[website] beveiligingslek gemeld, geen verbetering - Privacy en beveiliging

dinsdag 3 januari 2012 16:07

Acties:

0 Henk 'm!

Topicstarter

Matched: beveiligingslek

Beste tweakers,

Een aantal maanden geleden heb ik een beveiligingslek gemeld op een site, waardoor het mogelijk was persoonlijke gegevens op te vragen. (de truc was redelijk eenvoudig, in de url example.com/userDetails?ID=x het ID verhogen of verlagen met 1 gaf andere info terug). Ik heb dit lek gemeld aan de organisatie, waarna men zei dat men het zou oplossen. Nu 2 maanden verder is het probleem nog steeds niet opgelost. Welke mogelijkheden zijn er om dit probleem te gaan oplossen? Ik ben zelf klant bij die organisatie, dus om zomaar even tweakers er een artikel over te laten schrijven is niet echt de beste oplossing, aangezien ze meteen weten dat het van mij komt.

Tijdmachine | Nieuws trends

dinsdag 3 januari 2012 16:09

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Geen matches

Dreigen je contract bij de eerste mogelijkheid op te zeggen omdat je gegevens te grabbel liggen lijkt me een goede eerste stap?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 3 januari 2012 16:17

Acties:

0 Henk 'm!

Korvaag

Geen matches

Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen. 1 contract zal ze mogelijkerwijs worst zijn maar aandacht door justitie vinden ze wellicht wat vervelender. Grote klok kan ook nog natuurlijk maar dan zijn we weer wat stappen verder.

UNOX: The worst operating system

dinsdag 3 januari 2012 16:18

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Geen matches

Of netjes melden aan het CPBCBP... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPBCBP 2 minuten met ze heeft gebeld.

[ Voor 5% gewijzigd door MAX3400 op 03-01-2012 16:21 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 3 januari 2012 16:18

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Geen matches

Ik zou ook beginnen met NMe's tip: vooral richting "de business" aangeven (afdeling klantenservice CC afdeling sales, oid), niet iets als webmaster@ gebruiken.

Gezien het andere (en bredere) publiek zou ik dan de details van het lek weglaten en enkel zeggen dat persoonsgegevens van alle klanten op straat liggen en verder verwijzen naar de eerdere communicatie.

Verwijzen naar de WBP kan nooit kwaad.

[ Voor 0% gewijzigd door F_J_K op 03-01-2012 17:20 . Reden: E => e :P ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 3 januari 2012 16:19

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Geen matches

Korvaag schreef op dinsdag 03 januari 2012 @ 16:17:
Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen.

Waarvan wil je precies aangifte doen dan?

MAX3400 schreef op dinsdag 03 januari 2012 @ 16:18:
Of netjes melden aan het CPB... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPB 2 minuten met ze heeft gebeld.

Het Centraal Planbureau doet daar niet zo veel mee, het College Bescherming Persoonsgegevens misschien wel.

edit:
F_J_K wijzigde dit bericht 03-01-2012 17:20 (0%)
Reden: E => e

[ Voor 7% gewijzigd door NMe op 04-01-2012 13:05 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 3 januari 2012 16:21

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Geen matches

NMe schreef op dinsdag 03 januari 2012 @ 16:19:
[...]

Cheers...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 4 januari 2012 13:03

Acties:

0 Henk 'm!

ieperlingetje

Topicstarter

Geen matches

Bedankt voor de reacties, ik heb nu mij mails gericht naar een algemeen emailadres van hen, hopen dat er verbetering in komt.

Tijdmachine | Nieuws trends

donderdag 16 februari 2012 21:14

Acties:

0 Henk 'm!

ieperlingetje

Topicstarter

Geen matches

Sorry voor deze grote schop, maar het probleem met deze site is nog steeds niet opgelost.CBPL (Commissie voor de bescherming
van de persoonlijke levenssfeer) op de hoogte gesteld van het probleem, zij hebben een dossier opgemaakt en zouden de betrokkenen hiervan op de hoogte stellen, maar dit is waarschijnlijk niet gebeurt aangezien het lek nog steeds bestaat.

Nu zou ik, om hen het belang van beveiliging duidelijk te maken, een 100-tal van die urls crawlen en de persoonlijke gegevens in een lijst stoppen en hen die mailen, alleen vermoed dat ik hiermee zelf ook in de problemen kan geraken. Mag ik zo een lijst samenstellen met als doel een probleem aan te duiden?

[ Voor 5% gewijzigd door ieperlingetje op 16-02-2012 21:15 ]

Tijdmachine | Nieuws trends

donderdag 16 februari 2012 21:19

Acties:

0 Henk 'm!

StevenK

Geen matches

Doorgeven aan Brenno de Winter?

