Beveiliging - factuur via open url?

Over het algemeen is de aanname dat bijvoorbeeld een Guid dusdanig random is dat het onmogelijk is om een geldige te raden, dus alleen als je een code hebt ontvangen kan je die gebruiken.

Zie ook Wikipedia: Universally unique identifier

Omdat een email niet veilig genoeg is zou je hier vaak nog wel iets aan moeten toevoegen, dat bijvoorbeeld alleen bekend is bij de ontvanger. Een geboortedatum ofzo. Die moet je dan eerst opgeven voordat je de volledige informatie krijgt te zien.

[ Voor 28% gewijzigd door Boss op 07-03-2024 14:37 ]

Met de aanname dat de url niet gebruteforced kan worden of opgenomen in de google zoekresultaten:
Ongeveer net zo veilig als het direct als bijlage naar je toe was gemaild.

Voor veel mensen voelt een factuur in je mail met bijlage echter veiliger dan een direct GUID link.
Toch zijn er grofweg maar 2 aanvalspaden om de factuur te openen:
- Mailbox hacken
- Server hacken

Ook als het een bijlage is, dan kun je meestal ook wel kopie van de factuur op de server vinden

Veiligste is factuur achter een 2FA zetten. Mijn tandarts facturen kan ik wel direct betalen maar als ik de factuur wil downloaden moet ik eerst een SMS 2FA overkloppen

[ Voor 8% gewijzigd door laurens0619 op 07-03-2024 14:56 ]

de enige risico's dat je loopt is dat je persoonlijke gegeven online komen te staan als er iemand die GUID code kan raden.
Je moet altijd de afweging gaan maken, zal een hacker de moeite gaan doen voor die tandarts zijn systeem te hacken voor een GUID code te bemachtigen zodat hij jouw gegevens heeft ?

2FA (sms/fingerprint/facial recognition) zijn natuurlijk de veiligste manieren.

Schopje naar PB.

Wolfp4ck schreef op donderdag 7 maart 2024 @ 15:11:
de enige risico's dat je loopt is dat je persoonlijke gegeven online komen te staan als er iemand die GUID code kan raden.
Je moet altijd de afweging gaan maken, zal een hacker de moeite gaan doen voor die tandarts zijn systeem te hacken voor een GUID code te bemachtigen zodat hij jouw gegevens heeft ?

2FA (sms/fingerprint/facial recognition) zijn natuurlijk de veiligste manieren.

Je zegt "te raden", ik zeg een script dat als een malle alle codes afgaat.
De kans is natuurlijk minuscuul, bijna onrëeel, dat hij raakt. Maar raken zal hij.

De taak van (IT) security is om al dit soort dingen af te vangen, want er zal maar eens iemand zo gek zijn. Ik vind dat hier ook veel te makkelijk mee gedaan wordt. Al pleur je er een email 2FA achteraan, hoe veel moeite is dat?

@Zebby ik hoop dat die hacker dan A. enorm wat rekenkracht heeft en B. Heel veel tijd

Daarom dat ze ook secure tokens maken of session tokens die een week online blijven staan.

Zebby schreef op donderdag 7 maart 2024 @ 16:12:
[...]
De kans is natuurlijk minuscuul, bijna onrëeel, dat hij raakt. Maar raken zal hij.

Jezelf volledig tegenspreken in twee elkaar direct volgende zinnen, het blijft knap.

Er waren vroeger een aantal zaken mis met mail:
1. Mailserver to mailserver verkeer was unecrypred. Als je op de lijn zat tussen 2 mailservers dan kon je idd meelezen. Los ervan dat je niet zomaar op de lijn zat, is 99% van smtp to smtp encrypted

2. Client to mailbox (pop/webmail) was niet encrypted, je kon dus meelezen/wachtwoord zien als je op de lijn zat. Tegenwordig is dat bijna altijd encrypted

3 mailtoegang was vaak username/password only. Tegenwoordig is dat icm mfa

Dat een mailbox super onveilig is, is dus een beetje een oude blik. Het is alleen nog steeds een van de meest getargetede doelwitten waardoor middels technieken als mitmproxy hacks via social engineering mogelijk is en hacks voorkomen.

