OV-site lekt privacygevoelige data

ovfiets

Gepubliceerd: Maandag 30 maart 2009

Gebruikers van de OV-fietssite hadden toegang tot gegevens van andere gebruikers, waaronder bankrekeningnummers. De NS heeft het lek snel gedicht.

Toon volledig artikel

Zwooop op Maandag 30 Maart 2009 08:33

image

Het gebeurt echt veel te vaak. Zo lag een tijdje terug een complete lijst van alle klanten van 1 van onze toeleveranciers op straat. Met gewoon id=N en nog niet eens een hash. Toen ik het probleem wilde gaan aankaarten, kreeg ik te horen dat ik illegaal bezig was omdat het over een beschermde database ging. Het was een eenmalige en tijdelijke actie, en er is niets aan gedaan. Inmiddels is het vanwege het tijdelijke karakter weer offline, maar eigenlijk is het te zot voor woorden dat je zoiets bedenkt EN mensen afblaft die het onderzoeken.

  • 9 / 9

Internetexplorer op Maandag 30 Maart 2009 14:14

image

Was die database intern aangemaakt of door een extern ICT-bedrijf? In het laatste geval zou er toch op grond van wanprestatie op zijn minst een schadeclaim gelegd kunnen worden dan wel op kosten van dat bedrijf een reparatie van het lek dienen te volgen. Als je lef hebt (je bent tenslotte aan het klokkenluiden) kun je de CBP inlichten over gebrek aan beveiliging van persoonsgegevens.

  • 4 / 4

Zwooop op Maandag 30 Maart 2009 21:50

image

Het ging om zakelijke gegevens, die verwerkt werden door een derde partij. Niet echt de persoonsgegevens waarmee je bij het CBP kunt aankloppen. Een beetje vergelijkbaar met het grijze gebied van spam naar zakelijke emailadressen. Maargoed, je stemt soms gewoon met je voeten. Crude, but effective.

  • 0 / 0

GerardK op Maandag 30 Maart 2009 09:31

image

Heel, heel slordig. Verbazingwekkend dat er nog steeds IT afdelingen/bedrijven zijn die helemaal niets leren van alle nieuwsberichten hierover. Zo ingewikkeld is het allemaal niet.

  • 6 / 6

Puist ☺ op Maandag 30 Maart 2009 10:14

image

Omdat de e-mails gebruik maken van een volgnummer van klanten is het mogelijk alle accounts uit te lezen.
hahahhahahahhahaa. Prutsers! Zeker weer een stagiar bezig mee geweest die niet is voorgelicht.

  • -4 / 8

bthomas op Maandag 30 Maart 2009 11:16

image

Het is mijn fout en ik ben geen stagiair. In werkelijkheid lag het ook iets genuanceerder: ik heb MD5(relatienummer xor sleutel) gebruikt. Mobach vond echter via google (relatienummer xor sleutel), telde er 1 bij op en dat leverde natuurlijk weer een goed relatienummer op. Stom van mij! Mea culpa.

Ik troost mij met de gedachten dat wie geen fouten maakt ook niet werkt. En ik denk dat je kwaliteit pas echt afmeet aan de manier waarop je je fouten herstelt.

  • 14 / 16

Lennart op Maandag 30 Maart 2009 11:33

image zomerhack badge 3

Respect voor het publiekelijk toegeven van de fout, inderdaad iedereen maakt wel eens fouten en de beste stuurlui staan altijd aan wal.

  • 8 / 8

Knowland op Maandag 30 Maart 2009 11:55

image zomerhack badge 2

Ik ben wel benieuwd naar de oplossing die je gaat toepassen. Hier kunnen immers andere ook van leren.

Zelf gebruik ik altijd de combinatie ID nummer en een secret code, dat random wordt gecreërd zodra er een user wordt aangemaakt. In alle automatische mails moet het random nummer overeenkomen in de database voor dat ID. Hierdoor kan je niet zomaar wat gokken of via rainbow lijsten aan de slag.

  • 6 / 6

bthomas op Maandag 30 Maart 2009 12:57

image

Ik weet het nog niet, maar ik denk zoiets als jij zegt. In ieder geval mag Mobach er eerst even naar kijken als ie dat wil. Misschien krijg ik ook wel andere instructies van de NS.

  • 8 / 8

dlerew op Dinsdag 31 Maart 2009 04:00

image

Ja, lijkt me echt werkelijk fantastisch om zo met je beveiliging om te gaan... not! De eerste de beste creatieveling (no offence) naar je beveiliging laten kijken en hier bijna gaan bespreken wat het zou kunnen gaan worden. Als er iets mis gaat en een uitleg geven wat dat was, ja daar vind ik weinig verkeerds aan. Maar beveiliging graag wel serieus nemen op het moment dat je het wel nodig hebt.

  • 0 / 0

Puist ☺ op Maandag 30 Maart 2009 13:48

image

maandagmorgen... Dat MD5 stukje heb ik niet goed gelezen. Dus mijn opmerking mag je negeren.

  • 4 / 4

Brenno de Winter (brenno@dewinter.com) op Maandag 30 Maart 2009 17:12

image

Niet alleen kudo's. Ik heb in het artikel ook laten doorschemeren dat je heel snel reageerde. Dat was echt uitzonderlijk. Ik zou willen dat iedereen zo in security stond.

  • 3 / 3

dlerew op Maandag 30 Maart 2009 21:37

image

Het valt me op dat het een fout is die een tekort aan inzicht in veilig programmeren kenmerkt en zeker ook door een goede audit door een gerenommeerd externe IT-beveiligingsbedrijf op gebied van software gezien had geweest. Ik zal maar niet vragen hoe het zover heeft kunnen komen, want deze software voor het publieke domein ontwikkel je niet in je eentje... Alle goede intenties ten spijt, ik vind dit meer dan blunderen van een ontwikkelaar.

  • 0 / 0

gobo op Dinsdag 31 Maart 2009 12:31

image

Ik kan het helaas niet meer vinden, maar ik heb dit al een paar jaar geleden gerapporteerd. Het viel me toen al op dat je toegang kreeg tot je gegevens met een pseudo-random URL.

Toegang geven tot persoonsinformatie inclusief bankgegevens met alleen een (pseudo-)random gegenereerde URL kan gewoon niet. Ik heb toen die IDs niet verder geanalyseerd, maar het leek me dat je zelfs met brute-force attack ook al aardig wat zou kunnen vangen.

Jammer dat het nodig was om daar een echte exploit voor te hebben voordat dit gefixed werd.


Overigens geven mensen hier de NS de schuld, maar de schuldige was de club die OV-fiets eerder had opgezet. De NS heeft de hele handel vorig jaar overgenomen, maar het draait allemaal nog steeds op datzelfde systeem.

  • 0 / 0

Sokolum op Maandag 30 Maart 2009 10:26

image

Dit vindt ik gewoon niet kunnen. Maakt niet uit wie dit heeft gedaan, het is gewoon schandalig dat dit heeft kunnen gebeuren.

  • 0 / 6

Heiko op Maandag 30 Maart 2009 10:39

image

Uitermate slordig, maar het siert de NS dat ze dit zo snel hebben dichtgegooid (en dat op een vrijdagavond!).

  • 4 / 6

niksteverbergen op Maandag 30 Maart 2009 11:46

image

Is mijn reactie weggehaald? Hij scoorde plusjes en was in normaal NL taalgebruik, ik vraag me af wat ik niet had mogen zeggen.

  • -2 / 4

Internetexplorer op Maandag 30 Maart 2009 14:16

image

Je naam moet toch ergens op slaan? ;-)

  • -4 / 4

plantie op Maandag 30 Maart 2009 11:47

image

Fouten maken kan idd gebeuren.
Wat ik alleen zo erg vind is dat van deze fouten niet geleerd wordt door de politiek.

