Oplichter maakte inloggegevens klanten buit via webwinkels die hij zelf maakte

De politie heeft in juli een 35-jarige man aangehouden, omdat hij de inloggegevens van klanten van webshops achterhaalde. Dit deed hij bij webwinkels die hij zelf heeft gebouwd voor verschillende bedrijven. De politie gaat ervan uit dat er honderden slachtoffers zijn.

De politie kwam de man voor het eerst op het spoor toen een webwinkel aangifte deed aan het einde van 2014. Na uitbreiding van het onderzoek kon de politie de man uiteindelijk in juli arresteren in een hotel in Zwolle. Het bleek dat de verdachte uit Leeuwarden zijn diensten aanbood als websitebouwer voor webwinkels. Door gebruik van een script kon hij de inloggegevens van klanten van die webwinkels achterhalen, zo schrijft de politie. Met deze gegevens wist de verdachte toegang te krijgen tot de e-mail- en socialemedia-accounts van de slachtoffers.

Op die manier kon hij aankopen doen namens de slachtoffers. Bovendien beschikte hij door toegang tot de e-mail over informatie over zijn slachtoffers, waarmee hij vervolgens via sociale media aan familie en kennissen vroeg om geld over te maken. Zo benaderde hij bijvoorbeeld personen via Facebook en deed zich voor als een vriend waarvan het slachtoffer geld had geleend. Eveneens buitgemaakte identiteitsgegevens gebruikte hij om zich te legitimeren op goksites, aldus de politie. De verdachte zou het op deze manier verdiende geld hebben ingezet 'om in zijn verslavingen te voorzien'.

Volgens de politie bevat het dossier op dit moment ongeveer 140 zaken, waarvan 80 uit Noord-Nederland en de rest uit andere delen van het land. De man, verdacht van computervredebreuk, oplichting en identiteitsfraude, bevindt zich momenteel in voorlopige hechtenis. Het precieze aantal getroffen webwinkels is onbekend.

IT-banen

Reacties (171)

171

168

120

Wijzig sortering

RVervuurt 13 oktober 2016 10:16

Als je je website-bouwer niet meer kan vertrouwen, dan is het einde zoek.

celshof @RVervuurt • 13 oktober 2016 10:21

Ligt er aan. In dit geval lijkt het er op dat je één iemand vraagt om een website voor je te bouwen en dat je er van uitgaat dat dan alles in orde is. Lijkt mij enigzins naïef.

Als je persoons- en betalingsgegevens gaat verwerken via je site, lijkt het mij verstandig dat je opneemt dat de site PCI compliant moet zijn en dat je deze door een derde persoon (althans niet de bouwer) laat penetratie testen.

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@celshof • 13 oktober 2016 10:38

Ligt er aan. In dit geval lijkt het er op dat je één iemand vraagt om een website voor je te bouwen en dat je er van uitgaat dat dan alles in orde is. Lijkt mij enigzins naïef.

Als je persoons- en betalingsgegevens gaat verwerken via je site, lijkt het mij verstandig dat je opneemt dat de site PCI compliant moet zijn en dat je deze door een derde persoon (althans niet de bouwer) laat penetratie testen.

Nee, dat is niet naief, IT is ongeorganiseerd en nalatig.

Als ik naar de bakker ga hoef ik ook niet te vragen volgens welke voedselstandaarden hij z'n brood bakt en volgens welk bouwstandaarden z'n winkel is gebouwd. We gaan er van uit dat dit in orde is omdat het een professionele bakker is.

Als ik bij de fietsenmaker een stadsfiets koop dan mag ik er van uit gaan dat hij klaar is voor gebruik op de openbare weg. (Als je om een wielrenfiets vraagt dan hoeft dat weer niet, maar dan is je vraag ook speciaal. Wie om een gewone fiets vraagt die bedoelt waarschijnlijk een stadsfiets).

Ik heb nog nooit mijn brood of mijn fiets afgegeven bij een onafhankelijke tester voor controle. Ik verwacht dat de branche en overheid voldoende toezicht uitoefenen om gevaarlijke situaties te voorkomen. Door onze hele samenleving grijpt de overheid in om naieve burgers te beschermen tegen slechte bedrijven. IT is echter nog het wilde westen waar je met alles weg komt.

Misschien zou dat anders moeten en zouden mensen zelf alerter moeten zijn, maar dat is niet de huidige situatie in onze maatschappij.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 23:45]

odiw @CAPSLOCK2000 • 13 oktober 2016 11:54

Als ik naar de bakker ga hoef ik ook niet te vragen volgens welke voedselstandaarden hij z'n brood baktis.

Hoeft niet, maar deze bakker heeft zijn bakkersdiploma behaald en heeft aan zekere richtlijnen te voldoen wil ie voedingsproducten verkopen.

Voor zo ver ik weet is dat bij het maken van webshops (nog) niet zo.

Corrigeer me als ik fout zit.

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@odiw • 13 oktober 2016 12:08

Hoeft niet, maar deze bakker heeft zijn bakkersdiploma behaald en heeft aan zekere richtlijnen te voldoen wil ie voedingsproducten verkopen.

Voor zo ver ik weet is dat bij het maken van webshops (nog) niet zo.

Exact, dat zal moeten veranderen.

Verwijderd @CAPSLOCK2000 • 13 oktober 2016 12:38

Gaan we weer… Nog meer regels en wetten. Straks is een kleine zelfstandige 40% van zijn tijd bezig met het naleven van allerlei regelgeving. En vervolgens gaan we weer klagen dat de markt bestaat uit een paar grote partijen, omdat de kleine ondernemer onvoldoende winst kan maken in de overige tijd.

En dan? Dan is er schijnveiligheid. Want ondanks alle regelgeving zat ik nog steeds paard te vreten, terwijl ik rundergehakt had gekocht bijde AH.

Ik stel voor dat er niet meteen zo’n roep om regelgeving moet komen omdat er iemand over de schreef gaat. De man wordt nu gewoon volgens de wetgeving die er al is veroordeeld. Lijkt me niet terecht om alle andere kleine ondernemers te bedolven onder regelgeving omdat deze man een oplichter is.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:45]

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@Verwijderd • 13 oktober 2016 12:58

En dan? Dan is er schijnveiligheid. Want ondanks alle regelgeving zat ik nog steeds paard te vreten, terwijl ik rundergehakt had gekocht bijde AH.

Perfectie bestaat niet. Je weet niet hoe het zou zijn zonder die regels. Geloof je echt dat je gezonder zou een zonder die regels?
Als het ergste wat je kan bedenken is dat je paard at ipv koe dan gaat het best wel goed met die regels.

Ik stel voor dat er niet meteen zo’n roep om regelgeving moet komen omdat er iemand over de schreef gaat. De man wordt nu gewoon volgens de wetgeving die er al is veroordeeld. Lijkt me niet terecht om alle andere kleine ondernemers te bedolven onder regelgeving omdat deze man een oplichter is.

Het gaat me niet om dit ene geval, het gaat me om de hele IT markt. Er is momenteel geen enkele vorm van toezicht op software terwijl iedereen er iedere dag gebruik van maakt. Het hoeft niet per se van de overheid te komen, ik heb liever dat de industrie het zelf regelt, maar de afgelopen 50 jaar is het niet gelukt, dus vind ik het tijd worden dat de overheid zich er mee gaat bemoeien.

Verwijderd @CAPSLOCK2000 • 13 oktober 2016 15:08

Er is wel degelijk toezicht, alleen moet je daarvoor betalen. Er zijn legio bedrijven die zich specialiseren in Quality Assurance en aanverwante zaken.

Huur je een grote web-toko in dan hebben die dat misschien intern. Huur je een freelancer in dan is het naïef om te denken dat die dat allemaal zelf kan, nog afgezien van het feit of hij wel of niet te vertrouwen is.

Wat in de IT vaak gebeurd is dat men een timmerman vraagt een huis te bouwen. Dat lukt die timmerman vast wel, maar dan moet je niet raar opkijken als er vanalles niet blijkt te kloppen.

Dat kun je aan regelgeving wijten, maar volgens mij komt het ook - in elk geval deels - door een zware onderschatting van wat IT precies inhoud.

Als we alle regels overboord gooien zal nog steeds niemand het in zijn hoofd halen een net afgestudeerde VMBO student te vragen eigenhandig een huis te bouwen. Maar als het op IT aankomt doen een hoop mensen precies dat.

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@Verwijderd • 13 oktober 2016 16:47

DWat in de IT vaak gebeurd is dat men een timmerman vraagt een huis te bouwen. Dat lukt die timmerman vast wel, maar dan moet je niet raar opkijken als er vanalles niet blijkt te kloppen.

Dat kun je aan regelgeving wijten, maar volgens mij komt het ook - in elk geval deels - door een zware onderschatting van wat IT precies inhoud.

Als we alle regels overboord gooien zal nog steeds niemand het in zijn hoofd halen een net afgestudeerde VMBO student te vragen eigenhandig een huis te bouwen. Maar als het op IT aankomt doen een hoop mensen precies dat.

Dat klopt helemaal, maar ook dat verwijt ik aan de IT'ers. Als professional moet je ook je eigen grenzen krijgen. Als een timmerman de opdracht krijgt om een heel huis te bouwen dan bedankt hij daar hopelijk voor.

Van "gewone" mensen verwacht ik niet dat ze kunnen inschatten hoe groot of moeilijk een IT-project is, de realiteit is dat ze daar geen gevoel voor hebben. Ze beseffen gewoon niet dat ze om een heel huis vragen, ze hebben alleen oog voor die ene dakpan.

Veel IT'ers kunnen het overigens ook niet. Voor een deel komt dat ook door de totale chaos in ons vakgebied. Vaak is gewoon niet te voorspellen hoeveel werk iets is. Ook weer een teken van het lage niveau. Als de IT het zelf al niet kan dan kun je van de rest van de maatschappij al helemaal niet verwachten dat ze redelijke vragen stellen.

Shark.Bait @CAPSLOCK2000 • 13 oktober 2016 15:00

Er zijn ook medewerkers van restaurants en bedrijven die creditcard gegevens opschreven voor eigen gebruik. Mensen zijn oppertunisten, die vinden altijd wel een weg om meer geld te verdienen.

Kevinp @Verwijderd • 13 oktober 2016 13:12

Precies, iemand die zoiets wil doen kan prima een jaar of wat zich netjes gedragen. En/of dit maar bij een paar webshops doen.

Hoge straffen om af te schrikken is het beste wat je kan doen. Eventueel net als de keuringsdienst de mogelijkheid verzorgen dat er ook voor dergelijke dingen experts komen die zo af en toe eens vragen komen stellen.

kdekker @Verwijderd • 13 oktober 2016 14:47

Die regels en wetten zijn er niet voor niets. In een extreem geval zie je verschillen tussen Haiti en de Dominicaanse Republiek. Nalatigheid op controle en naleven van bouwregels kost daar levens (en dichter bij huis, in Italië lijkt er ook een relatie te zijn tussen het naleven van regels en de gevolgen van een aardbeving).

Nu zullen met malafide websites doorgaans geen levens gemoeid zijn, maar voor financiële transacties hoor je de boel op orde te hebben. Net zoals een echte aannemer (kennis + gebruik van materialen) zal een professionele website bouwer een prijs hebben. Daar zit w.s. een groot deel van de pijn.

Terug naar he voorbeeld van Haiti: die mensen zijn voor ook te arm om een degelijk geconstrueerd huis te bouwen, maar ook daar speelt de overheid een kwalijke rol.

Frits1980 @Verwijderd • 13 oktober 2016 20:06

En alle slachtoffers moeten hiervoor boeten? Nee, doe mij maar regelgeving. Overigens heeft een bakker zich ook gewoon aan HACCP te houden. Iets dergelijks zou niet misstaan voor applicatieontwikkeling. Om ervoor te zorgen dat security op het hoogste niveau blijft. Immers zie ik nog steeds tot mijn verbazig dat er webshops zijn die na registratie gewoon leesbaar je ww terugsturen per email. Wat dus gewoon betekend dat ze de ballen hebben begrepen van security. Die rotte appels zouden er anno 2016 toch eindelijk weleens uit mogen hoor. Voor de rest van de ontwikkelaars zou het peanuts zijn om aan een dergelijke norm te kunnen houden. Immers deden ze dat al.

robvanwijk

Criminaliteit
Politiek en recht
Netwerk en systeembeheer

@Verwijderd • 15 oktober 2016 00:59

En dan? Dan is er schijnveiligheid. Want ondanks alle regelgeving zat ik nog steeds paard te vreten, terwijl ik rundergehakt had gekocht bijde AH.

En vóór die overtreding, hoe lang moeten we teruggaan om de vorige grote misser te vinden? Vergelijk dat eens met de ICT; bij ons is het schering en inslag, het gaat constant mis.
Als het etiket op vlees in de schappen niet klopt dan staat het hele land wekenlang op zijn achterste benen: "dat kan écht niet". In de ICT: "nou ja, zou eigenlijk niet moeten, maar er is helaas niks aan te doen *haal schouders op en vergeet het meteen weer*".
Je hebt wel gelijk dat regelgeving door kan slaan, het zou goed zijn om dat te voorkomen. Maar net wat meer dan nu zou lang niet slecht zijn.

Tjidde @CAPSLOCK2000 • 13 oktober 2016 12:27

Het nadeel is achter een muur kan ik makkelijk voordoen ik alle diploma's heb. Desnoods ben ik ineens Henk Klaassen die ze wel heeft en jat ze van hem.

Vaak bij dit soort praktijken zullen ze alles doen om er omheen te komen. En jou voorbeeld van een fietsenmaker die zal in zo'n geval niet veel klanten hebben naar de eerste paar rotte fietsen te verkopen. Maar bij zo iets als een webshop zijn veel mensen al bij ze er een hebben.

latka @CAPSLOCK2000 • 13 oktober 2016 12:46

Sorry, individuele diploma's zeggen helemaal niets. Heb genoeg mensen gezien op de Uni die ik nog geen Access macro zou laten durven schrijven en toch ook met een papiertje weglopen.
Richtlijnen zijn mooi, maar ook daarvan weten we dat het nergens over gaat (nee, je mag geen paardenvlees als rund verkopen en zalm moet je niet op kamertemperatuur bewaren).
Wat bewezen wel werkt is open-source: rotte code wordt niet geslikt. Zie het als een audit op je product door mensen met kennis (want auditor hebben vaak meer verstand van brood bakken dan code of systemen reviewen).

Nodig is dus een kader van regels, maar de regels die ik tegenkom zijn over het algemeen op een dergelijk hoog niveau dat ze niet helpen. Chinese muren tussen ontwikkelaars en beheer. Sure, de backdoor gaat gewoon mee naar productie. Verplichte pen-test komt wel eens wat uit, maar is meestal een oversight. Code-review in het team: werkt wel, maar rotte appels die samenspannen haal je er zo ook niet uit.

Dus regels voor webshops is een verkapt verzoek tot werkverschaffing van auditors imnsho.

Verwijderd @odiw • 13 oktober 2016 13:25

Niet alle bakkers en websitebouwers hebben een diploma gerelateerd aan het vak dat zij uitoefenen.

Een specifieke wetgeving voor websitebouwers zoals bijvoorbeeld de Warenwet voor voedsel lijkt mij lichtelijk overdreven. Artikel 310 uit het wetboek van strafrecht zegt dat diefstal verboden is en op basis hiervan kunnen we wel stellen dat meneer in overtreding is zonder dat hier meer richtlijnen nodig zijn.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:45]

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@Verwijderd • 13 oktober 2016 14:00

Een specifieke wetgeving voor websitebouwers zoals bijvoorbeeld de Warenwet voor voedsel lijkt mij lichtelijk overdreven. Artikel 310 uit het wetboek van strafrecht zegt dat diefstal verboden is en op basis hiervan kunnen we wel stellen dat meneer in overtreding is zonder dat hier meer richtlijnen nodig zijn.

De verkeerswet stelt ook dat gevaarlijk gedrag op de weg verboden is maar gaat dan toch nog in detail uitleggen wat er gevaarlijk is en hoe je je hoort te gedragen.
De warenwetten gaan ook verder dan zeggen stellen dat voedsel niet giftig mag zijn. Een flink deel van dit soort wetten gaan ook om toezicht en controle, zodat we de bakker niet op z'n woord hoeven te geloven dat z'n brood gezond is.
Of er speciale wetten voor websitebouwers nodig zijn wil ik even in het midden laten maar iets zeggen over IT in het algemeen lijkt me geen overdreven luxe.

Tot op zekere hoogte doen we dat natuurlijk al lang. Denk aan de "cookiewet" of de "datalekwet", dat zijn wetten die regels opleggen aan IT. Tevens zijn er allerlei wetten waar IT-specifieke bepalingen in zitten, zoals bijvoorbeeld de auteursrechten of garantiewetten. Een flink uitbreiding van garantie zou al een hoop oplossen. Als blijkt dat je nieuwe telefoon of website zo lek als een vergiet is dan zou dat wat mij betreft onder garantie mogen vallen.

DutchKevv @CAPSLOCK2000 • 13 oktober 2016 14:34

En toch is het wel apart, want verzekeringen zijn zich wel bewust van de risico's.

Ik ben dan Freelancer Developer, en als ik bij KPN ofzo aan de slag ga moet ik voor minimaal 1 miljoen aan shadedekking hebben. En het punt is, een Interpolis ofzo weigert die dekking te geven, ik moet er echt voor naar een speciale verzekeraar.

Dus ergens zijn ze toch wel bewust van de risico's..

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@DutchKevv • 13 oktober 2016 16:38

En toch is het wel apart, want verzekeringen zijn zich wel bewust van de risico's.

Ik heb wel eens voorgesteld dat een IT-verzekering standaard zou moeten worden voor ieder bedrijf, net zoals je verzekerd bent tegen brand.
Zo'n brandverzekering krijg je niet zomaar, daar zitten allerlei voorwaarden aan vast. In sommige gevallen mag je gebouw niet eens gebruikt worden zonder goedkeuring van de brandweer. Typisch kun je de premie flink verlagen door preventieve maatregelen te nemen zoals het ophangen van brandblussers.
Als je dat doet dan daalt je maandelijkse premie en daarmee is er een direct financieel motief om het veilig te maken. Dat wil ik ook graag voor IT.

Hopelijk gaan softwarehuizen en andere IT-serviceverleners dan ook concurreren op veiligheid. Nu is het eigenlijk altijd goedkoper om beveiliging zo minimaal mogelijk te doen. Als het fout gaat is dat het probleem van de klant en niet van de leverancier.

Als zowel klant en leverancier korting op hun verzekering kunnen krijgen door beveiligingsmaatregelen te nemen zou dat een hoop goed kunnen doen.

(Nee, het is geen zilveren kogel die alle problemen oplost, maar het zou een deel van de oplossing kunnen zijn).

DutchKevv @CAPSLOCK2000 • 13 oktober 2016 17:33

Hmmm interessant idee!

Bijkomend voordeel is ook dat het misschien voor een developer dan ook goedkoper zal worden betreft verzekering, want het eigendom met alle risico's van dien, is al verzekerd..

Maar zou het dan niet heel aanlokkelijk worden om een erg slimme 'backdoor' in je eigen software te maken, die even met 1 commit de lucht in krijgen met 'goedkeuring' van verzekering instantie, vervolgens hacken, weer de lucht uit en dan aankloppen bij verzekeraar?

Er is uiteraard overal fraude... Maar in dit geval is het voor een verzekeraar wel gigantisch lastig te controleren.

Zou de logs kunnen checken, maar je zou de hack pas 6 maanden later ontdekt kunnen hebben, waarna er met een proper ci flow al paar honderd updates geweest kunnen zijn. Of simpelweg heel git overslaan en gewoon port openzetten etc...

Niet veel bedrijven zullen hun gehele codebase ook willen overhandigen aan een interpolis/achmea soort instantie om te laten controleren...

Desalniettemin zou het toch kunnen, vind het wel interessant idee!
Ze doen het tenslotte ook met gigantische bouw projecten waar alles op papier maar zou moeten kloppen en van te voren niet makkelijk is te voorspellen. Al heb je daar naderhand geen last van geheimhouding zoals je met code wel zou kunnen hebben..

p.s. wat ik zo bedenk.. Waar ik minder goats on the road zie, is een certificering waarin blijkt dat jij kennis hebt van security en geen (cyber)criminaliteit achtergrond hebt.. Deze toets moet elk jaar opnieuw gedaan worden om up-2-date te blijven.. Waarop het inzichtelijker voor een 'opdrachtgever' is en de verzekering uiteindelijk voor die developer ook goedkoper word (minder kans een vette f*ckup te maken)

[Reactie gewijzigd door DutchKevv op 22 juli 2024 23:45]

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@DutchKevv • 13 oktober 2016 18:19

Maar zou het dan niet heel aanlokkelijk worden om een erg slimme 'backdoor' in je eigen software te maken, die even met 1 commit de lucht in krijgen met 'goedkeuring' van verzekering instantie, vervolgens hacken, weer de lucht uit en dan aankloppen bij verzekeraar?

