Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 94 reacties
Submitter: Metis

De Open Universiteit had scans van identiteitsbewijzen en paspoorten op een server staan die onvoldoende beveiligd bleek. De organisatie maakte melding bij de Autoriteit persoonsgegevens en heeft getroffen personen ingelicht. Inmiddels zijn de scans verwijderd.

De documenten waren bereikbaar via een 'unieke, lange en onvoorspelbare link'. Volgens woordvoerder Miranda de Kort werd dat ontdekt door een oud-student, die er vervolgens melding van maakte bij de Open Universiteit. Het zou in totaal om ruim drieduizend documenten gaan.

Op 21 oktober werden mensen die in het verleden een scan hadden geüpload ingelicht middels een e-mail. De scans stonden op servers van JotForm, de Open Universiteit gebruikte die externe partij voor een uploadformulier. Bij het aanmelden voor een voortentamen moesten mensen een scan van hun ID of paspoort insturen. Nadat de Open Universiteit constateerde dat de documenten onvoldoende beveiligd waren, heeft de organisatie de uploadfunctie geblokkeerd en JotForm de opdracht gegeven om alle documenten te verwijderen. Door een probleem in hun systeem zou dat niet direct gelukt zijn.

Inmiddels heeft de Open Universiteit getroffen personen een nieuw bericht gestuurd met de melding dat de documenten vrijdagavond 21 oktober zijn verwijderd en nu niet meer bereikbaar zijn. Of er onrechtmatige toegang is geweest tot de scans is niet duidelijk. De Open Universiteit zegt dit niet uit te kunnen sluiten en vraagt mensen om alert te zijn en bij vermoedens van misbruik van persoonsgegevens contact op te nemen.

Het uploaden van een scan was niet voor alle studenten nodig, maar in bepaalde gevallen. Volgens de woordvoerder is dat nu veel minder vaak het geval, omdat er gebruikgemaakt wordt van DigiD. In de gevallen dat er nog wel een scan van een identiteitsbewijs nodig is, dient dat nu per post verzonden te worden.

Moderatie-faq Wijzig weergave

Reacties (94)

En daarom moet je ook nooit simpelweg een kopie maken, maar altijd bepaalde gegevens uitgrijzen. En er iets van 'KOPIE <instantie> <datum>' er overheen. Wat men nodig heeft is leesbaar, maar als zo'n scan ooit buitgemaakt zou worden, kan men er niets mee.
Alleen werkt deze niet :(

Camera beeld blijft eeuwig zwart.
Nee hoor werkt prima op een Lumia 950 met insider versie. Geen probleem al is het een wat zinloze app die alleen een zwart balkje plaatst waar jij wilt.
Zal dan wel aan mijn HP Elite x3 liggen :?
Er worden ook covers door de ANWB geleverd.
Niet omdat ik er werk, belang bij heb of zo, maar voor je veiligheid.
ID cover paspoort
ID cover ID-Kaart
ID Cover Rijbewijs
Jammer alleen dat die covers het ook onmogelijk maken om het paspoort of de id-kaart op juistheid te controleren. In de onderste twee reeks van getallen zit namelijk een controlegetal, dat het mogelijk maakt om een eerste check op juistheid van de gegevens te controleren.
Dit zijn allemaal lapmiddelen die wel van pas kunnen komen, maar bij je werkgever en banken worden ze niet geaccepteerd. Daar moeten alle gegevens leesbaar (controleerbaar) zijn. Bovendien kan er nog steeds misbruik gemaakt worden in de gevallen waarbij een gedeeltelijk afgeschermde kopie mag worden geaccepteerd.
In alle gevallen kan je mogelijk misbruik verder beperken door een doel en datum op de kopie te schrijven.
Die kunnen dat op andere manieren controleren en dat zijn instanties die volgens mij wel om deze info mogen vragen.

Het probleem zit meer bij hotels, verhuurbedrijven, etc.
Ook die laatste hoeven geen probleem te zijn. Je weet waar je geweest bent, dus als er informatie wordt misbruikt is de cirkel met mogelijke verdachten vrij klein.

De kans dat het op andere plaatsen fout gaat is veel groter. Bijvoorbeeld doordat sukkels een foto van hun nieuwe paspoort of rijbewijs zonder meer op Facebook of Instagram zetten. Al diverse keren gezien.

