Toon posts:

Datalek melden bij de autoriteit persoonsgegevens (AP)

Pagina: 1
Acties:

zondag 13 augustus 2017 13:00

Acties:
  • 0 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter

Inleiding

Ik heb laatst bij Vinea een jongerenreis geboekt. Die was vorige week. Heel erg leuk gehad en erg gezellig, maar daar gaat het nu niet om. Ik heb tegelijk ook een datalek gevonden op de site. Te beginnen dat de site geen HTTPS heeft bij het persoonlijke gedeelte is al vreemd. Ik ga nog wat verder op onderzoek uit en vind het wachtwoord en de gebruikersnaam als plaintext in de link. Ik wil dat melden bij de AP, want er zijn best wel wat persoonsgegevens te vinden. En iedereen kan gewoon meelezen en inloggen. Ik weet alleen niet hoe te beginnen. Daarom dit topic.

Informatie over het lek

Het lek
Ik kreeg een mail een link als deze: http://www.mijnvinea.nl/login.aspx?user=<e-mail adres dat ik heb ingevuld>&password=<exacte wachtwoord om mee in te loggen>&ReturnUrl=default.aspx
Ik bestudeer die link en zie dat er geen HTTPS gebruikt wordt. En dat het ww gewoon letterlijk in de tekst staat. Dat verbaasde me. Zo zou ik dus het verkeer van iemand kunnen afluisteren en zo achter de gegevens kunnen komen. Dat heb ik zelf ook gedaan en in Wireshark vind ik hetzelfde terug. Gewoon alles plaintext.
Ook als ik alles handmatig invul, kan ik met behulp van Wireshark achter het wachtwoord komen. Daar staat gewoon dit in:phiusername=<e-mail adres dat ik heb ingevuld>&phipassword=<exacte wachtwoord om mee in te loggen>. Dat is ook niet zoals het zou moeten. Ik vermoed dat die laatste door het gebrek aan SSL/SLT komt. Er is simpelweg geen enkele versleutelde verbinding.
Wat wel goed is
In de browser krijg je bij je boeking een url als deze: http://www.mijnvinea.nl/factuur/<boekingsnummer>
Als ik het boekingsnummer verander, kom ik uit bij de inlogpagina. Dat is iets wat wel goed gaat, gelukkig, want dat is natuurlijk een veel groter lek. Ik zou zo iedereens informatie kunnen achterhalen.

Wat te doen

Nu heb ik dit onderzocht en is mijn vraag wat hiermee te doen. Ik zie verschillende opties:
  1. Zo laten - niet wat ik wil. Ik vind het daarvoor te erg.
  2. Naar Vinea bellen/mailen en het probleem uitleggen.
  3. Direct naar de AP gaan en een datalek invullen.
  4. ...
Er is vast ook een combinatie mogelijk. Wat zouden jullie mij aanbevelen en hoe moet ik dit aanpakken. Ik heb nog geen ervaring hiermee, gelukkig. Ik heb natuurlijk al wel op de website van de AP gekeken, maar werd er niet wijzer op.
Gevonden op de site van de AP
Verder geen ander topic kunnen vinden met gelijk probleem.
Waar ik vast zit
Bij het formulier moet je kiezen tussen twee wetten, ik heb geen idee welke dat moet zijn. Keuze is:
11.3a, eerste lid; luidt volgens de pdf als volgt:
1. De aanbieder van een openbare elektronische communicatiedienst stelt het College bescherming persoonsgegevens onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 11.3, die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie.
2. De aanbieder, bedoeld in het eerste lid, stelt degene wiens persoonsgegevens het betreft onverwijld in kennis van een inbreuk in verband met persoonsgegevens indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
3. De kennisgeving aan het College bescherming persoonsgegevens en de persoon wiens persoonsgegevens het betreft, omvat in ieder geval de aard van de inbreuk in verband met persoonsgegevens, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De kennisgeving aan het College bescherming persoonsgegevens omvat tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die de aanbieder voorstelt of heeft getroffen om de inbreuk aan te pakken.
4. Indien de aanbieder van een openbare elektronische communicatiedienst geen kennisgeving als bedoeld in het tweede lid doet, kan het College bescherming persoonsgegevens, indien het van oordeel is dat de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon wiens persoonsgegevens het betreft, van de aanbieder verlangen dat hij die persoon alsnog in kennis stelt van de inbreuk.
5. De kennisgeving, bedoeld in het tweede lid, is niet vereist indien de aanbieder naar het oordeel van het College bescherming persoonsgegevens gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht heeft op toegang tot die gegevens.
6. De aanbieder van een openbare elektronische communicatiedienst houdt een overzicht bij van alle inbreuken in verband met persoonsgegevens. Dit overzicht bevat in elk geval de feiten en de in het derde lid bedoelde gegevens.
7. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven met betrekking tot de in dit artikel bedoelde eisen met betrekking tot het verstrekken van informatie en de kennisgeving.
toon volledige bericht

