Datalek; kopie van mijn paspoort met link toegankelijk

Tsja, wat makkelijker is. Ga naar google images en zoek op site:<domein naam>. Grote kans dat er iets naar voren komt. Zo niet dan is de vraag hoe ziet die url eruit? Is het een lastig te raden guid met een file extensie? Heel netjes is het allemaal niet, maar spreken over een beveligingslek is (nu) nog een beetje een beetje lastig inschatten.

Heeft dat bedrijf jou kopie legitiem in handen?

M.a.w. hoe komen ze eraan, en voor wat voor doel hebben zij deze in handen en wat is het doel en nut deze online te zetten zonder versleuteling o.i.d?

Lijkt mij dat je jezelf eerst zorgen moet maken over je eigen kopie.

Verder: een tikfout in een url maken, om vervolgens een geheel andere id te zien te krijgen is geen hacken.
Bewust een script los laten wel, maar kan m.i.z. verzacht worden door je aankondiging..

Ik zou dus wel ff wachten op toestemming, maar ondertussen niet accepteren en wel even doorvragen over mijn eigen kopietje..

El.G schreef op vrijdag 5 juli 2019 @ 17:58:
het gedeelte tussen = is 99 karakters lang

Dan heb je toch echt miljarden mogelijkheden? Zeg dat er enkele tientallen of honderden juiste links tussen zitten is het alsnog erg lastig om die te vinden. Uiteraard is het niet helemaal netjes en zou ik het ook achter een inlog zetten, maar je zal dus niet met even een nummertje ophogen (of scriptje draaien) bij de volgende kunnen komen.

53 Hoofdletters, kleine letters en cijfers... Zelfs de private key van een bitcoin adres is in minder tekens uit te drukken. Daarnaast ben je in dit geval afhankelijk van de aantal requests die hun server kan verwerken (Een botnet gooit eerder gewoon de server plat).

In theorie kan het wel zijn dat die 99 karakters ge-encode is met base64 (Zeker omdat het eindigd met een = teken). Die kan je decoden en wellicht kom je er dan achter dat dat deel wel makkelijk te raden is. Dan zou ik het wel een datalek willen noemen.

Comgenie schreef op vrijdag 5 juli 2019 @ 19:06:
53 Hoofdletters, kleine letters en cijfers... Zelfs de private key van een bitcoin adres is in minder tekens uit te drukken. Daarnaast ben je in dit geval afhankelijk van de aantal requests die hun server kan verwerken (Een botnet gooit eerder gewoon de server plat).

In theorie kan het wel zijn dat die 99 karakters ge-encode is met base64 (Zeker omdat het eindigd met een = teken). Die kan je decoden en wellicht kom je er dan achter dat dat deel wel makkelijk te raden is. Dan zou ik het wel een datalek willen noemen.

Aantal combinaties is irrelevant, het gaat over HTTP dus is gewoon af te vangen, dat kan echt niet.

Maar is dat voldoende om dit als een datalek te aanzien zoals bedoeld is in de AVG? Het feit dat er willekeurige tekens aan de link zijn toegevoegd is al een beveiliging tegen het raden van de URL. HTTP gebruik maakt eventueel nog een MITM aanval mogelijk en wordt afgeraden, maar of het tegen de AVG is?

Tsurany schreef op vrijdag 5 juli 2019 @ 19:08:
[...]

Aantal combinaties is irrelevant, het gaat over HTTP dus is gewoon af te vangen, dat kan echt niet.

Die post had ik inderdaad even over het hoofd gezien. Dat is inderdaad niet netjes.

Als de string eindigt op een = zou het een base64 encoding kunnen zijn, copy/paste hem eens op https://www.base64decode.org/ en kijk of er wat zinnigs uit komt

Lees overigens dit artikel door als je niet zeker bent of het mag wat je doet: nieuws: Rechter legt geen straf op aan it'er die werd vervolgd na melden van ...

Het is overigens naar mijn mening niet heel handig om nu zelf te gaan puzzelen terwijl je impliciet het bedrijf al op de hoogte hebt gebracht van een mogelijke kwetsbaarheid. Je ontneemt hun nu de mogelijkheid om zelf het probleem te ontdekken en te dichten (als dat er uberhaupt is).

Wacht gewoon hun reactie af en als je je bezorgdheid wilt stillen doe dat dan door een klacht in te dienen bij de AP.

El.G schreef op vrijdag 5 juli 2019 @ 19:17:
base64 decode geeft:
form_id=cijfers&id=cijfers&el=element_10&hash=hashcode

hashcode is overigens 32 karakters

Een MD5 is 32 karakters.
In principe hoef je dus alleen maar 120.892.581.961.462.917.4706.176 mogelijkheden uit te proberen


Maar goed, ik gruwelde al op de verkeerde Base64 variant en dan nu ook MD5.
Base64 is namelijk niet voor in de URI query. Daarvoor bestaat base64url (RFC 4648).

El.G schreef op vrijdag 5 juli 2019 @ 17:39:
Ik heb van een bedrijf een mail gekregen met daarin o.a. een link naar een kopie van mijn paspoort.

En hoe komt dat bedrijf aan je paspoort? En waarom zijn de essentiële dingen niet afgeplakt?

[ Voor 44% gewijzigd door DJMaze op 05-07-2019 19:37 ]

Als het om 32 karakters gaat is dat niet veel anders dan een combinatie van een email van 20 karakters en een wachtwoord van 12 karakters.

Http is natuurlijk wel een ding maar de 32 tekens of meer is niet zo spannend mits de rest van de beveiliging op orde is. Zo zullen ze sowieso een brute force beveiliging moeten hebben.

El.G schreef op vrijdag 5 juli 2019 @ 19:39:
@DJMaze ervanuitgaande dat form_id en id voor andere klanten hetzelfde is als ze van hetzelfde formulier gebruik gemaakt hebben.
Maar er zijn ongetwijfeld ook andere formulieren waar handige informatie uit te halen is. Zoals het formulier om je persoonsgegevens te laten verwijderen. Naam, adres en volledig IBAN.

Ehmmmm.....

El.G schreef op vrijdag 5 juli 2019 @ 17:58:
download.php?q=base64code=

El.G schreef op vrijdag 5 juli 2019 @ 19:17:
base64 decode geeft: form_id=cijfers&id=cijfers&el=element_10&hash=hashcode

Klinkt als Appnitro Machform, en dan zijn de problemen vast veel groter als ze geen updates hebben uitgevoerd.
En de md5 hash is dan gewoon van het bestand


Zoals je ziet heb je maar weinig info nodig om achter alle werkelijke problemen te komen

[ Voor 4% gewijzigd door DJMaze op 05-07-2019 19:46 ]

Je hebt geen toestemming en dat ga je ook niet krijgen.
De servicedesk wist niet wat ze met je vraag aan moesten dus zetten het door, maar geen enkel bedrijf gaat jou toestemming geven om scripts tegen hun productie omgeving aan te draaien.

HTTP linkjes klinken mij wel fout in de oren, zeker voor dit soort persoonlijke data.
Dat je paspoort kopie online staat is inderdaad al zorgelijk, ik zou zeggen dit moet alleen intern beschikbaar zijn, maar als het ook via HTTP naar buiten komt is dat denk ik al een lek te noemen.

Het aantal combinaties is niet echt relevant en de GDPR wetgeving is vaag, maar om je een idee te geven: Wij hebben na overleg met de juristen besloten om naam en emailadres van de klant weg te halen uit een offerte systeem dat te benaderen is met een unieke link waarbij het ID een random string is en minimaal 64 tekens bevat. De offertes bestaan ook niet lang (twee weken is al lang, want korte doorlooptijd). De kans dat dat te raden is, is dus minimaal, zeker als alles achter rate limiting zit, maar omdat de link gedeeld kan worden (of achtergelaten kan worden in historie, mails onderschept kunnen worden etc) werd het toch risicovol gevonden.

Nu zijn wij misschien té sctrict, maar dit klinkt als te laks.

Er is waarschijnlijk niet meteen wat aan de hand, maar het zou me niet verbazen als dat later wel zo kan zijn.

Als je echt verder wil kijken geeft de broncode van download.php nog wat hints, maar ik zou niet te veel gaan proberen zelf, het is officieel niet legaal te proberen de beveiliging te omzeilen.

[ Voor 5% gewijzigd door Klippy op 05-07-2019 20:16 ]

Klippy schreef op vrijdag 5 juli 2019 @ 19:47:
Er is waarschijnlijk niet meteen wat aan de hand, maar het zou me niet verbazen als dat later wel zo kan zijn.

