Dat ontdekte beveiligingsonderzoeker Maarten Hartsuijker van het Apeldoornse bedrijf Classity. In de fotohokjes kunnen mensen foto's maken waar digitaal een apenlandschap in wordt gemonteerd. Vanuit de hokjes kunnen de afbeeldingen worden verstuurd via Facebook en e-mail.

Hartsuijker bezocht zelf de Apenheul en ontdekte het lek toen hij de foto's die hij daar maakte niet kon bekijken, vertelt hij aan NU.nl. De verouderde software die op de fotosite werd gebruikt bleek kwetsbaar voor een zogenoemde SQL-injectie.

Volgens Hartsuijker kreeg hij toegang tot een database met honderdduizenden foto's en e-mailadressen. De onderzoeker heeft zelf geen foto's van anderen gedownload.

De fotohokjes zijn gemaakt door het bedrijf Bitmove, dat interactieve installaties maakt voor onder meer musea en attractieparken. Enkele dagen na melding van het lek heeft Bitmove het lek opgelost.

Voor zo ver bekend is de kwetsbaarheid niet misbruikt door anderen. Woordvoerder Klaas van der Veur van Bitmove zegt nog te bekijken of er een melding van het datalek moet worden gedaan bij de Autoriteit Persoonsgegevens.