Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties, 21.863 views •
Submitter: webinn

Het datalek op de site van de Belgische vervoerder NMBS zou zijn veroorzaakt door een menselijke fout, zo schrijft een Waalse krant. Een medewerker zou op een zeker moment op de 'verkeerde knop' hebben gedrukt. Vrijdag presenteert de NMBS zijn bevindingen.

Bij het datalek op de website van de NMBS waren volgens intern onderzoek van de vervoerder, waaruit de krant La Libre Belgique zijn informatie haalt, gegevens van ongeveer 700.000 reizigers publiekelijk toegankelijk. NBMS legt de resultaten vrijdag voor aan de Privacycommissie, een Belgische overheidsinstantie. Het is onduidelijk of de resultaten daarna publiek gemaakt worden.

De oorzaak van het datalek is volgens het interne onderzoek waarop La Libre Belgique zich zegt te baseren een 'menselijke fout'. Een medewerker zou 'op het verkeerde moment op de verkeerde knop' hebben gedrukt, waardoor alle gegevens publiek toegankelijk bleken. Waarom dit niemand binnen de organisatie is opgevallen, is onduidelijk.

Het lek in de website van de vervoerder kwam in december naar voren. In de uitgelekte data zaten de namen, adressen, e-mailadressen en telefoonnummers van klanten van de vervoerder.

Reacties (53)

Reactiefilter:-153051+140+27+31
Moderatie-faq Wijzig weergave
Ik werkte enkele jaren geleden als extern medewerker op die dienst en heb toen gemerkt dat er veel bestanden met privacy gevoelige informatie doodeenvoudig in de publieke root folder stonden van de website. Dit in hoofdzaak om bestanden te delen met medewerkers, dus ja je moest de URL weliswaar kennen om er aan te geraken, maar zeer professioneel was het wel allemaal niet. Naast documenten die daar om die reden geplaatst werden was er ook een specifieke toepassing die de ingestuurde data in een tekstbestand in de publieke map had staan.

Ik denk dan ook eerder dat het probleem eerder zo iets is dan "op een verkeerde knop gedrukt". Wat ik beschrijf is weliswaar 6 jaar geleden, dus toegegeven ik weet niet hoe ze tegenwoordig werken natuurlijk. En toen werden er wel stappen genomen om de dienst en de processen te professionaliseren, maar ik sluit niet uit dat er sommige zaken nog steeds verlopen zoals toen en er is natuurlijk ook kans op een berg legacy. Toen was het een homebrewn "CMS" dat gebruikt werd dat statische (PHP) pagina's publiceerde en daarnaast kon je dus gewoon bestanden via FTP in productie plaatsen. Toen ik er wegging waren ze wel bezig met bestaande CMS toepassingen te bekijken, dus het is zeer goed mogelijk dat wat ik hier beschrijf niet meer van toepassing is en dat men inderdaad enkel nog via het CMS data kan publiceren en dat er dus misschien wel sprake is van "op een verkeerde knop drukken".
Al lijkt het me voor dit soort export data wel niet overdreven om deze te exporteren in geŽncrypteerde bestanden om ook dit soort gehannes te voorkomen.

edit: Nog eens de huidige sites bekeken en ze zijn toch al serieus veranderd tegenover toen. Aan de ingrijpende wijziging te zien ga ik er van uit dat ze wel degelijk een ander CMS gebruiken nu (en dus vermoedelijk ook een andere methode) aangezien het homebrewn CMS alleszins niet toestond om binnen redelijke termijn de layout te wijzigen. Daarnaast lijken de URL's nu allemaal .aspx te zijn, waar dit voorheen een /directory/index.php structuur was. Dus waarschijnlijk is de website van team geshift naar het .NET team (dat toen alleszins pakken beter werkte: professioneel was). Voorgaande ging over de site voor nationaal reizigersverkeer.

Extra: Het datalek kwam van bij het internationaal reizigersverkeer en daar werden 6 jaar geleden heel zeker (zelf gezien) bestanden uitgewisseld via de publieke site. Al hadden de PDF bestanden toen wel een wachtwoord toen ik ze uitprobeerde. Dus ik ben nog steeds niet zeker of het een ongeluk is dan wel een bestand dat er voor die reden online gezet is.

Beide websites lijken ondertussen trouwens niet meer te werken op het CMS van zes jaar geleden, dus dat is alvast de oorzaak niet, maar het "menselijk proces" van data via FTP te delen via de publieke site is daarom natuurlijk nog niet noodzakelijk veranderd.

Edit 2: Nog verder door de site gebladerd, er zitten nog steeds legacy toepassingen in die niet in het nieuwe CMS zitten. Het lijkt er ook op dat beide sites nog half naast elkaar draaien. Dus het kan goed zijn dan dat mijn post wel relevant is. De nieuwe en oude site draaien op verschillende domeinen.

Edit 3: Eerder genoemde toepassing met bestanden die in de publieke map staan lijkt ook nog bereikbaar te zijn.

Kan nog vanalles uitkomen dus. Mijn voorstel aan de NMBS zou alvast zijn van zo snel mogelijk de oude site volledig offline te halen. Die toepassingen die nog nodig zijn en waarnaar gelinkt worden zijn wat de kant van de buitenwereld betreft niet zo complex, ic. formulieren. Ik heb er zelf fixes op gedaan toen dus weet waar ik over spreek. Lijkt me een goed idee om alvast de publieke zijde - de formulieren - met de hoogste prioriteit te herwerken en desnoods intern te proxyen naar de oude server die dan enkel intern toegankelijk is. Op die manier kunnen ze alvast de oude server (?) offline halen en potentieel toekomstige lekken (hoe gedateerd ook) voorkomen.

[Reactie gewijzigd door dis.pater op 4 januari 2013 12:26]

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True