Het lek bevond zich in een deel van de app waarmee mensen de locatie van deelnemers konden volgen. De zoekfunctie van de app bleek niet goed beveiligd, waardoor een kwaadwillende veel meer informatie dan nodig kon verzamelen. Na melding door de NOS is het probleem opgelost.

Bij wijze van proef verzamelde de NOS de gegevens van 6500 starters. Dat bleek 4000 e-mailadressen op te leveren. “Dat is te kwalificeren als een datalek”, zegt juriste Charlotte Meindersma. Aan de Dam tot Damloop deden dit jaar 46.000 mensen mee.

Achterliggende systeem

Het probleem is veroorzaakt door een extern bedrijf, dat functionaliteit aanbiedt voor het volgen van deelnemers aan hardloopwedstrijden.

De software van dat bedrijf wordt niet alleen gebruikt voor de Dam tot Damloop en de korte variant in Zaandam, de Dam tot Damloop by Night, maar ook voor honderden andere hardloopwedstrijden binnen en buiten Nederland. Ook voor die wedstrijden zijn in sommige gevallen e-mailadressen op te vragen.

“Je zou deze informatie helemaal niet bij de app op moeten kunnen vragen”, zegt ethisch hacker Rik van Duijn van KPN Security. “De app haalt informatie op zonder te controleren of je daar wel recht op hebt.”

Lees verder op NOS.nl