Privégegevens van deelnemers aan cyclo’s als de Marmotte en Les Trois Ballons zijn door een beveiligingslek op de website van de organisatie zeker enkele weken vrij toegangelijk geweest. Persoonsgegevens waren via enkele eenvoudige handelingen op te vragen en zelfs te wijzigen, inclusief adressen en wachtwoorden. Organisator Sportcommunication zegt dat het lek inmiddels gedicht is. Creditcardgegevens zijn volgens het bedrijf niet in te zien geweest.

De Marmotte is één van de populairste cyclo’s in de wereld en trekt jaarlijks 5.000 tot 7.000 deelnemers. De prestatietocht met finish op Alpe d’Huez is bovendien populair onder Nederlandse fietsers. De Marmotte voor 2014 is al volgeboekt.

Wij namen de proef op de som en pasten met toestemming van de betrokken personen hun persoonsgegevens aan. Enkele deelnemers aan een evenement van Sportcommunication dit jaar, wonen nu op een ander adres dan zij zelf hebben aangegeven. Ook veranderden we van een aantal mensen hun e-mail adres. Via een link waar je een vergeten password op kunt vragen kregen we vervolgens op het nieuwe e-mail adres een nieuw password toegestuurd.

Expert

Een beveiligingsexpert die de website op ons verzoek bekeek omschrijft het beveiligingsniveau als onvoldoende. ”Persoonsgegevens zijn slecht beveiligd en voldoen niet aan de privacy normen”. Directeur Jean Louis Bourdeau van Sportcommunication biedt zijn exuus aan voor het probleem. ”Eind december zijn enkele aanpassingen gedaan aan de website. Ondanks enkele maanden proefdraaien is daarbij een probleem over het hoofd gezien”.

Jos van de Hulsbeek ontdekte het beveiligingslek bij toeval. Hij zocht naar de uitslagen van een goede vriend. Via enkele klikken kwam hij toevallig bij de persoonsgegevens van zijn vriend. Van de Hulsbeek tipte de redactie van Fiets. ”Ik vind dit een ernstige zaak. Je mag er toch van uitgaan dat een organisator van een mega evenement als de Marmotte zijn beveiliging op orde heeft”.

Creditcard

De redactie van Fiets zocht contact met Sportcommunication om hen op het beveiligingslek te wijzen. Na een enkele aarzeling werd actie ondernomen. Hoewel we in een database veranderingen konden aanbrengen, heeft dat volgens Bourdeau uiteindelijk geen kwalijke gevolgen. ”Het gaat om een kopie van de daadwerkelijk database. In onze hoofddata base kunnen van buitenaf geen veranderingen worden doorgevoerd”. Creditcard gegevens zijn volgens Bourdeau ook niet te raadplegen geweest. ”Dat loop allemaal via een website van de bank. Wij slaan geen bank en creditcard gegevens op”.

Bourdeau gaat er vanuit dat niemand misbruik heeft gemaakt van het beveiligingslek. ”We lopen het systeem vanavond nog een keer na om te kijken of er rare dingen zijn gebeurd. Ik hoop u daar later meer over te kunnen vertellen”.