Ingevoerd wordt een elektronisch patientendossier.
ingevoerd wordt een elektronisch kind dossier
ingevoerd wordt een DIGID
ingevoerd wordt een ov-chipkaart
ingevoerd wordt de kilometerheffing
ingevoerd wordt een "slimme" energiemeter
(helaas: etc.)

Bij geen van al deze zaken wordt door de politiek de mogelijkheid bekeken dat er fouten gemaakt gaan worden.
Dat achten de politici en de adviserende ambtenaren -blijkbaar- onmogelijk.
Dus wordt het -verplicht- ingevoerd.

Dat vind ik triest.

  • 3 / 3

Lennart op Maandag 30 Maart 2009 12:15

image zomerhack badge 3

Ik wist niet dat de NS weer in overheidshanden was??

  • 2 / 6

Ronald123 op Maandag 30 Maart 2009 12:51

image

Alle aandelen zijn in handen van de staat.

  • 3 / 5

Brenno de Winter (brenno@dewinter.com) op Maandag 30 Maart 2009 17:13

image

Ja maar zo kijkt de NS toch niet. Ze vinden zichzelf geen bestuursorgaan.

  • 2 / 2

Ronald123 op Maandag 30 Maart 2009 13:00

image

Uit de bewuste email: Vorige maand vroegen wij u om uw persoonlijke gegevens te checken op Mijn OV-fiets. Hebt u dat nog niet gedaan? Nu is het nog makkelijker om dit even te doen. Klik hier en u komt direct uit bij uw eigen gegevens, ter controle en verbetering. Had u uw gegevens al wel gecheckt, wilt u dan nog even uw geboortedatum toevoegen? Daarmee maakt u uw gegevens echt compleet. Alvast hartelijk dank voor uw moeite.
De hele toestand is zo te zien ontstaan doordat een marketingpief zonodig de geboortedatum van de fietsers wilde weten. Volstrekt overbodig voor deze dienst, lijkt mij.

  • 3 / 3

Internetexplorer op Maandag 30 Maart 2009 14:19

image

Nou nee. In de wet staan leeftijdscriteria voor aansprakelijkheid en handelingsbevoegdheid. Dus interesseert leeftijd iedereen die zakelijk handelt.

  • 2 / 2

steltenpower op Maandag 30 Maart 2009 16:35

image

Volgens mij wordt iemand op basis van leeftijd alleen maar meer aansprakelijk tot op een bepaalde leeftijd het maximum is bereikt.
In dat geval hoef je geen geboortedatum op te slaan, maar kan je volstaan met Maximaal_Aansprakelijk=TRUE;

  • -2 / 2

dlerew op Maandag 30 Maart 2009 17:32

image

Dit is overigens ook voor de NS niet eens de eerste keer dat er wel erg makkelijk in andermans gegevens kan gekeken worden!
Ik kan me herinneren dat de abonnementgegevens voor de kortingskaarten een jaar of 1,2 geleden in te zien waren...
De NS laat hun zaken niet grondig genoeg nakijken is mijn indruk.

  • 0 / 0

dlerew op Dinsdag 31 Maart 2009 04:04

image

O ja, gevonden: http://webwereld.nl/nieuws/48156/klantgegevens-ns-op-straat-door-registratiefout.html
Nog zo een geweldige oplossing van de heren en dames ontwikkelaars. Wanneer gaan we daar eens leren van de fouten? Beveiliging is geen spelletje waar je maar gaat hopen dat je slimmer bent dan de rest.

  • 0 / 0

Om te kunnen reageren, dient u ingelogd te zijn.

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Peiling

Loading Poll

Video: World Tech Update: Darpa's robot oorl...

World Tech Update: Darpa's robot oorlogspaard (video)

Verleden nieuws