[Reactie gewijzigd door GJvdZ op 2 november 2016 11:22]

Fijn die covers, maar de covers zorgen er jammer genoeg niet voor dat de chip (op afstand) kan worden uitgelezen.
Fijn die covers, maar de covers zorgen er jammer genoeg niet voor dat de chip (op afstand) kan worden uitgelezen.
ja, wel. Ik heb de cover voor mijn ID kaart daar zit een laagje aluminium in dat uitlezen d.m.v. nfc onmogelijk maakt.
De paspoort Corver heb ik nog niet, daarom kan ik daar niets zinnigs over zeggen.
Dat lijkt mij ook helemaal niet van toepassing bij fotokopieën, zodoende is dat het doel ook niet van die covers ;)
Je formulering is wat ongelukkig. Jij wilt je paspoort of andere id kaart beveiligen tegen ongewenst NFC uitlezen vermoed ik. ( dus het omgekeerde van wat je schrijft.)
Kijk eens hier: https://www.secrid.com/
de cover (in ieder geval van het paspoort) van de anwb is met aluminium gevoerd en blokkeert het uitlezen via NFC.
als er ook maar 1 gaatje inzit zal een bijzonder sterke NFC lezer alsnog bij dicht contact door het bouncen "in" de cover het uit kunnen lezen, doe maar is een wifi antenne bijna helemaal omringen met alluminium folie, en dan op het open deel je telefoon houden, prima verbinding ;)
als er ook maar 1 gaatje inzit zal een bijzonder sterke NFC lezer alsnog bij dicht contact door het bouncen "in" de cover het uit kunnen lezen, doe maar is een wifi antenne bijna helemaal omringen met alluminium folie, en dan op het open deel je telefoon houden, prima verbinding ;)
Ik heb het nog niet getest. Maar ik vermoed dat jouw methode niet gaat werken. Het hele verhaal komt niet overeen met wifi.
De NFC in een ID kaart heeft geen eigen stroomvoorziening. Deze werkt via een spoel die plat in de kaart zit. Als deze een magnetischveld van de zijkant krijgt zal deze waarschijnlijk niet voldoende vermogen genereren om deze te laten werken, via een stanaard lezer of smart phone.
Als je zo dichtbij een ID kan komen dat je de NFC chip kunt uitlezen, kan je net zo goed meteen het ID jatten.
Zit in mij portemonnee, dus .........
Had ik ook na onderzoek gedaan bij de kopie voor het uitzendbureau waar ik nu bij werk (o.a. BSN afgeschermd). Afschermen van de BSN werd niet geaccepteerd helaas. Wel erop gehouden dat het een kopie was inclusief gebruiksdoel.

[Reactie gewijzigd door menne op 1 november 2016 18:03]

BSN is namelijk nu net wat ze nodig hebben als werkgever _/-\o_

In feite is de juiste procedure dat jij een formulier invult met BSN, en dan legitimeerd. Je ID zou dan niet opgeslagen hoeven worden. Maar de adminstratie afdeling is elders, en dus werkt dat niet en vraagt men om een kopie.

Plus dat als zij achteraf gezeik krijgen van de IND en Sociale Diensten men kan bewijzen dat jij jij bent. Zou niet nodig moeten zijn, maar de ene overheidsdienst werkt nog wel eens moeilijk zaken met de regels van de andere.
Sterker nog, je bent als werkgever verplicht een kopie van het paspoort van je werknemers te bewaren.
a. er is geen wettelijke verplichting
b. een werkgever moet een kopie bewaren

https://www.rijksoverheid...-te-geven-aan-een-bedrijf

https://autoriteitpersoon...ficatie/identiteitsbewijs

Gooi mij maar weg, dit is niet te verkopen.
Ach de wetgever is wel vaker van het padje. Een BSN nummer moet je geheim houden maar als ZZP er moet je het BTW nummer tonen op je website.(weliswaar aangevuld met een drie karakters maar duidelijk herkenbaar als BSN nummer)
Tja...
Daar heeft de belastingdienst een hele tijd terug van gezegd dat dat als ZZP'er niet hoeft (op Twitter notabene). Maar goed, vervolgens moet je wel weer je BTW nummer vermelden op een factuur. Dat is minder publiek, maar dan nog..
ik ken het verhaal maar als je de eerste regels leest van de belastingdienst site:
http://www.belastingdiens...mer_vermelden_op_website/
De EU heeft regels vastgesteld voor ondernemers die een website hebben. Die regels gaan onder andere over welke informatie u op uw website moet plaatsen, zoals uw btw-nummer.
Rommelig allemaal.
Als je gegevens wilt stelen kan je beter HR medewerker bij een middelgroot bedrijf worden....
Dat BTW nummer is mij inderdaad ook een doorn in het oog.
Waarom geven ze ZZP'ers niet een nummer aan de hand van het BTW-algoritme dat ze voor de rest gebruiken?
Probleem opgelost.
Dat is waar ik op doel. Als je strikt de onderliggende wetgeving zou bekijken, zal er niet staan dat je een ID (laat staan paspoort) moet opslaan. Er zal iets staan van kunnen bewijzen dat X, Y en Z, etc.