Was advocaat maar vindt het juridische nog steeds leuk

donderdag 16 februari 2012 21:25

Acties:

0 Henk 'm!

ralpje

Deugpopje

Geen matches

Over wat voor organisatie (webwinkel? sportvereniging? bank? gemeente? hobbyclubje?) en wat voor gegeven (naam? wachtwoord? e-mail? telefoonnummers? creditcardgegevens?) hebben we het eigenlijk?
Met andere woorden: hoe groot is de impact?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 16 februari 2012 21:43

Acties:

0 Henk 'm!

ieperlingetje

Topicstarter

Geen matches

algemene gegevens zoals naam, familienaam, woonplaats, beroep, emailadres, gsm, telefoonnummer hobby's, dan wat specifieke gegevens zoals gewicht, lengte, huisdokter, medische informatie (het is een sportvereniging, dus medische info hebben ze nodig), toegangstijden (je ziet wanneer de klant ing- en uitgecheckt heeft in het complex).

Tijdmachine | Nieuws trends

donderdag 16 februari 2012 21:45

Acties:

0 Henk 'm!

Beatboxx

Certified n00b

Geen matches

Tuurlijk mag je die lijst samenstellen, lijkt mij dan.

donderdag 16 februari 2012 22:01

Acties:

0 Henk 'm!

iisschots

Geen matches

StevenK schreef op donderdag 16 februari 2012 @ 21:19:
Doorgeven aan Brenno de Winter?

Of gewoon aan Joost Schellevis van tweakers.net

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 16 februari 2012 23:05

Acties:

0 Henk 'm!

gumtree

Geen matches

Heb dit recentelijk ook meegemaakt met een website van best wel belangrijke organisatie in Nederland, bij het bestellen van een product werden de creditcard en naw gegevens niet versleuteld doorgegeven, contact was alleen mogelijk via een contact formulier waarbij wederom niet versleuteld de NAW gegevens volledig bekend gemaakt moesten worden of telefonisch. Echter werd ik door de telefoniste doorverwezen naar een duur 0900 nummer.

Ik heb een subtiele tweet gestuurd, maar daarop is geen actie ondernomen, twijfel of ik nu de media moet informeren.

Moet mezelf herstellen, zojuist in de content gezien dat het invoer gedeelte als iframe in de http pagina wordt geladen, het komt mij alleen een beetje amateuristisch over. Dus data gaat wel over een versleutelde verbinding alleen zie je geen groen balkje, slotje of https in de navigatie balk.

[ Voor 21% gewijzigd door gumtree op 16-02-2012 23:23 ]

vrijdag 17 februari 2012 08:10

Acties:

0 Henk 'm!

Joost

Geen matches

iisschots schreef op donderdag 16 februari 2012 @ 22:01:
[...]

Of gewoon aan Joost Schellevis van tweakers.net

Goed idee! TS kan mailen naar joost@tweakers.net, maar ik zal hem ook even benaderen

Ik ben helemaal geen stagiair

zondag 19 februari 2012 12:40

Acties:

0 Henk 'm!

Hmmbob

Matched: beveiligingslek

Stom toeval: vanochtend lees ik dit topic, en zojuist zie ik dit:

quote: http://www.security.nl/ar...voor_hackers_geopend.html
Nieuw meldpunt voor hackers geopend
Een groep Nederlanders heeft een website gelanceerd waar hackers op anonieme wijze beveiligingslekken in websites en webapplicaties kunnen melden. De website responsible-disclosure.com heeft een internationaal karakter, maar richt zich initieel op Nederland. "De bedoeling van de website is dat mensen die datalekken hebben gevonden die bij ons aanmelden", zegt woordvoerder Pieter Hordijk tegenover Security.nl.

...

Maar ik denk dat via Tweakers.net ook een goede weg is

Sometimes you need to plan for coincidence

dinsdag 21 februari 2012 18:04

Acties:

0 Henk 'm!

ieperlingetje

Topicstarter

Geen matches

Posten op tweakers of op disclosure.com is een goed idee als je anoniem bent, maar in dit geval weten ze wie ik ben en kunnen ze, als ze het vuil gaan spelen, mij hiervoor gaan vervolgen.

Tijdmachine | Nieuws trends

donderdag 23 februari 2012 21:49

Acties:

0 Henk 'm!

srdevil

Geen matches

Op het forum was ik even iets over privegegevens ed. aan het zoeken met betrekking tot het veranderen van een ID in de url, waarna andere informatie dan bedoeld uitgelezen kan worden.

hetzelfde geldt voor DPD (Postbedrijf)

http://extranet.dpd.de/cg...internalNewSearch&x=0&y=0

Je kan het ID in de url veranderen, maar nog simpeler, verander gewoon het nummer onder aan de pagina

[ Voor 0% gewijzigd door srdevil op 23-02-2012 21:50 . Reden: typo ]