het interne netwerk in kaart te brengen, en/of 3) met een heel ander scenario: om zich voor te doen als IT-medewerker o.i.d.  De blootstelling van de informatie is natuurlijk wel beperkt tot websites die op de intranet-site worden aangeklikt. Maar dan wel óók tot servers van eventuele derde partijen waarvan de website content laadt – zoals vele servers van online advertentiebrokers.

Advies

Het lijkt me verstandig dat een toezichthouder geen sporen achterlaat als haar personeel op het internet websites bekijkt. Als het mijn website betreft kan het net zo goed gebeuren bij websites met minder degelijke inhoud, zoals gok-en porno-sites. Niets menselijks zal een medewerker van de AP vreemd zijn. Dus moeten systeembeheerders waken voor het achterlaten van bezichtigingssporen door personeel van de AP.  Sporen die het binnendringen in een systeem vergemakkelijken.   De applicatie  Google Analytics is overigens een nuttig en wereldwijd gratis te verkrijgen programma en veel gebruikt programma en geenszins een manier om de AP doelbewust te volgen.

W.J. Jongejan, 24 juli 2019

Afbeelding van Clker-Free-Vector-Images via Pixabay