Als men dan simpelweg een kopie paspoort opslaat zijn de betrokken isntanties tevereden omdat dat past in hun systemen en voldoet aan de intentie van de wet.

Ga je als werkgever proberen zo min mogelijk data op te slaan, en maximale privacy garanderen, zul je problemen krijgen met die instanties en diens procedures. Uiteindelijk zal het je met veel volhardenheid wel lukken (tot de volgende reorganisatie/verandering computer systeem O-) ) aan hun kant, maar ik kan me goed voorstellen dat je als werkgever geen zin hebt en dus 'gewoon' een kopie opslaat.

Beetje een variant van het bekende verhaal dat van de ene dienst de vloeren glad moeten ivm hygiëne en van de arbo dienst ruw ivm vallen. (Al schijnt dat voorbeeld iets genuanceerder in de praktijk te liggen.)
Dat is waar ik op doel. Als je strikt de onderliggende wetgeving zou bekijken, zal er niet staan dat je een ID (laat staan paspoort) moet opslaan
Uh, jawel. Als je niet precies weet hoe het zit, doe dan geen foutieve uitspraken. (Wet op de loonbelasting, artikel 28 lid 1f)
je notatie is niet helemaal fijn, maar je hebt een valide punt gezien het inderdaad gewoon in de wet staat;
van de werknemer die loon uit tegenwoordige dienstbetrekking geniet vast te stellen de identiteit aan de hand van een document als bedoeld in artikel 1, eerste lid, onder 1° tot en met 3°, van de Wet op de identificatieplicht en – zo de werknemer een vreemdeling is in de zin van de Vreemdelingenwet 2000 en niet behoort tot de categorie werknemers die op grond van overeenkomsten van internationaal recht is uitgezonderd van de verplichting tot het hebben van een geldige verblijfsvergunning als bedoeld in die wet en een geldige tewerkstellingsvergunning als bedoeld in de Wet arbeid vreemdelingen – tevens de verblijfsrechtelijke status ter zake van het verrichten van arbeid aan de hand van een geldige verblijfsvergunning of aan de hand van een geldige tewerkstellingsvergunning, alsmede van een en ander de aard, het nummer en een afschrift daarvan in de loonadministratie op te nemen;

[Reactie gewijzigd door aadje93 op 1 november 2016 20:05]

Bedankt voor het opzoeken, maar er staat daar niet letterlijk dat de werkgever een paspoort moet bewaren. Wat er staat is dat men de identiteit moet vaststellen aan de hand van een identiteitsbewijs zoals volgens een bepaald document.

Vaststellen =/= opslaan. Het zit hem dan in het afschrift opslaan, maar dat is niet noodzakelijk een kopie. Zeker niet in de context van de juridische sfeer. (Dat kan meer of juist minder zijn.)

Het opslaan van een paspoort is dan makkelijk, want voldoet aan de wet, en proberen de privacy verder te behouden gaat veel 'problemen' geven. De intentie van de wet is echter kunnen bewijzen dat bij aangaan van het dienstverband je gecontroleerd hebt wat iemands identiteit is. Bij verlopen hoef je (behalve bij bepaalde buitenlanders ivm werkvergunning - maar dat is een andere wet) bijvoorbeeld niet opnieuw te vragen om een afschrift/kopie. Het gaat dus duidelijk niet om afschrift/kopie, maar het bewijzen dat je indetiteit gecontroleerd hebt.

Nu zal het heel lastig worden ivm een Nederlander die enkel een paspoort heeft of zo om iets anders dan een kopie af te staan, maar dat vloeit voort uit de praktijk, en niet de wet zelf. Voor buitenlanders is meer flexibiliteit.

