Het zal je gebeuren. Denk je heel veilig vreemd te gaan. Blijkt dat iedereen die een e-mailadres van een ander invoert, boven water kan krijgen of die persoon ooit een profiel heeft aangemaakt om datingsite Second Love. Het lek is inmiddels gedicht, maar recentelijk bleek vreemdgaan via Second Love zeker niet “100% betrouwbaar” qua discretie. Een anonieme tipgever maakte melding van de mogelijkheid via een e-mailadres te controleren of iemand een account had. Nu.nl checkte het lek en verwittigde de datingsite.

Discretie voor alles

Second Love profileert zich als discrete datingsite waarmee in het geheim kan worden vreemdgegaan. Volgens de site zijn er in Nederland meer dan 500.000 geregistreerde bezoekers. Omdat veel gebruikers van deze  website anoniem willen blijven, zou het uitlekken van profielen voor nogal ongemakkelijke situaties kunnen zorgen. Stel je partner heeft enige twijfel over jouw gedrag, dan kan hij of zij door een e-mailadres in de adresbalk van de website in te voeren, checken of dat adres mogelijk een profiel heeft op de website. Betrouwbaarheid is net zo hoog als de betrouwbaarheid van de gebruikers.

Wachtwoord niet nodig

Zogenaamd je wachtwoord vergeten? Wanneer je, als niet gebruiker, deed alsof je je wachtwoord was vergeten, kon je aan een cijfer in de adresbalk zien of een bepaald e-mailadres in de database van Second Love voorkwam. Het bleek ook mogelijk dit proces te automatiseren. Zo was van veel adressen te achterhalen of die wel of niet geregistreerd waren. Erik Drost, oprichter van Second Love, bevestigt het mankement. “Dit is veroorzaakt door een foutje tijdens het programmeren. Het is echter niet vanzelfsprekend dat gebruikers naar het cijfer in het webadres kijken”, verklaart hij tegen Nu.nl.

Nieuw account

Lek op lek. Door gewoon met een e-mailadres een nieuw account aan te maken, kon worden gezien of dat e-mailadres al in gebruik was op de site. Ook dit lek is gedicht. De registratie- en inlogprocedure van Second Love verloopt niet via een beveiligde https-verbinding. Beveiligingsonderzoeker Mark Loman van Surfright noemt dat heel slecht. “Als je met inlognamen en wachtwoorden werkt, dan hoor je dat soort beveiliging in ieder geval in te zetten”, zegt hij. Als een verbinding niet wordt versleuteld met https worden alle gegevens als leesbare tekst verstuurd en is dit op openbare hotspots af te luisteren.

Site veilig?

Volgens Drost doen al veel gebruikers er wat aan om niet makkelijk betrapt te worden, al is dat niet met zekerheid te zeggen. Veel gebruikers hebben een Gmail- of Hotmail-adres zonder volledige naam. Het beste wat leden kunnen doen is geen persoonlijke informatie aan de site geven en een geheim e-mailadres gebruiken, zegt hij.

Nu de lekken zijn gedicht, wil dat nog niet zeggen dat de site volledig veilig is. Ben gewaarschuwd als je gaat daten.