Toon posts:

FvD lek zit niet in de app, maar in de backend

Pagina: 1
Acties:

vrijdag 2 december 2022 02:06

Acties:
  • 0 Henk 'm!
  • Bergen
  • Registratie: Maart 2001
  • Laatst online: 07-09 11:44

Bergen

Spellingscontroleur

Topicstarter
nieuws: Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen do...

@LFranxWind In de introtekst staat:
Dat kwam door een kwetsbaarheid in de eigen app van de partij, die dit weekend is uitgebracht, meldt RTL Nieuws.
De bouwer van de app benadrukt op hun website dat het lek niet in de app maar in de backend zat:
Update n.a.v. berichtgeving RTL Nieuws

Op 1-12-2022 schreef RTL Nieuws dat de nieuwe FVD app een lek bevat waardoor privégegevens te benaderen waren. Als leverancier van de app willen we benadrukken dat het lek zich niet in de app, maar in het ledensysteem (dat los staat van de app) bevond. Het lek is inmiddels gedicht en de app blijft veilig te gebruiken. Voor vragen rondom deze berichtgeving staan wij je graag te woord. Neem hiervoor contact met ons op.
Misschien is het goed om deze reactie nog in een update te verwerken.

vrijdag 2 december 2022 02:15

Acties:
  • 0 Henk 'm!
  • CyBeRSPiN
  • Registratie: Februari 2001
  • Laatst online: 10:47

CyBeRSPiN

sinds 2001

*knip* - offtopic

[ Voor 94% gewijzigd door Orion84 op 02-12-2022 09:19 ]

vrijdag 2 december 2022 03:03

Acties:
  • +1 Henk 'm!
  • Crim
  • Registratie: Oktober 2007
  • Laatst online: 26-09 02:15

Crim

Ik vond het ook al een beetje vreemd dat er over een lek in de app wordt gesproken, terwijl in het artikel zelf staat:
De ForumApp verbond met de technische achterkant van de Forum-website, waarin alle leden staan, schrijft het medium. Op die manier kunnen gebruikers inloggen met hun Forum-account bij de app. Er werd niet gecontroleerd wie welke gegevens opvroeg en of diegene daar toestemming voor had.
De app ontwikkelaar had misschien wel even aan de bel mogen trekken als dit zonder authenticatie kon.

vrijdag 2 december 2022 07:11

Acties:
  • +1 Henk 'm!
  • LFranxWind
  • Registratie: September 2018
  • Laatst online: 07-09 11:20

LFranxWind

Redacteur
Bergen schreef op vrijdag 2 december 2022 @ 02:06:
nieuws: Ruim 92.000 leden en oud-leden van Forum voor Democratie getroffen do...

@LFranxWind In de introtekst staat:

[...]


De bouwer van de app benadrukt op hun website dat het lek niet in de app maar in de backend zat:

[...]

Misschien is het goed om deze reactie nog in een update te verwerken.
Bedankt voor het doorgeven :) ! Heb de reactie in het artikel geplaatst.

vrijdag 2 december 2022 07:56

Acties:
  • +1 Henk 'm!
  • m2011
  • Registratie: November 2011
  • Laatst online: 25-09 22:14

m2011

Ze down dus niet even een check of ze de data ook zonder authenticatie binnen krijgen. Als het lek vervolgens bekend wordt is er geen enkele zelfreflectie, maar wordt alleen met de vinger gewezen. Ik vind dat deze situatie ze onbetrouwbaarder maakt dan wanneer het wel in de app zat, maar ze meer zelflerend vermogen hadden laten zien.

vrijdag 2 december 2022 08:09

Acties:
  • +1 Henk 'm!
  • RVW
  • Registratie: December 2000
  • Laatst online: 25-09 15:29

RVW

Er gaan geruchten rond over nog een lek in de FvD infrastructuur:

https://twitter.com/morrisjim/status/1598338074022387717

vrijdag 2 december 2022 11:28

Acties:
  • 0 Henk 'm!
  • marcieking
  • Registratie: Februari 2005
  • Niet online

marcieking

Mannetje Pug en een stokbrood

m2011 schreef op vrijdag 2 december 2022 @ 07:56:
Ze down dus niet even een check of ze de data ook zonder authenticatie binnen krijgen. Als het lek vervolgens bekend wordt is er geen enkele zelfreflectie, maar wordt alleen met de vinger gewezen. Ik vind dat deze situatie ze onbetrouwbaarder maakt dan wanneer het wel in de app zat, maar ze meer zelflerend vermogen hadden laten zien.
Als de app-bouwer de vraag heeft gekregen om een API aan te roepen met authenticatie, dan is checken of die API ook zonder authenticatie werkt helemaal niet hun taak. Sterker nog, daarvoor moeten ze apart toestemming vragen, want dan zijn ze een stukje omgeving aan het pentesten dat buiten hun scope ligt en misschien weer door een andere derde partij wordt beheerd.

https://onzetaal.nl/taaladvies/welke-die/

vrijdag 2 december 2022 13:10

Acties:
  • 0 Henk 'm!
  • crazyx
  • Registratie: Juli 2001
  • Laatst online: 22-09 09:26

crazyx

Zoals ik het lees, is de authenticatie op zich wel in orde. Maar dat als je eenmaal geauthenticeerd bent, je ook data mocht opvragen die niet voor je bedoeld was.

vrijdag 2 december 2022 15:13

Acties:
  • +1 Henk 'm!
  • m2011
  • Registratie: November 2011
  • Laatst online: 25-09 22:14

m2011

marcieking schreef op vrijdag 2 december 2022 @ 11:28:
[...]

Als de app-bouwer de vraag heeft gekregen om een API aan te roepen met authenticatie, dan is checken of die API ook zonder authenticatie werkt helemaal niet hun taak. Sterker nog, daarvoor moeten ze apart toestemming vragen, want dan zijn ze een stukje omgeving aan het pentesten dat buiten hun scope ligt en misschien weer door een andere derde partij wordt beheerd.
Dit is geen pentest maar een sanity check. Maar goed, als je een partij zoekt die zo'n basic check die een minuut kost en een hoop ellende kan schelen niet uitvoert, dan moet je deze partij hebben.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq