Aanstaande zondag wordt het centrum van de stad Antwerpen autovrij gemaakt, maar burgers die toch met de auto de stad in willen (bijvoorbeeld dokters), kunnen via een formulier een vergunning aanvragen. De gegevens voor al die vergunningen stonden echter enkele uren, mogelijk dagen, onbeveiligd op het net. Op die manier kon de naam, nummerplaat en telefoonnummer van zo'n 3.000 aanvragers opgevraagd worden.

Het lek werd opgemerkt door Hans Maes, ICT'er en eigenaar van Bitnet.be. "Ik ben er toevallig op uitgekomen", vertelt hij aan Data News. "Ik heb het ondertussen aan de IT-dienst van de stad gemeld, en ze hebben de formulieren offline gehaald."

Het werkt als volgt: wie zondag met de auto door het centrum van Antwerpen wil rijden, kan daarvoor online een formulier invullen. "Daarin moet je je mailadres, nummerplaat, telefoonnummer en enkele andere zaken ingeven", zegt Maes. Wordt die vraag goedgekeurd, dan krijgt de aanvrager een link naar een online pdf met zijn of haar doorrijvoucher.

De link in kwestie is een onbeveiligde http-site, waarop elke voucher een ID krijgt, een nummer van 4 cijfers. Het nummer achteraan de url veranderen, brengt je bij de volgende voucher. Mits enig schraapwerk kon je zo persoonsgegevens van iets meer dan 3.000 mensen verzamelen. "Die unieke ID code was iets te makkelijk gekozen", zegt Maes. "Die was gewoon oplopend. Ze begon bij 5.000 en liep op tot iets meer dan 8.000."

De code van de formulieren lijkt hoe dan ook wat slordig. Voor elke aanvraag die werd ingediend, werd bijvoorbeeld automatisch een pdf met een voucher aangemaakt. Wie geen goedkeuring kreeg, ontving de link niet, maar de voucher bestond wel. "Je kon dus eender wat invullen", zegt Maes nog. "En je hoefde niet eens op de mail van de stad te wachten, maar kon gewoon in de database naar de laatste entry zoeken om je nieuwe voucher te vinden. Dat is niet goed getest."

Bij Stad Antwerpen zijn de formulieren ondertussen offline gehaald. "Het is ons vanochtend gemeld," "We zijn het momenteel aan het onderzoeken", zegt woordvoerder Dirk Delachambre van het Antwerpse stadsbestuur. "En we zijn er nog niet helemaal uit, maar we vermoeden dat het om een hacking gaat. Vorig jaar hebben we hetzelfde systeem gebruikt, en toen waren er geen problemen." Het is niet duidelijk hoe lang de gegevens online stonden, maar het is alvast enkele uren. Data News kon woensdagavond om negen uur enkele vouchers downloaden, en die stonden twaalf uur later nog online.