Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

[website] beveiligingslek gemeld, geen verbetering

Pagina: 1
Acties:

  • ieperlingetje
  • Registratie: september 2007
  • Laatst online: 22:18
Beste tweakers,

Een aantal maanden geleden heb ik een beveiligingslek gemeld op een site, waardoor het mogelijk was persoonlijke gegevens op te vragen. (de truc was redelijk eenvoudig, in de url example.com/userDetails?ID=x het ID verhogen of verlagen met 1 gaf andere info terug). Ik heb dit lek gemeld aan de organisatie, waarna men zei dat men het zou oplossen. Nu 2 maanden verder is het probleem nog steeds niet opgelost. Welke mogelijkheden zijn er om dit probleem te gaan oplossen? Ik ben zelf klant bij die organisatie, dus om zomaar even tweakers er een artikel over te laten schrijven is niet echt de beste oplossing, aangezien ze meteen weten dat het van mij komt.

Volg de iTunes Top 100 van 112 landen


  • NMe
  • Registratie: februari 2004
  • Laatst online: 03:43

NMe

Admin DevschuurŽ
Dreigen je contract bij de eerste mogelijkheid op te zeggen omdat je gegevens te grabbel liggen lijkt me een goede eerste stap?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


  • Korvaag
  • Registratie: januari 2000
  • Laatst online: 23:15

Korvaag

Tweakers abonnee Tweakers abonnementen

Identity crisis is my job

Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen. 1 contract zal ze mogelijkerwijs worst zijn maar aandacht door justitie vinden ze wellicht wat vervelender. Grote klok kan ook nog natuurlijk maar dan zijn we weer wat stappen verder.

UNOX: The worst operating system


  • MAX3400
  • Registratie: mei 2003
  • Laatst online: 07:03

MAX3400

XBL: OctagonQontrol

Of netjes melden aan het CPBCBP... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPBCBP 2 minuten met ze heeft gebeld.

MAX3400 wijzigde deze reactie 03-01-2012 16:21 (5%)

Te koop: i7-2600K / 16GB / 10TB / 660Ti


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator SWS

Front verplichte underscores

Ik zou ook beginnen met NMe's tip: vooral richting "de business" aangeven (afdeling klantenservice CC afdeling sales, oid), niet iets als webmaster@ gebruiken.

Gezien het andere (en bredere) publiek zou ik dan de details van het lek weglaten en enkel zeggen dat persoonsgegevens van alle klanten op straat liggen en verder verwijzen naar de eerdere communicatie.

Verwijzen naar de WBP kan nooit kwaad.

F_J_K wijzigde deze reactie 03-01-2012 17:20 (0%)
Reden: E => e :P

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind'


  • NMe
  • Registratie: februari 2004
  • Laatst online: 03:43

NMe

Admin DevschuurŽ
quote:
Korvaag schreef op dinsdag 03 januari 2012 @ 16:17:
Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen.
Waarvan wil je precies aangifte doen dan? :)
quote:
MAX3400 schreef op dinsdag 03 januari 2012 @ 16:18:
Of netjes melden aan het CPB... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPB 2 minuten met ze heeft gebeld.
Het Centraal Planbureau doet daar niet zo veel mee, het College Bescherming Persoonsgegevens misschien wel. :+
quote:
edit:
F_J_K wijzigde dit bericht 03-01-2012 17:20 (0%)
Reden: E => e :P
_O_ :+

NMe wijzigde deze reactie 04-01-2012 13:05 (7%)

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


  • ieperlingetje
  • Registratie: september 2007
  • Laatst online: 22:18
Bedankt voor de reacties, ik heb nu mij mails gericht naar een algemeen emailadres van hen, hopen dat er verbetering in komt.

Volg de iTunes Top 100 van 112 landen


  • ieperlingetje
  • Registratie: september 2007
  • Laatst online: 22:18
Sorry voor deze grote schop, maar het probleem met deze site is nog steeds niet opgelost.CBPL (Commissie voor de bescherming
van de persoonlijke levenssfeer) op de hoogte gesteld van het probleem, zij hebben een dossier opgemaakt en zouden de betrokkenen hiervan op de hoogte stellen, maar dit is waarschijnlijk niet gebeurt aangezien het lek nog steeds bestaat.

Nu zou ik, om hen het belang van beveiliging duidelijk te maken, een 100-tal van die urls crawlen en de persoonlijke gegevens in een lijst stoppen en hen die mailen, alleen vermoed dat ik hiermee zelf ook in de problemen kan geraken. Mag ik zo een lijst samenstellen met als doel een probleem aan te duiden?

ieperlingetje wijzigde deze reactie 16-02-2012 21:15 (5%)

Volg de iTunes Top 100 van 112 landen


  • StevenK
  • Registratie: februari 2001
  • Laatst online: 07:25
Doorgeven aan Brenno de Winter?

