AMSTERDAM - Door een reeks lekken in een webapplicatie voor lagere scholen en kinderopvang zijn persoonsgegevens van ouders gelekt. De applicatie is tijdelijk niet meer beschikbaar.

Dat ontdekte een hacker van het Nederlands Genootschap van Hackende Huisvrouwen, die opereert onder het synoniem Tante Toos. De applicatie K.I.D.S. (afkorting voor Kom In De School) wordt gebruikt om ouders te e-mailen, foto’s te delen, bijeenkomsten te plannen en zaken als het aanvragen van verlof te regelen.

De software bleek meerdere zwakheden te bevatten, waardoor het mogelijk was de database leeg te halen. Ook bleek het mogelijk bestanden op de server toe te voegen, waardoor er ook eigen programmatuur kon worden toegevoegd.

Malware

Via de eerder genoemde lekken zou het eenvoudig mogelijk zijn om zogenaamde malware te installeren, waardoor bezoekers van de website van scholen te infecteren zijn. Een ander mogelijk scenario is oplichters geautomatiseerd laten mailen namens een kinderopvang of basisschool.

Ook bleek de website van de leverancier lek te zijn. Hij beheerde zijn website door in te loggen als 'adm1n' met het wachtwoord 'test'.

Overheid

NU.nl heeft de lekken aangemeld bij de softwarebouwer en heeft ook alle betreffende scholen op de hoogte gebracht. Gelet op de ernst is ook het National Cyber Security Center (NCSC) ingeschakeld om de maker te ondersteunen.

Na aandringen van het NCSC zijn de websites van internet gehaald. Ook meldt de producent het wachtwoord voor zijn bedrijfswebsite te hebben aangepast.

Tegenover NU.nl zegt een medewerker van het bedrijf erg geschrokken te zijn. "We gaan de fouten zo snel mogelijk repareren en zullen een beveiligingsbedrijf inschakelen als dat nodig is", stelt hij dan ook.