Vandaar in mijn post een link naar de CVE's DJMaze in "Datalek; kopie van mijn paspoort met link toegankelijk"
Maar die link is nu opeens dood bij cvedetails, maar hier komt ie....
https://packetstormsecuri...raversal-File-Upload.html

Je kan dus weldegelijk bij die toko alles downloaden wat je maar wilt en zo lek als een mandje.

[ Voor 27% gewijzigd door DJMaze op 05-07-2019 19:55 ]

El.G schreef op vrijdag 5 juli 2019 @ 19:45:
@emnich
[..]
Daarbij heb ik overigens geen afbeelding terug gekregen, alleen een hoop sql meldingen.
[..]

Dat zou eigenlijk ook al niet mogen, ligt aan de meldingen, maar klinkt wederom zeer laks.
In mijn ogen is elke SQL melding naar buiten een no-go.

DJMaze schreef op vrijdag 5 juli 2019 @ 19:50:
[...]

Vandaar in mijn post een link naar de CVE's DJMaze in "Datalek; kopie van mijn paspoort met link toegankelijk"
Maar die link is nu opeens dood bij cvedetails, maar hier komt ie....
https://packetstormsecuri...raversal-File-Upload.html

Werkt nu wel ja, verdacht veel SQL injecties ook, maar we weten niet 100% of het dit product is.
Klinkt in elk geval niet helemaal goed. Zou ze er in elk geval op attenderen en aangeven dat je daarom je gegevens wil laten verwijderen. Dat kunnen ze niet weigeren.

[ Voor 48% gewijzigd door Klippy op 05-07-2019 19:55 ]

Ze zullen je echt niet vervolgen maar je moet nu wel stoppen.

Gewoon nogmaals melden dat de beveiliging te zwak is én dat ze jouw gegevens moeten verwijderen.

El.G schreef op vrijdag 5 juli 2019 @ 21:04:
Verder heb ik maar gewoon gemaild dat de beveiliging niet op orde is en dat ik mijn afbeeldingen verwijderd wil hebben.

Je kan het sql lek etc. veilig melden bij https://www.ncsc.nl

NCSC is toch alleen voor kritieke infrastructuur?

Dan zou de autoriteit persoonsgegevens de plek moeten zijn.

Zij zijn niet zuiver, want ze gebruiken niet de security zoals hij hoort te zijn, maar ts is in mijn optiek ook op zoek naar problemen. Zeker als je het pad opgaat met exploits is het wachten op de politie.

Dat moet je ook zeker doen, maar ik zou verdere acties *NIET* uitvoeren. Dat ze fout zitten heb je al bewezen. Dat je vervolgens een brute-force aangaat is simpelweg illegaal. Dan kunnen mensen met mooie linkjes komen over werknemers (!) die de fout in zijn gegaan, maar ik zou die gok simpelweg niet nemen.

Aanmelden bij de AP en voor nu even rust houden. (En ga zeker van je weekend genieten... Simpelweg te mooi weer...)

El.G schreef op vrijdag 5 juli 2019 @ 18:17:
... In persoon legitimeren is tegenwoordig lastig, gezien bedrijven vaak geen klanten adres meer hebben.
...

Even los van het hacking-gedeelte: dit is natuurlijk een vrij zinloze zaak, als je echt de identiteit van een persoon wil vaststellen, en niet alleen een papier wil vastleggen(afhankelijk van of je het origineel kan onderzoeken, eventueel alleen een afbeelding ervan), moet je de persoon nu eenmaal in vivo kunnen onderzoeken.

[ Voor 9% gewijzigd door begintmeta op 06-07-2019 11:39 ]

El.G schreef op vrijdag 5 juli 2019 @ 19:45:
@emnich Ik heb het wellicht domme risico genomen om wat te proberen, zonder duidelijk expliciete toestemming, wel brute force te proberen. Het is blijkbaar geen direct probleem om daadwerkelijk 100.000 links te proberen in een uurtje tijd (58 minuten was het geloof ik) dat is alweer een tijdje terug en ik heb het niet verder geprobeerd met inmiddels nieuwe informatie. Daarbij heb ik overigens geen afbeelding terug gekregen, alleen een hoop sql meldingen. Enige wat ik wel nog getest heb, zelfde script, maardan met mijn links, en die krijg ik dus wel. Het kan dus technisch gezien, en het lijkt erop dat het ook daadwerkelijk te doen is.

Je bent echt een complete hark dat je dit hebt gedaan. Je goodwill is weg, zowel bij het bedrijf als bij de politie. Dit is strafbaar, dat snap je toch wel?

