De gemeente Apeldoorn heeft een dienst voor minima uit de lucht gehaald, omdat de gebruikersnamen en wachtwoorden niet goed waren afgeschermd. Een ethische hacker kon de inloggegevens van ongeveer 4600 mensen zien en waarschuwde de gemeente. Volgens Apeldoorn is het bestand verwijderd en zijn de gegevens niet in verkeerde handen gevallen.
Het datalek werd ontdekt bij de Stadspas. Als mensen probeerden in te loggen maar de gegevens verkeerd invoerden, bijvoorbeeld door een spelfout in het mailadres of het wachtwoord te maken, werd dat bijgehouden in een logbestand. Dat bestand was van buitenaf in te zien. “Mogelijk zaten hier ook de juiste wachtwoorden bij. Als anderen met deze gegevens zouden inloggen, konden ze het adres, geboortedatum en het tegoed op die Stadspas zien.”
Cybercriminelen kunnen zulke informatie ook op andere manieren gebruiken. Mensen gebruiken namelijk vaak hetzelfde wachtwoord op meerdere plekken. Op de lijst van meest gelekte wachtwoorden staan veel combinaties die met voetbal te maken hebben, en als iemand probeerde in te loggen met het veelgebruikte levefeyenoodr1, was het echte wachtwoord mogelijk levefeyenoord1. Cybercriminelen kunnen dan automatisch die combinatie van gebruikersnaam en wachtwoord proberen op andere diensten, zoals een bank of een webwinkel.
Mensen kunnen de Stadspas gewoon blijven gebruiken, maar ze moeten wel hun wachtwoord veranderen, meldt de gemeente. Apeldoorn heeft het datalek gemeld bij de Autoriteit Persoonsgegevens, de privacywaakhond van de overheid.