Wat dat betreft wel een beetje wrang dat onze overheid zelf haar eigen belang (= werkgever kunnen controleren) boven dat van de burger zet.

EDIT: verduidelijking.

[Reactie gewijzigd door Armin op 1 november 2016 23:46]

Sommige instanties hebben valide redenen om zo'n gegeven te willen hebben. Mijn werkgever heeft het ook, is (onder andere) voor belasting doeleinden.
Sommige instanties hebben valide redenen om zo'n gegeven te willen hebben. Mijn werkgever heeft het ook, is (onder andere) voor belasting doeleinden.
Alleen bij wettelijke verplichting. Anders mag het niet. Voorbeelden van wettelijke verplichting zijn je werkgever en je bank.
En dat mag dus eigenlijk niet. Ze mogen wel controle uitvoeren, maar niet een kopie opslaan. Maar ze doen het toch, want makkelijk :) :)
https://www.rijksoverheid...an-de-identificatieplicht

Ooh. Ik zie toch echt dat ze verplicht een kopie moeten hebbeb.
Dat klopt, maar alleen werkgever en bank, omdat die wettelijk de plicht hebben
Je werkgever is dan ook zo'n beetje de enige partij, buiten de belastingdienst, met een legitiem doel voor je BSN nummer... de rest van de instanties die er een kopie van op nahouden ergens zijn effectief in overtreding voor zover ik weet.
Ja, en dat is gewoon te achterlijk voor woorden... Men doet nu net alsof je BSN zo heilig is, terwijl dat echt totaal niet is.
En daarom moet je ook nooit simpelweg een kopie maken, maar altijd bepaalde gegevens uitgrijzen. En er iets van 'KOPIE <instantie> <datum>' er overheen. Wat men nodig heeft is leesbaar, maar als zo'n scan ooit buitgemaakt zou worden, kan men er niets mee.
Via covers die door de ANWB geleverd, worden zaken die niet afgegeven mogen worden afgedekt.
Niet omdat ik er werk, belang bij heb of zo, maar voor je veiligheid.
ID cover paspoort
ID cover ID-Kaart
ID Cover Rijbewijs
Voor zover ik weet is een kopie ook helemaal geen geldig bewijs en mag een school hier helemaal niet om vragen notabene.
Een kopie moet gewoon op een goede manier gebruikt worden. Dat is helaas nog veel te weinig het geval. Loop bij een willekeurig bedrijf eens de (personeels)administratie binnen en de kans is groot dat je daar de dossiers van de medewerkers, inclusief kopie van het paspoort, gewoon uit een dossierkast kan plukken. In een enkele keer is de kast afgesloten, maar overdag ook niet.
Bij mij op het werk is het een aparte kamer, die 's morgens open gaat en tegen sluitingstijd weer dicht. Niemand die er (permanent) toezicht op houdt. Ik heb mijn kopie maar vervangen door een briefje waar de kopie wel te vinden is. Als ik er niet ben hebben ze wel een klein probleem, maar meestal mag men alleen de gegevens van de aanwezige werknemers controleren.

Ik ben tegen overdreven wetgeving, maar als het om het bewaren van identiteitsgegevens gaat is men in de praktijk veel te laks, terwijl de ellende bij misbruik heel ingrijpend kan zijn. De wet op de privacy regelt alleen dat de gegevens niet doorgegeven mogen worden, maar als ze zo slecht zijn beschermd dat Jan en Alleman gewoon de gegevens kan ophalen geeft men zelf niets door. De Open Universiteit of het bedrijf dat de identiteitskopien bewaarde was niet eens in overtreding!
En daarom moet je ook nooit simpelweg een kopie maken, maar altijd bepaalde gegevens uitgrijzen. En er iets van 'KOPIE <instantie> <datum>' er overheen. Wat men nodig heeft is leesbaar, maar als zo'n scan ooit buitgemaakt zou worden, kan men er niets mee.
En vervolgens worden die kopies nergens geaccepteerd. Ik heb het bij banken bijvoorbeeld nog nooit voor elkaar gekregen zo'n kopie erdoor te krijgen. Alles moest leesbaar zijn zoals het origineel.


Verder moet je bij het "onleesbaar" maken er wel even op letten dat dit niet bijvoorbeeld in een verwijderbare layer gebeurt in een PDF. Dan heb je er natuurlijk nog steeds niets aan (de pixels moeten echt weg zijn).

[Reactie gewijzigd door GeoBeo op 1 november 2016 23:21]

Opvallend, je die digitaal krijgt un je de tekst die er overheen staat ongedaan maken.

Zo veilig is de kopie dus niet.

Ook accepteerd niet iedereen deze kopie, werkgevers bijvoorbeeld.
Werkgevers hebben ook terecht meer informatie nodig, als één van de weinige partijen.

Als je een kopie nodig hebt, wil je natuurlijk dat die niet misbruikt kan worden. De belangrijkste gegevens daarvoor grijs je dus uit.. Daarnaast een tekst er overheen... en ja natuurlijk kun je die 'ongedaan maken', maar da's wel even meer werk dan een CTRL+Z. Waarom zou je een PDF met layers naar een partij sturen GeoBeo? Dan vraag je er inderdaad om.

Als je bereid bent die moeite er in te steken voor een kopie van een document waar de belangrijkste gegevens al missen, dan kun je net zo goed een complete kopie verzinnen en opbouwen.

Mocht een kopie niet geaccepteerd worden en je wordt gevraagd om een paspoortnummer, kun je altijd iets willekeurigs verzinnen. Voor zover ik weet kun je die nummers niet zomaar controleren op geldigheid, tenzij je hiervoor bevoegd bent. Krijg je terug dat het nummer niet geldig is, kun je die alsnog afgeven.
Het artikel zegt niet wat precies de onveilige situatie is. Als de link ernaar toe uniek, lang en onvoorspelbaar is, waar zit dan de kwetsbaarheid dat deze gegevens publiekelijk beschikbaar worden?
Dat ze zonder enige vorm van authenticatie bereikbaar zijn voor iedereen met de link is volgens mij al onveilig genoeg.
Wat is in essentie het verschil tussen authenticatie dmv een wachtwoord en een lange onvolspelbare url? Behalve wellicht dat de 2e niet bruteforce preventie heeft oid.
Als al jouw persoonsgegevens beschikbaar zijn via de link http://tweakers.net/Nfxzob3xMejgRiF2GkFtbpF9mMUpFPqjLLqhfj2N, dan is dat een unieke, lange en onvoorspelbare link. Maar als die link niet alleen bij jou belandt, maar zoals in dit geval ook gewoon voor anderen in te zien is, betekent dat dat jij niet de enige bent die jouw gegevens in kan zien.

Plaats ik jouw persoonsgegevens op http://tweakers.net/coffee, dan is dat al een veel kortere en voorspelbaardere link, maar als daar een loginscherm achter zit waar je alleen in komt met jouw Tweakers login, dan staan je gegevens daar al een héél stuk veiliger. En al helemaal als er sprake zou zijn van een vorm van tweetrapsauthenticatie.
Er is qua authenticatie niet een verschil of die URL bij iemand anders belandt of mijn Tweakers login bij iemand anders belandt, in beide gevallen is er een code die je moet hebben om ergens bij te kunnen en waarmee je kan authenticeren.

Het enige verschil is dat authenticatie middels een code in een URL minder handig is ivm indexers en caches die maar wat graag resultaten van GET requests vasthouden, en locatiebalken en accesslogs waar het in komt te staan.

[Reactie gewijzigd door Sfynx op 1 november 2016 18:07]

Een URL is in principe publieke informatie, deze wordt nergens obscuur gemaakt op wat voor manier dan ook. Zeker als het zoals in het voorbeeld van BartB gewoon over http gaat. (Wireshark?)
Login gegevens zijn dit niet, die zijn in principe altijd privé, wachtwoorden zijn altijd persoonlijk en worden in een nette situatie versleuteld, gehasht, gesalt en weet ik wat meer en die weet je dus in principe nooit tenzij de gebruiker je die kenbaar maakt.

Ik snap dus niet hoe je met een stalen gezicht kan zeggen dat dat het zelfde is als een linkje die je bijvoorbeeld gewoon in je browser history zal zien staan puur en alleen omdat het beide gevallen om een "code" gaat.
Jij hebt nooit vrienden die "gewoon even" achter je pc duiken bijvoorbeeld?

[Reactie gewijzigd door Ton Deuse op 1 november 2016 18:18]

Een onvoorspelbare code in een URL of een gebruikersnaam/wachtwoord zijn beide een identificatie om te bepalen of jij ergens bij mag of niet, dat was mijn vergelijking omdat eerder werd gezegd dat een URL geen vorm van authenticatie is. Op het gebied van veiligheid is een URL uiteraard een stuk onveiliger omdat het makkelijker uitlekt in browser histories/logs/op je beeldscherm/etc., dat ontken ik niet ;)

En gelukkig is een URL niet altijd publieke informatie, wat dacht je van een of andere eenmalig te gebruiken URL die je in je mail krijgt als je bijvoorbeeld een wachtwoordreset hebt aangevraagd op een site? :P
Wachtwoord reset mails zijn ook op elke computer te openen en dus publiek (mits niet afgekaderd met een ip beperking ofzo), maar door o.a. de beperkte tijd-window, e.v.t cookies, en het éénmalige gebruik een veel minder groot probleem.
Daarbij gaat het bij sites die er dergelijke implementaties op nahouden meestal om vrij irrelevante zaken zoals een forum accountje van het één of het ander en niet je paspoort.
Als je iets zwaars als Digid wil resetten moet je (terecht) door een hele molen.

Een URL die je zonder pardon op elke PC kan openen is m.i. gewoon geen beveiliging. Niet voor dit soort dingen.

[Reactie gewijzigd door Ton Deuse op 1 november 2016 18:37]

Maar een wachtwoord dan je toch ook gewoon, zonder pardon, op elke computer invoeren. Of zie ik dat verkeerd?
Zeker, maar een wachtwoord trek je niet uit een random logfile.
Op deze reactie zat ik te wachten! Dank!
Exact!

Het probleem is dan ook dat ze uberhaupt op een server stonden. De scan dient enkel ter verificatie dat 'jij jij bent' en het 'kunnen opsturen van' wordt als bewijs gezien. Daarna zou men ze moeten verwijderen.
Waarschijnlijk liggen de via post verzonden exmplaren nu gewoon in een simpe dossierkastje dat met een generieke sleutel te openen is. Dat beschouwd men dan wel als veilig.
Wat je zegt klopt allemaal volledig, maar hoe was je van plan tweetrapsauthenticatie in de URL te integreren? Aangezien het hier om gevoelige persoonsgegevens gaat, lijkt me een meer dan enkelvoudige authenticatie namelijk geen overbodige luxe.

Losgezien nog van het feit dat mensen hoogstwaarschijnlijk zorgvuldiger om zullen gaan met logingegevens als met een unieke URL, hoewel beide inderdaad dezelfde mate van veiligheid bieden. (en een URL is makkelijker over de schouder heen af te kijken dan een ingevuld wachtwoord)
Authenticatie is een bevestiging van identiteit.
In dit geval is er geen identiteit opgegeven, maar is er maar 1 "idententiteit": namelijk geen en 1 "wachtwoord": namelijk de onraadbare url.
Zie ook https://nl.wikipedia.org/wiki/Authenticatie
Oftewel, een moeilijk te raden url is geen geen authenticatie.

[Reactie gewijzigd door Zarc.oh op 1 november 2016 19:15]

Over https is het path en de query niet beschikbaar tot de ontsleutelling van de verbinding.
Dat je bij authenticatie weet wie er daad werkelijk het bestand heeft bekeken en/of gedownload. Daarbij kun je met authenticatie ervoor zorgen dat alleen de mensen die ook daadwerkelijk toegang mogen hebben dat hebben.
Bij een URL heb je absoluut geen verificatie. Bij een een login account heb je in ieder geval de relatieve zekerheid dat de persoon die inlogt de persoon is aan wie het account toebehoort, of die persoon login gegevens afgestaan heeft aan een bevoegd persoon.
Zo'n link kan iedereen openen die een keer op je scherm meekijkt.

[Reactie gewijzigd door Ton Deuse op 1 november 2016 17:53]

Dat ten eerste, en blijkbaar is ook de toegang niet gelogd. Een URL-scraper bouwen is niet zo moeilijk, daarmee is het slechts een kwestie van tijd tot je alle opgeslagen ID's te pakken hebt. Niemand kan blijkbaar vertellen of dit daadwerkelijk gebeurd is
Daarnaast wordt geclaimd dat de URL's onvoorspelbaar zijn, maar hier worden veel fouten mee gemaakt. Een op het eerste gezicht random string is soms bijv. een hash van bepaalde (voorspelbare) gegevens.

Als er een goed inlogsysteem gebruikt zou zijn, kon scrapen sowieso uitgesloten worden, en had eventueel onrechtmatige toegang gelogd kunnen worden, zodat slachtoffers op zijn minst zouden wéten of ze zich zorgen moeten maken. Dit had misschien ook op andere manieren gekund en ook een inlogsysteem kan natuurlijk slecht geïmplementeerd zijn. Maar de hier gebruikte implementatie was in ieder geval niet goed.
Dit is een perfect voorbeeld van Security through Obscurity.
A system or component relying on obscurity may have theoretical or actual security vulnerabilities, but its owners or designers believe that if the flaws are not known, that will be sufficient to prevent a successful attack. Security experts have rejected this view as far back as 1851, and advise that obscurity should never be the only security mechanism.
Het is een schijnveiligheid, met een setje bots kun je iedere mogelijke tekencombinatie proberen en zo alle documenten achterhalen. Iets verstoppen en hopen dat niemand het vind is nooit een goed idee.

[Reactie gewijzigd door s1h4d0w op 1 november 2016 19:46]

Dit kan je natuurlijk met een gebruikersnaam/wachtwoord ook doen. Voor bepaalde doeleinde kan een voldoende lang token in de Url wel degelijk goede beveiliging zijn, bijvoorbeeld met beperkte levensduur, eenmalig gebruik etc.
Omdat een unieke, lange, onvoorspelbare link de gegevens niet minder openbaar maakt. Een beter alternatief was nog een korte, voorspelbare link geweest met daarachter wél gewoon een fatsoenlijk authenticatiesysteem, zodat niet elke boerenpummel zich toegang kan verschaffen.
Er zijn regels vanuit de overheid hoe dergelijke gegeven beschermd dienen te worden, om als veilig beschouwd te kunnen worden. Daar hebben ze niet aan voldoen, dus onveilig, en moet het gerapporteerd worden. Het zal wel vaker voorkomen, en de boetes zijn niet gering.
Technisch gezien had de OU de scans dus niet op een onvoldoende beveiligde server staan, maar had JotForm de scans op een onvoldoende beveiligde server staan en ook nog eens niet voldaan aan de opdracht om de scans te wissen.

De vraag of de OU hier blaam treft hangt dus eigenlijk af van de afspraken die de OU met JotForm had gemaakt omtrent beveiliging van de gegevens die via hun formulier binnenkwamen.
Dat lijkt mij iets tussen OU en JotForm en voor de "buitenkant" geen factor.
Bedrijven zijn altijd afhankelijk van de grillen van een derde partij, of die derde partij nou een medewerker is of een ingehuurd bedrijf vind ik maar een detail.

Als je er toch op wil doorborduren hebben ze blijkbaar zelf niet zo veel onderzoek gedaan naar de door JotForm geboden oplossing. Je hebt nou niet bepaald zwaar diepgaande programmatische security kennis nodig om te zien dat beveiliging op basis van een "moeilijke url" gewoon nooit adequaat gaat zijn. Dat zou ik OU zonder meer aanrekenen.

Dat het alternatief nu is om het maar over de post te jagen vind ik trouwens ook opvallend, want beveiligingstechnisch is dat niet veel beter.

[Reactie gewijzigd door Ton Deuse op 1 november 2016 18:01]

Als je er toch op wil doorborduren hebben ze blijkbaar zelf niet zo veel onderzoek gedaan naar de door JotForm geboden oplossing. Je hebt nou niet bepaald zwaar diepgaande programmatische security kennis nodig om te zien dat beveiliging op basis van een "moeilijke url" gewoon nooit adequaat gaat zijn. Dat zou ik OU zonder meer aanrekenen.
In mijn werk heb ik daar regelmatig mee te maken. Wij proberen al onze software op veiligheid te controleren maar dat is enorm lastig kan op erg veel punten fout gaan.

Ten eerste is een audit ontzettend duur en kost veel geld. Ieder stuk software zelf (laten) auditten is haast onbetaalbaar. Gelukkig laten steeds meer fabrikanten zelf audits doen, maar het beoordelen daarvan is ook geen kattenpis.
Ten tweede is software heel veranderlijk, zeker bij online diensten, die kunnen van het ene op het andere moment helemaal veranderen. Probeer dat maar bij te houden, zeker als je (als klant) niet achter de schermen kan kijken.
Ten derde heb je in een grote organisatie maar beperkte controle over al je werknemers. Iedereen met een credit card kan in een handomdraai een online service zoals jotform aanschaffen. Dat kun je wel verbieden maar controleren is erg lastig. Voor een website of een app van drie euro belt niemand de afdeling inkoop, dat wordt gewoon even bij elkaar geklikt.

Al met al is het erg moeilijk om het goed te doen. Dat is geen excuus. Maar wat zou ik toch graag willen dat het makkelijker was.
Nee, een dataeigenaar is altijd verantwoordelijk voor wat de dataverwerker doet..
Je moest een scan van je paspoort uploaden wanneer je je diploma wilde aanvragen bij de examencommissie. Dat ging via een vaag formuliertje op hun website.
Inmiddels heeft de Open Universiteit getroffen personen een nieuw bericht gestuurd met de melding dat de documenten vrijdagavond 21 oktober zijn verwijderd en nu niet meer bereikbaar zijn.
Dat is ook een manier om te zeggen dat er nog backups zijn maar dat niemand daar aan hoort te zitten.
Met de post, en dan, dan ligt het kopietje ergens bij het oud papier de week er op...
'Analoge' (papieren) vertrouwelijke documenten gaan op universiteiten in een speciale container, waarvan de inhoud dus ook op een vertrouwelijke manier totaal wordt vernietigd. Die belanden niet zomaar bij het normale afval van een universiteit... Niet als de uni z'n zaakjes op orde heeft althans.
ik mag aannemen dat dergelijke printjes eerst door de shredder heen gaan. Niet eentje die er lange slierten van maakt maar zo een die om de zoveel cm ook even een knip erin zet. Een zogenaamde "Cross-Cut shredder" of nog beter een "Micro-Cut shredder". Standaard Strip-cut is voor identificatie papieren niet echt gewenst.
Ik ben wel benieuwd hoe die oud student achter die url is gekomen. Deze is alleen zichtbaar aan de "achterkant" van JotForm, als in een login door de univ. medewerker. En daarbij is het onmogelijk om andere upload bestanden te bekijken.
Ik ben wel benieuwd hoe die oud student achter die url is gekomen. Deze is alleen zichtbaar aan de "achterkant" van JotForm, als in een login door de univ. medewerker. En daarbij is het onmogelijk om andere upload bestanden te bekijken.
Kan al stom toeval geweest zijn met een typo.

Of misschien waren de random URLs helemaal niet zo random als JotForm claimde en was er een patroon in terug te vinden.

Als je even google er bij pakt dan vormt zich al snel het beeld dat het niet al te jofel gesteld is met security bij die club, trouwens.
[...]


Kan al stom toeval geweest zijn met een typo.

Of misschien waren de random URLs helemaal niet zo random als JotForm claimde en was er een patroon in terug te vinden.
Nope, upload URL is geheel verschillend en niet zichbaar in het JotForm zelf.
Wat is bron van dit artikel?

Want als Autoriteit persoonsgegevens dit soort nieuwsberichten gaat uitgeven dan werkt dat om meerdere reden averechts.

Als eerste partijen willen niet geassocieerd worden met nalatigheid.
Als ook dat het kwaadwillende op ideeën brengt waar ze bepaalde specifieke content kunnen vinden.
De bron zijn de e-mails die naar mensen zijn gestuurd die hun scans op de betreffende servers hadden staan. Diverse tweakers hebben die e-mails gesubmit. Ook vorige week al, maar toen hebben we er niet over gepubliceerd omdat de bestanden nog niet verwijderd waren. Inmiddels zijn de bestanden weg en heeft het voor kwaadwillenden dus weinig nut meer om daar te gaan zoeken.
Bedankt voor je reactie.

Laatste tijd viel het mij op dat zeer specifieke gevallen geopenbaard werden (o.a. hier) zonder dat er een bron te vinden was.

Wel netjes dat jullie even afgewacht hebben, maar wel opvallen dat ze eerst mailen en dan pas put gaan dempen...

Daarmee hebben ze actief bijgedragen aan mogelijke verdere verspreiding....

[Reactie gewijzigd door totaalgeenhard op 1 november 2016 17:51]

Tsja. Het was niet helemaal slim om alvast te mailen dat ze de boel gingen verwijderen (voordat het uberhaupt gelukt was dus). Zeker niet als dan blijkt dat het verwijderen mislukt en het er nog een week op staat.
Waarschijnlijk iemand die de bewuste mails ontvangen heeft en doorgestuurd aan de redactie.
je hebt hier ook apps voor die deze gebieden al grijs maken.
'Open' universiteit doet z'n naam eer aan ...

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True