Personuppgiftsläcka hos Xenophon.se

En oskyddad administrativ webbsida hos Xenophon.se läcker kundinformation och webbloggar från 2004 till nutid, där allt från fullständiga namn och e-postadresser till telefonnummer och IP-adresser syns.

Sidan heter Xenophon Webb Admin 1.0 och kan nås av vem som helst med en webbläsare.

I menyn finns det sju länkar, varav fyra av dom fungerar. Under ”Kontakta mig!” finns det en lång lista med kunder som troligtvis har fyllt i ett kontaktformulär på Xenophons hemsida, som sedan har hamnat här. I listan finns det information om vilken klubb eller vilket företag som har skickat in förfrågan, samt namn på kontaktpersonen, vad de har skrivit, enhetsdata och IP-adress, e-postadress och mobilnummer.

Dessa finns det ett hundratal av, daterat mellan 2004-2018. GDPR trädde i kraft i maj 2018, och senaste förfrågan kom in i augusti 2018, d.v.s. strax efter GDPR började gälla. Togs formuläret bort efter dess?

Sedan fortsätter det med lite äldre data från ”Vill ha utvärderings-CD”, där främst kontaktuppgifter finns för en hel del olika klubbar och personer.

Några lite mer intressanta än andra…

Utöver detta finns det också en fullständig logg över alla som besöker Xenophon.se, där IP-adresser och URLer syns från 2017 till nutid.

Personuppgifter som dessa ska skyddas och inte publiceras öppet på nätet. Hur många har tagit del av dessa personuppgifter under de X antal år som de har legat fritt att hämta? Finns det något som inte är oskyddat i detta programmet?

Personuppgifter som har läckt:

  • För- och efternamn
  • Adresser
  • Ridklubbar
  • Mobilnummer
  • E-postadresser
  • Personnummer
  • Enhetsdata
  • Meddelanden till Xenophon/Prosperous
  • IP-adresser
  • Webbloggar

Prosperous AB har blivit kontaktade angående detta i augusti 2023 men har ej återkopplat eller tagit ner sidan. Detta inlägg har publicerats för att offentliggöra och sprida medvetenhet kring bristerna i Xenophon.


Fler inlägg om den bristande IT-säkerheten och problemen kring Minridskola/Xenophon:
Säkerhetsbrister i MinRidskola kvarstår ett år senare” samt ”Säkerhetsbrister inom MinRidskola.se

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *