Dat ontdekte beveiligingsonderzoeker Nelson Berg, die het lek op 26 januari bij de website meldde. “Kamernet is de melder van het risico dankbaar en heeft het lek een uur na bekendmaking kunnen dichten”, aldus het bedrijf in een verklaring.
Kamernet controleerde bij het opvragen van privéberichten niet of de betreffende gebruiker hier toegang toe had. Het was daarom met een speciaal script mogelijk om in anderhalve dag de 1,32 miljoen berichten op de website te downloaden en in te zien.
De site stelt dat het datalek niet is misbruikt. Uit onderzoek zou blijken dat alleen Berg de berichten heeft ingezien, voordat hij zijn ontdekking bekendmaakte bij de site.
Verwijderd
De onderzoeker bewaarde de bemachtigde privéberichten op een speciale schijf, die inmiddels is gewist. Wel heeft de onderzoeker een aantal screenshots als bewijs van het datalek, die op een versleutelde schijf worden bewaard.
Kamernet zegt dat het datalek is gemeld bij de Autoriteit Persoonsgegevens, zoals sinds vorig jaar wettelijk verplicht is. Vooralsnog is het lek niet direct aan de getroffen gebruikers gemeld.