Tldr: mail is niet super onveilig

Zebby schreef op donderdag 7 maart 2024 @ 16:12:
Je zegt "te raden", ik zeg een script dat als een malle alle codes afgaat.
De kans is natuurlijk minuscuul, bijna onrëeel, dat hij raakt. Maar raken zal hij.

Als de betreffende partij een v4 UUID gebruikt, dan zijn er 2^128 verschillende tokens. Stel dat ze een miljard facturen online hebben staan (dat is vrij ambitieus), dan is kans dat een willekeurig token nergens heen gaat 1-((10^9)/(2^128)) ≈ 99.9999999999999999999999999997%. Probeer je er een miljoen per seconde (dan staat de gemiddelde server wel te roken) voor de rest van je leven (laten we zeggen 100 jaar) dan is de kans dat je nooit wat vindt [vorige kans]^((10^6)*3600*24*366*100) ≈ 99.999999999999%.

Dat wil echter niet zeggen dat dit een goed idee is. Het probleem is niet zozeer dat mensen die tokens raden, het probleem is dat die URLs relatief makkelijk uit kunnen lekken. Zoals @matthys70 terecht aangeeft zijn niet alle mailverbindingen beveiligd. Daarnaast kunnen mails gescand worden door je provider, bijvoorbeeld om virussen tegen te houden of om een advertentieprofiel op te bouwen. En tot slot gaan sommige mensen niet veilig om met dat soort links; ik heb wel eens aan een dergelijke applicatie gewerkt en er stonden meer dan een paar van dit soort privé links van klanten in zoekmachines. Voor low-security dingen is dit een acceptabele oplossing vanwege het gemak, maar bij medische dingen zou ik toch verwachten dat één en ander achter een login in een beveiligde omgeving zit.

Citroentjuh schreef op donderdag 7 maart 2024 @ 16:21:
[...]

Jezelf volledig tegenspreken in twee elkaar direct volgende zinnen, het blijft knap.

Nee? Iets dat zo onwaarschijnlijk is dat het 100 jaar kost om te vinden, wordt gevonden na 100 jaar. (Of gemiddeld 50 jaar, whatever).

In aanvulling op NMH in "Beveiliging - factuur via open url?" - ook kan de server blokkeren na bijv. 10 pogingen in een dag.

Neemt niet weg dat een extra verificatiestap inderdaad erg terecht zou zijn, en dat hoeft amper de gebruiksvriendelijkheid te verminderen.

[ Voor 0% gewijzigd door F_J_K op 10-03-2024 12:15 . Reden: Neemt NIET weg, belangrijk woord om te vergeten :X ]

Het uitgangspunt om te bepalen of dit veilig genoeg is lijkt me niet de complexiteit van de link maar de inhoud waar naar deze verwijst. Aangezien het een rekening is voor medische behandeling valt dat al snel onder bijzondere persoonsgegevens.

Een rekening voor medische behandeling is vaak specifiek genoeg om inzicht te hebben in uitgevoerde medische behandeling. Die hoort dus niet slechts beschermd te worden tegen raden van een locatie, maar ook veilig verzonden te worden of voorzien zijn van een behoorlijke authenticatie zodat alleen een geautomatiseerd persoon toegang heeft. Een link kennen bewijst niet dat de juiste persoon toegang heeft. Het bewijst hooguit dat iemand de link kon bemachtigen.

Van email stellen we niet voor niets dat dit onveilig is. De medische behandelaar heeft nauwelijks controle over het veilige transport en toegang tot email. Er een link mee sturen die iedereen met toegang tot de communicatie slecht hoeft te lezen of volgen om inzicht in medische gegevens te krijgen voldoet dus niet.

[ Voor 9% gewijzigd door kodak op 10-03-2024 12:06 ]

F_J_K schreef op donderdag 7 maart 2024 @ 21:11:
[...]

Nee? Iets dat zo onwaarschijnlijk is dat het 100 jaar kost om te vinden, wordt gevonden na 100 jaar. (Of gemiddeld 50 jaar, whatever).

In aanvulling op NMH in "Beveiliging - factuur via open url?" - ook kan de server blokkeren na bijv. 10 pogingen in een dag.

Neemt niet weg dat een extra verificatiestap inderdaad erg terecht zou zijn, en dat hoeft amper de gebruiksvriendelijkheid te verminderen.

Maar dit is geen theoretische discussie. De vraag is of het een realistisch risico is dat een guid gevonden kan worden en er iemand de moeite gaat doen om die te vinden. Daar is het antwoord duidelijk nee op. Of het theoretisch kan is niet zo relevant.

kodak schreef op zondag 10 maart 2024 @ 12:00:
Het uitgangspunt om te bepalen of dit veilig genoeg is lijkt me niet de complexiteit van de link maar de inhoud waar naar deze verwijst. Aangezien het een rekening is voor medische behandeling valt dat al snel onder bijzondere persoonsgegevens.

Een rekening voor medische behandeling is vaak specifiek genoeg om inzicht te hebben in uitgevoerde medische behandeling. Die hoort dus niet slechts beschermd te worden tegen raden van een locatie, maar ook veilig verzonden te worden of voorzien zijn van een behoorlijke authenticatie zodat alleen een geautomatiseerd persoon toegang heeft. Een link kennen bewijst niet dat de juiste persoon toegang heeft. Het bewijst hooguit dat iemand de link kon bemachtigen.

Van email stellen we niet voor niets dat dit onveilig is. De medische behandelaar heeft nauwelijks controle over het veilige transport en toegang tot email. Er een link mee sturen die iedereen met toegang tot de communicatie slecht hoeft te lezen of volgen om inzicht in medische gegevens te krijgen voldoet dus niet.

Zoals eerder is gezegd is mail in principe niet zo onveilig meer als vaak wordt gedacht. Het meeste wordt versleuteld en is niet af te luisteren, net zo min als je het verkeer naar website of van een VPN kan afluisteren. Het grootste punt met e-mail is, dat er geen controle over is, jij als gebruiker niet vooraf kan bepalen of het wel veilig verstuurd wordt en je het achteraf niet eenvoudig kan zien.

Specifiek in de zorg is dit m.i. ook niet toegestaan als de factuur medische informatie bevat. Dan mag je volgens mij helemaal geen gebruik maken van e-mail. (https://www.zzp-erindezor...ilen-in-de-zorg-verplicht). Ik vermoed echter dat dit niet van toepassing is, anders zouden ze hiervoor niet gekozen hebben.

Kortom, het is minstens zo veilig als een bijlage mailen en de kans dat er misbruik van wordt gemaakt is klein. Als er medische informatie in staat is het met die kleine kans alsnog niet acceptabel volgens bestaande normen (https://www.informatieber...veilige-mail/de-norm/norm)

[ Voor 57% gewijzigd door BytePhantomX op 12-03-2024 15:04 ]

BytePhantomX schreef op dinsdag 12 maart 2024 @ 14:59:Specifiek in de zorg is dit m.i. ook niet toegestaan als de factuur medische informatie bevat. Ik vermoed echter dat dit niet van toepassing is, anders zouden ze hiervoor niet gekozen hebben.

Ik waardeer je uitgangspunt op basis van theorie, maar de discussie gaat wat mij betreft over de praktijk. De praktijk is helaas dat bedrijven (ook in de zorg) niet zomaar aan de theorie voldoen. Dat is niet vreemd als we zelfs op tweakers zien dat mensen zich blind staren op selectieve onderdelen, zoals theorie of hoe moeilijk een url te raden is of dat het met risico wel mee valt door vooral naar kans te kijken. Dit soort selectief en opportunistisch bekijken van risico is leuk als je de redenen van beveiliging en verplichtingen als last ziet, maar dat is niet zomaar in het belang van de TS. En dat belang (deze hoort geen schade als gevolg van lekken te hebben) staat wettelijk nog altijd boven het opportunisme van de verantwoordelijke.

Dat het veilig genoeg kan zijn is geen antwoord op de vraag. Misschien dat @matthys70 daarom uit kan leggen wat voor gegevens er uit de factuur herleidbaar zijn en of het acceptabel lijkt dat het bedrijf deze via de mail stuurt zonder enige duidelijkheid of de verzender moeite heeft gedaan dat het veilig is aangekomen.

[ Voor 13% gewijzigd door kodak op 12-03-2024 16:15 ]

matthys70 schreef op donderdag 7 maart 2024 @ 14:33:
Nu vraag ik mij af hoe veilig is dit nu? Wat een bot of hacker zou hier bij kunnen?
Het betreft een volledige factuur, niet een betalingsverzoek ofzo.

