Gemeentelijke documenten in te zien met BSN + Geboortedatum

Sowieso, het inloggen met je BSN en je geboortedatum is al een dikke rode vlag, voor mij! Die informatie moet je altijd beschermen... waarom gebruiken zij dat dan wel in zo'n database? Laat ze dan gewoon Digid gebruiken.

Gelijk melding van maken! Zowel bij gemeente als https://autoriteitpersoonsgegevens.nl

Alle ondernemers hadden tot januari nog een bsn nummer als btw nummer. Hoef je alleen de geboorte datum maar te weten.

bsn nummer inloggen mag alleen via Digi ID

Ik zou mij wel zorgen maken. Het BSN mag hiervoor niet gebruikt worden. Gelukkig is sinds kort het BTW nummer voor ZZP-ers niet meer grotendeels gelijk aan het BSN, maar de archieven zijn er uiteraard nog wel.

Daarnaast, als iemand een kopie van je ID kaart of paspoort heeft met het BSN erop, kunnen ze dus overal bij komen. Het is eigenlijk een melding bij het AP wel waard lijkt mij.

Ik weet niet goed waar de grens van een datalek is, maar wenselijk is het zeker niet. Dit betekend dat zodra je een kopie van je ID kaart moet laten maken bijv. je hotel ook gelijk bij je WOZ papieren kan. Het betekend ook dat wanneer je ZZP'er bent iedereen die op je verjaardag is en weet hoe oud je bent geworden theoretisch daar ook bij kan (je BSN plukten ze zo van je website, dit is nu veranderd, maar door je BTW nummer te veranderen ipv je BSN nummer kan iemand zo een oude factuur bekijken van afgelopen jaar). Als dat "publiekelijk" genoeg is voor een datalek dan ja, maar nogmaals ik weet niet waar die grens ligt.

Of het nu officieel een datalek is of niet, het lijkt me zeer onwenselijk en ik zou de gemeente er zeker op aanspreken.

Imnoa schreef op dinsdag 18 februari 2020 @ 10:57:
Nu is een gedeelte van deze data natuurlijk openbaar

Wat niet dan?

En de TLS-configuratie kan ook wel een upgrade gebruiken: https://www.ssllabs.com/ssltest/analyze.html?d=**.***.nl

[ Voor 7% gewijzigd door F_J_K op 18-02-2020 12:10 . Reden: Toch de URL maar even weg, om kans op misbruik te voorkomen ]

Zit ook nog eens SQL injection op de site, in de meest basic vorm. Ik zal hem hier niet direct posten maar is wel een dingetje .

Slurpgeit schreef op dinsdag 18 februari 2020 @ 11:15:
Zit ook nog eens SQL injection op de site, in de meest basic vorm. Ik zal hem hier niet direct posten maar is wel een dingetje .

na het zien van het prachtige inlog formuliertje is dat is ook het eerste wat ik testte

Mja, ik wil niet teveel dumpen zonder toestemming, maar hier is in ieder geval een greep uit de (rare) table names:

Lang verhaal kort, slechte zaak

[ Voor 34% gewijzigd door Slurpgeit op 18-02-2020 11:27 ]

Is het misschien een idee om de link naar de site te verwijderen uit je openingspost zodat men niet verder gaat klooien? Het is wel duidelijk dat deze site rommelt aan alle kanten.
En wat hierboven al is gezegd, zowel de AP als de gemeente aanschrijven met je bevindingen.

Ik heb de toko gemaild of ze deze omgeving onmiddelijk offline willen halen. Ik gun jullie de enthousiasme maar als jullie dit weten, weten nu minder zuivere personen dit ook.

Wat een blunder weer. Kan alleen de overheid zijn...

Als burger zijnde: Bedankt voor jullie vigilante

Mocht iemand van jullie contact krijgen en ze zijn benieuwd naar wat er precies kwetsbaar is, let me know!

Prima mail, ik zou deze mail ook naar de gemeente sturen.

En dan krijgt 1 of andere miep dit mailtje en dan denkt ze: spam of phishing haha

@Imnoa Zou ook even in je profiel hier of in het originele bericht aanpassen dat het om jouw gemeente gaat. 1 klik naar jouw profiel en ik weet genoeg, ondanks dat de link weg is gehaald ;-)

[ Voor 5% gewijzigd door Jivebunny op 18-02-2020 12:01 ]

Imnoa schreef op dinsdag 18 februari 2020 @ 12:03:
[...]

Het gaat niet om de website van mijn gemeente zelf maar een externe site waarvan de url redelijk verstopt is op de website van de gemeente zelf.

Nee, maar ook dat is terug te vinden. 'redelijk verstopt' is niet per se genoeg voor kwaadwillenden hehe.

En ja, dat ssl linkje mag ook wel even weg

Imnoa schreef op dinsdag 18 februari 2020 @ 12:03:
[...]


Het gaat niet om de website van mijn gemeente zelf maar een externe site waarvan de url redelijk verstopt is op de website van de gemeente zelf.

Maar dan moet @Room42 zijn SSL report linkje wel even editen

Maar ik neem aan dat we wel mogen weten welke gemeente het dan is. Ik kan het nu opmaken uit de URL, maar we moeten wel weten waar we onze klachtenmails (of sollicitaties ) naar toe moeten versturen.

AW_Bos schreef op dinsdag 18 februari 2020 @ 12:07:
[...]

Maar ik neem aan dat we wel mogen weten welke gemeente het dan is. Ik kan het nu opmaken uit de URL, maar we moeten wel weten waar we onze klachtenmails (of sollicitaties ) naar toe moeten versturen.

Je kan het ook nog steeds opmaken uit de screenshots

Imnoa schreef op dinsdag 18 februari 2020 @ 12:09:
[...]


Die klachtenmails zijn al verstuurd, niet alleen door mij maar ook door iemand anders in dit topic

Jij hebt de technische kant gemaild, ik de huis-tuin-keuken variant van het verhaal.
Ik denk wel dat de boodschap overkomt.

Wellicht ook slim om het naar het achterliggende bedrijf te sturen die die webpagina maakt?

SkylerNL schreef op dinsdag 18 februari 2020 @ 12:12:
Wellicht ook slim om het naar het achterliggende bedrijf te sturen die die webpagina maakt?

Uiteraard, ik heb niks met de OP zijn gemeente te maken. De mail is naar de hostingprovider gegaan.

[ Voor 5% gewijzigd door Liberteh op 19-02-2020 11:08 ]

Jivebunny schreef op dinsdag 18 februari 2020 @ 12:01:
@Imnoa Zou ook even in je profiel hier of in het originele bericht aanpassen dat het om jouw gemeente gaat. 1 klik naar jouw profiel en ik weet genoeg, ondanks dat de link weg is gehaald ;-)

Ondanks dat het een grapje is zeg ik even voor anderen: dat wil je dus nooit vragen, ook niet als grap. Kost je met wat pech rechtszaken erover en zo

Ook: die gemeente heeft een Responsible Disclosure beleid (zoek op de site naar die term). Volg die route.

Edit: oh zeg ik laat.

ben wel benieuwd hoe lang het duurt voordat de site offline is... Dat zou ook wat sneller mogen

Goed gevonden en goed gerapporteerd. Hopelijk nemen ze het serieus en fixen ze het snel. Zelf werk ik ook voor een software leverancier voor o.a. gemeentes en wij zouden dit als een security breach van vrijwel de hoogste orde zien. Sterker nog, het zou ons bedrijf zomaar de kop kunnen kosten (door boeteclausules en slechte PR) als het ons zou overkomen, we het niet goed afhandelen en het in de media komt.

... zal je straks zien dat het een van onze afdelingen is maar die kans acht ik gelukkig heel klein.

Mijn ervaring is dat ze niet zo hard gaan.. tot er verslaggevers aan de lijn hangen.

Misschien uitzoeken of een lid van de gemeenteraad ZZP'r is en die en mailtje sturen met zijn gegevens.
Of de burgermeester. Moet je eens zien hoe snel ze dan kunnen schakelen.
Straight to the top!

Imnoa schreef op dinsdag 18 februari 2020 @ 12:57:
[...]


Ik hou me eerst netjes aan de responsible disclosure, ze beloven dan binnen 3 dagen te reageren

Nou, success. (Niet sarcastisch)
Hopelijk pakken ze het goed op en onderkennen ze de ernst van dit soort zaken.

Heeft deze gemeente 7 letters?

Als je de urls van: "alle_namen_van_nederlandse_gemeenten.website.nl" even scant dan kan er een melding naar nog tientallen gemeenten toe :-P

En de webpagina is offline!

TimDJ schreef op dinsdag 18 februari 2020 @ 12:29:
ben wel benieuwd hoe lang het duurt voordat de site offline is... Dat zou ook wat sneller mogen

SkylerNL schreef op dinsdag 18 februari 2020 @ 14:38:
En de webpagina is offline!

Valt mee toch? Reactietijd is een paar uurtjes tussen melden en offline halen. Op zich netjes, alhoewel het natuurlijk niet nodig zou moeten zijn.

Waarom inloggen met BSN en niet met DigiD? Daar is dat hele ding toch voor uitgevonden? De BSN zou men naar mijn mening niks anders mee moeten doen dan je offline identificeren daar waar het moet en niet online. Daar heeft onze overheid een ander systeem voor in het leven geroepen wat op zich prima werkt.

Prop-er schreef op dinsdag 18 februari 2020 @ 13:15:
Heeft deze gemeente 7 letters?

We gaan hier geen heksenjacht organiseren ajb

Niet alleen ongewenst op GoT, ook nog eens snel illegaal als mensen aan de poort gaan rammelen gewoon omdat het kan. Niet doen.

Netjes. Helaas nog geen respons gehad op mijn mail maar ik zie liever actie dan reactie.

Hoop toch dat dit een verouderde of deels verouderde website was. Als ik kijk wat de makers zoal doen, hebben ze behoorlijk wat vertrouwelijke documenten etc onder hun hoede (aldan niet direct, indirect).
Iemand heeft dit wel aangemeld bij AP ?

[ Voor 9% gewijzigd door mvrhrln op 18-02-2020 15:15 ]

Als alles weer een beetje rond is verwacht ik wel minimaal een Nieuws-item op de FP met een vermelding van @Imnoa

Als jullie zo snel antwoord willen van welke instantie dan ook bij dit soort spoedeisende situaties, dan doe je een melding en bel je even later op of de boodschap is ontvangen.

Imnoa schreef op dinsdag 18 februari 2020 @ 16:03:
[...]


Ik heb in alle gevallen meteen een "boodschap ontvangen" mailtje teruggehad,

Waar je niks aan hebt.

waar het mogelijk was heb ik de mail rechtstreeks naar de Security Officer gestuurd.

Ik citeer een gedeelte van de reactie die ik heb ontvangen van "de hoster": "Op verzoek van de gemeente is deze ontsluiting als tussenoplossing ingericht. Doorgaans onstluiten wij dergelijke documenten alleen achter een DigiD aansluiting.

Wij hebben na deze melding de site direct offline gehaald en treden in overleg met de gemeente voor een structurele oplossing."

Enorm veel leer momenten voor alle betrokken partijen hier. Ik ben bang dat de Gemeente het echter moet voelen voordat daar iets gaat veranderen.

Liberteh schreef op dinsdag 18 februari 2020 @ 17:03:
[...]

Enorm veel leer momenten voor alle betrokken partijen hier. Ik ben bang dat de Gemeente het echter moet voelen voordat daar iets gaat veranderen.

Leuk zo'n spatiefout i.c.m. "het moeten voelen" voordat er iets gaat veranderen.

Fout van de gemeente, maar laten we het niet erger maken ajb. Het is gemeld (aan de functionaris gegevensbescherming die elke gemeente verplicht moet hebben neem ik aan?) dus er zal vast iets mee gedaan worden. Soms wordt er ook wel snel gewezen met vingertjes ‘niet onze schuld!!!1een!’, dus misschien wist de gemeente hier wel niet eens van af.

En hoewel een BSN een bijzonder persoonsgegeven is, heb je nog altijd meer info nodig om te achterhalen bij wie dat nummer dan hoort. Zolang dat goed is afgeschermd, valt het risico wel mee. Dat jij je ID bewijs laat slingeren of dat je buurman zijn BSN op zijn facturen zet, is niet de schuld van de gemeente immers.

@Icephase Jij vergeet voor het gemak even dat elke ZZP'er jarenlang zijn BSN in zijn/haar BTW-nummer heeft gehad? Het internet staat vol met BSN's. Een geboortedatum erbij zoeken is meestal een koud kunstje, met alle social media-gebruikers.

Ok, dat vergat je niet. Maar het is, juist daarom, extra dom van de gemeente om enkel die twee gegevens als authenticatiemiddel te kiezen.

[ Voor 24% gewijzigd door Room42 op 18-02-2020 17:24 ]

Icephase schreef op dinsdag 18 februari 2020 @ 17:18:
Fout van de gemeente, maar laten we het niet erger maken ajb.

Het opvragen van deze gegevens D.m.v BSN + Geboorte gegevens is vrij ernstig.
Maar wat ik nog veel erger vindt is dat ALLE gegevens gemakkelijk in 1 keer te downloaden d.m.v SQL injection.

