Bij toeval kwamen enkele twitteraars er achter dat het erg eenvoudig bleek te zijn om gratis toegang te krijgen tot reisrevue.nl en alle gegevens van de betalende leden in te zien. Door een link naar een artikel aan te klikken die een van de reisrevue leden had geplaatst op twitter kon men het artikel ook als niet-lid openen. Eenmaal op de site konden toen eenvoudig de gegevens van dat lid bekeken en ook aangepast worden. De bewuste twitteraars hebben geprobeerd om de links te verwijderen maar doordat deze al flink “ge-retweet” werd bleek verspreiding niet te stoppen.
Na wat verder kijken bleek het erg eenvoudig om met het mailadres van een willekeurig lid deze gegevens te bekijken en te openen. Zo ook van hoofdredacteur en eigenaar Jan Lokhof. In de middag van 16 januari kwam het lek boven drijven. Maar omdat de twitteraars het enkel melden via twitter duurde het nog ruim een dag voordat de ernst doordrong tot de hoofdredactie.
De twee gaten in de beveiliging zijn woensdag opgelost en het is nu niet meer mogelijk om de gegevens van anderen te bekijken. Hoofdredacteur Jan Lokhof geeft in een reactie aan de beveiliging toch nog verder op te voeren; “Dan kan de nieuwsbrief geen incidenteel vehikel meer zijn om anderen toegang te geven tot de inlog bij derden.“.
De ernst van het lek was beperkt, men moest minimaal het e-mail adres van een betalend lid hebben, en dan nog waren er geen transactie gegevens te bekijken. Maar toch blijkt hieruit dat beveiliging voor iedere online ondernemer een belangrijk aandachtspunt moet zijn.
Reisrevue.nl is sinds december 2009 alleen toegankelijk voor betalende leden. Destijds leverde de invoering van de blokkade verhitte discussies op.
Ik begrijp niet waarom Reisrevue zo moeilijk doet over login en geen login. Schrap gewoon de papieren versie en breng een iPad versie uit. Breidt tevens de online versie uit, en vergroot hiermee je advertentie inkomsten. Hallo! Het gaat om openheid en de mogelijkheid om te delen.
fijn dat er ook credits uitgedeeld zijn.