Ik kwam bijna per toeval achter een beveiligingsprobleem van een website van een redelijk groot (buitenlands wel EU) bedrijf. Het komt er op neer dat je zonder enige beveiliging, de tickets en rekeningen van klanten die direct bij hun geboekt hebben kan inzien. Naast dat iemand met kwade intenties die tickets zou kunnen misbruiken, staan in de gegevens ook persoonsinformatie als naam en telefoonnummer en of je een handicap hebt. Je moet ook een paspoortnummer ingeven maar die staat er niet op gelukkig. Het bedrijf heeft miljoenen klanten per jaar en op basis van de informatie die ik heb, zijn op deze manier enkele honderdduizenden tickets geboekt. Wat verder onderzoek wijst uit dat het probleem zich bevind in het gedeelte van de website dat door een derde partij als universele backend wordt gemaakt en beheerd en die dat ook voor tientallen andere bedrijven uit die branche doen. Er is dus een grote kans dat die allemaal van het zelfde issue last hebben.
Ik heb me volgens mij volledig aan de wet gehouden bij het onderzoeken van het issue en heb alleen mijn eigen gegevens ingezien en die van mijn vrouw, (wij doen bijna elk jaar enkele bestellingen dus dat is een redelijke dataset). Maar op basis van die gegevens kan ik met vrijwel 100% zekerheid zeggen dat ik ook bij de gegevens van alle andere klanten zou kunnen.
Ik heb ruim een week geleden geprobeerd in contact te komen met de DPO (data protection officer/ functionaris gegevensbescherming) van het bedrijf en met de makers van de backend. Maar van beide heb ik geen reactie gehad. Ik ga dit deze week nogmaals proberen. Aangezien het bedrijf op sommige dingen een praktisch monopolie heeft, kan ik niet om ze heen. Ik wil ze niet al te erg in het harnas jagen omdat ik ze dus nog nodig heb. Maar ik wil wel graag dat het wordt opgelost. Het probleem is zo triviaal dat ik me bijna niet kan voorstellen dat ik deze als eerste heb opgemerkt, maar misschien is het gewoon niet interessant genoeg om te misbruiken.
Heeft iemand nog ideeën over volgende stappen of ervaringen met het melden van dit soort dingen? Hoe breng je zoiets duidelijk aan de aandacht (binnen de grenzen van de wet natuurlijk)?
Ik heb me volgens mij volledig aan de wet gehouden bij het onderzoeken van het issue en heb alleen mijn eigen gegevens ingezien en die van mijn vrouw, (wij doen bijna elk jaar enkele bestellingen dus dat is een redelijke dataset). Maar op basis van die gegevens kan ik met vrijwel 100% zekerheid zeggen dat ik ook bij de gegevens van alle andere klanten zou kunnen.
Ik heb ruim een week geleden geprobeerd in contact te komen met de DPO (data protection officer/ functionaris gegevensbescherming) van het bedrijf en met de makers van de backend. Maar van beide heb ik geen reactie gehad. Ik ga dit deze week nogmaals proberen. Aangezien het bedrijf op sommige dingen een praktisch monopolie heeft, kan ik niet om ze heen. Ik wil ze niet al te erg in het harnas jagen omdat ik ze dus nog nodig heb. Maar ik wil wel graag dat het wordt opgelost. Het probleem is zo triviaal dat ik me bijna niet kan voorstellen dat ik deze als eerste heb opgemerkt, maar misschien is het gewoon niet interessant genoeg om te misbruiken.
Heeft iemand nog ideeën over volgende stappen of ervaringen met het melden van dit soort dingen? Hoe breng je zoiets duidelijk aan de aandacht (binnen de grenzen van de wet natuurlijk)?
- In het geval van overheid of vitale systemen kan je bij het NCSC terecht, maar aangezien dit in het buitenland is en volgens mij niet kritisch lijkt me dat geen optie.
- Voor een klacht over je eigen persoonlijke data kan je bij de AP terecht, maar aangezien hier effectief niks gelekt is (heb alleen mijn eigen gegevens ingezien) lijkt me dat ook niet mogelijk.
- Moet je anders maar gewoon via de klantenservice het proberen te rapporteren? Ik heb er weinig vertrouwen in dat dat wel wat oplevert.
- Er zijn genoeg hackers die alles gewoon downloaden en maar gewoon online pleuren, maar naast dat dat niet fair is naar de andere gebruikers, is dat volgens mij ook gewoon strafbaar.
- Of moet ik me gewoon niet druk maken, het hele internet zo lek als een mandje dit maakt ook niet meer uit.
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/85308/mirko.jpg?f=community)
/u/28468/librarian2.png?f=community)
:strip_icc():strip_exif()/u/448966/crop62a741840cd69_cropped.jpg?f=community)