Annapa.com zo lek als vergiet

_joepie_ had ons via de newssubmit het volgende te melden:

Door een fout in de beveiliging is het enkele dagen mogelijk geweest de gegevens van bijna 20.000 gebruikers van het virtuele kantoor Annapa.com in te zien.
Het bedrijf probeert momenteel met een miljoenen kostende reclamecampagne bedrijven over te halen een deel van hun kantoorzaken via internet te gaan doen. Investeerders in Annapa zijn onder meer Twinning en NIB Capital Private Equity.

Een systeemontwerper bij een grote automatiseerder ontdekte gisteren het lek in de website. Zonder de beveiliging te kraken was het mogelijk de gebruikersgegevens in te zien.
Door in de adresregel een willekeurig nummer in te vullen, waren bedrijfsnaam, voor- en achternaam, functie, telefoonnummer en e-mailadres van de gebruikers van de dienst te bekijken. Ook konden notities gelezen of aangemaakt worden.

Volgens een beveiligingsdeskundige was het zelfs mogelijk abonnees van de dienst uit te sluiten door hun wachtwoord te veranderen. "Het is een fluitje van een cent de hele database over te halen naar de eigen computer", zei hij. Dergelijke bestanden zijn uitermate geschikt voor marketingdoeleinden.

Annapa moet als vervanging dienen voor eenvoudige programma's die nu nog vaak op de kantoorcomputer zelf draaien. Via de gratis dienst kan via de website worden gewerkt in bijvoorbeeld het adresboek of de agenda.

Op de website stelt Annapa privacy "enorm belangrijk" te vinden. Het bedrijf zegt daarom voor een goede beveiliging van de gegevens te zorgen en heeft accountantskantoor Arthur Andersen gevraagd te controleren of de privacy gewaarborgd is.