0

Groot beveiligingslek in software van Apple

Nadat vorige week bekend werd dat er bij Uber een groot datalek had plaatsgevonden, is het deze week Apple die naar buiten komt met een datalek. In macOS High Sierra kunnen derden zogenaamde ‘root’-toegang verkrijgen tot computers die op dit besturingssysteem draaien  zonder dat een wachtwoord vereist is. Men kan het vergelijken met een loper die in staat is alle deuren te openen van een bepaald type. De bug werd ontdekt door een hacker en direct wereldkundig gemaakt via Twitter.

Hoewel Apple redelijk snel reageerde met een beveiligingsupdate zijn de mogelijke gevolgen voor de privacy van de gebruikers van het besturingssysteem groot. Hackers hebben immers zeer makkelijk toegang kunnen krijgen tot zeer veel computers. Dit heeft de hackers en/of kwaadwillende ook de kans gegeven om heimelijk virussen of malware software te installeren en deze te gebruiken. Uiteraard is dit nog niet vastgesteld, maar gezien de recentere malware zaken, ligt dit wel voor de hand.

Hoewel hier gevoelsmatig mogelijke sprake is van een beveiligingslek, is dit wel degelijk een datalek. En een datalek valt onder de Wet Meldplicht Datalekken. Het feit dat er hier vanwege een slechte beveiliging, toch sprake is van een datalek is dat de kans bestaat dat  de “aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen zal leiden” voor de betrokkenen. In die gevallen moet er hoe dan ook melding worden gemaakt bij de Autoriteit Persoonsgegevens.

Hoewel het bestaan van de bug, zoals dit beveiligingslek wordt genoemd, al publiekelijk bekend is, is er ook aanleiding voor Apple om melding te maken bij de betrokkenen zelf. Op grond artikel 34 lid 1 van de Algemene Verordening Persoonsgegevens (thans nog artikel 34a lid 2 van de Wet bescherming persoonsgegevens) dienen de betrokkenen ook in kennis gesteld te worden van het datalek, mits het datalek een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Gezien de gevoelige bestanden die mensen op hun computers opslaan en de haast onbeperkte toegang die het bug biedt tot deze bestanden, lijkt dit risico aanwezig. Het zal voor de hand liggen dat Apple geen risico neemt en dus zowel bij de toezichthouders als de betrokkenen melding maakt van dit datalek.