Bot, nee aangezien er hopelijk geen pad is dat de bot kan volgen om op de factuur uit te komen. Je zou dan zoals eerder gezegd GUIDs moeten brute forcen wat niet reëel is.

Hacker, heel misschien, maar dan moet hij achter de guid komen. Daar zijn naar mijn idee een paar mogelijkheden voor:

1. Brute forcen, niet realistisch zoals eerder besproken
2. Verkeer afluisteren. Dat is alleen realistisch als het onversleuteld is. Je email is vaak versleuteld en kan niet worden afgeluisterd en je verkeer naar de website zal ook TLS encrypted zijn en dan kun je alleen de hostnaam zien, niet de guid.
3. Jouw leverancier hacken, maar dan hebben ze de guid niet eens nodig
4. Jou hacken, en ook dan hebben ze de guid niet nodig

Geen eenvoudige opties. En iemand die het niveau heeft om het dan alsnog te hacken heeft vaak veel meer in zijn arsenaal. Dan is een extra kenmerk zoals een geboortedatum niet echt genoeg (zo te vinden in een lek). Zou je een login creëren met MFA dan is dat door middel van een Man in the Middle af te luisteren (gebeurd veel momenteel). Ik vermoed dat de leverancier ook een dergelijke risico afweging heeft gemaakt.

BytePhantomX schreef op dinsdag 12 maart 2024 @ 20:14:
[...]


Bot, nee aangezien er hopelijk geen pad is dat de bot kan volgen om op de factuur uit te komen. Je zou dan zoals eerder gezegd GUIDs moeten brute forcen wat niet reëel is.

Hacker, heel misschien, maar dan moet hij achter de guid komen. Daar zijn naar mijn idee een paar mogelijkheden voor:

1. Brute forcen, niet realistisch zoals eerder besproken
2. Verkeer afluisteren. Dat is alleen realistisch als het onversleuteld is. Je email is vaak versleuteld en kan niet worden afgeluisterd en je verkeer naar de website zal ook TLS encrypted zijn en dan kun je alleen de hostnaam zien, niet de guid.
3. Jouw leverancier hacken, maar dan hebben ze de guid niet eens nodig
4. Jou hacken, en ook dan hebben ze de guid niet nodig

Geen eenvoudige opties. En iemand die het niveau heeft om het dan alsnog te hacken heeft vaak veel meer in zijn arsenaal. Dan is een extra kenmerk zoals een geboortedatum niet echt genoeg (zo te vinden in een lek). Zou je een login creëren met MFA dan is dat door middel van een Man in the Middle af te luisteren (gebeurd veel momenteel). Ik vermoed dat de leverancier ook een dergelijke risico afweging heeft gemaakt.

Of zelf op wat pagina's alle mogelijke guids genereren en daarvan linkjes maken. Wachten tot Google voorbij komt, die kijkt wel welke linkjes geldig waren. Kun je daarna met een interessante zoekopdracht vast wel weer terugvinden. De vraag is alleen of Google al die linkjes wel af gaat, maar je kunt het proberen....

HansMij schreef op dinsdag 12 maart 2024 @ 20:37:
[...]
Of zelf op wat pagina's alle mogelijke guids genereren en daarvan linkjes maken. Wachten tot Google voorbij komt, die kijkt wel welke linkjes geldig waren. Kun je daarna met een interessante zoekopdracht vast wel weer terugvinden. De vraag is alleen of Google al die linkjes wel af gaat, maar je kunt het proberen....

Zelf linkjes maken op basis van Guids raden is net een paar berichten terug uitgelegd dat het theoretisch kan, maar praktisch niet. En Google werkt volgens mij nog altijd door het aflopen van linkjes om sites te indexeren, niet door alle mogelijke url variaties te raden. Anders zouden ook allerlei api's geïndexeerd worden. (en daarnaast hoop ik dat die site een noindex tag heeft voor het geval dat, maar dat zou de TS misschien kunnen uitzoeken)

Heb dit ook wel eens gezien, maar in dat geval was de download link voor de factuur gewoon een oplopend nummer. Je kon dus alle facturen opvragen door het getal op te hogen of te verlagen .

De tandarts is de verantwoordelijke partij. Als je er met hen niet uit komt: https://autoriteitpersoon...lacht-indienen-bij-de-apd