Toon posts:

[website] beveiligingslek gemeld, geen verbetering

Pagina: 1
Acties:

dinsdag 3 januari 2012 16:07

Acties:
  • 0Henk 'm!
  • ieperlingetje
  • Registratie: September 2007
  • Laatst online: 20:20

ieperlingetje

Topicstarter
Beste tweakers,

Een aantal maanden geleden heb ik een beveiligingslek gemeld op een site, waardoor het mogelijk was persoonlijke gegevens op te vragen. (de truc was redelijk eenvoudig, in de url example.com/userDetails?ID=x het ID verhogen of verlagen met 1 gaf andere info terug). Ik heb dit lek gemeld aan de organisatie, waarna men zei dat men het zou oplossen. Nu 2 maanden verder is het probleem nog steeds niet opgelost. Welke mogelijkheden zijn er om dit probleem te gaan oplossen? Ik ben zelf klant bij die organisatie, dus om zomaar even tweakers er een artikel over te laten schrijven is niet echt de beste oplossing, aangezien ze meteen weten dat het van mij komt.

dinsdag 3 januari 2012 16:09

Acties:
  • 0Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 22-05 17:03

NMe

Quia Ego Sic Dico.

Dreigen je contract bij de eerste mogelijkheid op te zeggen omdat je gegevens te grabbel liggen lijkt me een goede eerste stap?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 3 januari 2012 16:17

Acties:
  • 0Henk 'm!
  • Korvaag
  • Registratie: Januari 2000
  • Laatst online: 20:24

Korvaag

Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen. 1 contract zal ze mogelijkerwijs worst zijn maar aandacht door justitie vinden ze wellicht wat vervelender. Grote klok kan ook nog natuurlijk maar dan zijn we weer wat stappen verder.

UNOX: The worst operating system

dinsdag 3 januari 2012 16:18

Acties:
  • 0Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 19-05 21:04

MAX3400

XBL: OctagonQontrol

Of netjes melden aan het CPBCBP... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPBCBP 2 minuten met ze heeft gebeld.

[Voor 5% gewijzigd door MAX3400 op 03-01-2012 16:21]

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

dinsdag 3 januari 2012 16:18

Acties:
  • 0Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik zou ook beginnen met NMe's tip: vooral richting "de business" aangeven (afdeling klantenservice CC afdeling sales, oid), niet iets als webmaster@ gebruiken.

Gezien het andere (en bredere) publiek zou ik dan de details van het lek weglaten en enkel zeggen dat persoonsgegevens van alle klanten op straat liggen en verder verwijzen naar de eerdere communicatie.

Verwijzen naar de WBP kan nooit kwaad.

[Voor 0% gewijzigd door F_J_K op 03-01-2012 17:20. Reden: E => e :P]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 3 januari 2012 16:19

Acties:
  • 0Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 22-05 17:03

NMe

Quia Ego Sic Dico.

Korvaag schreef op dinsdag 03 januari 2012 @ 16:17:
Of dreigen aangifte te doen omdat ze je persoonsgegevens niet goed beschermen.
Waarvan wil je precies aangifte doen dan? :)
MAX3400 schreef op dinsdag 03 januari 2012 @ 16:18:
Of netjes melden aan het CPB... Zal me niets verbazen als de betreffende organisatie dan ineens wel wat gaat doen zodra het CPB 2 minuten met ze heeft gebeld.
Het Centraal Planbureau doet daar niet zo veel mee, het College Bescherming Persoonsgegevens misschien wel. :+
edit:
F_J_K wijzigde dit bericht 03-01-2012 17:20 (0%)
Reden: E => e :P
_O_ :+

[Voor 7% gewijzigd door NMe op 04-01-2012 13:05]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 3 januari 2012 16:21

Acties:
  • 0Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 19-05 21:04

MAX3400

XBL: OctagonQontrol

NMe schreef op dinsdag 03 januari 2012 @ 16:19:
[...]

:+
Cheers... :X

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 4 januari 2012 13:03

Acties:
  • 0Henk 'm!
  • ieperlingetje
  • Registratie: September 2007
  • Laatst online: 20:20

ieperlingetje

Topicstarter
Bedankt voor de reacties, ik heb nu mij mails gericht naar een algemeen emailadres van hen, hopen dat er verbetering in komt.

donderdag 16 februari 2012 21:14

Acties:
  • 0Henk 'm!
  • ieperlingetje
  • Registratie: September 2007
  • Laatst online: 20:20

ieperlingetje

Topicstarter
Sorry voor deze grote schop, maar het probleem met deze site is nog steeds niet opgelost.CBPL (Commissie voor de bescherming
van de persoonlijke levenssfeer) op de hoogte gesteld van het probleem, zij hebben een dossier opgemaakt en zouden de betrokkenen hiervan op de hoogte stellen, maar dit is waarschijnlijk niet gebeurt aangezien het lek nog steeds bestaat.

Nu zou ik, om hen het belang van beveiliging duidelijk te maken, een 100-tal van die urls crawlen en de persoonlijke gegevens in een lijst stoppen en hen die mailen, alleen vermoed dat ik hiermee zelf ook in de problemen kan geraken. Mag ik zo een lijst samenstellen met als doel een probleem aan te duiden?

[Voor 5% gewijzigd door ieperlingetje op 16-02-2012 21:15]

donderdag 16 februari 2012 21:19

Acties:
  • 0Henk 'm!
  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 20:38

StevenK

Doorgeven aan Brenno de Winter?

Was advocaat maar vindt het juridische nog steeds leuk

donderdag 16 februari 2012 21:25

Acties:
  • 0Henk 'm!
  • ralpje
  • Registratie: November 2003
  • Nu online

ralpje

Deugpopje

Over wat voor organisatie (webwinkel? sportvereniging? bank? gemeente? hobbyclubje?) en wat voor gegeven (naam? wachtwoord? e-mail? telefoonnummers? creditcardgegevens?) hebben we het eigenlijk?
Met andere woorden: hoe groot is de impact?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 16 februari 2012 21:43

Acties:
  • 0Henk 'm!
  • ieperlingetje
  • Registratie: September 2007
  • Laatst online: 20:20

ieperlingetje

Topicstarter
algemene gegevens zoals naam, familienaam, woonplaats, beroep, emailadres, gsm, telefoonnummer hobby's, dan wat specifieke gegevens zoals gewicht, lengte, huisdokter, medische informatie (het is een sportvereniging, dus medische info hebben ze nodig), toegangstijden (je ziet wanneer de klant ing- en uitgecheckt heeft in het complex).

donderdag 16 februari 2012 21:45

Acties:
  • 0Henk 'm!
  • Beatboxx
  • Registratie: April 2010
  • Laatst online: 26-10-2022

Beatboxx

Certified n00b

Tuurlijk mag je die lijst samenstellen, lijkt mij dan.

donderdag 16 februari 2012 22:01

Acties:
  • 0Henk 'm!
  • iisschots
  • Registratie: November 2002
  • Laatst online: 27-05 16:55

iisschots

StevenK schreef op donderdag 16 februari 2012 @ 21:19:
Doorgeven aan Brenno de Winter?
Of gewoon aan Joost Schellevis van tweakers.net ;)

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

donderdag 16 februari 2012 23:05

Acties:
  • 0Henk 'm!
  • gumtree
  • Registratie: Maart 2001
  • Laatst online: 17:07

gumtree

Heb dit recentelijk ook meegemaakt met een website van best wel belangrijke organisatie in Nederland, bij het bestellen van een product werden de creditcard en naw gegevens niet versleuteld doorgegeven, contact was alleen mogelijk via een contact formulier waarbij wederom niet versleuteld de NAW gegevens volledig bekend gemaakt moesten worden of telefonisch. Echter werd ik door de telefoniste doorverwezen naar een duur 0900 nummer.

Ik heb een subtiele tweet gestuurd, maar daarop is geen actie ondernomen, twijfel of ik nu de media moet informeren.

Moet mezelf herstellen, zojuist in de content gezien dat het invoer gedeelte als iframe in de http pagina wordt geladen, het komt mij alleen een beetje amateuristisch over. Dus data gaat wel over een versleutelde verbinding alleen zie je geen groen balkje, slotje of https in de navigatie balk.

[Voor 21% gewijzigd door gumtree op 16-02-2012 23:23]

vrijdag 17 februari 2012 08:10

Acties:
  • 0Henk 'm!
  • Joost
  • Registratie: November 2005
  • Laatst online: 15-05 16:56

Joost

iisschots schreef op donderdag 16 februari 2012 @ 22:01:
[...]


Of gewoon aan Joost Schellevis van tweakers.net ;)
Goed idee! TS kan mailen naar joost@tweakers.net, maar ik zal hem ook even benaderen :)

Ik ben helemaal geen stagiair

zondag 19 februari 2012 12:40

Acties:
  • 0Henk 'm!
  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 26-05 12:49

Hmmbob

Stom toeval: vanochtend lees ik dit topic, en zojuist zie ik dit:
Nieuw meldpunt voor hackers geopend
Een groep Nederlanders heeft een website gelanceerd waar hackers op anonieme wijze beveiligingslekken in websites en webapplicaties kunnen melden. De website responsible-disclosure.com heeft een internationaal karakter, maar richt zich initieel op Nederland. "De bedoeling van de website is dat mensen die datalekken hebben gevonden die bij ons aanmelden", zegt woordvoerder Pieter Hordijk tegenover Security.nl.

...
Maar ik denk dat via Tweakers.net ook een goede weg is :)

Sometimes you need to plan for coincidence

dinsdag 21 februari 2012 18:04

Acties:
  • 0Henk 'm!
  • ieperlingetje
  • Registratie: September 2007
  • Laatst online: 20:20

ieperlingetje

Topicstarter
Posten op tweakers of op disclosure.com is een goed idee als je anoniem bent, maar in dit geval weten ze wie ik ben en kunnen ze, als ze het vuil gaan spelen, mij hiervoor gaan vervolgen.

donderdag 23 februari 2012 21:49

Acties:
  • 0Henk 'm!
  • srdevil
  • Registratie: Januari 2008
  • Laatst online: 09-05 20:55

srdevil

Op het forum was ik even iets over privegegevens ed. aan het zoeken met betrekking tot het veranderen van een ID in de url, waarna andere informatie dan bedoeld uitgelezen kan worden.

hetzelfde geldt voor DPD (Postbedrijf)

http://extranet.dpd.de/cg...internalNewSearch&x=0&y=0

Je kan het ID in de url veranderen, maar nog simpeler, verander gewoon het nummer onder aan de pagina :'(

[Voor 0% gewijzigd door srdevil op 23-02-2012 21:50. Reden: typo]

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee