AMSTERDAM – Het nieuwe Nederlandse sociale netwerk Blytes.nl, waarover NU.nl afgelopen weekend publiceerde, blijkt lek te zijn. Gebruikersnamen en wachtwoorden zijn eenvoudig te achterhalen.

Via Cross Site Scripting zijn de cookies van gebruikers uit te lezen en te downloaden.

Deze cookies bevatten onder meer wachtwoorden en gebruikersnamen. Via bepaalde software kan deze cookie worden 'ingeplugd' in de browser, waardoor je automatisch ingelogd bent, hiervoor heb je het gebruikersnaam en wachtwoord niet nodig.

Gevaar

Ethisch hacker Remon van AnthraxMedia, ontdekte het lek en heeft oprichter Tim van Elsloo (16) inmiddels ingelicht. Remon publiceerde op zijn website een proof of concept van het lek.

Het gevaar van het lek is dat veel mensen hetzelfde wachtwoord gebruiken voor tal van andere diensten. Van Elsloo was dinsdagmiddag niet bereikbaar voor commentaar.

Geen algemene voorwaarden

Internetexpert en -jurist Danny Mekic heeft zijn twijfels bij Blytes: "Er zijn geen algemene voorwaarden. De gebruikers blijven zitten met vragen over privacy en het auteursrecht van geüploade foto's."

Op Twitter meldden een aantal webontwikkelaars dat de foto's op de website openbaar zouden zijn. Het is niet bekend of dit te maken heeft met de storing waarmee Blytes dit weekend kampte. Mogelijk was de site overbelast.

Privacybeleid

Webwereld heeft contact gehad met het College Bescherming Persoonsgegevens (CBP) wegens het ontbreken van de algemene voorwaarden en privacybeleid op de website. Zeker dat laatste is verplicht volgens de Wet Bescherming Persoonsgegeven.

Een woordvoerder van het CBP bevestigt dat dit verplicht is, maar kan nog niet ingaan op deze specifieke kwestie. De situatie komt er in ieder geval op neer dat Blytes de privacywetgeving overtreedt en dus illegaal is.

Blytes is de afgelopen dagen regelmatig offline wegens overbelasting. Vrijdagmiddag had Blytes zo'n zeshonderd leden, hoeveel dat er inmiddels zijn is niet bekend.

Gratis advies

ICT-jurist Arnoud Engelfriet laat aan Webwereld weten: "Mijn kantoor ICTRecht biedt Tim een gratis algemene voorwaarden/privacystatement aan alsmede een audit om te zorgen dat zijn site legaal wordt."

Van Elsloo heeft Blytes inmiddels offline gehaald. In de verklaring op de website laat de oprichter weten dat sinds het artikel op NU.nl afgelopen weekend er zo'n tienduizend leden bij zijn gekomen.

Daarnaast zou Blytes het slachtoffer zijn geworden van verschillende aanvallen. Mede daarom heeft Van Elsloo de website offline gehaald zodat hij in de tussentijd kan zorgen dat hij voldoet aan de wettelijke eisen. Ook gaat hij de veiligheidsproblemen oplossen.