Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Beveiligingsprobleem onder de aandacht krijgen

Pagina: 1
Acties:

Acties:
  • +1Henk 'm!

  • jmzeeman
  • Registratie: april 2007
  • Laatst online: 18-06 09:11
Ik kwam bijna per toeval achter een beveiligingsprobleem van een website van een redelijk groot (buitenlands wel EU) bedrijf. Het komt er op neer dat je zonder enige beveiliging, de tickets en rekeningen van klanten die direct bij hun geboekt hebben kan inzien. Naast dat iemand met kwade intenties die tickets zou kunnen misbruiken, staan in de gegevens ook persoonsinformatie als naam en telefoonnummer en of je een handicap hebt. Je moet ook een paspoortnummer ingeven maar die staat er niet op gelukkig. Het bedrijf heeft miljoenen klanten per jaar en op basis van de informatie die ik heb, zijn op deze manier enkele honderdduizenden tickets geboekt. Wat verder onderzoek wijst uit dat het probleem zich bevind in het gedeelte van de website dat door een derde partij als universele backend wordt gemaakt en beheerd en die dat ook voor tientallen andere bedrijven uit die branche doen. Er is dus een grote kans dat die allemaal van het zelfde issue last hebben.

Ik heb me volgens mij volledig aan de wet gehouden bij het onderzoeken van het issue en heb alleen mijn eigen gegevens ingezien en die van mijn vrouw, (wij doen bijna elk jaar enkele bestellingen dus dat is een redelijke dataset). Maar op basis van die gegevens kan ik met vrijwel 100% zekerheid zeggen dat ik ook bij de gegevens van alle andere klanten zou kunnen.

Ik heb ruim een week geleden geprobeerd in contact te komen met de DPO (data protection officer/ functionaris gegevensbescherming) van het bedrijf en met de makers van de backend. Maar van beide heb ik geen reactie gehad. Ik ga dit deze week nogmaals proberen. Aangezien het bedrijf op sommige dingen een praktisch monopolie heeft, kan ik niet om ze heen. Ik wil ze niet al te erg in het harnas jagen omdat ik ze dus nog nodig heb. Maar ik wil wel graag dat het wordt opgelost. Het probleem is zo triviaal dat ik me bijna niet kan voorstellen dat ik deze als eerste heb opgemerkt, maar misschien is het gewoon niet interessant genoeg om te misbruiken.

Heeft iemand nog ideeën over volgende stappen of ervaringen met het melden van dit soort dingen? Hoe breng je zoiets duidelijk aan de aandacht (binnen de grenzen van de wet natuurlijk)?
  • In het geval van overheid of vitale systemen kan je bij het NCSC terecht, maar aangezien dit in het buitenland is en volgens mij niet kritisch lijkt me dat geen optie.
  • Voor een klacht over je eigen persoonlijke data kan je bij de AP terecht, maar aangezien hier effectief niks gelekt is (heb alleen mijn eigen gegevens ingezien) lijkt me dat ook niet mogelijk.
  • Moet je anders maar gewoon via de klantenservice het proberen te rapporteren? Ik heb er weinig vertrouwen in dat dat wel wat oplevert.
  • Er zijn genoeg hackers die alles gewoon downloaden en maar gewoon online pleuren, maar naast dat dat niet fair is naar de andere gebruikers, is dat volgens mij ook gewoon strafbaar.
  • Of moet ik me gewoon niet druk maken, het hele internet zo lek als een mandje dit maakt ook niet meer uit.
Ben naast mijn eigen casus ook wel benieuwd of andere tweakers wel is met dit bijltje geha(c)kt hebben en hoe die de respons van bedrijven ervoeren.

  • DJMaze
  • Registratie: juni 2002
  • Niet online
Bel de AP 070 8888 500 (en anders de NCSC 070 751 55 55)
Dan weten ze vast bij wie je het kan melden.
Het gaat immers wel om persoonsgegevens van Nederlanders, en dan maakt het niet uit waar het bedrijf gevestigd is.

[Voor 17% gewijzigd door DJMaze op 01-07-2020 10:13]

Maak je niet druk, dat doet de compressor maar


  • MAX3400
  • Registratie: mei 2003
  • Laatst online: 16-06 14:01

MAX3400

XBL: OctagonQontrol

@DJMaze en toen? In dit duidelijke geval gaat het om een blijkbaar internationaal & bekend bedrijf dus als AP ze op de schouder tikt, zullen ze allicht in beweging komen.

Maar als ik al jouw data offshore in een opendir neergooi? Wie ga je dan bellen?

@jmzeeman ongetwijfeld is dat bedrijf telefonisch bereikbaar (niet een helpdesk maar echt een kantoorlocatie?); is dat een idee zolang je het gesprek opneemt? Voorkom je in ieder geval weer dat "jij" zometeen de hacker wordt genoemd en dat jouw intenties nooit lief zijn geweest.

Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • +1Henk 'm!

  • DJMaze
  • Registratie: juni 2002
  • Niet online
MAX3400 schreef op woensdag 1 juli 2020 @ 10:51:
Maar als ik al jouw data offshore in een opendir neergooi? Wie ga je dan bellen?
Tegenwoordig waarschijnlijk Amazon vanwege een verkeerd ingestelde bucket ;)
Echter weet je alleen duidelijk wie, als je het IP adres weet.

We hebben nu alleen te weinig info van TS om dat te bepalen.
Dat zou hij zelf even moeten uitzoeken en niet hier posten zodat niemand via hier er misbruik van maakt. Ga ze hem dat anders misschien ook nog in de schoenen schuiven.

Maak je niet druk, dat doet de compressor maar


Acties:
  • +1Henk 'm!

  • jmzeeman
  • Registratie: april 2007
  • Laatst online: 18-06 09:11
MAX3400 schreef op woensdag 1 juli 2020 @ 10:51:
@DJMaze en toen? In dit duidelijke geval gaat het om een blijkbaar internationaal & bekend bedrijf dus als AP ze op de schouder tikt, zullen ze allicht in beweging komen.

Maar als ik al jouw data offshore in een opendir neergooi? Wie ga je dan bellen?

@jmzeeman ongetwijfeld is dat bedrijf telefonisch bereikbaar (niet een helpdesk maar echt een kantoorlocatie?); is dat een idee zolang je het gesprek opneemt? Voorkom je in ieder geval weer dat "jij" zometeen de hacker wordt genoemd en dat jouw intenties nooit lief zijn geweest.
Ik ga inderdaad zo maar proberen via andere telefoon nummers in contact te komen. Van de backend heb ik in een support nummer voor hun klanten gevonden wat ik kan bellen. Ga dat vanmiddag maar proberen, misschien dat dat wat wordt.
DJMaze schreef op woensdag 1 juli 2020 @ 11:27:
[...]

Tegenwoordig waarschijnlijk Amazon vanwege een verkeerd ingestelde bucket ;)
Echter weet je alleen duidelijk wie, als je het IP adres weet.

We hebben nu alleen te weinig info van TS om dat te bepalen.
Dat zou hij zelf even moeten uitzoeken en niet hier posten zodat niemand via hier er misbruik van maakt. Ga ze hem dat anders misschien ook nog in de schoenen schuiven.
Goed idee, ik zal ook kijken of ik via de IP's of DNS records nog ergens achter kan komen. Desnoods mail of bel ik iemand bij de hoster.

Ik probeer inderdaad hier alle info zo goed mogelijk te veralgemeniseren. Wil geen mensen op ideeën brengen of boze bedrijven achter me aan hebben.

[Voor 4% gewijzigd door jmzeeman op 01-07-2020 11:54]


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Kijk eerst even of er een responsible disclosure-beleid is bij dat bedrijf, dan kan je de stappen volgen die daar zijn genoemd. (Bij Tweakers is het bijvoorbeeld dit: https://tweakers.net/info/responsible-disclosure/)

De hostingpartij lijkt me vaak niet de juiste weg, als het ook via het bedrijf zelf kan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • jmzeeman
  • Registratie: april 2007
  • Laatst online: 18-06 09:11
F_J_K schreef op woensdag 1 juli 2020 @ 11:57:
Kijk eerst even of er een responsible disclosure-beleid is bij dat bedrijf, dan kan je de stappen volgen die daar zijn genoemd. (Bij Tweakers is het bijvoorbeeld dit: https://tweakers.net/info/responsible-disclosure/)

De hostingpartij lijkt me vaak niet de juiste weg, als het ook via het bedrijf zelf kan.
Ik heb inderdaad eerst gekeken of dat er was, dat was er niet bij beide bedrijven of kan ik het iig niet vinden. Wel een privacy policy waar ik de gegevens van de DPO heb gevonden. Maar die neemt zijn telefoon niet op en reageert tot nu toe niet op mijn mail.

Acties:
  • +1Henk 'm!

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je hebt dan ondertussen m.i. sowieso goede reden om inderdaad te bellen met het AP. Goed dat je alleen je 'eigen' data hebt bekeken, laat het daar inderdaad bij voor wat betreft aantonen dat de data ten onrechte zomaar toegankelijk is :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • MAX3400
  • Registratie: mei 2003
  • Laatst online: 16-06 14:01

MAX3400

XBL: OctagonQontrol

jmzeeman schreef op woensdag 1 juli 2020 @ 12:01:
[...]

Maar die neemt zijn telefoon niet op en reageert tot nu toe niet op mijn mail.
Ach, allicht dat ik soms wat bot overkom maar dat soort akties van een DPO zou ik niet lang accepteren.