Is advocaat maar reageert hier op persoonlijke titel.


  • ralpje
  • Registratie: november 2003
  • Nu online

ralpje

ondertitels zijn voor mietjes

Over wat voor organisatie (webwinkel? sportvereniging? bank? gemeente? hobbyclubje?) en wat voor gegeven (naam? wachtwoord? e-mail? telefoonnummers? creditcardgegevens?) hebben we het eigenlijk?
Met andere woorden: hoe groot is de impact?

Eos 30D - Tamron 17-50/2,8 - Canon 50/1,8 - Canon 90-300 - Speedlite 430EX - Minitracker Classic


  • ieperlingetje
  • Registratie: september 2007
  • Laatst online: 22:18
algemene gegevens zoals naam, familienaam, woonplaats, beroep, emailadres, gsm, telefoonnummer hobby's, dan wat specifieke gegevens zoals gewicht, lengte, huisdokter, medische informatie (het is een sportvereniging, dus medische info hebben ze nodig), toegangstijden (je ziet wanneer de klant ing- en uitgecheckt heeft in het complex).

Volg de iTunes Top 100 van 112 landen


  • Beatboxx
  • Registratie: april 2010
  • Laatst online: 10-08 17:50

Beatboxx

Certified n00b

Tuurlijk mag je die lijst samenstellen, lijkt mij dan.

soundcloud


  • iisschots
  • Registratie: november 2002
  • Laatst online: 07:18

iisschots

Moderator DPC/BV Tweakers abonnementen
quote:
Of gewoon aan Joost Schellevis van tweakers.net ;)

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!


  • gumtree
  • Registratie: maart 2001
  • Laatst online: 26-08 18:29
Heb dit recentelijk ook meegemaakt met een website van best wel belangrijke organisatie in Nederland, bij het bestellen van een product werden de creditcard en naw gegevens niet versleuteld doorgegeven, contact was alleen mogelijk via een contact formulier waarbij wederom niet versleuteld de NAW gegevens volledig bekend gemaakt moesten worden of telefonisch. Echter werd ik door de telefoniste doorverwezen naar een duur 0900 nummer.

Ik heb een subtiele tweet gestuurd, maar daarop is geen actie ondernomen, twijfel of ik nu de media moet informeren.


Moet mezelf herstellen, zojuist in de content gezien dat het invoer gedeelte als iframe in de http pagina wordt geladen, het komt mij alleen een beetje amateuristisch over. Dus data gaat wel over een versleutelde verbinding alleen zie je geen groen balkje, slotje of https in de navigatie balk.

gumtree wijzigde deze reactie 16-02-2012 23:23 (21%)


  • Joost
  • Registratie: november 2005
  • Laatst online: 07:29

Joost

Redacteur Tweakers abonnementen
quote:
iisschots schreef op donderdag 16 februari 2012 @ 22:01:
[...]


Of gewoon aan Joost Schellevis van tweakers.net ;)
Goed idee! TS kan mailen naar joost@tweakers.net, maar ik zal hem ook even benaderen :)

Ik ben helemaal geen stagiair


  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 06:47

Hmmbob

FKA 'Groentenboer'

Stom toeval: vanochtend lees ik dit topic, en zojuist zie ik dit:
Nieuw meldpunt voor hackers geopend
Een groep Nederlanders heeft een website gelanceerd waar hackers op anonieme wijze beveiligingslekken in websites en webapplicaties kunnen melden. De website responsible-disclosure.com heeft een internationaal karakter, maar richt zich initieel op Nederland. "De bedoeling van de website is dat mensen die datalekken hebben gevonden die bij ons aanmelden", zegt woordvoerder Pieter Hordijk tegenover Security.nl.

...
Maar ik denk dat via Tweakers.net ook een goede weg is :)

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • ieperlingetje
  • Registratie: september 2007
  • Laatst online: 22:18
Posten op tweakers of op disclosure.com is een goed idee als je anoniem bent, maar in dit geval weten ze wie ik ben en kunnen ze, als ze het vuil gaan spelen, mij hiervoor gaan vervolgen.

Volg de iTunes Top 100 van 112 landen


  • srdevil
  • Registratie: januari 2008
  • Laatst online: 27-08 06:39
Op het forum was ik even iets over privegegevens ed. aan het zoeken met betrekking tot het veranderen van een ID in de url, waarna andere informatie dan bedoeld uitgelezen kan worden.

hetzelfde geldt voor DPD (Postbedrijf)

http://extranet.dpd.de/cg...NewSearch&x=0&y=0

Je kan het ID in de url veranderen, maar nog simpeler, verander gewoon het nummer onder aan de pagina :'(

srdevil wijzigde deze reactie 23-02-2012 21:50 (0%)
Reden: typo

Pagina: 1


Populair: Tablets Mobiele netwerken Gamecontrollers Smartphones Apple Sony Microsoft Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013