vrijdag 11 november 2016 16:00

Acties:
  • 0 Henk 'm!
  • WPN
  • Registratie: Augustus 2003
  • Laatst online: 24-07 21:14

WPN

Topicstarter
Ik ben bezig op dit moment om mijn betalingskenmerk te achterhalen van een bedrag dat ik aan de belastingdienst terug moet betalen (helaas)

Via de hoofdsite van de belastingdienst kan je komen op de speciale site om je betalingskenmerk op te zoeken.
Op deze pagina moet je je BSN nummer invoeren, een letter en een toeslagnummer. Vervolgens wordt er doormiddel van een button en een onclick event een berekening gedaan.

Dit gebeurt op een reguliere http verbinding, niet op een https verbinding. Zijn er anderen die dit onveilig vinden ondanks dat er op eerste gezicht zo te zien niets over internet verstuurd wordt?

Daarnaast valt mij overigens ook op dat het betalingskenmerk op 1 cijfer na het gehele BSN nummer in zich heeft. Alleen het laatste cijfer mist.... Maakt het kenmerk natuurlijk behoorlijk uniek maar ook weer privacy gevoelig item...

Ben ik nu te paranoia?! :)

Als ik denk zoals ik dacht, dan doe ik zoals ik deed, als ik doe zoals ik deed, dan denk ik zoals ik dacht! Cogito Ergo Sum

vrijdag 11 november 2016 16:04

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Het maakt niks uit, de berekening wordt lokaal uitgevoerd. De scripts worden misschien via HTTP geladen, maar daarna vindt er geen communicatie meer plaats (tenzij je niet alle plaatjes gecached hebt, dan worden bttn_help_ro.gif en pyl_help2.gif nog geladen tijdens het verwerken van het formulier). De gegevens gaan dus naar niemand toe. Dat hoeft ook niet, om dat je kenmerk aan de hand van een simpele formule gemaakt wordt, en die kan je ook met pen en papier zelf uitvoeren ;-)

[ Voor 23% gewijzigd door johnkeates op 11-11-2016 16:05 ]

zaterdag 12 november 2016 12:05

Acties:
  • 0 Henk 'm!
  • Aikon
  • Registratie: Februari 2001
  • Niet online

Aikon

Dat eerste maakt idd niet uit, het gebeurd lokaal.

Dat tweede is wat vreemd. Algemeen advies is om een BSN nooit ergens anders voor te gebruiken dan waar het voor bedoeld is. En zeker niet om als unieke sleutel te laten dienen.

zaterdag 12 november 2016 12:17

Acties:
  • 0 Henk 'm!
  • Standeman
  • Registratie: November 2000
  • Laatst online: 14:47

Standeman

Prutser 1e klasse

Het BTW nummer van een ZZP-er bevat ook het BSN nummer en staat dus op elke factuur die ze versturen en waarschijnlijk ook op hun website. Dus het is het niet echt een 'geheim' zoals een wachtwoord of een pincode.
Wanneer er meer dan één persoon op de hoogte is van een 'geheim' is het namelijk geen geheim meer ;) Minimaal ben jij en de belastingdienst er van op de hoogte, maar waarschijnlijk ook je partner, je ouders, je werkgever, het pensioenfonds en iedereen waar je je paspoort aan laat zien. Dus je BSN angstvallig voor jezelf houden is niet nodig imo.

In principe kan je met alleen een BSN nummer ook bijzonder weinig. Ik zou niet weten hoe je daar (identiteits)fraude mee kan plegen.

The ships hung in the sky in much the same way that bricks don’t.

zondag 13 november 2016 09:43

Acties:
  • 0 Henk 'm!
  • Aikon
  • Registratie: Februari 2001
  • Niet online

Aikon

Dat een geheim geen geheim meer is als meer dan één persoon het kent is vrij onzinnig. Sterker nog, een geheim kan een geheim zijn zolang één persoon het niet kent.

BSN valt onder de Bijzonder Persoonsgegevens en valt als zodanig onder speciale regels. Je mag het dan ook afschermen als je je paspoort moet laten zijn, m.u.v. van bepaalde instanties. BSN voor jezelf houden is het advies. Het is idd erg vreemd dan een btw-nr een bsn-nr bevat.

https://autoriteitpersoon...e/burgerservicenummer-bsn
https://www.rijksoverheid...d/burgerservicenummer-bsn

zondag 13 november 2016 10:19

Acties:
  • 0 Henk 'm!
  • Rukapul
  • Registratie: Februari 2000
  • Laatst online: 16:39

Rukapul

Topicstarter heeft een aantal valide punten. Op zijn minst worden een aantal security best practices geschonden:
  • alle content hoort veilig geladen te worden. Indien een script via een onveilige verbinding wordt geladen dan kan de integriteit ervan niet gegarandeerd worden. De topicstart is wat karig wat betreft details, maar stel dat het betalingskenmerk van een ander ingevoegd kan worden.
  • identificerende data (identifiers) worden slechts gebruikt in de context waar dat absoluut nodig is (minimalisatie van linkability, etc.). Er is geen enkele reden waarom een betalingskenmerk in dit geval een BSN nummer moet bevatten. Overigens is een BSN zonder laatste geval triviaal aan te vullen i.v.m. de 11-proef.
Minimaal een matig security ontwerp dus. Dat het mag (BD mag BSN immers verwerken voor belastingdoeleinden), maakt het nog geen goede werkwijze.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq