[website] beveiligingslek gemeld, geen verbetering

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • ieperlingetje
  • Registratie: September 2007
  • Niet online
Matched: beveiligingslek
Beste tweakers,

Een aantal maanden geleden heb ik een beveiligingslek gemeld op een site, waardoor het mogelijk was persoonlijke gegevens op te vragen. (de truc was redelijk eenvoudig, in de url example.com/userDetails?ID=x het ID verhogen of verlagen met 1 gaf andere info terug). Ik heb dit lek gemeld aan de organisatie, waarna men zei dat men het zou oplossen. Nu 2 maanden verder is het probleem nog steeds niet opgelost. Welke mogelijkheden zijn er om dit probleem te gaan oplossen? Ik ben zelf klant bij die organisatie, dus om zomaar even tweakers er een artikel over te laten schrijven is niet echt de beste oplossing, aangezien ze meteen weten dat het van mij komt.

Tijdmachine | Nieuws trends


Acties:
  • 0 Henk 'm!

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

Geen matches
Dreigen je contract bij de eerste mogelijkheid op te zeggen omdat je gegevens te grabbel liggen lijkt me een goede eerste stap?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0 Henk 'm!

  • Korvaag
  • Registratie: Januari 2000
  • Laatst online: 16:29
Geen matches
Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen. 1 contract zal ze mogelijkerwijs worst zijn maar aandacht door justitie vinden ze wellicht wat vervelender. Grote klok kan ook nog natuurlijk maar dan zijn we weer wat stappen verder.

UNOX: The worst operating system


Acties:
  • 0 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Geen matches
Of netjes melden aan het CPBCBP... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPBCBP 2 minuten met ze heeft gebeld.

[ Voor 5% gewijzigd door MAX3400 op 03-01-2012 16:21 ]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Geen matches
Ik zou ook beginnen met NMe's tip: vooral richting "de business" aangeven (afdeling klantenservice CC afdeling sales, oid), niet iets als webmaster@ gebruiken.

Gezien het andere (en bredere) publiek zou ik dan de details van het lek weglaten en enkel zeggen dat persoonsgegevens van alle klanten op straat liggen en verder verwijzen naar de eerdere communicatie.

Verwijzen naar de WBP kan nooit kwaad.

[ Voor 0% gewijzigd door F_J_K op 03-01-2012 17:20 . Reden: E => e :P ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

Geen matches
Korvaag schreef op dinsdag 03 januari 2012 @ 16:17:
Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen.
Waarvan wil je precies aangifte doen dan? :)
MAX3400 schreef op dinsdag 03 januari 2012 @ 16:18:
Of netjes melden aan het CPB... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPB 2 minuten met ze heeft gebeld.
Het Centraal Planbureau doet daar niet zo veel mee, het College Bescherming Persoonsgegevens misschien wel. :+
edit:
F_J_K wijzigde dit bericht 03-01-2012 17:20 (0%)
Reden: E => e :P
_O_ :+

[ Voor 7% gewijzigd door NMe op 04-01-2012 13:05 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Geen matches

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • 0 Henk 'm!

  • ieperlingetje
  • Registratie: September 2007
  • Niet online
Geen matches
Bedankt voor de reacties, ik heb nu mij mails gericht naar een algemeen emailadres van hen, hopen dat er verbetering in komt.

Tijdmachine | Nieuws trends


  • ieperlingetje
  • Registratie: September 2007
  • Niet online
Geen matches
Sorry voor deze grote schop, maar het probleem met deze site is nog steeds niet opgelost.CBPL (Commissie voor de bescherming
van de persoonlijke levenssfeer) op de hoogte gesteld van het probleem, zij hebben een dossier opgemaakt en zouden de betrokkenen hiervan op de hoogte stellen, maar dit is waarschijnlijk niet gebeurt aangezien het lek nog steeds bestaat.

Nu zou ik, om hen het belang van beveiliging duidelijk te maken, een 100-tal van die urls crawlen en de persoonlijke gegevens in een lijst stoppen en hen die mailen, alleen vermoed dat ik hiermee zelf ook in de problemen kan geraken. Mag ik zo een lijst samenstellen met als doel een probleem aan te duiden?

[ Voor 5% gewijzigd door ieperlingetje op 16-02-2012 21:15 ]

Tijdmachine | Nieuws trends


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 18:27
Geen matches
Doorgeven aan Brenno de Winter?

Was advocaat maar vindt het juridische nog steeds leuk


  • ralpje
  • Registratie: November 2003
  • Laatst online: 12:52

ralpje

Deugpopje

Geen matches
Over wat voor organisatie (webwinkel? sportvereniging? bank? gemeente? hobbyclubje?) en wat voor gegeven (naam? wachtwoord? e-mail? telefoonnummers? creditcardgegevens?) hebben we het eigenlijk?
Met andere woorden: hoe groot is de impact?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer


  • ieperlingetje
  • Registratie: September 2007
  • Niet online
Geen matches
algemene gegevens zoals naam, familienaam, woonplaats, beroep, emailadres, gsm, telefoonnummer hobby's, dan wat specifieke gegevens zoals gewicht, lengte, huisdokter, medische informatie (het is een sportvereniging, dus medische info hebben ze nodig), toegangstijden (je ziet wanneer de klant ing- en uitgecheckt heeft in het complex).

Tijdmachine | Nieuws trends


  • Beatboxx
  • Registratie: April 2010
  • Laatst online: 26-10-2022

Beatboxx

Certified n00b

Geen matches
Tuurlijk mag je die lijst samenstellen, lijkt mij dan.

  • iisschots
  • Registratie: November 2002
  • Laatst online: 17-09 10:35
Geen matches
Of gewoon aan Joost Schellevis van tweakers.net ;)

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!


  • gumtree
  • Registratie: Maart 2001
  • Laatst online: 11:23
Geen matches
Heb dit recentelijk ook meegemaakt met een website van best wel belangrijke organisatie in Nederland, bij het bestellen van een product werden de creditcard en naw gegevens niet versleuteld doorgegeven, contact was alleen mogelijk via een contact formulier waarbij wederom niet versleuteld de NAW gegevens volledig bekend gemaakt moesten worden of telefonisch. Echter werd ik door de telefoniste doorverwezen naar een duur 0900 nummer.

Ik heb een subtiele tweet gestuurd, maar daarop is geen actie ondernomen, twijfel of ik nu de media moet informeren.


Moet mezelf herstellen, zojuist in de content gezien dat het invoer gedeelte als iframe in de http pagina wordt geladen, het komt mij alleen een beetje amateuristisch over. Dus data gaat wel over een versleutelde verbinding alleen zie je geen groen balkje, slotje of https in de navigatie balk.

[ Voor 21% gewijzigd door gumtree op 16-02-2012 23:23 ]


Acties:
  • 0 Henk 'm!

  • Joost
  • Registratie: November 2005
  • Laatst online: 23-09 11:16
Geen matches
iisschots schreef op donderdag 16 februari 2012 @ 22:01:
[...]


Of gewoon aan Joost Schellevis van tweakers.net ;)
Goed idee! TS kan mailen naar joost@tweakers.net, maar ik zal hem ook even benaderen :)

Ik ben helemaal geen stagiair


Acties:
  • 0 Henk 'm!

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 17:42
Matched: beveiligingslek
Stom toeval: vanochtend lees ik dit topic, en zojuist zie ik dit:
Nieuw meldpunt voor hackers geopend
Een groep Nederlanders heeft een website gelanceerd waar hackers op anonieme wijze beveiligingslekken in websites en webapplicaties kunnen melden. De website responsible-disclosure.com heeft een internationaal karakter, maar richt zich initieel op Nederland. "De bedoeling van de website is dat mensen die datalekken hebben gevonden die bij ons aanmelden", zegt woordvoerder Pieter Hordijk tegenover Security.nl.

...
Maar ik denk dat via Tweakers.net ook een goede weg is :)

Sometimes you need to plan for coincidence


Acties:
  • 0 Henk 'm!

  • ieperlingetje
  • Registratie: September 2007
  • Niet online
Geen matches
Posten op tweakers of op disclosure.com is een goed idee als je anoniem bent, maar in dit geval weten ze wie ik ben en kunnen ze, als ze het vuil gaan spelen, mij hiervoor gaan vervolgen.

Tijdmachine | Nieuws trends


  • srdevil
  • Registratie: Januari 2008
  • Laatst online: 04-11-2024
Geen matches
Op het forum was ik even iets over privegegevens ed. aan het zoeken met betrekking tot het veranderen van een ID in de url, waarna andere informatie dan bedoeld uitgelezen kan worden.

hetzelfde geldt voor DPD (Postbedrijf)

http://extranet.dpd.de/cg...internalNewSearch&x=0&y=0

Je kan het ID in de url veranderen, maar nog simpeler, verander gewoon het nummer onder aan de pagina :'(

[ Voor 0% gewijzigd door srdevil op 23-02-2012 21:50 . Reden: typo ]

Pagina: 1