Ik denk dat dat nog veel erger is dan de "Design-fout" die gemaakt is met BSN/Geboorte gegevens

nieuws: Portal van zes gemeenten bood via lek toegang tot burgerservicenummers

Icephase schreef op dinsdag 18 februari 2020 @ 17:18:
Fout van de gemeente, maar laten we het niet erger maken ajb. Het is gemeld (aan de functionaris gegevensbescherming die elke gemeente verplicht moet hebben neem ik aan?) dus er zal vast iets mee gedaan worden. Soms wordt er ook wel snel gewezen met vingertjes ‘niet onze schuld!!!1een!’, dus misschien wist de gemeente hier wel niet eens van af.

En hoewel een BSN een bijzonder persoonsgegeven is, heb je nog altijd meer info nodig om te achterhalen bij wie dat nummer dan hoort. Zolang dat goed is afgeschermd, valt het risico wel mee. Dat jij je ID bewijs laat slingeren of dat je buurman zijn BSN op zijn facturen zet, is niet de schuld van de gemeente immers.

BSN is geen bijzonder persoonsgegeven. Wel mag je er niks mee doen zonder dat dit in nationale wetgeving bepaald is.

Verwijderd schreef op zaterdag 22 februari 2020 @ 13:48:
[...]

BSN is geen bijzonder persoonsgegeven. Wel mag je er niks mee doen zonder dat dit in nationale wetgeving bepaald is.

Het lijkt erop dat je gelijk hebt, maar ik kom ook sites tegen waar het ook onder de avg als bijzonder persoonsgegeven geldt. De AP is niet de enige instantie die de regels rondom de avg bepaalt, dus van hen is het ook ‘slechts’ interpretatie maar toegegeven, wel een hele bepalende. Maar goed, feitelijk verandert het niks aan mijn betoog.

Icephase schreef op zondag 23 februari 2020 @ 00:04:
[...]


Het lijkt erop dat je gelijk hebt, maar ik kom ook sites tegen waar het ook onder de avg als bijzonder persoonsgegeven geldt. De AP is niet de enige instantie die de regels rondom de avg bepaalt, dus van hen is het ook ‘slechts’ interpretatie maar toegegeven, wel een hele bepalende. Maar goed, feitelijk verandert het niks aan mijn betoog.

Onder de Wpb was het BSN wel een bijzonder persoonsgegeven. Onder de AVG niet. Dat wordt niet bepaald door de AP (of wat voor instantie dan ook) maar is geregeld in de uAVG (uitvoeringswet AVG). Wel is de AP de enige toezichthouder op de naleving van de AVG binnen Nederland en is voor interpretatie de leidende instantie. Wel samen met de ACM voor artikel 11.7a van de Telecommunicatiewet (nationale implementatie Europese e-privacy richtlijn)

Het BSN is wel een nationaal identificerend kenmerk waaraan bijzondere eisen worden gesteld. De uAVG regelt dat onder de AVG aan verwerking van het BSN dezelfde eisen worden gesteld als onder de Wbp.

Volgens mij gaat dit een beetje de verkeerde kant op. Een BSN van iemand kunnen vinden is een datalek. Maar de WOZ-waarde van iemands huis kunnen vinden als je z'n BSN al weet, is dat niet. WOZ-waarde is immers een openbaar gegeven.

Dat andere probleem is veel ernstiger, die SQL-injectie. Daarmee zou jein theorie ook achter andere BSN's en geboortedata kunnen komen.

Iemands z'n WOZ document vinden a.d.v. van BSN nummer betekend ook iemands huis adres vinden

Icephase schreef op zondag 23 februari 2020 @ 00:04:
[...]


Het lijkt erop dat je gelijk hebt, maar ik kom ook sites tegen waar het ook onder de avg als bijzonder persoonsgegeven geldt. De AP is niet de enige instantie die de regels rondom de avg bepaalt, dus van hen is het ook ‘slechts’ interpretatie maar toegegeven, wel een hele bepalende. Maar goed, feitelijk verandert het niks aan mijn betoog.

Aanvullend op wat @Killjoy zegt, de uavg heeft weinig te maken met de definitie van een bijzonder persoonsgegeven. Dat is een limitatieve lijst in artikel 9 AVG. Daar heeft de AP niets mee te maken, maar sites buiten die van officiële instanties zou ik als je niet bekend met de materie niet teveel waarde aan hechten.

Verwijderd schreef op zondag 23 februari 2020 @ 12:08:
[...]

Aanvullend op wat @Killjoy zegt, de uavg heeft weinig te maken met de definitie van een bijzonder persoonsgegeven. Dat is een limitatieve lijst in artikel 9 AVG. Daar heeft de AP niets mee te maken, maar sites buiten die van officiële instanties zou ik als je niet bekend met de materie niet teveel waarde aan hechten.

Klopt helemaal. Dank voor de correctie. Zal voortaan niet meer reageren na een flesje wijn