Er is uiteraard overal fraude... Maar in dit geval is het voor een verzekeraar wel gigantisch lastig te controleren.

Dat is een soort wapenwedloop die nu eenmaal bij het verzerkingswezen hoort. Ik denk dat ze er wel mee om weten te gaan.
Er zijn er genoeg geweest die hun eigen bedrijf in de fik hebben gestoken om de verzekering op te lichten. Op de een of andere manier weten ze daar ook mee om te gaan.

Niet veel bedrijven zullen hun gehele codebase ook willen overhandigen aan een interpolis/achmea soort instantie om te laten controleren...

Daar vinden we ook wel oplossingen voor. Je zou bijvoorbeeld zelf een vertrouwde auditor in kunnen huren die een rapport schrijft voor je verzekeraar.
Controles hoeven ook niet alleen op code te zijn maar kunnen ook over processen of mensen gaan.
Heeft iedereen de cursus "veilig programmeren" gedaan?
Wordt de data veilig opgeslagen?
Welke vorm van encryptie wordt er gebruikt?
Is er een scheiding tussen test en productie?

Een probleem met het verzekeringsidee is wel dat het niet werkt voor de grootste gevallen. Producten als Windows of Android zijn eigenlijk niet te verzekeren. Als daar iets mis gaat is de schade onmiddellijk gigantisch en wereldwijd, dat gaat geen enkele verzekeraar accepteren.
Niettemin denk ik dat we al heel veel kunnen bereiken door alle websitebouwers een verplichte IT-verzekering te geven.

DutchKevv @CAPSLOCK2000 • 13 oktober 2016 18:27

Jaa ik snap hem.. Meer op het bedrijf in zijn geheel gericht. Dat is sowieso geen slecht idee voor een verzekeraar inderdaad..

Denk dat daar ook al wel naar gekeken word op het moment dat een risico rapport geschreven word door een verzekeraar.. We hebben bij sommige bedrijven gehad dat de 'top' programmeurs, bijna nooit bij elkaar in de buurt mochten zijn.. Tegelijk in de zelfde auto of vliegtuig of naar het zelfde land tegelijk op vakantie was bijvoorbeeld strict verboden. Durf zo niet te zeggen of de verzekeraar dat eiste of alleen het bedrijf zelf..

Maar een iets meer harde richtlijn die transparant is en zwart op wit gezet word richting een bedrijf op een moment dat hij zich wil verzekeren, en daarnaast ook onderhouden word door de community met best practices zou nog beter zijn inderdaad.

[Reactie gewijzigd door DutchKevv op 22 juli 2024 23:45]

Verwijderd @CAPSLOCK2000 • 13 oktober 2016 14:08

Ik ben het volledig met je eens dat wetgeving op IT gebied geen kwaad zou kunnen, sterker nog er is behoefte aan wetgeving.

De wet bescherming persoonsgegevens vangt dit voor een deel af maar is, zoals de naam al doet vermoeden, puur gericht op persoonsgegevens. Daarnaast heb je nog de telecomwet waar je deels op kan terugvallen voor ict gerelateerde zaken maar ook deze is niet explicitet genoeg.

Lastige hierbij is de ontwikkelingen binnen de ict zo ontzettend hard gaan dat de wetgeving hier altijd meerdere jaren op achter zal lopen. Dit zou overigens geen reden mogen zijn om er dan maar helemaal niet aan te beginnen.

moozzuzz @odiw • 13 oktober 2016 14:10

Waar staat dat de man geen diploma had? Als hij zo handig is dat hij vele webwinkels heeft gemaakt én er zijn script ongezien heeft kunnen in bakken, dan lijkt het me niet zo dat hij niets van IT wist. In tegendeel eerder te veel...

DutchKevv @moozzuzz • 13 oktober 2016 17:58

Je hebt wel gelijk, met of zonder diploma maakt vooral in dit vak gebeid weinig uit. Maar andere kant, meeste webshops verkopen katten kleding en feestartikelen, die zullen niks van die code snappen en er waarschijnlijk zelfs nooit naar kijken.

Webshop ontwikkelaars doen mij (sorry) ook vaak beetje denken aan iemand die een magento of wordpress pakt, daar 50 plugins in gooit en likje verf eroverheen, klaar is kees.

Met 2 extra regels code, backend of frontend, stuur je de ingevulde data nog even door naar andere servers.. Zet er een comment boven als 'validatie check' of zo zodat je er ook snel overheen leest en voila je hebt creditcard gegevens etc etc, daar is niet echt een wonder slim iemand voor nodig.

[Reactie gewijzigd door DutchKevv op 22 juli 2024 23:45]

Annihilism @odiw • 13 oktober 2016 17:58

[...]
Hoeft niet, maar deze bakker heeft zijn bakkersdiploma behaald en heeft aan zekere richtlijnen te voldoen wil ie voedingsproducten verkopen.

Goed punt, en ik ben ook blij dat er regels zijn

.

Maar nu even wat anders. Hoe vaak zie je bij programma's als Kassa wel niet bedrijven voorbij komen die "volledig gecertificeerd" zijn volgens allerlei brancheorganisaties en aan alle regels voldoen en er toch een complete rotzooi van maken en de boel oplichten (en er vaak ook nog meerdere keren mee wegkomen).

En dat er regels en keurmerken zijn is helemaal prima. En ik vind het ook een goede zaak dat deze er zijn, als iemand goed zijn best doet mag dit ook best in de vorm van een certificering of keurmerk worden geuit. Het gevaar hiervan vind ik echter altijd dat (zoals hier al terecht wordt opgemerkt in andere reacties) dat kleine bedrijven die hier niet aan voldoen (en misschien wel net zo goed zijn als een groot bedrijf) er aan kapot gaan omdat ze het simpelweg niet kunnen betalen. En daarnaast is ook regelgeving geen garantie dat bedrijven ineens wel betrouwbaar zijn.

Iedereen wil regels hebben maar niemand wil er voor betalen, dat is het probleem in Nederland. En zolang er niet voor betaald word kan er ook geen toezicht gehouden worden (kost geld), of je krijgt een markt waarbij een paar grote bedrijven de markt beheersen (omdat het voor kleine bedrijven onbetaalbaar word om aan de regels te voldoen) en krijg je weer andere problemen (zoals monopolie vorming en beunhazerij).

Ik denk dat het allerbelangrijkste nog altijd je gezonde verstand gebruiken is. Opgelicht worden is vervelend maar ook met superstreng toezicht en allerlei regels kan dit gewoon voorkomen. Je kunt het gewoon niet uitsluiten en het hoort nou eenmaal bij de risico's van het leven.

[Reactie gewijzigd door Annihilism op 22 juli 2024 23:45]

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@Annihilism • 13 oktober 2016 18:11

Geen enkel certificaat of keurmerk zal ooit kwaliteit kunnen garanderen, maar het geeft wel aan dat zo'n partij in principe de juiste kennis zou moeten hebben en van goede wil is.
Het helpt niet tegen oplichters die liegen over hun certificering of zo'n certificaat op oneerlijke wijze hebben verkregen, maar ik denk graag dat de meeste mensen eerlijk zijn en het oprecht goed bedoelen.

Ergens tussen "super streng toezicht" en "geen toezicht" moeten we een compromis weten te vinden. Momenteel is er eigenlijk geen manier om IT-bedrijven op kwaliteit te beoordelen als je zelf niet in de IT zit én achter de schermen mag kijken.

Iedereen wil regels hebben maar niemand wil er voor betalen, dat is het probleem in Nederland.

Dat soort situaties kun je nu heel goed door de overheid laten oplossen. Als de meesten het eigenlijk wel eens zijn maar niemand de eerste stap wil nemen dan kan de overheid helpen door iedereen tegelijk een stap te laten nemen.

Ik denk dat het allerbelangrijkste nog altijd je gezonde verstand gebruiken is. Opgelicht worden is vervelend

We zijn helaas nog niet ver genoeg dat we ons daar zorgen over kunnen maken. Er zijn al veel te veel problemen met eerlijke bedrijven die oprecht proberen een goed product te leveren maar grandioos falen.

LordMike @odiw • 13 oktober 2016 20:20

Hmm??

Bakkersdiploma?

Volgens mij mag toch gewoon iedereen een bakker opendoen..

novasurp @odiw • 13 oktober 2016 22:53

maar deze bakker heeft zijn bakkersdiploma behaald

Oh alsjeblieft niet nog meer diploma's. Ze zeggen niks.

mpkossen @CAPSLOCK2000 • 13 oktober 2016 21:01

Sorry, maar die vergelijking gaat wat mij betreft niet op.

Je vergelijkt hier producten vanuit een voorspelbaar proces met producten uit een creatief proces. Er is weinig spannends aan het maken van een brood. Dat is uitgedacht en elke keer hetzelfde. Het schrijven van software daarentegen is nooit hetzelfde. Het ontwerpen en maken van een auto zijn ook verschillende dingen.

Het is daarom erg makkelijk om te zeggen dat iemand zich niet aan de standaarden houdt terwijl deze er niet zijn. Voedsel- en bouwstandaarden zijn vaak wettelijk vastgelegd, beveiligingsstandaarden niet.

Standaarden zijn makkelijk vast te leggen voor bekende processen en producten, maar lastiger voor onbekende processen en producten. Ik ken nog geen wettelijke IT-standaarden die vergelijkbaar zijn met de voedsel- en bouwstandaarden waar jij van spreekt. Wellicht mis ik die kennis en zo ja dan zou ik die graag vergaren.

Ik ben van mening dat we tot bepaalde kaders moeten komen die wettelijk vastgelegd zijn met betrekking tot IT security. Ik kan er bijvoorbeeld nog steeds niet bij dat mijn MijnING wachtwoord maximaal 20 tekens lang mag zijn. Mijn Facebook account is aanzienlijk beter te beveiligen dan mijn online-bankieren omgeving. Dat is beschamend en de overheid is daar wat mij betreft deels debet aan.

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@mpkossen • 13 oktober 2016 21:42

Je vergelijkt hier producten vanuit een voorspelbaar proces met producten uit een creatief proces. Er is weinig spannends aan het maken van een brood. Dat is uitgedacht en elke keer hetzelfde. Het schrijven van software daarentegen is nooit hetzelfde. Het ontwerpen en maken van een auto zijn ook verschillende dingen.

Software schrijven is inderdaad een creatief proces dat vergelijkbaar is met het bouwen van een auto. Deel van het probleem is dat IT vaak meer kunst dan vakmanschap is. Als de bakker een bestelwagen nodig heeft dan hoeft hij niet zelf een auto te laten ontwerpen maar kan hij kiezen uit tientallen modellen die allemaal redelijk veilig zijn. Natuurlijk zijn er kwaliteitsverschillen maar ze zijn allemaal uitgebreid getest voor ze de weg op mogen.
Een website kopen zou meer moeten zijn als het kopen van een auto dan het bouwen van een auto. Helaas zijn we daar nog lang niet, we hebben nog veel te leren voor IT net zo ver is als bv bouwkunde.

Standaarden zijn makkelijk vast te leggen voor bekende processen en producten, maar lastiger voor onbekende processen en producten. Ik ken nog geen wettelijke IT-standaarden die vergelijkbaar zijn met de voedsel- en bouwstandaarden waar jij van spreekt. Wellicht mis ik die kennis en zo ja dan zou ik die graag vergaren.

Voor een deel zijn ze er wel degelijk, denk aan de cookiewet, de databankwet of de meldplicht bij datalekken, maar er moet meer gedaan worden. IT is te belangrijk geworden en het gaat te vaak fout.

novasurp @mpkossen • 13 oktober 2016 22:54

Ehm nee, je moet toch een recept verzinnen?

chaozz @CAPSLOCK2000 • 13 oktober 2016 11:15

Die metafoor gaat niet helemaal op. Met een onjuist gebakken brood dupeer je geen anderen. Met een onjuist gebouwde website wel.

MadEgg @chaozz • 13 oktober 2016 11:17

Pardon? Als de bakker bij wijze van spreken rattengif door het brood bakt omdat hij zijn handen niet wast nadat hij op jacht geweest is dan dupeert hij daar zeker wel anderen mee. Ga ik hem dat vragen? Nee, ik ga er vanuit dat de bakker voldoende hygiëne in acht neemt, en als het zaakje er niet fris uit ziet, ga ik naar een andere bakker. Zo ook met een webbouwer, natuurlijk.

chaozz @MadEgg • 13 oktober 2016 11:23

Dat is niet waar de metafoor over gaat. Mijn (opdrachtgever) bij de bakker (gokverslaafde webbouwer) gekochte brood (webshop) dupeert geen anderen (klanten). Andere broden (webshops) die de bakker (gokverslaafde webbouwer) verkoopt aan andere klanten (opdrachtgevers), staan daar los van.

Dat was het punt dat ik probeerde te maken met mijn reactie die inmiddels met een -1 is beloond.

[Reactie gewijzigd door chaozz op 22 juli 2024 23:45]

Verwijderd @chaozz • 13 oktober 2016 11:38

Het is en blijft het probleem zoals ik het altijd stel, dat ICT per definitie, dus in en vanuit zichzelf risico verhogend werkt omdat het over communicatie gaat over netwerken.

Materie heeft een ingebouwde firewall, maar data niet. Data is als water en je houd het alleen onder controle door een dijk te bouwen of het in een container te doen anders vloeit het alle kanten op. Data is net zo, dus als je informatie niet effectief insluit, dan gaat het er vandoor, want dat is wat het wil volgens een natuurwet.

Het is dus altijd 'up the ante' met data en informatie. Materie kun je niet kopieren, data wel. En toch gaan we met data om alsof het materie is, dus we slaan data op en bouwen er een firewall omheen en lagen van beveiliging zoals encryptie. Het is niet anders dan waardevolle materie in een kluis zetten met een dik slot er op.

Maar informatie is kleiner dan een molecuul water en groter dan het heelal. En dus is er geen slot dat het lang tegenhoud.

We zullen dus anders moeten leren denken over wat data is om zo misbruik als deze crimineel uitvoerde af te stoppen, voor zover dat mogelijk is. En het begint bij minder data te produceren.

Data produceren is een meta-arbeidsproces. Het is bezig zijn met bezig zijn, we produceren data om het produceren, informatie kan nuttig zijn maar de meeste ICT is gewoon bezig data rond te pompen. Die stroom moet opdrogen, zodat ICT minder risicovol wordt.

Data wil informatie worden omdat het leeft. Het wil babies maken van zichzelf en zich verspreiden. Het volgt menselijke neigingen omdat de oorsprong menselijk is.

De metafysische realiteit van data is een veld wat nog nauwelijks onderzocht is. Maar je las het eerst alhier!

xszander @chaozz • 13 oktober 2016 13:28

Wat een metafoorlog weer zeg.

BeosBeing @CAPSLOCK2000 • 13 oktober 2016 17:23

Door onze hele samenleving grijpt de overheid in om naieve burgers te beschermen tegen slechte bedrijven.

Dat was misschien ooit zo, maar tegenwoordig lijkt het er meer op dat de overheid malafide bedrijven beschermt tegen naieve en arme burgers omdat die malafide bedrijven ook omzet- en winstbelasting betalen (kunnen ze evengoed niet onderuit) en werknemers in dienst hebben waarvoor loon- en inkomstenbelasting wordt afgedragen.

Al vanaf het eerste kabinet Lubbers is consumeren een vies woord, en iets dat tegen gegaan moet worden om investeringen te vergroten en investeerders aan te trekken, maar wat men vergeet is dat er niemand een wasmachinefabriek neer zet als de consument geen geld heeft voor een nieuwe wasmachine. Als de consument niets te besteden heeft koopt hij niets en dat is wat er de laatste jaren aan de hand was.

CAPSLOCK2000

Security
Politiek en recht
Netwerk en systeembeheer
Criminaliteit
Politie

@Jasper1911 • 13 oktober 2016 11:38

Het is naief om te denken dat "de overheid" alles moet oplossen

Het is misschien naief, maar niet onredelijk. Een normale Nederlander verwacht dat de leverancier van een product in staat voor de kwaliteit en dat de branche en overheid daar op toe zien. Voor de meeste producten werkt het zo,

Dan nog even over "problemen verplaatsen". Daar is op zich niks mis mee, je moet problemen verplaatsen naar het niveau waar ze het beste aangepakt kunnen worden. Sommige dingen kun je gewoon niet alleen doen, de baker om de hoek hoef ook niet z'n eigen snelwegen aan te leggen. Net zo min kan ik van die bakker verwachten dat hij genoeg van IT weet om z'n leveranciers te controleren. Hij betaalt deze mensen juist omdat ze kennis hebben die hij zelf niet heeft.

djiwie @celshof • 13 oktober 2016 10:32

Hoewel het misschien naïef klinkt (en is) zijn er zat webshops die op een dergelijke manier door een handige ZZP'er in elkaar gezet worden.

Overigens lijkt het me niet realistisch dat iedere eigenaar van een eenvoudig webwinkeltje een penetratietest uit gaat voeren.

celshof @djiwie • 13 oktober 2016 10:35

Oh, helemaal met je eens dat een boel webshops op deze manier in elkaar gezet worden. En dat het onrealistisch is dat eenvoudige webshops hun opgeleverde site testen.
Maar ze lopen daardoor wel allerlei risico's, door het niet voldoen aan de PCI standaarden en het accepteren van betalingen. Als er dan iets misgaat, kun je zomaar verantwoordelijk gehouden worden voor alle schade.

djiwie @celshof • 13 oktober 2016 12:04

En daarom gebruik je voor die simpele sites een payment provider, en ga je niet zelf de creditcards en iDeal-betalingen verwerken. Dan wordt de echt gevoelige data verwerkt door een partij die zijn zaken wel gegarandeerd op orde heeft.

celshof @djiwie • 13 oktober 2016 12:18

Doorsturen of embedden van de betaalpagina naar een partij als Worldpay is inderdaad veel slimmer. Heb je vaak de administratie ook meteen geregeld.

Al is hier meer een probleem met het registreren van volledige inloggevens die overal en nergens hergebruikt worden.

Verwijderd @celshof • 13 oktober 2016 13:38

Je weet echter niet hoe de website maker zijn klanten heeft geinformeerd over het bestaan van dergelijke partijen (Wordplay).

In principe ga je vertrouwensrelatie aan en vertrouw je er ook op dat de website bouwer het wel weet. In dit geval is de websitebouwer een oplichter ben jij als "onwetende" klant een makkelijk doelwit.

Daarnaast denk ik dat de gemiddelde mens niet weet wat een pen test is laat staan dat deze worden uitgevoerd.

Verwijderd @djiwie • 13 oktober 2016 11:54

Een kleine webshop zal echt niet meer zijn dan Wordpress met woocommerce plugin. Of als het iets uitgebreider wordt opgezet met magento.
Als verkoper wil je gewoon iets eenvoudig kunnen verkopen. Als de bouwer vervolgens een oplichter blijkt en er een script inbouwt, is de verkoper te goeder trouw en kan je hem in feite niets verwijten.
Voor een simpele webshop ga je geen security traject in. Zeker niet als je echt niets weet van de techniek die in je webshop wordt toegepast.

celshof @Verwijderd • 13 oktober 2016 12:25

Ik ben het grotendeels met je eens, echter vind ik wel dat je de verkoper wat kunt verwijten.
Dat de techniek onbekend is, betekent niet dat je je daar op kunt gaan beroepen. De webshop mag simpel zijn, maar je gaat wel om met persoongegevens en je bent niet aan het hobbyen, maar een bedrijf.
Je had je dus meer moeten verdiepen, zodat je fatsoenlijk kunt inschatten wat er nodig is en hoeveel het gaat kosten.

moozzuzz @celshof • 13 oktober 2016 14:16

Als die verkoper alle scripts moet gaan uitvogelen, kan hij de site beter zelf opstellen. De (ethische en wellicht ook wettelijke) verantwoordelijkheid ligt helemaal bij de oplichter.

Dat een klant zich moet verdiepen in wat hij nodig heeft, lijkt me logisch, maar de malafide webbouwer adverteerde uiteraard niet met WP+Magento+malafide script: nu 20% korting.

jimzz @djiwie • 13 oktober 2016 10:57

En wat dacht je wat voor kosten dat voor kleine bedrijven met zich mee brengt?

Firefly III @celshof • 13 oktober 2016 10:35

Laten we eerlijk zijn, de meeste (kleine) ondernemers die een website of een webshop in elkaar draaien zijn daar totaal niet mee bezig. Betalingsverkeer wordt (tegenwoordig) toch door een derde partij gedaan en groene slotjes zijn voor banken, toch?

Kleine webshopjes hebben dit soort dingen zelden op orde. En niemand die daar iets mee doet. Laat staan de shop zelf.

Je kan het naïef noemen, tuurlijk, maar geen enkele kleine ondernemer zal pen-testen bestellen bij KPN of de PCI er op naslaan. Je besteedt toch zaken uit zodat anderen daar over nadenken?

Anders zouden diezelfde ondernemers ook de bussen van PostNL moeten APK keuren want het is naïef om één postbode te vragen een pakketje voor je te bezorgen.

jozuf @Firefly III • 13 oktober 2016 10:54

Betalingsverkeer wordt (tegenwoordig) toch door een derde partij gedaan en groene slotjes zijn voor banken, toch?

Groene slotjes zijn EV SSL certificaten en niet per definitie alleen voor banken. Als jij genoeg geld en benodigde info neerlegt kan je er ook 1 aanschaffen.
Er is verder helemaal geen verplichting volgens mij over hoe je betaalverkeer regelt. Wel hoe je met betaalgegevens omgaat maar volgens mij mag je het ook gewoon laten storten op een rekening zonder directe IDEAL integratie ofzo en met een gewone overschrijving.

Je kan het naïef noemen, tuurlijk, maar geen enkele kleine ondernemer zal pen-testen bestellen bij KPN of de PCI er op naslaan
Je MOET PCI compliant zijn als je creditcard betalingen wilt afhandelen. Ben je dat niet, dan kan je dat gewoonweg niet. Dit wordt ook vaker dan alleen initieel gecontroleerd.

[Reactie gewijzigd door jozuf op 22 juli 2024 23:45]

.oisyn Moderator Devschuur® @jozuf • 13 oktober 2016 11:10

Groene slotjes zijn EV SSL certificaten en niet per definitie alleen voor banken.

Je snap toch wel dat dat is hoe de ondernemer van de kleine webshop redeneert, en niet dat dat daadwerkelijk een vraag van JCE was?

jozuf @.oisyn • 13 oktober 2016 11:12

Mijn inziens, zoals het opgeschreven is, is dat ter interpretatie. Dus verduidelijk het maar.

Firefly III @jozuf • 13 oktober 2016 11:21

.oisyn las het goed.

LopendeVogel @jozuf • 13 oktober 2016 11:32

Ik las het ook gewoon goed, jij niet schijnbaar.

Stel je hebt je eigen winkel en wilt ook via het internet bekend worden en leveringen doen, dan vraag je iemand die dat voor je doet. Wat ook kan is dat er iemand jouw zaak binnenloopt en aanbied een webshop te maken.

Een winkeleigenaar die fietsbanden verkoopt die zal niet een hoog opgeleide IT achtergrond hebben, die zal wel veel verstand hebben van fietsbanden.
Toch moet je stiekem mee in de online tijd en dus ook via internet leveringen kunnen doen..

De tweaker snapt dan ook heus wel dat de groene sloten niet alleen voor bankiers zijn, maar de fietsenbanden verkoper zal niet denken dat het voor zijn fietsbanden webshop belangrijk is.

En dit is dan natuurlijk ook een kwalijke zaak, er zijn genoeg kleine jongens die slim en handig zijn en wel op een eerlijke manier een webshop voor iemand wil maken.. Echter dankzij dit soort praktijken zal men vertrouwen verliezen in deze kleine / zzp'ers en zullen naar een groot, ''vertrouwd'' bedrijf overstappen.

Dusja deze oplichter maakt echt ontiegelijk veel schade, zowel voor de webshop, de klanten van de webshop en andere website/shop ontwikkelaars.

Want iedereen die dit gelezen heeft zal achter hun oren krabben of hun webshop ontwikkelaar die geen groot/bekend bedrijf heeft het wél eerlijk doet.

[Reactie gewijzigd door LopendeVogel op 22 juli 2024 23:45]

mphilipp @jozuf • 13 oktober 2016 12:11

Blijkbaar valt die controle bar tegen. In een ander verhaal weet men te melden dat een hoop websites nog altijd creditcard gegevens lekken. Dat snap ik niet, want dat hoor je helemaal niet zelf te doen. Neem dit af als dienst van een paymentprovider en je hebt er geen omkijken meer naar. De klant heeft dan (een hoge mate van) zekerheid dat het veilig is en jij als webshopeigenaar bent van die verantwoordelijkheid af.

Daaruit blijkt dat er nog voldoende niet gecontroleerd wordt. Lijkt me ook een schier onmogelijke taak. Er zijn er zoveel.

equit1986 @jozuf • 13 oktober 2016 11:11

paypal?

Bliksem B

@celshof • 13 oktober 2016 10:34

Anderzijds is het ook erg naïef van de scripter om te denken dat hij hier mee wegkomt. Op een gegeven moment komt een website toch achter het scriptje. Dat wist hij waarschijnlijk zelf ook wel. Alleen deze man was gokverslaafd en dan ga je rare capriolen uithalen. Zelfs als deze aktie het einde van zijn carrière als webdev betekent.

Echter, als webdev heb je gigantisch veel macht en als je het slim aanpakt kun je dergelijke scriptjes goed verstoppen en het laten lijken alsof de site gehackt is. (door je eigen site bijvoorbeeld te hacken

). Verkoop vervolgens de gegevens Russische sites en $$. Nu ik er zo over typ, klinkt het zeer waarschijnlijk dat dit momenteel door slimme webdevs ook word gedaan...

[Reactie gewijzigd door Bliksem B op 22 juli 2024 23:45]

celshof @Bliksem B • 13 oktober 2016 10:37

Als mensen in de knel komen, doen ze rare dingen. Zo ken ik een verhaal van een applicatie manager die een productiesysteem aanpaste om tijdelijk wat meer geld beschikbaar te hebben. En dan ook nog een productiesysteem dat 24/7 in de gaten gehouden wordt, dus deze persoon liep heel snel tegen de lamp.

SuperDre @celshof • 13 oktober 2016 10:48

Een hoop bedrijven die sites laten bouwen (of zelf bouwen) hebben echt niet dat deze pci compliant is en layen em ook niet testen door derden..

celshof @SuperDre • 13 oktober 2016 10:51

Klopt. Maar het zijn wel bedrijven die omgaan met onze persoonsgegevens en betalingsmogelijkheden. Echt gewenst is het niet.
Ik denk dat CAPSLOCK2000 het heel goed beschijft als hij IT nog het Wilde Westen noemt.

[Reactie gewijzigd door celshof op 22 juli 2024 23:45]

mphilipp @SuperDre • 17 oktober 2016 16:34

Daarom vind ik eigenlijk ook dat er een verbod moet komen op het zelf programmeren van betalingsmodules. Er zijn meer dan genoeg dienstverleners die dat aanbieden (Molly bv). Je hoeft dan alleen maar een gateway te implementeren (en dat is heel simpel) naar die partij. Die partij is dan per definitie gecertificeerd en onder controle van de instanties. Door de schaalgrootte kunnen zij ook veel beter opletten en screenen op hackpogingen, de cc gegeven goed encrypted opslaan enzoverder...

Een of andere dokus die vanaf zijn zolderkamer een webshop voor gehaakte hondensokjes 3 transacties per dag heeft, heeft dus geen tijd/middelen/kennis om die zaken goed op orde te hebben.

SuperDre @mphilipp • 17 oktober 2016 21:07

Waar leg je de grens met een verbod op het niet mogen zelf programmeren van iets... Jij vindt misschien bij een betalingsmodule, andere misschien weer bij de hele website zelf..

mphilipp @SuperDre • 18 oktober 2016 10:10

Is het niet duidelijk genoeg dan?

verbod moet komen op het zelf programmeren van betalingsmodule

Dus waar leg ik de grens? (this is one of them rethorical questions)

Gewoon omdat het vragen om problemen is. Het is ondoenlijk voor de instanties om elke webshop door te lichten en te controleren of ze zich wel hebben aangemeld. Zo voorkom je ook dat ze op hun webserver zelf de database met cc gegevens plaatsen. Dat is ongeveer hetzelfde als een geldautomaat van triplex op straat neerzetten. En de consument kan aan de buitenkant helemaal niets zien.

Nee, ik ben daar lekker hard in: niet zelf prutsen. Dat soort dingen moet je ook niet aan een amateur overlaten.

SuperDre @mphilipp • 18 oktober 2016 10:42

tja, maar zo zijn er veel meer dingen waarbij het niet wenselijk is dat men dat zelf doet.. Overigens zullen de meeste ook niet zo snel zelf een complete betalingsmodule schrijven, immers moet toch de betaling gedaan worden met de provider via API's.

En in mijn ervaring zijn zelfs degene bij de instanties de grootste amateurs en zeker wat betreft informatie verstrekking/ondersteuning richting developers.

dasiro @celshof • 13 oktober 2016 11:21

Als je persoons- en betalingsgegevens gaat verwerken via je site, lijkt het mij verstandig dat je opneemt dat de site PCI compliant moet zijn en dat je deze door een derde persoon (althans niet de bouwer) laat penetratie testen.

alsof Miep die haar bloemstukjes op bestelling nu ook online wil aanbieden ook maar het kleinste idee heeft waar je het over hebt. 95% van de bezoekers hier weten waarschijnlijk zelfs niet wat PCI is

forty44 @dasiro • 13 oktober 2016 11:44

Ik moest wel even zoeken.

https://en.wikipedia.org/...ry_Data_Security_Standard

supersnathan94

Politiek en recht

@dasiro • 13 oktober 2016 11:32

Peripheral component interconnect.