Gewoon een reminder sturen dat je al enkele dagen wacht op een solide aktie maar bij gebrek aan terugkoppeling, toch opteert om de toezichthouders en pers erbij te halen om de organisatie een helpende hand te bieden in het web van persoonsgegevens :)

Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • +1Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 20:37
Ik heb al meerdere keren een lek gemeld en kan je vertellen dat het soms heel moeilijk is een reactie te krijgen. Je zou als je echt helemaal niets te horen krijgt en je je toch zorgen maakt, een melding bij een beveiligingsjournalist kunnen doen. Wellicht vindt diegene het interessant genoeg om er wat over te schrijven. Grote kans dat er daarna snel een oplossing komt.

Maak ook de afweging hoe belangrijk jij jouw data vindt op het betreffende platform. Staat er naar jouw idee niet heel veel bijzonders op, dan zou je ervoor kunnen kiezen het rustig af te wachten. Maar als ik het zo lees staat er genoeg informatie op die je niet zomaar met iedereen wil delen.

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

plan: Lekken naar Tweakers via Publeaks is nu mogelijk kan trouwens ook, maar de nettere route is (via hun DPO... of anders) bij de AP denk ik.

Overigens zou je misschien beter juist de autoriteit van het betreffende andere Europese land kunnen benaderen. Die zal er formeel over gaan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1Henk 'm!

  • Tijs Hofmans
  • Registratie: maart 2012
  • Laatst online: 16:06

Tijs Hofmans

Redacteur
Beetje preken voor eigen parochie natuurlijk maar je kunt dit ook altijd via de media doen. Je kunt specifiek mij daarover tippen (via DM, of contactinfo in profiel of via Publeaks idd).

In principe doe ik hetzelfde als jijzelf, ik doe ook aan responsible disclosure en geef bedrijven ruim de tijd iets te fixen. Soms gaan dit soort processen sneller als het via de media gaat. Stuur me gerust een DM om te overleggen hoe en wat, ik doe er alleen iets mee in overleg @jmzeeman

Acties:
  • 0Henk 'm!

  • jmzeeman
  • Registratie: april 2007
  • Laatst online: 18-06 09:11
@F_J_K en @Tijs Hofmans Bedankt voor de tips. Maar voor dat ik dingen ga escaleren wil ik ze eerst de kans geven om het zelf goed op te lossen. Zeker omdat ik niet echt mijn best doe om mijn identiteit te verbergen.

Ik heb geprobeerd te bellen maar door de combinatie taalbarrière en compleet de verkeerde personen tot nu toe gaat dat erg moeizaam. Ik heb nogmaals gemaild dit keer naar een wat bredere range aan contact informatie die ik kon vinden. Ook heb ik mijn verhaal dat misschien in eerste instantie te technisch was, uitgebreid met een management overzichtje, een overzicht van de persoonsinformatie die zo te vinden is en daarnaast het verzoek dit door te sturen naar iemand die hier voor verantwoordelijk is.

@hmmmmmmmmmpffff Ik was voor het melden inderdaad al sceptisch over hoe dit soort organisaties, voor wie dit niet hun core business is, hier mee omgaan.
F_J_K schreef op woensdag 1 juli 2020 @ 12:11:
[...]
Overigens zou je misschien beter juist de autoriteit van het betreffende andere Europese land kunnen benaderen. Die zal er formeel over gaan.
Mocht iemand op zoek zijn hier zijn de verschillende Data Protection Authorities per land te vinden. Maar is het niet zo dat je in principe gewoon in je eigen land moet zijn?

Acties:
  • 0Henk 'm!

  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

jmzeeman schreef op vrijdag 3 juli 2020 @ 09:48:
Mocht iemand op zoek zijn hier zijn de verschillende Data Protection Authorities per land te vinden. Maar is het niet zo dat je in principe gewoon in je eigen land moet zijn?
Bij je eigen autoriteit klagen kan vast altijd, maar 1 internationale organisatie heeft 1 'officiële' toezichthouder. Dat zal die van het hoofdkantoor zijn.

Edit: https://autoriteitpersoon...idende_toezichthouder.pdf

[Voor 9% gewijzigd door F_J_K op 03-07-2020 09:56]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +2Henk 'm!

  • jmzeeman
  • Registratie: april 2007
  • Laatst online: 18-06 09:11
Na 3 x mailen naar 6 verschillende adressen, een telefoon nummer van de DPO dat buiten gebruik is en algemene telefoonnummers waar geen of nauwelijks engels wordt gesproken heb ik nu maar melding gedaan bij de authoriteit persoonsgegevens. Geen garantie dat er nu wel wat gebeurd maar als ik niks meer hoor houd het hier voor mij denk ik op.

Ik wil iedereen iig bedanken voor het meedenken!

[Voor 7% gewijzigd door jmzeeman op 29-07-2020 18:00]


  • kodak
  • Registratie: augustus 2001
  • Laatst online: 22:12

kodak

FP ProMod
Je kan ook kijken of er in het land organisaties zijn die je misschien kunnen helpen aan de juiste contactgegevens. Meestal kan je dat proberen via dit soort organisaties:
https://www.first.org/members/teams/
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True