Vuurwapenmarktplaats lekt persoonsgegevens

Een marktplaats voor wapens lekt de totale database met advertenties en bezoekers. Hierdoor liggen de adressen van wapenbezitters en een handelaar op straat.

Hacker Pompiedompiedom heeft ontdekt dat de website antieke wapens de gegevens van 1961 gebruikers, 637 advertenties, 573 biedingen, discussies en meer gegevens lekt. Hij merkte dat er diverse SQL-injectionlekken in de website zitten. "Ik kan je wel een url van mijn injection geven, maar dat is niet het probleem. Héél die site is lek", meldt hij na een vraag de eigenaar van de site.

Wapenhandelaar ontmaskerd
Pompiedompiedom heeft vooral moeite met de gevoeligheid van de gegevens. "Dit is echt fout. Bij veel van die gebruikers weet je dat er een wapen in huis is, en dat is gewoon niet goed. Hier moet echt iets aan gebeuren", vertelt hij tegen Webwereld. "Ik toon de misstand aan, maar hebben criminelen dit in handen?"

Het kan niet worden uitgesloten dat de data inderdaad gevoelig zijn. Tussen de data zitten bijvoorbeeld ook de gegevens van Koen B, een wapenhandelaar die ontmaskerd is in een rapportage van misdaadverslaggever Peter R. de Vries. Deze handelaar bood zijn diensten ook aan voor het plegen van bankroven en zit sinds de tv-uitzending van De Vries in voorarrest.

'Al openbaar'
Volgens Gert Jan Zwiers, eigenaar van de data lekkende website, valt het met die gevoeligheid wel mee. "Antiekewapens.nl is een platform voor liefhebbers van antieke wapens, dus vrijgestelde vuurwapens die elke Nederlander van 18-jaar kan kopen. 99% van de adverteerders adverteert open met zijn gegevens, zoals woonplaats en telefoonnummer, in dit geval zijn deze gegevens openbaar", stelt hij in een verklaring aan Webwereld. "De gegevens van een wapenhandelaar zijn gegevens die reeds openbaar bekend zijn."

Hij stelt dat er druk wordt gewerkt aan het dichten van het lek en dat de gebruikers van het platform op de hoogte zijn gebracht. "Advertenties die in het verleden zijn geplaatst, zijn niet te achterhalen op onze server", verzekert Zwiers. "We betreuren zeer dat de inbraak heeft plaatsgevonden en er zal aangifte gedaan worden bij de politie." In een verklaring belooft hij de website offline te halen.

Aangifte
Pompiedompiedom reageert geïrriteerd op de houding van Zwiers. "Waar gaat meneer precies aangifte van doen? Van het feit dat ik hem op de hoogte heb gebracht dat zijn site de Gouden Gids is voor mensen die willen weten waar wapens liggen?", zegt hij.

"Ik wil best geloven dat het merendeel van de gebruikers van antiek houdt, maar zoals heel Nederland in de uitzending van Peter R. de Vries heeft kunnen zien, zitten er ook figuren tussen die het niet alleen bij antiek houden. Het lijkt me op z´n zachtst gezegd onwenselijk dat adresgegevens, IP-adressen, enzovoorts uitlekken naar een ieder die een karakter achter een url kan plakken."

Gebruikers informeren
Hij noemt de reactie 'onsportief' en 'kinderachtig'. "Wees blij dat dit (hopelijk) gemeld wordt, en niet verzwegen en gemonitord door mensen die er wellicht andere bedoelingen mee hebben", stelt hij verder. Het actief informeren van gebruikers noemt Pompiedompiedom 'goed'. "Ik ben echter benieuwd of er ook gebruikers tussen zitten die net zo sportief reageren als de verantwoordelijke beheerder van hun gegevens en aangifte gaan doen van overtreding Wbp..."

Webwereld heeft het Openbaar Ministerie ingelicht over het lekken van de adresgegevens van wapenlocaties. Het OM mist de bevoegdheid om in te grijpen, maar bestempelt het slecht beschermen van deze gegevens als "heel erg onwenselijk".