Via Cross Site Scripting zijn de cookies van gebruikers uit te lezen en te downloaden.

Deze cookies bevatten onder meer wachtwoorden en gebruikersnamen. Via bepaalde software kan deze cookie worden 'ingeplugd' in de browser, waardoor je automatisch ingelogd bent, hiervoor heb je het gebruikersnaam en wachtwoord niet nodig.

Ethisch hacker Remon van AnthraxMedia, ontdekte het lek en heeft oprichter Tim van Elsloo (16) inmiddels ingelicht. Remon publiceerde op zijn website een proof of concept van het lek.

Het gevaar van het lek is dat veel mensen hetzelfde wachtwoord gebruiken voor tal van andere diensten. Van Elsloo was dinsdagmiddag niet bereikbaar voor commentaar.

Internetexpert en -jurist Danny Mekic heeft zijn twijfels bij Blytes: "Er zijn geen algemene voorwaarden. De gebruikers blijven zitten met vragen over privacy en het auteursrecht van geüploade foto's."

Op Twitter meldden een aantal webontwikkelaars dat de foto's op de website openbaar zouden zijn. Het is niet bekend of dit te maken heeft met de storing waarmee Blytes dit weekend kampte. Mogelijk was de site overbelast.

Webwereld heeft contact gehad met het College Bescherming Persoonsgegevens (CBP) wegens het ontbreken van de algemene voorwaarden en privacybeleid op de website. Zeker dat laatste is verplicht volgens de Wet Bescherming Persoonsgegeven.

Een woordvoerder van het CBP bevestigt dat dit verplicht is, maar kan nog niet ingaan op deze specifieke kwestie. De situatie komt er in ieder geval op neer dat Blytes de privacywetgeving overtreedt en dus illegaal is.

Blytes is de afgelopen dagen regelmatig offline wegens overbelasting. Vrijdagmiddag had Blytes zo'n zeshonderd leden, hoeveel dat er inmiddels zijn is niet bekend.

ICT-jurist Arnoud Engelfriet laat aan Webwereld weten: "Mijn kantoor ICTRecht biedt Tim een gratis algemene voorwaarden/privacystatement aan alsmede een audit om te zorgen dat zijn site legaal wordt."

Van Elsloo heeft Blytes inmiddels offline gehaald. In de verklaring op de website laat de oprichter weten dat sinds het artikel op NU.nl afgelopen weekend er zo'n tienduizend leden bij zijn gekomen.

Daarnaast zou Blytes het slachtoffer zijn geworden van verschillende aanvallen. Mede daarom heeft Van Elsloo de website offline gehaald zodat hij in de tussentijd kan zorgen dat hij voldoet aan de wettelijke eisen. Ook gaat hij de veiligheidsproblemen oplossen.