34a, eerste lid; luidt volgens de pdf als volgt:
1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.
6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.
7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.
8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.
9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet.
10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.
11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.
toon volledige bericht
Als ik er dus voor kies om dat formulier in te vullen, welke moet ik dan nemen? Mijn gevoel zegt 34a.

Ik hoop graag advies hierin te krijgen. En ik hoop dat dit op de goede plek staat, anders hoor ik het wel.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

zondag 13 augustus 2017 13:45

Acties:
  • 0 Henk 'm!
  • Juup
  • Registratie: Februari 2000
  • Niet online

Juup

Tsja om dit nu een lek te noemen... is eerder een slordigheid.
Zonder MITM attack kun je dus niets achterhalen?

Ben ik nou zo dom of zijn jullie nou zo slim?

zondag 13 augustus 2017 13:54

Acties:
  • 0 Henk 'm!

Anoniem: 33272

Tot welke persoonsgegevens heb je dan toegang?
Pagina 19 van de 4de link die je zelf gepost hebt -> "Dit is géén datalek"

zondag 13 augustus 2017 13:58

Acties:
  • 0 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter
Juup schreef op zondag 13 augustus 2017 @ 13:45:
Tsja om dit nu een lek te noemen... is eerder een slordigheid.
Zonder MITM attack kun je dus niets achterhalen?
Voor zover ik heb ontdekt is dat zo.
Ik kan wel genoeg plekken bedenken waar een MITM attack wel mogelijk is, of in ieder geval waar er afgeluisterd kan worden. Denk aan openbare WiFi bijvoorbeeld of een virus in een netwerk/computer waar verkeer langs gaat.

Maar inderdaad of het een lek te noemen is of niet, weet ik niet zeker. Ik hoor dan ook graag jullie mening. Bij een andere site ditzelfde probleem gevonden, trouwens. Exact hetzelfde.
Anoniem: 33272 schreef op zondag 13 augustus 2017 @ 13:54:
Tot welke persoonsgegevens heb je dan toegang?
Nu, geen.
Pagina 19 van de 4de link die je zelf gepost hebt -> "Dit is géén datalek"
Duidelijk. Dus melden bij de AP valt af. Wel bracht 4.2 op p. 24 mij aan het denken. Met een MITM aanval is er inderdaad een hoor gegevens te verzamelen.

Dus melden bij Vinea is nu de oplossing?

[ Voor 25% gewijzigd door T.Kreeftmeijer op 13-08-2017 14:10 ]

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

zondag 13 augustus 2017 21:16

Acties:
  • +1 Henk 'm!
  • kipppertje
  • Registratie: Mei 2010
  • Laatst online: 16-06 10:46

kipppertje

Waarom meld je het niet gewoon eerst bij het bedrijf zelf? Mochten ze niet reageren of er niets mee doen kun je altijd nog nadenken over eventuele vervolg stappen.

Maar het had ook zo gekunt

maandag 14 augustus 2017 08:31

Acties:
  • 0 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter
kipppertje schreef op zondag 13 augustus 2017 @ 21:16:
Waarom meld je het niet gewoon eerst bij het bedrijf zelf? Mochten ze niet reageren of er niets mee doen kun je altijd nog nadenken over eventuele vervolg stappen.
Ik ben het met jullie eens dat dat zeker de eerste stap gaat worden. Of het nu in de praktijk een risico is of niet. Met deze hoeveelheid gegevens die je kan onderscheppen moet er gewoon een goede beveiliging zijn. Ze weten dan wanneer je op vakantie bent, waar je woont, of je medische dingen hebt waar rekening mee moet worden gehouden, telefoonnummers, email, zelfs documentnummer, waar je opstapplaats is. En als HTTPS al ontbreekt, wie zegt dat er niet nog meer lekken in hun software is waar de betere hacker wel bij kan?
Ik vind dat daar echt wel wat aan gedaan mag worden. Daarom dit topic. Ik ga dan maar eens mailen naar de technische dienst daar.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

maandag 14 augustus 2017 09:18

Acties:
  • 0 Henk 'm!
  • kipppertje
  • Registratie: Mei 2010
  • Laatst online: 16-06 10:46

kipppertje

T.Kreeftmeijer schreef op maandag 14 augustus 2017 @ 08:31:
[...]

En als HTTPS al ontbreekt, wie zegt dat er niet nog meer lekken in hun software is waar de betere hacker wel bij kan?
In de praktijk zie ik weinig relatie tussen het ontbreken van HTTPS en de kwaliteit van de software.

Maar het had ook zo gekunt

maandag 14 augustus 2017 09:39

Acties:
  • 0 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter
kipppertje schreef op maandag 14 augustus 2017 @ 09:18:
[...]


In de praktijk zie ik weinig relatie tussen het ontbreken van HTTPS en de kwaliteit van de software.
Nee dat bedoelde ik niet. Maar als erg geen HTTPS gebruikt wordt, is de beveiliging misschien ook niet al te best. Hoeft natuurlijk helemaal niet zo te zijn, maar ik vind het wel aannemelijk dat er meer niet beveiligd is.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

maandag 14 augustus 2017 10:40

Acties:
  • 0 Henk 'm!
  • SniperGuy
  • Registratie: Juli 2001
  • Laatst online: 09:03

SniperGuy

1. site admin contacten
2. bij geen actie een reminder naar de site admin
3. naar AP melding doen

Voor iedere stap zou ik een week nemen :)

maandag 14 augustus 2017 10:43

Acties:
  • 0 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter
SniperGuy schreef op maandag 14 augustus 2017 @ 10:40:
1. site admin contacten
2. bij geen actie een reminder naar de site admin
3. naar AP melding doen

Voor iedere stap zou ik een week nemen :)
Kijk, precies wat is nog wilde weten. Nog tips voor het contact?
En verder de contact gegevens van het domein (WHOIS) of de algemene info@ mail?

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

maandag 14 augustus 2017 10:51

Acties:
  • +2 Henk 'm!
  • Stoelpoot
  • Registratie: September 2012
  • Niet online

Stoelpoot

Juup schreef op zondag 13 augustus 2017 @ 13:45:
Tsja om dit nu een lek te noemen... is eerder een slordigheid.
Zonder MITM attack kun je dus niets achterhalen?
Nouja, zonder een MITM 'attack'? Als je op je werkt inlogt, is een log al voldoende. Je browsegeschiedenis bevat de informatie ook, dus met malware op je PC zou je er ook bij kunnen.

maandag 14 augustus 2017 14:35

Acties:
  • 0 Henk 'm!
  • kipppertje
  • Registratie: Mei 2010
  • Laatst online: 16-06 10:46

kipppertje

Stoelpoot schreef op maandag 14 augustus 2017 @ 10:51:
[...]


Nouja, zonder een MITM 'attack'? Als je op je werkt inlogt, is een log al voldoende. Je browsegeschiedenis bevat de informatie ook, dus met malware op je PC zou je er ook bij kunnen.
Maar dat is nog steeds een ander verhaal dan dat je gegevens van alle klanten kan achterhalen.

Maar het had ook zo gekunt

maandag 14 augustus 2017 14:42

Acties:
  • 0 Henk 'm!
  • pr0mo
  • Registratie: December 2009
  • Laatst online: 22-06 18:50

pr0mo

De verwerker van de Gegevens is altijd verantwoordelijk voor de beveiliging van de persoonsgegevens. Wanneer blijkt dat er een datalek is (wanneer persoonsgegevens in handen vallen van personen of instanties die hier geen recht toe hebben) dient de verwerker de verantwoordelijkheid te nemen.

Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen geen datalek. Dat is pas het geval als de gegevens op straat liggen. Niet adequaat beveiligde gegevens zijn wel strafbaar.

Dus het is niet te zeggen of de gegevens in verkeerde handen zijn terecht gekomen maar ik zou dit zeker melden bij de organisatie (met beschrijving van het probleem).

Wel moeten ze allles in het werk stellen de beveiliging op orde te krijgen wanneer ze dit niet doen kun je altijd nog een melding maken bij de AP

iracing profiel

maandag 14 augustus 2017 14:59

Acties:
  • 0 Henk 'm!
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 15:00

SinergyX

____(>^^(>0o)>____

Stoelpoot schreef op maandag 14 augustus 2017 @ 10:51:
[...]


Nouja, zonder een MITM 'attack'? Als je op je werkt inlogt, is een log al voldoende. Je browsegeschiedenis bevat de informatie ook, dus met malware op je PC zou je er ook bij kunnen.
Maar wat in de basis met elke keylogger ook gewoon kan, dat maakt de site zelf niet 'lek gevoeliger'.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

maandag 14 augustus 2017 17:03

Acties:
  • +2 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter
Ik heb inmiddels het probleem doorgegeven aan het bedrijf, kreeg een reactie dat het doorgestuurd is naar de technische dienst. Afwachten dus.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

dinsdag 15 augustus 2017 00:36

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

T.Kreeftmeijer schreef op maandag 14 augustus 2017 @ 17:03:
Ik heb inmiddels het probleem doorgegeven aan het bedrijf, kreeg een reactie dat het doorgestuurd is naar de technische dienst. Afwachten dus.
Als je goed had gekeken draait de huidige mijnvinea op PHP en niet op ASPX.

Heb je goed doorgegeven welke e-mails fout zijn? Anders zeggen ze dat er niks aan de hand is met mijnvinea.

Maak je niet druk, dat doet de compressor maar

dinsdag 15 augustus 2017 12:59

Acties:
  • 0 Henk 'm!
  • kipppertje
  • Registratie: Mei 2010
  • Laatst online: 16-06 10:46

kipppertje

In het vervolg is het wellicht een idee om het bedrijf / website weg te laten.
Nu valt de kwetsbaarheid in dit geval mee, maar het is niet handig om mensen die kwaad willen op ideeën te brengen.

Maar het had ook zo gekunt

dinsdag 15 augustus 2017 18:49

Acties:
  • 0 Henk 'm!
  • Squ1zZy
  • Registratie: April 2011
  • Niet online

Squ1zZy

Ik zou een email sturen naar Vinea met de benodigde informatie. Vaak krijg je een bedankje en kan je jezelf op de schouder kloppen voor het goede werk :)

dinsdag 22 augustus 2017 19:10

Acties:
  • 0 Henk 'm!
  • T.Kreeftmeijer
  • Registratie: December 2015
  • Laatst online: 18-06 12:35

T.Kreeftmeijer

Thomas Kreeftmeijer

Topicstarter
UPDATE:

Had net nog gemaild met de vraag of er al nieuws is. Nee, dat was er niet. Nouja, er was vertraging ontstaan, maar zijn er nu direct aan begonnen. Nog even geduld dus.
kipppertje schreef op dinsdag 15 augustus 2017 @ 12:59:
In het vervolg is het wellicht een idee om het bedrijf / website weg te laten.
Nu valt de kwetsbaarheid in dit geval mee, maar het is niet handig om mensen die kwaad willen op ideeën te brengen.
Ja, dat zal ik voortaan doen. Is inderdaad niet heel handig geweest. ;)

SSL certificaat is aangevraagd. Maar doordat de vakantie nog bezig is, zal de invoering nog even duren, iedereen moet nog bij de pagina kunnen en dan is een grote omzetting naar HTTPS natuurlijk risicovol.

[ Voor 15% gewijzigd door T.Kreeftmeijer op 22-08-2017 19:18 ]

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

dinsdag 22 augustus 2017 19:37

Acties:
  • 0 Henk 'm!
  • kipppertje
  • Registratie: Mei 2010
  • Laatst online: 16-06 10:46

kipppertje

T.Kreeftmeijer schreef op dinsdag 22 augustus 2017 @ 19:10:
SSL certificaat is aangevraagd. Maar doordat de vakantie nog bezig is, zal de invoering nog even duren, iedereen moet nog bij de pagina kunnen en dan is een grote omzetting naar HTTPS natuurlijk risicovol.
Dat klinkt in ieder geval dat ze er mee bezig zijn :)

Maar het had ook zo gekunt

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq