De kwetsbaarheid zat in de webapplicatie die door gemeentes wordt gebruikt om afspraken met burgers te plannen, en is ontdekt door beveiligingsonderzoeker Guido Vranken, meldt Tweakers.
De applicatie is ontwikkeld door JCC Software, en de kwetsbaarheid is verholpen. Door de kwetsbaarheid waren gegevens als naam, adres, telefoonnummer en in sommige gevallen het burgerservicenummer te zien.
De kwetsbaarheid zat in de wijze waarop de applicatie zijn beveiligingscontrole toepaste. Waar de gebruiker eigenlijk een gecodeerde link per e-mail zou moeten ontvangen, werd de code van de burger in klare tekst verstuurd.
Daardoor was te zien dat de cijferreeks die burgers bij het maken van een afspraak met de gemeente ter beveiliging kregen toegewezen, oplopend was. Zo was het eenvoudig om de nummers van anderen te voorspellen, en toegang te krijgen tot gegevens.