Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties

Een groot deel van het klantenbestand van het Centraal Bureau voor Genealogie, oftewel het Centrum voor Familiegeschiedenis, was voor iedereen met basiskennis van html toegankelijk. Het bestand bevat gegevens als bankrekeningnummers van ongeveer 80.000 'vrienden van het CBG'.

De database van het CBG bestaat uit naw-gegevens, bankrekeningnummers, e-mailadressen en opmerkingen over het betaalgedrag van huidige en voormalige klanten, bijvoorbeeld wie als wanbetaler werd beschouwd. Het gehele bestand bleek in plaintext opgeslagen. De gegevens waren eenvoudig voor een ieder te benaderen: de directory stond vermeld in het bestand robots.txt, waarmee aan zoekmachines wordt aangegeven welk gedeelte van een site niet geïndexeerd mag worden.

Tweakers werd op het bestaan van het lek gewezen dankzij een tip via het anonieme klokkenluidersplatform Publeaks. Na het bestaan van het lek geverifieerd te hebben, is het beveiligingsprobleem aan CBG gemeld. Binnen enkele uren is de kwetsbaarheid vervolgens gedicht. Het is onbekend hoe groot het deel is van het klantenbestand waarvan de gegevens online stonden, maar volgens het centrum zelf is het een 'substantieel deel'.

Volgens Ruud Straatman, hoofd sector digitale producten bij de dienst, had het beveiligingslek niet in de 'vriendendatabase' mogen zitten. Het CBG bevindt zich volgens een verklaring aan gebruikers van de dienst in een migratietraject naar nieuwe servers en daarbij zouden de gegevens op een oude server zijn achtergebleven.

"Het migratieproces was juist ingegeven door de wens om gegevens duurzaam veilig te kunnen beheren", aldus het CBG. Volgens het CBG kan het lek niet lang hebben bestaan. Niet na te gaan is of deze claim klopt. Straatman geeft tegen Tweakers aan zelf contact op te nemen met het College Bescherming Persoonsgegevens om een melding over de fout bij het verwerken van persoonsgegevens te maken.

Het CBG levert diensten op het gebied van genealogie en heeft een groot archief over familiegeschiedenis. Door vriend te worden kunnen geïnteresseerden onderzoek doen aan de hand van de gegevens in dit archief.

Robots.txt van lekke site Centraal Bureau Genealogie

Moderatie-faq Wijzig weergave

Reacties (17)

Volgens mij wordt er aardig gedownplayed om het maar even positief te zeggen...

Als je een oudere versie van robots.txt via de WayBackMachine opvraagt dan zie je bijvoorbeeld in de versie van 24 juli 2011 (https://web.archive.org/web/20110724145838/http://www.cbg.nl/robots.txt) de volgende regel (die nu niet meer voorkomt in hun robots.txt):

Disallow: /pictura.php # toegang tot de vriendendatabase

Migratietraject, ja ja
Maar zou de beveiliging nu wel goed zijn? Heeft tweakers dat zelf al getest?
Nou...volgens de whois gebruiken ze nog Apache 1.3.31, dat komt uit mei 2004 en de laatste update was in 2010. Samen met PHP 5.01 ook uit die tijd ongeveer.
Server Type Apache/1.3.31 (Unix) PHP/5.0.1
Ik hoop dat ik het fout heb :X
Mijn browser geeft ook die waarde, het kan natuurlijk handmatig daar op gezet zijn, wie weet.

[Reactie gewijzigd door Soldaatje op 4 november 2015 20:19]

Ook builtwith geeft apache 1.3: http://builtwith.com/cbg.nl

In de meta staat een copyright notice van 1 augustus 2007. Tevens komen we code tegen die nog rekening houdt met IE6. Alle resources worden benaderd op basis van IP adres ipv domein naam, dat was in 2007 zelfs al geen gebruikelijke optimalisatie. Verder hebben we nog een mooie table layout.

Ik ben maar niet echt gaan zoeken naar mogelijke hacks, alles wijst echter op verouderde techniek.
Dat is wel heel slecht bedacht (ontwikkeld) dan, waarom maken ze dat in godsnaam publiekelijk toegankelijk op een server, ze hadden de path gewoon buiten de 'root directory' kunnen plaatsen, zodat het niet publiekelijk toegankelijk zou zijn. Iedereen met een redelijke basis van kennis zou dit niet zijn overkomen.

[Reactie gewijzigd door maplebananas op 4 november 2015 19:40]

En ze wisten dat het publiek toegankelijk was, anders hoef je het niet in de robots..txt op te nemen.
Het feit dat het bestand in plain text stond en niet het volledige klantenbestand betrof doet mij vermoeden dat het een export is of iets dergelijks betreft. Het zou kunnen dat de betreffende folder bestemd was voor rapportages of iets dergelijks die normaal gesproken niet expliciet gepubliceerd worden maar ook niet geheim hoeven te blijven. Als iemand dan per ongeluk dezelfde folder gebruikt voor een dergelijke export dan heb je dus een lek zoals dit.

Het blijft natuurlijk slordig, maar het kan een combinatie van kleine fouten zijn die uiteindelijk tot dit probleem hebben geleid. Als ik de site zo eens bekijk gaat het bovendien om een vrij kleine stichting waar niet al te veel IT kennis aanwezig is. Dat resulteert er nog wel eens in dat uiteindelijk iemand met de IT taken op wordt gezadeld bij gebrek aan beter, met dit soort datalekken tot gevolg.
Het zou kunnen dat de betreffende folder bestemd was voor rapportages of iets dergelijks die normaal gesproken niet expliciet gepubliceerd worden maar ook niet geheim hoeven te blijven.
.... gegevens als bankrekeningnummers van ongeveer 80.000 'vrienden van het CBG.'....
Ik denk niet dat het wenselijk is dat bankrekeningnummers zomaar ergens te downloaden zijn. Dus dat het gegevens zijn die "niet geheim hoefden te blijven " vraag ik mij ten zeerste af.
[...]

[...]

Ik denk niet dat het wenselijk is dat bankrekeningnummers zomaar ergens te downloaden zijn. Dus dat het gegevens zijn die "niet geheim hoefden te blijven " vraag ik mij ten zeerste af.
Ik bedoelde dat een folder die oorspronkelijk aangemaakt was voor documenten die niet geheim moeten blijven per ongeluk ook gebruikt is voor tijdelijke documenten die absoluut natuurlijk wel geheim hadden moeten blijven. Dat zijn twee voor de hand liggende fouten die samen tot dit data lek geleid zouden kunnen hebben. Daarmee wil ik het niet goed praten maar aangeven dat het niet per se bewezen is dat het hier om totale ondeskundigheid gaat.

Andere optie is dat. zoals min of meer in het artikel aangegeven, de rechten tijdens een migratie gewijzigd zijn en de server tegelijkertijd onbedoeld online is gebleven. Ook slordig maar nog wel enigszins te begrijpen. Desondanks is het ook niet uit te sluiten dat ze het gewoon zelf zo geconfigureerd hebben en gewoon geen idee hadden waar ze mee bezig waren. Genealogie verenigingen staan per definitie nu eenmaal niet bekend om hun bezorgdheid over privacy.
Ook dat nog! Dit is wel erg slordig zeg :O
En ook nog nauwgezet beschreven in de robots.txt. Lijkt bijna een open invitatie.
Zijn tegenwoordig zoveel goed bedoelde organisaties waarvan je de professionaliteit van de automatisering niet weet. Zoals tegewoordig de kinderpostzegels of Grote Clubactie, banknummer en alles hebben ze van je nodig 8)7

Ik doe niet meer mee :Y)
Typisch Security through obscurity: de robots.txt voorkomt alleen dat de gegevens niet direct in Google komen te staan. En dan is het beveiligd ???

Om deze reden ben ik voorstander van open-source. Iedereen kan zien wat er gebeurt en iedereen kan meehelpen om het beter te maken.

[Reactie gewijzigd door Booz op 5 november 2015 14:52]

handig een website die zijn php opensource meestuurt, kun je meteen zien waar de gegevens opgeslagen worden, en met welke hashing/salt er gewerkt word, scheelt inderdaad om het beter te kunnen maken :+
Voor deze beheerder hebben ze een naam verzonnen: Faalhaas.

Kan er niks anders van maken.

:+
-1 voor mijn bericht vind ik persoonlijk flauw. Het is dus duidelijk een slecht beveiligde ledenadministratie, en dat proberen ze te verhullen met die robots.txt. Hetgeen in dit geval echter in de richting wijst als je naar robots.txt kijkt.
Nee die php moet door de webserver worden geinterpreteerd, niet dat de php code er open source staat... Open source bedoel ik dit mee:
https://nl.wikipedia.org/wiki/Open_source

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True