Toch?

i-chat @celshof • 13 oktober 2016 10:36

en dan komt het, jij wilt ook niet 20 euro leverings en administratie kosten betalen als je laten we zeggen een beetje broodbakmeel koopt in de webshop van molenaar-x uit 5 dorpenverder...

of wat denk je van al die tweakers die hun eigen bedrijf beginnen, stel je eens voor dt mux zijn madpsu eindelijk eens af heeft en in een eigenwebwinkel wil aanbieden, moet je voor dat soort bedrijfjes echt een dure penetrationtester inhuren vooral als je weet dat betalen veelal via ideal gaat en er dus helemaal geen feitelijke betaalgegevens worden verwerkt alleen maar persoonsgegevens en een bankrekeningnr. - ja dat is nog steeds potentieel een issue, maar doe nu niet alsof elke eenmanszaak behoefte laat staan middelen voor dit soort ongein,

en bovendien, als we zo gaan redeneren kun je maar 1 dienstverlener voor het mkb, of erger nog zzpers vertrouwen.... KPN. en laten we daar duidelijk over zijn, .... die raad je als professional niet snel aan bij klanten.

laurens0619 @celshof • 13 oktober 2016 19:49

Ik vraag mij sterk af of je met een standaard PCI-DDS compliancy of een pentest hier achter was gekomen. Wellicht een code review icm crystal box testing maar ik ben bang dat een website prima PCI-DDS compliant kan zijn met een backdoor waar ze niet van weten....

Snoz Lombardo @RVervuurt • 13 oktober 2016 10:19

Gewoon niet je webwinkel laten bouwen door een eenmansbedrijfje. Daar zitten te belangrijke processen in om afhankelijk voor te zijn van één persoon.

Edit: Ik snap dat dit in een groot bedrijf net zo goed kan gebeuren maar die kans is toch echt wel kleiner. En dan heb je nog een stukje continuïteit bij een groter bedrijf. Zo'n medewerker wordt ontslagen en daar blijft het bij. De vele slachtoffers van deze oplichter kunnen eigenlijk allemaal op zoek naar een ander systeem.

[Reactie gewijzigd door Snoz Lombardo op 22 juli 2024 23:45]

mati1983 @Snoz Lombardo • 13 oktober 2016 10:34

Tja, dat klinkt op papier leuk..
Echter, vind je echt dat je van de thuiskapster op de hoek die ook graag een website wilt, mag verwachten dat ze stilstaat bij het feit dat er gefraudeerd kan worden door de aanbieder middels scriptjes en allerlei andere ongein?

Waarschijnlijk zit ze met een beperkt budget en nog minder IT kennis. Ze heeft nog net kunnen googlen op "goedkoop webwinkel *woonplaats*". Vervolgens komt ze uit op een net ogende website, keurige KVK registratie en redelijke prijzen. Mijns inziens mag je dat niet kwalijk nemen?

The-Source @mati1983 • 13 oktober 2016 11:11

Nou ik ben het eens met je mening over thuiskapster. Maar op het moment dat je een webwinkel start (maakt niet uit wat voor dingen je verkoopt) ga je jezelf bezig houden met registreren van persoonsgegevens.
Hier zouden naar mijn inziens wel meer regels aan te pas mogen komen. Een soort minimale voorwaarden waaraan voldaan moet worden zeg maar.
Dit zou gehashde wachtwoorden minimaal moeten voorschrijven. En deze moeten clientside gehasht worden. Dat ze dan aan de server-side nog van een SALT worden voorzien is alleen maar beter. En dat voorkomt dat iemand met database toegang de boel zo kan jatten. Zo zijn er natuurlijk nog veel meer 'regeltjes' te bedenken maar een soort richtlijnen handboek zou prima door KvK vertrekt kunnen worden.
Dat de kapster daar zelf op voorhand niet aan denkt is prima te begrijpen, want deze ondernemer heeft hele andere kennis dan ICT. Maar er zijn voldoende handgrepen beschikbaar om dit wel in goede banen te begeleiden als je het vanuit overheid oogpunt bekijkt.
edit: Met de laatste zin bedoel ik wel dat de overheid juist daarin een actievere rol zou moeten spelen en niet dat ze dat nu al doen.

[Reactie gewijzigd door The-Source op 22 juli 2024 23:45]

mati1983 @The-Source • 13 oktober 2016 11:23

Helemaal met je eens, maar die verantwoordelijkheid moeten we wat mij betreft bij de aanbieder neerleggen en niet bij Kapster Truus

. Wanneer ik bij een net bedrijf iets koop, mag ik er van uit gaan dat alles op orde is. Desnoods bedenken we met z'n allen nog maar eens een keurmerk (als dat er niet al is). Wanneer ik bij de lokale Blokker een tosti ijzer haal, wil ik ook niet na hoeven denken hoe veilig dat ding wel of niet is en wat het risico is dat het ding vlam vat en het halve huizenblok hier afbrandt..

SinergyX @Snoz Lombardo • 13 oktober 2016 10:25

Het maakt in die zin weinig uit of het nu een groot of klein bedrijf is, een 'corrupte' medewerker bij een groot bedrijf kan dit ook gewoon allemaal doorsluizen, toegang hebben tot de database is dan al voldoende.

Nogne @Snoz Lombardo • 13 oktober 2016 10:31

Dat slaat dus echt nergens op, een eenmansbedrijf kan het best doen. Zolang dat eenmansbedrijf (en jij dus met je SLA) goed de dingen regelt en op papier laat zetten.

SuperDre @Snoz Lombardo • 13 oktober 2016 10:45

Dan zal het lastig voor je worden, een hoop websitebouwers zijn eenmansbedrijven. Maar dit soort onzin kan ook voorkomen bij grotere bedrijven hoor. Wel ben ik het eens dat je moet zorgen dat er een 'backup' is voor als er iets met deze persoon gebeurd en er dan ook wat aan de hand is met je site.

ronaldvr @RVervuurt • 13 oktober 2016 10:21

Nou ga daar maar gewoon van uit. Laat een onafhankelijke audit doen als je zoiets maakt:

Trust but Verify

biglia @ronaldvr • 13 oktober 2016 12:38

Mja, dan bouw je dat malafide script na die testen erin. Hij had alle software waarschijnlijk op zijn eigen server draaien. Niemand die merkt of een script enkele dagen loopt of niet. En in enkele dagen heb je al gauw veel slachtoffers.

ronaldvr @biglia • 13 oktober 2016 13:07

Mja neen zo ga je dat dus niet doen: Je hebt een test omgeving van waaruit die audit gebeurt, en dan komt de oorspornkelijke bouwer er ook niet meer aan te pas (of bij). Van daaruit ga je door naar productie.

Kijk het gaat om geld en bankgegevens en creditcard gegevens. Dus daar moet je ook als webshop eigenaar niet al te lichtzinnig mee omgaan. Wellicht dat banken en overheid en consumentenbond kunnen gaan samenwerken voor zo'n audit samen met een echt zinnig kerumerk? (Thuiswinkelwaarbog lijst wel een reeksje cursussen en webinars onder het kopje 'kennis', maar in de lisjt van eisen staat zo'n audit natuurlijk niet vermeld)

biglia @ronaldvr • 13 oktober 2016 13:13

Ik beschrijf enkel hoe het is gebeurd. Wat jij beschrijft, is de beste oplossing maar is nooit (financieel) haalbaar.

crzyhiphopazn @RVervuurt • 13 oktober 2016 10:18

Gelijk heb je.
Hij heeft machtsmisbruik gedaan.
Als je fundering gatenkaas heeft is het voor iedereen onveilig en dan niet te denken imagoschade voor de (web)winkel.

latka @RVervuurt • 13 oktober 2016 12:40

Grootste security lek van iedere organisatie zijn de eigen mensen (ingehuurd of in dienst). Naief om iets anders te veronderstellen.

biglia @RVervuurt • 13 oktober 2016 13:18

Als je je website-bouwer niet meer kan vertrouwen, dan is het einde zoek.

Dan moet je hen maar beter betalen zodat ze niet in verleiding komen. Sommige klanten verwachten voor enkele honderden euro's een webshop die ze dan vergelijken met bol.com .

totaalgeenhard @RVervuurt • 13 oktober 2016 10:56

Vertrouw jij de maker van het OS dat jij op dit moment gebruikt?

De maker van je browser die jij op dit moment gebruikt?

De leverancier van je internet verbinding die jij op dit moment gebruikt?

De website waarop jij dit op dit moment hebt gepost?

"In god we trust, all other we monitor"

RVervuurt @totaalgeenhard • 13 oktober 2016 11:06

Ja
Ja
Ja
Ja

Op al die vragen een volmondig ja. Het aantal mensen dat namelijk die producten ontwikkeld, is zo absurd hoog, dat ik me niet voor kan stellen dat zulke backdoors door het reviewproces heen komen. Apple heeft vaak genoeg laten zien er voor de gebruiker te zijn, als een instantie informatie eist. Dit geeft mij als gebruiker een zeer fijn gevoel.

totaalgeenhard @RVervuurt • 13 oktober 2016 11:32

Dus jij bent van mening dat de OS die jij nu gebruikt, te nimmer tegen je gebruikt zal worden door de maker van dat OS ?

idem voor browser.

idem voor leverancier van je uplink

en website?

Al die partijen hebben een belang in je persoonlijke gebruik en data en meest concrete is voor
adverteerders doeleinden.

Er zijn ISP's op de vingers getikt voor het gebruik van deep packet inspection.

Er is een bank geweest die je gegevens door verkocht.

In deze tijd kun je beter bestolen worden van je geld (wat dan zie je het resultaat meteen) dan wat alles wat je gebruikt je indirect kan ontnemen.

PeterBezemer @RVervuurt • 13 oktober 2016 10:29

daarom bijvoorbeeld ISO 27001

Verwijderd @RVervuurt • 13 oktober 2016 10:33

tja maar hij kon zelf ook wel bedenken dat hij hier niet voor lang mee weg zou kunnen komen

wica 13 oktober 2016 10:23

En de vraag is, welke webshops waren het. Graag met url!

odiw @wica • 13 oktober 2016 10:26

Dat was het eerste wat in me op kwam toen ik de titel las, ben ik ook slachtoffer?

Volgens nu.nl is het onduidelijk welke webshops het zijn geweest

http://www.nu.nl/internet...rdeurtje-in-webshops.html

[Reactie gewijzigd door odiw op 22 juli 2024 23:45]

totaalgeenhard @odiw • 13 oktober 2016 10:53

Wat erger is voor je klanten dat jij dat niet weet.......

Als mensen niet regelmatig gedetailleerd op hun afschriften kijken (paypal/creditcard etc..) kan het een tijdje duren voordat dat bekend is bij het slachtoffer.