El.G schreef op zaterdag 6 juli 2019 @ 10:13:
[...]


Dat klinkt mij wel heftig. Ik was zeker niet op zoek naar problemen, ik kwam wat ik dacht een probleem tegen door gewoon klant te zijn. Op onbekende ogen (je ziet ze niet eens aan de telefoon) vertrouwen van iemand die duidelijk geen verstand van zaken heeft bij een klanten service, zag ik weinig in. Daarom wilde ik weten hoe groot het probleem was om aan de hand daarvan dat ook op de juiste plek te melden. Middels klein beetje onderzoek ben ik er van overtuigd dat het in theorie te doen is om de boel te scrapen. Dat zou niet moeten kunnen.
Ik raakte een beetje in paniek, maar goed als de politie daarvoor moet komen, dan komen ze maar. Wat gedaan is, is gedaan. Ik kan alleen vertrouwen op mijn eigen intenties en gezien mijn gebrek aan ervaring met het vinden van een lek, ik ben er niet eens naar op zoek geweest, denk ik dat ik toch redelijk zorgvuldig geweest ben.
Verder hoopte ik het middels posts hier enigzins open en transparant aan te pakken zonder details vrij te geven over welk bedrijf het gaat. Als men daar echt een probleem van wil maken dan heb ik inderdaad een groot probleem. Want dan is mijn vertrouwen weg en kan ik maar beter weg van de digitale maatschappij en ergens alleen in een hutje op de hei de rest van mijn leven slijten, want ik zie geen andere optie dan.

Maar goed, ik zie wel hoe het loopt en probeer maar gewoon goede hoop te hebben en van het weekend te genieten.

Ter aanvulling: je wist al dat het te scrapen was. Dus dit is gelul. Bovendien is het niet jouw taak om te testen of het te scrapen is. Of hoe groot het probleem is. Of waar je het zou moeten melden. Of wat voor een kut-smoes dan ook.

Hoera, de ironie. Jij bent de hacker, jij bent het probleem, en als iemands persoonsgegevens in gevaar zijn dan zijn het die van alle andere klanten die jij hebt geprobeerd te downloaden.

En wees niet zo godvergeten dramatisch met je hutje op de hei. Ben je 14?

[ Voor 53% gewijzigd door Verwijderd op 06-07-2019 11:47 ]

Right dus:

- linkjes naar gevoelige persoonsgegevens simpel per email: niet ideaal, maar zonder een compleet login systeem op te tuigen (wat ook zo zijn voor en nadelen meebrengt) zit er waarschijnlijk weinig anders op. Gelukkig gaat een groot deel van het mailverkeer tegenwoordig over versleutelde verbindingen en is het beveiligen van toegang tot je mailbox zelf sowieso een belangrijk iets. Als iemand daar controle over krijgt heb je meer problemen dan dat dit soort linkjes lekken.

- http ipv https: kansloos, gewoon echt not-done voor dit soort toepassingen

- sql errors teruggeven: idem

- toegang op basis van voornamelijk iets wat waarschijnlijk een md5 hash is: dat zou op zich nog niet zo'n ramp zijn, mits er een beveiliging op zit tegen brute force aanvallen. Dat onbreekt dus blijkbaar (gezien jouw poging niet geblokkeerd werd)

Modbreak:

@El.G Wil je ALSJEBLIEFT stoppen met het plaatsen van meerdere berichten achterelkaar? Deze waarschuwing staat er niet voor Jan Doedel:

Je hebt als laatste gereageerd in dit topic. Wil je wat toevoegen, wijzig dan bij voorkeur je laatste reactie.

El.G schreef op zaterdag 6 juli 2019 @ 12:12:
[...]


Compleet bange hark. geen 14, ik kan maar beter stoppen met posten hier en in angst afwachten wat er verder gaat gebeuren.

Je hebt de fout gemeld, je hebt je best gedaan, en meer kan je nu niet doen. Zelf die website aanvallen om wat voor een reden dan ook is a) stom en b) strafbaar. Je kan me belachelijk maken maar feit blijft dat jij nu keihard nat gaat als ze er in duiken.

Ze kunnen ook redeneren dat jij degene bent geweest die het lek gevonden en/of misbruikt heeft en het daarna hebt gemeld om de verdenking bij jezelf weg te houden. Hun logboeken zullen het bevestigen.

Ik betwijfel of jij de moeite hebt genomen om al je acties netjes te loggen en te notuleren / archiveren.