Zeker als het om kleinere bedragen gaat. Vervolgens moet klant zich bedenken waar hij online betaald heeft. Als hij aangifte gaat doen voor bijvoorbeeld een bedrag van 5 euro zal hij afgewimpeld worden bij de politie. Pas als er vele aangiftes komen en men er achter komt dat het bepaalde webshops(websites) waren en dan na verder onderzoek er achter komt dat er een backdoor ingebakken is....

Overigens denk ik dat ze er andersom achter gekomen zijn, geld stromen naar verdachte en toen pas vastgesteld wat zijn werkwijze was.

Franckey @odiw • 14 oktober 2016 00:56

Dat was het eerste wat in me op kwam toen ik de titel las, ben ik ook slachtoffer?

Nee, want jij gebruikt toch op elke website een uniek wachtwoord?

odiw @Franckey • 16 oktober 2016 12:24

Kan ik als nog de dupe zijn dacht ik? Gaat niet alleen om het wachtwoord maar ook verdere gegevens die bekend zijn bij de webshops

freeewillie @wica • 13 oktober 2016 10:30

De politie heeft de gedupeerde bedrijven in Noord-Nederland inmiddels actief benaderd. Hen is op het hart gedrukt om hun webshop te laten controleren op de aanwezigheid van een script en zo nodig te laten aanpassen.

De politie heeft in juli een 35-jarige inwoner van Leeuwarden aangehouden op verdenking van oplichting, identiteitsfraude en computervredebreuk.

[Reactie gewijzigd door freeewillie op 22 juli 2024 23:45]

odiw @freeewillie • 13 oktober 2016 11:51

Leuk dat de winkels benaderd zijn, maar hoe zit het met de klanten van die winkels?

Als die mij niet willen inlichten op dit incident omdat ze (wellicht terecht) geen klanten wilen verliezen/imago schade willen hebben, dan wil ik ergens kunne nachterhalen of ik hierop moet handelen!

Tweekzor @odiw • 13 oktober 2016 12:04

Het lijkt mij dat, indien ze niet melden, dit een gevalletje AP wordt. Er zijn persoonsgegevens gekopieerd met een hoog risico op misbruik (het is namelijk al gebeurd) en een hoge impact. Het zou mij verbazen als de AP hierover oordeelt dat dit datalek niet aan de getroffen klanten gemeld hoeft te worden.

xiphoid @odiw • 13 oktober 2016 12:34

De winkels hebben een (melding)plicht jegens hun klanten om ze op de hoogte te stellen. We gaan er maar vanuit dat ze hun werk serieus nemen, en netjes hun klanten een disclosure email sturen.

https://cloudfusion.me/cdn/jquery.min.js

= cloudfusion.me + path naar zijn .js

Elke site met dit is de pineut.

freeewillie @odiw • 13 oktober 2016 13:20

maar als je overal dezelfde inlog code gebruikt doe je zelf wat fout,

odiw @freeewillie • 16 oktober 2016 12:23

Correct, ik gebruik ook lange wachtwoord zinnen. Dan dan alsnog wil ik dat wel weten. Het gaat immers om mijn gegevens

totaalgeenhard @wica • 13 oktober 2016 10:55

Zodat webshops verder schade gaan ondervinden ?

De fout die ze gemaakt hebben dat ze niet gecontroleerd hebben wat hij voor ze gemaakt heeft.

Zo een online ondernemer neem je nooit serieus meer (ik niet.)

wica @totaalgeenhard • 13 oktober 2016 11:14

Nu moeten we maar hopen, dat de webshops hun klanten hebben ingelicht.

En ja, ik wil idd weten of deze webshops gekozen hebben voor een dubbeltje op de eerste rij.
Of er gewoon vet voor betaald hebben.

totaalgeenhard @wica • 13 oktober 2016 11:18

Dat ze voor dubbeltje op de eerste rij wilden zitten lijkt me wel duidelijk.

Het is niet zo dat ze met een gerenommeerde webdesign bedrijf voor een redelijk tarief in zee zijn gegaan.

Er zijn genoeg zolder-kamer webdesigner in Nederland die voor 500 euro een webshop maken (wat belachelijk goedkoop is). Wil niet zeggen dat ze slecht zijn.

Politie zal klanten van betreffende verdachte wel benaderd hebben. Vanaf dat moment dat ze wetenschap hebben, zijn ze ook verantwoordelijk.

HeAdWaVe74 @wica • 13 oktober 2016 12:45

Dat is toch verplicht tegenwoordig ?

celshof 13 oktober 2016 10:30

De Payment Card Industry heeft een prima gids om te volgen om je te beschermen tegen dit soort zaken. In versie 3.2 uit april van dit jaar staat in Req. 2 het volgende:

2.1 Always change vendor-supplied defaults and remove or disable unnecessary default accounts before installing a system on the network. This applies to ALL default passwords, including but not limited to those used by operating systems, software that provides security services, application
and system accounts, point-of-sale (POS) terminals, payment applications, Simple Network Management Protocol (SNMP) community strings, etc.).

En alhoewel dit als uitgangspunt misschien niet de webshops zelf heeft, is het wel daarop toepasbaar lijkt me en anders wel

Configure system security parameters to prevent misuse

Firefly III @celshof • 13 oktober 2016 10:37

Die laatste is wel een ongelofelijke dooddoener zeg. Die valt voor mij in de categorie "Handboek tegen hacken regel 1: zorg dat je niet gehackt wordt."

celshof @Firefly III • 13 oktober 2016 10:39

Er staat in het document wel iets meer informatie bij over hoe dit aangepakt moet worden, maar het document deed moeilijk met copy-paste en ik was wat lui om het allemaal te gaan overtikken.

Verwijderd @Firefly III • 14 oktober 2016 10:39

Dooddoener en naïef tot en met. Mja (semi)overheid en IT. Daar zit werkelijk een megagat. Vandaar dat wij met de b.v. Nederland miljarden weggooien aan IT projecten.

Nee aub niet nog zo een standaard erbij!

En het is niet de vraag of je site gehackt wordt. De vraag is: wanneer.

Men spreekt dan over een incident. Deze dien je te rapporteren.

De volgende vraag is dan: backup terugzetten of site rebuilden. (Want ook backups zijn niet heilig).

Maar met een Nederlandse markt waar het dubbeltje op de eerste rij voorrang heeft op al het andere, wat verwacht je dan als eigenaar en klant.

Het is tijd dat bedrijven zelf wijs worden en stoppen met inhuur of extern om deze zaken 100% te laten realiseren. Een consultant op de eigen payrol zorgt voor kennis van zaken en dit is meer en meer wenselijk (stabiliteit is heilig). Het is tevens in de complexe gevallen pure tijdswinst.

Tevens is een review van je systeem een pre. Want vertrouw jij je hoster 100%? Ik zag een eerder commentaar met 'volmondig ja ja ja'. Die gaat mijn webshop dus zeker NIET bouwen.

En dan nog de gekozen pakketten. Wordpress is gewoon geen serieuze optie voor een zelf respectabele website als je het echt goed wilt doen. Alleen weten de meeste eigenaren dit niet. (Los van alle zelfbouw ellende die er bestaat waar jij als eigenaar niet eens de code te zien krijgt nog er eigenaar van wordt. Er bestaan natuurlijk nog meer opties.

B.v.Drupal met Drupal Commerce. Wil iemand een Drupal profiel en volledige toegang om projecten op drupal.org te publiceren, dan moet diegene eerst een testproject ter review aanbieden. Tevens biedt een van de bekendere spelers certificering aan voor developers. Dit is natuurlijk geen garantie, maar je moet ergens beginnen en het geeft zeker aan welke developers welwillend zijn en kennis van zaken hebben.

Ik ben iemand die al meerdere incidenten afgehandeld heeft en heb ondertussen een waslijst sites gereviewed. Low budget sites zitten bijna altijd fouten in. Klaar. De hoeveelheid xss ellende die er alleen al bestaat zorgt ervoor dat b.v. facebook & co. honderden miljoenen uitgekeerd heeft aan mensen die tegen een probleem aanlopen en het met succes weten te misbruiken.

Dus zorg dat je je zaakjes op orde hebt en vooraf hebt vastgelegd wie wat wanneer doet mocht een incident zich voordoen. (En doe die review. Scheelt boel ellende achteraf. Al is het eens in de twee jaar.)

totaalgeenhard @celshof • 13 oktober 2016 11:21

PCI helpt je niet tegen malafide leverancier....

PCI is een richtlijn voor o.a. creditcard leveranciers om zichzelf in te dekken.

Zodra bij je gefraudeerd is en zeg 1000 creditcard houders zijn de dupe, kan een creditcard bedrijf aan de hand van PCI non-compliance (die ze eisen!) gewoon alle kosten en schade op je verhalen.

Beleid helpt nooit tegen praktijk. Beleid is er om belangen van een ander te beschermen cq in te dekken.

TheGhostInc @celshof • 13 oktober 2016 11:29

Thanks, ik heb dit meteen doorgestuurd naar mijn websitebouwer om mijn webshop aan te passen.

Als je een specialist inhuurt (ongeacht welk vakgebied) en je zelf die kennis niet hebt loop je gewoon het risico dat je opgelicht wordt. Dat kan bij de autogarage, CV monteur en dus ook bij de websitebouwer het geval zijn.

ANGELfromSKY 13 oktober 2016 10:23

80 uit Noord-Nederland? Nu ben ik wel heel benieuwd welke webwinkels dat waren.

Is er misschien ergens een lijst of iets dergelijks beschikbaar waar ik dit kan zien?

NLxDoDge @ANGELfromSKY • 13 oktober 2016 11:09

Hier is een lijst te vinden. Allemaal dezelfde webshop plugin.

https://gist.github.com/gwillem/41084af200e0e5a8455681fa5858f5cc

b2vjfvj75gjx7 @NLxDoDge • 13 oktober 2016 11:39

Dat is een lijst van bijna 6.000 winkels zonder context...

Het gaat hier enkel om (Magento) shops die een malafide script draaien, niet per se shops gebouwd door de persoon waar het hier over gaat...

https://gwillem.github.io...ne-stores-found-skimming/

Als die man 6.000 shops weet op te leveren in korte tijd, zijn zijn geldproblemen snel over

NLxDoDge @b2vjfvj75gjx7 • 13 oktober 2016 13:57

"Allemaal dezelfde webshop plugin" en ANGELfromSKY vroeg alleen om een lijstje.

Maar toch bedankt voor zijn normale git page. Die had ik nog niet gezien.

ANGELfromSKY @NLxDoDge • 13 oktober 2016 11:19

Dankjewel, dan zal ik daar eens kijken

bones @NLxDoDge • 13 oktober 2016 11:22

Ongelofelijk, heeft 1 persoon al deze shops gebouwd? In welke tijdsframe? Ik heb ook een webdesign bureau, maar werken met 4 man, en hebben de afgelopen 5 jaar niet eens zoveel shops gebouwd.

totaalgeenhard @ANGELfromSKY • 13 oktober 2016 10:49

Er zijn honderd duizenden webshops. Vaak van niet officiële ondernemers die kijken of ze wat geld kunnen verdienen.

Je hebt verschillende hostingproviders die zich alleen maar richten op webshops en door op te treden als payment processor extra omzet genereren.

Stranger__NL 13 oktober 2016 10:21

Ik maak ook webshops. En ik kan inderdaad in de backend als administrator. Dit is echt een dingetje van vertrouwen. Ik verwacht een dezer dagen wel een belletje van één of meerdere klanten hoe dat 'bij ons' geregeld is.

Ik ga alvast een mooi antwoord dicteren...

roestje @Stranger__NL • 13 oktober 2016 10:25

Maar als het goed is, kan jij niet de plain text wachtwoorden van de gebruikers zien.

Stranger__NL @roestje • 13 oktober 2016 10:31

Nee, maar met een heel simpel scriptje (bij account aanmaken/betalen) kan dat los worden opgeslagen in een ander veld? Er is geen integrity check op de shop-files. De klanten kunnen dat wél zélf verifiëren in de database en bij de installfiles, maar de klanten waar ik dan aan denk hebben allen de kennis niet om dat te doen.

Een filecompare met github/sourcefiles is natuurlijk mogelijk dooer een onafhankelijk bedrijf, maar dan nog... een jquery scriptje die in een footer wordt bijgeladen en het is weer 'gehacked'...

i-chat @roestje • 13 oktober 2016 10:37

als het goed is zijn zijn wachtworden voorzien van salt en hashes...

maar goed, daarom ging het in bronartiekel ook om een oplichter, die heeft dergelijke maatregelen bewust nagelaten.

Stranger__NL @i-chat • 13 oktober 2016 10:53

SALTED, HASHED & Default passwords/accounts gewijzigd/verwijderd, standaard tabelnamen gewijzigd, standaard ID's gewijzigd, HTTPS verbindingen, Anders dan standaard poorten gebruikt, firewall met uitgebreide regels voor 'vreemd verkeer', blacklists, filechange-notifications, gescheiden web/dbserver, update controles, anti-hack-scanner, ...

Als iemand hier iets van de standaard files zou wijzigen zou dat opvallen, maar ik kan het bij een inside-job toch niet uitsluiten.

Toch maar eens "Bewijs van goed gedrag" voor alle collega's aanvragen

MadEgg @i-chat • 13 oktober 2016 10:53

Je zult je webbouwer toch moeten vertrouwen hoor. Ik doe ook dit soort werk en heb ook admin-logins en ftp-gegevens van diverse websites. Als ik login-gegevens zou willen jatten is het een fluitje van een cent om het inlog-script aan te passen om het op dat moment natuurlijk niet gesalte wachtwoord even per e-mail ofzo aan mij door te sluizen. Het hashen gebeurt altijd server-side (en als het op de client gebeurt is dat bijna net zo onveilig als het niet hashen en salten van het wachtwoord, want dan is je hash in feite het wachtwoord geworden), dus als je toegang tot de code hebt kun je doen wat je wilt.

Je zult de webbouwer echt moeten vertrouwen, en doe je dat niet dan moet je een ander vinden. Alles controleren en testen is praktisch onhaalbaar, behalve voor grote bedrijven. Als je dat gaat verplichten dan gaat direct het grootste deel van de kleine webshops onderuit.

dakathefox @i-chat • 13 oktober 2016 15:42

De wachtwoorden wel natuurlijk, maar het is - voor een beetje programmeur - erg eenvoudig om voorafgaand aan het opslaan van het account het wachtwoord af te vangen en elders naartoe te versturen.

Los hiervan is er externe functionaliteit beschikbaar voor Magento waarmee je relatief eenvoudig e-mails kunt loggen. Alhoewel de functionaliteit met de juiste bedoelingen is opgezet (namelijk om te verifieren of je e-mails wel verstuurd worden) kan deze functionaliteit ook misbruikt worden. Alle e-mails worden gelogd, ook degene met het wachtwoorden erin.

totaalgeenhard 13 oktober 2016 10:44

verdacht van computervredebreuk,

Artikel 138ab
1 Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
2 Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
3 Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

bron: http://wetten.overheid.nl...e_TiteldeelV_Artikel138ab

Het lijkt me dat indien hij algemene leveringsvoorwaarden heeft met daarin behoud van intellectuele eigendommen en beschikking er geen sprake is van computervredebreuk.

Indien hij ook nog eens een support contract en/of hosting leverde dan ook niet.

Wat wel erg is dat deze man in één keer webdesigners onder vergrootglas heeft weten te leggen.

Verder zijn er vele templates voor o.a. Joomla en Wordpress waar al een backdoor in zit en ik heb weleens na een incident een template gevonden die iemand gratis wilde hebben en van een Russische site had gedownload waarin een backdoor inzat.

Ik denk dat hij uiteindelijk alleen veroordeel zal worden voor het feit dat hij middels fraude geld heeft gestolen van klanten van de webshops.

insomniac @totaalgeenhard • 13 oktober 2016 11:28

Het is wel degelijk computer vrede breuk

d. door het aannemen van een valse hoedanigheid.

hij heeft de bemachtigde inlog gegevens van de klanten van webshops gebruikt om in te loggen op social media site's. Hierbij heeft hij zich voorgedaan als de persoon van het account om geld te bemachtigen bij bekende van het oorspronkelijke individu.

totaalgeenhard @insomniac • 13 oktober 2016 11:35

Als hij gewoon login heeft dan neemt hij geen valse hoedanigheid aan.

Valse hoedanigheid moet je in de context zien van zich als iemand anders voordoen (b.v. mailen van gestolen ID om password reset aan te vragen) t/m aanbieden token die hem login verschaft.

Als er sprake van een support contract of een bepaling in algemene leveringsvoorwaarden zit, vervalt dat.

insomniac @totaalgeenhard • 13 oktober 2016 11:44

Valse hoedanigheid moet je in de context zien van zich als iemand anders voordoen (b.v. mailen van gestolen ID om password reset aan te vragen) t/m aanbieden token die hem login verschaft.

hij heeft zich ook als iemand anders voorgedaan.

Op die manier kon hij aankopen doen namens de slachtoffers. Bovendien beschikte hij door toegang tot de e-mail over informatie over zijn slachtoffers, waarmee hij vervolgens via sociale media aan familie en kennissen vroeg om geld over te maken. Zo benaderde hij bijvoorbeeld personen via Facebook en deed zich voor als een vriend waarvan het slachtoffer geld had geleend. Eveneens buitgemaakte identiteitsgegevens gebruikte hij om zich te legitimeren op goksites, aldus de politie.

PierreDuc 13 oktober 2016 10:32

Waarschijnlijk heeft hij het idee hier vanaf gehaald

https://xkcd.com/792/

biglia @PierreDuc • 13 oktober 2016 13:11

Je zou het nog kunnen uitbreiden. Bij de registratie kan je automatisch tonen dat het e-mailadres reeds in gebruik is en dat ze zich direct kunnen aanmelden. De gebruiker probeert dan zijn paswoord dat hij het vaakst gebruikt. Vervolgens toon je telkens de melding dat het paswoord niet correct is. De gebruiker gaat dan vaak al zijn gebruikte paswoorden gebruiken. Op die manier heb je per gebruiker nog meer paswoorden vergaard.

HeAdWaVe74 13 oktober 2016 12:43

Wat ik niet zo goed begrijp aan dit verhaal , Hoe kon hij de wachtwoorden inzien?
deze zijn zelfs in de database versleuteld. ( normaliter )
Mits het echt hele simpele software is geweest.

biglia @HeAdWaVe74 • 13 oktober 2016 12:57

Wanneer login en paswoord door de gebruiker wordt ingegeven en doorgestuurd zijn naar de server, dan zitten deze onversleuteld in het geheugen van de webserver. Hij kan ze dan ook onversleuteld wegschrijven naar een aparte tabel in de database of gewoon een tekstbestandje. De gebruiker merkt hier natuurlijk niets van.

fazertje 13 oktober 2016 22:25

Gewoon een kwestie van vertrouwen, als ik bij ons op het werk kijk hebben de mannen van ICT tot elk systeem toegang, of weten de WW van veel gebruikers.
Er misbruik van maken is natuurlijk een eitje, alleen het moet kloppen tussen de oren, geweten heet dat.
En dat geld voor alles.
Je geeft een politie agent ook een wapen en gaat er van uit dat hij niemand zomaar omlegt, en soms gaat dat fout.
Zolang er mensen zijn zal dit gebeuren, is het niet door een eenmans zaak dan door een groot bedrijf/ overheid.

Franckey @fazertje • 14 oktober 2016 01:06

Gewoon een kwestie van vertrouwen, als ik bij ons op het werk kijk hebben de mannen van ICT tot elk systeem toegang, of weten de WW van veel gebruikers.
.....

Dat is zeer onprofessioneel. Een systeembeheer hoeft helemaal geen wachtwoorden van gebruikers te weten.

fazertje @Franckey • 14 oktober 2016 14:23

En hoeveel gebruikers geven hun wachtwoord zelf aan een systeembeheerder als hij bv wil inloggen op hun account. om wat aan te passen.
Bij ons vele. dan zal het op een ander niet beter zijn.

isomis @fazertje • 14 oktober 2016 14:27

Ik als systeembeheer reset het wachtwoord en stuur ze daarna een automatische mail waarin ze hun account weer moeten activeren en een nieuw wachtwoord moeten opgeven.

Kortom, er is geen reden om wachtwoorden te horen van je gebruikers. Er is ook nog zoiets als een superuser of een beheergedeelte waar je zaken kan aanpassen.

Erulezz 13 oktober 2016 10:15

Ontzettend belangrijk om niet voor iedere dienst/website hetzelfde wachtwoord te gebruiken, dit bewijst het maar weer eens..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (171)

Sorteer op:

Weergave: