Open Universiteit had paspoortscans op onvoldoende beveiligde server staan

De Open Universiteit had scans van identiteitsbewijzen en paspoorten op een server staan die onvoldoende beveiligd bleek. De organisatie maakte melding bij de Autoriteit persoonsgegevens en heeft getroffen personen ingelicht. Inmiddels zijn de scans verwijderd.

De documenten waren bereikbaar via een 'unieke, lange en onvoorspelbare link'. Volgens woordvoerder Miranda de Kort werd dat ontdekt door een oud-student, die er vervolgens melding van maakte bij de Open Universiteit. Het zou in totaal om ruim drieduizend documenten gaan.

Op 21 oktober werden mensen die in het verleden een scan hadden geüpload ingelicht middels een e-mail. De scans stonden op servers van JotForm, de Open Universiteit gebruikte die externe partij voor een uploadformulier. Bij het aanmelden voor een voortentamen moesten mensen een scan van hun ID of paspoort insturen. Nadat de Open Universiteit constateerde dat de documenten onvoldoende beveiligd waren, heeft de organisatie de uploadfunctie geblokkeerd en JotForm de opdracht gegeven om alle documenten te verwijderen. Door een probleem in hun systeem zou dat niet direct gelukt zijn.

Inmiddels heeft de Open Universiteit getroffen personen een nieuw bericht gestuurd met de melding dat de documenten vrijdagavond 21 oktober zijn verwijderd en nu niet meer bereikbaar zijn. Of er onrechtmatige toegang is geweest tot de scans is niet duidelijk. De Open Universiteit zegt dit niet uit te kunnen sluiten en vraagt mensen om alert te zijn en bij vermoedens van misbruik van persoonsgegevens contact op te nemen.

Het uploaden van een scan was niet voor alle studenten nodig, maar in bepaalde gevallen. Volgens de woordvoerder is dat nu veel minder vaak het geval, omdat er gebruikgemaakt wordt van DigiD. In de gevallen dat er nog wel een scan van een identiteitsbewijs nodig is, dient dat nu per post verzonden te worden.

IT-banen

Reacties (94)

Kaastosti 1 november 2016 17:25

En daarom moet je ook nooit simpelweg een kopie maken, maar altijd bepaalde gegevens uitgrijzen. En er iets van 'KOPIE <instantie> <datum>' er overheen. Wat men nodig heeft is leesbaar, maar als zo'n scan ooit buitgemaakt zou worden, kan men er niets mee.

Gropah @Kaastosti • 1 november 2016 17:36

En gelukkig heeft de overheid daar ook een app voor.

iOS: https://itunes.apple.com/nl/app/kopieid/id932970330?mt=8
android: https://play.google.com/s...=com.milvum.kopieid&hl=nl

Patrick- @Gropah • 1 november 2016 17:48

Voor Windows is deze er ook: https://www.microsoft.com/nl-nl/store/p/kopieid/9wzdncrcv5wn

Armin

Netwerk en systeembeheer

@Patrick- • 1 november 2016 18:22

Alleen werkt deze niet

Camera beeld blijft eeuwig zwart.

SED @Armin • 1 november 2016 18:31

Nee hoor werkt prima op een Lumia 950 met insider versie. Geen probleem al is het een wat zinloze app die alleen een zwart balkje plaatst waar jij wilt.

Armin

Netwerk en systeembeheer

@SED • 1 november 2016 18:43

Zal dan wel aan mijn HP Elite x3 liggen

Verwijderd @Gropah • 1 november 2016 18:06

En gelukkig heeft de overheid daar ook een app voor.

iOS: https://itunes.apple.com/nl/app/kopieid/id932970330?mt=8
android: https://play.google.com/s...=com.milvum.kopieid&hl=nl

Er worden ook covers door de ANWB geleverd.
Niet omdat ik er werk, belang bij heb of zo, maar voor je veiligheid.
ID cover paspoort
ID cover ID-Kaart
ID Cover Rijbewijs

Peatsmoke

@Verwijderd • 2 november 2016 07:55

Jammer alleen dat die covers het ook onmogelijk maken om het paspoort of de id-kaart op juistheid te controleren. In de onderste twee reeks van getallen zit namelijk een controlegetal, dat het mogelijk maakt om een eerste check op juistheid van de gegevens te controleren.

WillySis @Verwijderd • 1 november 2016 21:24

Dit zijn allemaal lapmiddelen die wel van pas kunnen komen, maar bij je werkgever en banken worden ze niet geaccepteerd. Daar moeten alle gegevens leesbaar (controleerbaar) zijn. Bovendien kan er nog steeds misbruik gemaakt worden in de gevallen waarbij een gedeeltelijk afgeschermde kopie mag worden geaccepteerd.
In alle gevallen kan je mogelijk misbruik verder beperken door een doel en datum op de kopie te schrijven.

Red Boll @WillySis • 1 november 2016 22:11

Die kunnen dat op andere manieren controleren en dat zijn instanties die volgens mij wel om deze info mogen vragen.

Het probleem zit meer bij hotels, verhuurbedrijven, etc.

Verwijderd @Red Boll • 2 november 2016 11:21

Ook die laatste hoeven geen probleem te zijn. Je weet waar je geweest bent, dus als er informatie wordt misbruikt is de cirkel met mogelijke verdachten vrij klein.

De kans dat het op andere plaatsen fout gaat is veel groter. Bijvoorbeeld doordat sukkels een foto van hun nieuwe paspoort of rijbewijs zonder meer op Facebook of Instagram zetten. Al diverse keren gezien.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:26]

niki_lauda @Verwijderd • 1 november 2016 18:24

Fijn die covers, maar de covers zorgen er jammer genoeg niet voor dat de chip (op afstand) kan worden uitgelezen.

Verwijderd @niki_lauda • 2 november 2016 00:20

Fijn die covers, maar de covers zorgen er jammer genoeg niet voor dat de chip (op afstand) kan worden uitgelezen.

ja, wel. Ik heb de cover voor mijn ID kaart daar zit een laagje aluminium in dat uitlezen d.m.v. nfc onmogelijk maakt.
De paspoort Corver heb ik nog niet, daarom kan ik daar niets zinnigs over zeggen.

Annihlator @niki_lauda • 1 november 2016 18:29

Dat lijkt mij ook helemaal niet van toepassing bij fotokopieën, zodoende is dat het doel ook niet van die covers

SED @niki_lauda • 1 november 2016 18:34

Je formulering is wat ongelukkig. Jij wilt je paspoort of andere id kaart beveiligen tegen ongewenst NFC uitlezen vermoed ik. ( dus het omgekeerde van wat je schrijft.)
Kijk eens hier: https://www.secrid.com/

dyrc

@niki_lauda • 1 november 2016 18:56

de cover (in ieder geval van het paspoort) van de anwb is met aluminium gevoerd en blokkeert het uitlezen via NFC.

aadje93 @dyrc • 1 november 2016 20:00

als er ook maar 1 gaatje inzit zal een bijzonder sterke NFC lezer alsnog bij dicht contact door het bouncen "in" de cover het uit kunnen lezen, doe maar is een wifi antenne bijna helemaal omringen met alluminium folie, en dan op het open deel je telefoon houden, prima verbinding

Verwijderd @aadje93 • 2 november 2016 00:57

als er ook maar 1 gaatje inzit zal een bijzonder sterke NFC lezer alsnog bij dicht contact door het bouncen "in" de cover het uit kunnen lezen, doe maar is een wifi antenne bijna helemaal omringen met alluminium folie, en dan op het open deel je telefoon houden, prima verbinding

Ik heb het nog niet getest. Maar ik vermoed dat jouw methode niet gaat werken. Het hele verhaal komt niet overeen met wifi.
De NFC in een ID kaart heeft geen eigen stroomvoorziening. Deze werkt via een spoel die plat in de kaart zit. Als deze een magnetischveld van de zijkant krijgt zal deze waarschijnlijk niet voldoende vermogen genereren om deze te laten werken, via een stanaard lezer of smart phone.

Verwijderd @niki_lauda • 2 november 2016 11:21

Als je zo dichtbij een ID kan komen dat je de NFC chip kunt uitlezen, kan je net zo goed meteen het ID jatten.

niki_lauda @Verwijderd • 2 november 2016 21:56

Zit in mij portemonnee, dus .........

menne @Kaastosti • 1 november 2016 18:02

Had ik ook na onderzoek gedaan bij de kopie voor het uitzendbureau waar ik nu bij werk (o.a. BSN afgeschermd). Afschermen van de BSN werd niet geaccepteerd helaas. Wel erop gehouden dat het een kopie was inclusief gebruiksdoel.

[Reactie gewijzigd door menne op 24 juli 2024 01:26]

Armin

Netwerk en systeembeheer

@menne • 1 november 2016 18:25

BSN is namelijk nu net wat ze nodig hebben als werkgever $_/-\o_$

In feite is de juiste procedure dat jij een formulier invult met BSN, en dan legitimeerd. Je ID zou dan niet opgeslagen hoeven worden. Maar de adminstratie afdeling is elders, en dus werkt dat niet en vraagt men om een kopie.

Plus dat als zij achteraf gezeik krijgen van de IND en Sociale Diensten men kan bewijzen dat jij jij bent. Zou niet nodig moeten zijn, maar de ene overheidsdienst werkt nog wel eens moeilijk zaken met de regels van de andere.

SED @Armin • 1 november 2016 18:37

Sterker nog, je bent als werkgever verplicht een kopie van het paspoort van je werknemers te bewaren.

realseal @SED • 1 november 2016 19:20

a. er is geen wettelijke verplichting
b. een werkgever moet een kopie bewaren

https://www.rijksoverheid...-te-geven-aan-een-bedrijf

https://autoriteitpersoon...ficatie/identiteitsbewijs

Gooi mij maar weg, dit is niet te verkopen.

SED @realseal • 1 november 2016 21:10

Ach de wetgever is wel vaker van het padje. Een BSN nummer moet je geheim houden maar als ZZP er moet je het BTW nummer tonen op je website.(weliswaar aangevuld met een drie karakters maar duidelijk herkenbaar als BSN nummer)
Tja...

Tha_Butcha @SED • 1 november 2016 23:18

Daar heeft de belastingdienst een hele tijd terug van gezegd dat dat als ZZP'er niet hoeft (op Twitter notabene). Maar goed, vervolgens moet je wel weer je BTW nummer vermelden op een factuur. Dat is minder publiek, maar dan nog..

SED @Tha_Butcha • 1 november 2016 23:30

ik ken het verhaal maar als je de eerste regels leest van de belastingdienst site:
http://www.belastingdiens...mer_vermelden_op_website/

De EU heeft regels vastgesteld voor ondernemers die een website hebben. Die regels gaan onder andere over welke informatie u op uw website moet plaatsen, zoals uw btw-nummer.

Rommelig allemaal.

Verwijderd @Tha_Butcha • 2 november 2016 11:25

Als je gegevens wilt stelen kan je beter HR medewerker bij een middelgroot bedrijf worden....

hackerhater @SED • 2 november 2016 08:15

Dat BTW nummer is mij inderdaad ook een doorn in het oog.
Waarom geven ze ZZP'ers niet een nummer aan de hand van het BTW-algoritme dat ze voor de rest gebruiken?
Probleem opgelost.

Armin

Netwerk en systeembeheer

@SED • 1 november 2016 19:12

Dat is waar ik op doel. Als je strikt de onderliggende wetgeving zou bekijken, zal er niet staan dat je een ID (laat staan paspoort) moet opslaan. Er zal iets staan van kunnen bewijzen dat X, Y en Z, etc.

Als men dan simpelweg een kopie paspoort opslaat zijn de betrokken isntanties tevereden omdat dat past in hun systemen en voldoet aan de intentie van de wet.

Ga je als werkgever proberen zo min mogelijk data op te slaan, en maximale privacy garanderen, zul je problemen krijgen met die instanties en diens procedures. Uiteindelijk zal het je met veel volhardenheid wel lukken (tot de volgende reorganisatie/verandering computer systeem

) aan hun kant, maar ik kan me goed voorstellen dat je als werkgever geen zin hebt en dus 'gewoon' een kopie opslaat.

Beetje een variant van het bekende verhaal dat van de ene dienst de vloeren glad moeten ivm hygiëne en van de arbo dienst ruw ivm vallen. (Al schijnt dat voorbeeld iets genuanceerder in de praktijk te liggen.)

MikeN @Armin • 1 november 2016 19:28

Dat is waar ik op doel. Als je strikt de onderliggende wetgeving zou bekijken, zal er niet staan dat je een ID (laat staan paspoort) moet opslaan

Uh, jawel. Als je niet precies weet hoe het zit, doe dan geen foutieve uitspraken. (Wet op de loonbelasting, artikel 28 lid 1f)

aadje93 @MikeN • 1 november 2016 20:04

je notatie is niet helemaal fijn, maar je hebt een valide punt gezien het inderdaad gewoon in de wet staat;

van de werknemer die loon uit tegenwoordige dienstbetrekking geniet vast te stellen de identiteit aan de hand van een document als bedoeld in artikel 1, eerste lid, onder 1° tot en met 3°, van de Wet op de identificatieplicht en – zo de werknemer een vreemdeling is in de zin van de Vreemdelingenwet 2000 en niet behoort tot de categorie werknemers die op grond van overeenkomsten van internationaal recht is uitgezonderd van de verplichting tot het hebben van een geldige verblijfsvergunning als bedoeld in die wet en een geldige tewerkstellingsvergunning als bedoeld in de Wet arbeid vreemdelingen – tevens de verblijfsrechtelijke status ter zake van het verrichten van arbeid aan de hand van een geldige verblijfsvergunning of aan de hand van een geldige tewerkstellingsvergunning, alsmede van een en ander de aard, het nummer en een afschrift daarvan in de loonadministratie op te nemen;

[Reactie gewijzigd door aadje93 op 24 juli 2024 01:26]

Armin

Netwerk en systeembeheer

@MikeN • 1 november 2016 21:42

Bedankt voor het opzoeken, maar er staat daar niet letterlijk dat de werkgever een paspoort moet bewaren. Wat er staat is dat men de identiteit moet vaststellen aan de hand van een identiteitsbewijs zoals volgens een bepaald document.

Vaststellen =/= opslaan. Het zit hem dan in het afschrift opslaan, maar dat is niet noodzakelijk een kopie. Zeker niet in de context van de juridische sfeer. (Dat kan meer of juist minder zijn.)

Het opslaan van een paspoort is dan makkelijk, want voldoet aan de wet, en proberen de privacy verder te behouden gaat veel 'problemen' geven. De intentie van de wet is echter kunnen bewijzen dat bij aangaan van het dienstverband je gecontroleerd hebt wat iemands identiteit is. Bij verlopen hoef je (behalve bij bepaalde buitenlanders ivm werkvergunning - maar dat is een andere wet) bijvoorbeeld niet opnieuw te vragen om een afschrift/kopie. Het gaat dus duidelijk niet om afschrift/kopie, maar het bewijzen dat je indetiteit gecontroleerd hebt.

Nu zal het heel lastig worden ivm een Nederlander die enkel een paspoort heeft of zo om iets anders dan een kopie af te staan, maar dat vloeit voort uit de praktijk, en niet de wet zelf. Voor buitenlanders is meer flexibiliteit.

Wat dat betreft wel een beetje wrang dat onze overheid zelf haar eigen belang (= werkgever kunnen controleren) boven dat van de burger zet.

EDIT: verduidelijking.

[Reactie gewijzigd door Armin op 24 juli 2024 01:26]

Kaastosti @menne • 1 november 2016 18:04

Sommige instanties hebben valide redenen om zo'n gegeven te willen hebben. Mijn werkgever heeft het ook, is (onder andere) voor belasting doeleinden.

The Zep Man

Netwerk en systeembeheer

@Kaastosti • 1 november 2016 18:44

Sommige instanties hebben valide redenen om zo'n gegeven te willen hebben. Mijn werkgever heeft het ook, is (onder andere) voor belasting doeleinden.

Alleen bij wettelijke verplichting. Anders mag het niet. Voorbeelden van wettelijke verplichting zijn je werkgever en je bank.

wardtmar @Kaastosti • 1 november 2016 18:43

En dat mag dus eigenlijk niet. Ze mogen wel controle uitvoeren, maar niet een kopie opslaan. Maar ze doen het toch, want makkelijk

loki504 @wardtmar • 1 november 2016 18:58

https://www.rijksoverheid...an-de-identificatieplicht

Ooh. Ik zie toch echt dat ze verplicht een kopie moeten hebbeb.

wardtmar @loki504 • 5 november 2016 18:18

Dat klopt, maar alleen werkgever en bank, omdat die wettelijk de plicht hebben

Verwijderd @menne • 1 november 2016 18:52

Je werkgever is dan ook zo'n beetje de enige partij, buiten de belastingdienst, met een legitiem doel voor je BSN nummer... de rest van de instanties die er een kopie van op nahouden ergens zijn effectief in overtreding voor zover ik weet.

SuperDre @Verwijderd • 1 november 2016 21:39

Ja, en dat is gewoon te achterlijk voor woorden... Men doet nu net alsof je BSN zo heilig is, terwijl dat echt totaal niet is.

Verwijderd @Kaastosti • 1 november 2016 18:08

En daarom moet je ook nooit simpelweg een kopie maken, maar altijd bepaalde gegevens uitgrijzen. En er iets van 'KOPIE <instantie> <datum>' er overheen. Wat men nodig heeft is leesbaar, maar als zo'n scan ooit buitgemaakt zou worden, kan men er niets mee.

Via covers die door de ANWB geleverd, worden zaken die niet afgegeven mogen worden afgedekt.
Niet omdat ik er werk, belang bij heb of zo, maar voor je veiligheid.
ID cover paspoort
ID cover ID-Kaart
ID Cover Rijbewijs

Sergelwd @Kaastosti • 1 november 2016 19:23

Voor zover ik weet is een kopie ook helemaal geen geldig bewijs en mag een school hier helemaal niet om vragen notabene.

WillySis @Kaastosti • 1 november 2016 21:55

Een kopie moet gewoon op een goede manier gebruikt worden. Dat is helaas nog veel te weinig het geval. Loop bij een willekeurig bedrijf eens de (personeels)administratie binnen en de kans is groot dat je daar de dossiers van de medewerkers, inclusief kopie van het paspoort, gewoon uit een dossierkast kan plukken. In een enkele keer is de kast afgesloten, maar overdag ook niet.
Bij mij op het werk is het een aparte kamer, die 's morgens open gaat en tegen sluitingstijd weer dicht. Niemand die er (permanent) toezicht op houdt. Ik heb mijn kopie maar vervangen door een briefje waar de kopie wel te vinden is. Als ik er niet ben hebben ze wel een klein probleem, maar meestal mag men alleen de gegevens van de aanwezige werknemers controleren.

Ik ben tegen overdreven wetgeving, maar als het om het bewaren van identiteitsgegevens gaat is men in de praktijk veel te laks, terwijl de ellende bij misbruik heel ingrijpend kan zijn. De wet op de privacy regelt alleen dat de gegevens niet doorgegeven mogen worden, maar als ze zo slecht zijn beschermd dat Jan en Alleman gewoon de gegevens kan ophalen geeft men zelf niets door. De Open Universiteit of het bedrijf dat de identiteitskopien bewaarde was niet eens in overtreding!

GeoBeo @Kaastosti • 1 november 2016 23:19

En daarom moet je ook nooit simpelweg een kopie maken, maar altijd bepaalde gegevens uitgrijzen. En er iets van 'KOPIE <instantie> <datum>' er overheen. Wat men nodig heeft is leesbaar, maar als zo'n scan ooit buitgemaakt zou worden, kan men er niets mee.

En vervolgens worden die kopies nergens geaccepteerd. Ik heb het bij banken bijvoorbeeld nog nooit voor elkaar gekregen zo'n kopie erdoor te krijgen. Alles moest leesbaar zijn zoals het origineel.

Verder moet je bij het "onleesbaar" maken er wel even op letten dat dit niet bijvoorbeeld in een verwijderbare layer gebeurt in een PDF. Dan heb je er natuurlijk nog steeds niets aan (de pixels moeten echt weg zijn).

[Reactie gewijzigd door GeoBeo op 24 juli 2024 01:26]

djwice

@Kaastosti • 2 november 2016 14:26

Opvallend, je die digitaal krijgt un je de tekst die er overheen staat ongedaan maken.

Zo veilig is de kopie dus niet.

Ook accepteerd niet iedereen deze kopie, werkgevers bijvoorbeeld.

Kaastosti @djwice • 2 november 2016 14:40

Werkgevers hebben ook terecht meer informatie nodig, als één van de weinige partijen.

Als je een kopie nodig hebt, wil je natuurlijk dat die niet misbruikt kan worden. De belangrijkste gegevens daarvoor grijs je dus uit.. Daarnaast een tekst er overheen... en ja natuurlijk kun je die 'ongedaan maken', maar da's wel even meer werk dan een CTRL+Z. Waarom zou je een PDF met layers naar een partij sturen GeoBeo? Dan vraag je er inderdaad om.

Als je bereid bent die moeite er in te steken voor een kopie van een document waar de belangrijkste gegevens al missen, dan kun je net zo goed een complete kopie verzinnen en opbouwen.

Mocht een kopie niet geaccepteerd worden en je wordt gevraagd om een paspoortnummer, kun je altijd iets willekeurigs verzinnen. Voor zover ik weet kun je die nummers niet zomaar controleren op geldigheid, tenzij je hiervoor bevoegd bent. Krijg je terug dat het nummer niet geldig is, kun je die alsnog afgeven.

MoonSafari 1 november 2016 17:35

Het artikel zegt niet wat precies de onveilige situatie is. Als de link ernaar toe uniek, lang en onvoorspelbaar is, waar zit dan de kwetsbaarheid dat deze gegevens publiekelijk beschikbaar worden?

ludacrash @MoonSafari • 1 november 2016 17:41

Dat ze zonder enige vorm van authenticatie bereikbaar zijn voor iedereen met de link is volgens mij al onveilig genoeg.

Coffee @ludacrash • 1 november 2016 17:46

Wat is in essentie het verschil tussen authenticatie dmv een wachtwoord en een lange onvolspelbare url? Behalve wellicht dat de 2e niet bruteforce preventie heeft oid.

BartB. @Coffee • 1 november 2016 17:54

Als al jouw persoonsgegevens beschikbaar zijn via de link http://tweakers.net/Nfxzob3xMejgRiF2GkFtbpF9mMUpFPqjLLqhfj2N, dan is dat een unieke, lange en onvoorspelbare link. Maar als die link niet alleen bij jou belandt, maar zoals in dit geval ook gewoon voor anderen in te zien is, betekent dat dat jij niet de enige bent die jouw gegevens in kan zien.

Plaats ik jouw persoonsgegevens op http://tweakers.net/coffee, dan is dat al een veel kortere en voorspelbaardere link, maar als daar een loginscherm achter zit waar je alleen in komt met jouw Tweakers login, dan staan je gegevens daar al een héél stuk veiliger. En al helemaal als er sprake zou zijn van een vorm van tweetrapsauthenticatie.

Sfynx @BartB. • 1 november 2016 18:02

Er is qua authenticatie niet een verschil of die URL bij iemand anders belandt of mijn Tweakers login bij iemand anders belandt, in beide gevallen is er een code die je moet hebben om ergens bij te kunnen en waarmee je kan authenticeren.

Het enige verschil is dat authenticatie middels een code in een URL minder handig is ivm indexers en caches die maar wat graag resultaten van GET requests vasthouden, en locatiebalken en accesslogs waar het in komt te staan.

[Reactie gewijzigd door Sfynx op 24 juli 2024 01:26]

Verwijderd @Sfynx • 1 november 2016 18:13

Een URL is in principe publieke informatie, deze wordt nergens obscuur gemaakt op wat voor manier dan ook. Zeker als het zoals in het voorbeeld van BartB gewoon over http gaat. (Wireshark?)
Login gegevens zijn dit niet, die zijn in principe altijd privé, wachtwoorden zijn altijd persoonlijk en worden in een nette situatie versleuteld, gehasht, gesalt en weet ik wat meer en die weet je dus in principe nooit tenzij de gebruiker je die kenbaar maakt.

Ik snap dus niet hoe je met een stalen gezicht kan zeggen dat dat het zelfde is als een linkje die je bijvoorbeeld gewoon in je browser history zal zien staan puur en alleen omdat het beide gevallen om een "code" gaat.
Jij hebt nooit vrienden die "gewoon even" achter je pc duiken bijvoorbeeld?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:26]

Sfynx @Verwijderd • 1 november 2016 18:19

Een onvoorspelbare code in een URL of een gebruikersnaam/wachtwoord zijn beide een identificatie om te bepalen of jij ergens bij mag of niet, dat was mijn vergelijking omdat eerder werd gezegd dat een URL geen vorm van authenticatie is. Op het gebied van veiligheid is een URL uiteraard een stuk onveiliger omdat het makkelijker uitlekt in browser histories/logs/op je beeldscherm/etc., dat ontken ik niet

En gelukkig is een URL niet altijd publieke informatie, wat dacht je van een of andere eenmalig te gebruiken URL die je in je mail krijgt als je bijvoorbeeld een wachtwoordreset hebt aangevraagd op een site?

Verwijderd @Sfynx • 1 november 2016 18:27

Wachtwoord reset mails zijn ook op elke computer te openen en dus publiek (mits niet afgekaderd met een ip beperking ofzo), maar door o.a. de beperkte tijd-window, e.v.t cookies, en het éénmalige gebruik een veel minder groot probleem.
Daarbij gaat het bij sites die er dergelijke implementaties op nahouden meestal om vrij irrelevante zaken zoals een forum accountje van het één of het ander en niet je paspoort.
Als je iets zwaars als Digid wil resetten moet je (terecht) door een hele molen.

Een URL die je zonder pardon op elke PC kan openen is m.i. gewoon geen beveiliging. Niet voor dit soort dingen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:26]

Coffee @Verwijderd • 2 november 2016 00:30

Maar een wachtwoord dan je toch ook gewoon, zonder pardon, op elke computer invoeren. Of zie ik dat verkeerd?

Verwijderd @Coffee • 5 november 2016 00:00

Zeker, maar een wachtwoord trek je niet uit een random logfile.

Coffee @Verwijderd • 5 november 2016 07:45

Op deze reactie zat ik te wachten! Dank!

Armin

Netwerk en systeembeheer

@Sfynx • 1 november 2016 18:28

Exact!

Het probleem is dan ook dat ze uberhaupt op een server stonden. De scan dient enkel ter verificatie dat 'jij jij bent' en het 'kunnen opsturen van' wordt als bewijs gezien. Daarna zou men ze moeten verwijderen.

SED @Armin • 1 november 2016 18:39

Waarschijnlijk liggen de via post verzonden exmplaren nu gewoon in een simpe dossierkastje dat met een generieke sleutel te openen is. Dat beschouwd men dan wel als veilig.

BartB. @Sfynx • 1 november 2016 18:17

Wat je zegt klopt allemaal volledig, maar hoe was je van plan tweetrapsauthenticatie in de URL te integreren? Aangezien het hier om gevoelige persoonsgegevens gaat, lijkt me een meer dan enkelvoudige authenticatie namelijk geen overbodige luxe.

Losgezien nog van het feit dat mensen hoogstwaarschijnlijk zorgvuldiger om zullen gaan met logingegevens als met een unieke URL, hoewel beide inderdaad dezelfde mate van veiligheid bieden. (en een URL is makkelijker over de schouder heen af te kijken dan een ingevuld wachtwoord)

Zarc.oh @Sfynx • 1 november 2016 19:14

Authenticatie is een bevestiging van identiteit.
In dit geval is er geen identiteit opgegeven, maar is er maar 1 "idententiteit": namelijk geen en 1 "wachtwoord": namelijk de onraadbare url.
Zie ook https://nl.wikipedia.org/wiki/Authenticatie
Oftewel, een moeilijk te raden url is geen geen authenticatie.

[Reactie gewijzigd door Zarc.oh op 24 juli 2024 01:26]

djwice

@Sfynx • 2 november 2016 14:29

Over https is het path en de query niet beschikbaar tot de ontsleutelling van de verbinding.

ludacrash @Coffee • 1 november 2016 17:52

Dat je bij authenticatie weet wie er daad werkelijk het bestand heeft bekeken en/of gedownload. Daarbij kun je met authenticatie ervoor zorgen dat alleen de mensen die ook daadwerkelijk toegang mogen hebben dat hebben.

Verwijderd @Coffee • 1 november 2016 17:52

Bij een URL heb je absoluut geen verificatie. Bij een een login account heb je in ieder geval de relatieve zekerheid dat de persoon die inlogt de persoon is aan wie het account toebehoort, of die persoon login gegevens afgestaan heeft aan een bevoegd persoon.
Zo'n link kan iedereen openen die een keer op je scherm meekijkt.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:26]

mcDavid @Coffee • 1 november 2016 18:04

Dat ten eerste, en blijkbaar is ook de toegang niet gelogd. Een URL-scraper bouwen is niet zo moeilijk, daarmee is het slechts een kwestie van tijd tot je alle opgeslagen ID's te pakken hebt. Niemand kan blijkbaar vertellen of dit daadwerkelijk gebeurd is
Daarnaast wordt geclaimd dat de URL's onvoorspelbaar zijn, maar hier worden veel fouten mee gemaakt. Een op het eerste gezicht random string is soms bijv. een hash van bepaalde (voorspelbare) gegevens.

Als er een goed inlogsysteem gebruikt zou zijn, kon scrapen sowieso uitgesloten worden, en had eventueel onrechtmatige toegang gelogd kunnen worden, zodat slachtoffers op zijn minst zouden wéten of ze zich zorgen moeten maken. Dit had misschien ook op andere manieren gekund en ook een inlogsysteem kan natuurlijk slecht geïmplementeerd zijn. Maar de hier gebruikte implementatie was in ieder geval niet goed.

lepel @MoonSafari • 1 november 2016 19:44

Dit is een perfect voorbeeld van Security through Obscurity.

A system or component relying on obscurity may have theoretical or actual security vulnerabilities, but its owners or designers believe that if the flaws are not known, that will be sufficient to prevent a successful attack. Security experts have rejected this view as far back as 1851, and advise that obscurity should never be the only security mechanism.

Het is een schijnveiligheid, met een setje bots kun je iedere mogelijke tekencombinatie proberen en zo alle documenten achterhalen. Iets verstoppen en hopen dat niemand het vind is nooit een goed idee.

[Reactie gewijzigd door lepel op 24 juli 2024 01:26]

PolarBear @lepel • 1 november 2016 20:24

Dit kan je natuurlijk met een gebruikersnaam/wachtwoord ook doen. Voor bepaalde doeleinde kan een voldoende lang token in de Url wel degelijk goede beveiliging zijn, bijvoorbeeld met beperkte levensduur, eenmalig gebruik etc.

BartB. @MoonSafari • 1 november 2016 17:45

Omdat een unieke, lange, onvoorspelbare link de gegevens niet minder openbaar maakt. Een beter alternatief was nog een korte, voorspelbare link geweest met daarachter wél gewoon een fatsoenlijk authenticatiesysteem, zodat niet elke boerenpummel zich toegang kan verschaffen.

tmfh @MoonSafari • 1 november 2016 19:11

Er zijn regels vanuit de overheid hoe dergelijke gegeven beschermd dienen te worden, om als veilig beschouwd te kunnen worden. Daar hebben ze niet aan voldoen, dus onveilig, en moet het gerapporteerd worden. Het zal wel vaker voorkomen, en de boetes zijn niet gering.

HooksForFeet 1 november 2016 17:40

Technisch gezien had de OU de scans dus niet op een onvoldoende beveiligde server staan, maar had JotForm de scans op een onvoldoende beveiligde server staan en ook nog eens niet voldaan aan de opdracht om de scans te wissen.

De vraag of de OU hier blaam treft hangt dus eigenlijk af van de afspraken die de OU met JotForm had gemaakt omtrent beveiliging van de gegevens die via hun formulier binnenkwamen.

Verwijderd @HooksForFeet • 1 november 2016 17:59

Dat lijkt mij iets tussen OU en JotForm en voor de "buitenkant" geen factor.
Bedrijven zijn altijd afhankelijk van de grillen van een derde partij, of die derde partij nou een medewerker is of een ingehuurd bedrijf vind ik maar een detail.

Als je er toch op wil doorborduren hebben ze blijkbaar zelf niet zo veel onderzoek gedaan naar de door JotForm geboden oplossing. Je hebt nou niet bepaald zwaar diepgaande programmatische security kennis nodig om te zien dat beveiliging op basis van een "moeilijke url" gewoon nooit adequaat gaat zijn. Dat zou ik OU zonder meer aanrekenen.

Dat het alternatief nu is om het maar over de post te jagen vind ik trouwens ook opvallend, want beveiligingstechnisch is dat niet veel beter.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:26]

CAPSLOCK2000

Netwerk en systeembeheer

@Verwijderd • 1 november 2016 19:58

Als je er toch op wil doorborduren hebben ze blijkbaar zelf niet zo veel onderzoek gedaan naar de door JotForm geboden oplossing. Je hebt nou niet bepaald zwaar diepgaande programmatische security kennis nodig om te zien dat beveiliging op basis van een "moeilijke url" gewoon nooit adequaat gaat zijn. Dat zou ik OU zonder meer aanrekenen.

In mijn werk heb ik daar regelmatig mee te maken. Wij proberen al onze software op veiligheid te controleren maar dat is enorm lastig kan op erg veel punten fout gaan.

Ten eerste is een audit ontzettend duur en kost veel geld. Ieder stuk software zelf (laten) auditten is haast onbetaalbaar. Gelukkig laten steeds meer fabrikanten zelf audits doen, maar het beoordelen daarvan is ook geen kattenpis.
Ten tweede is software heel veranderlijk, zeker bij online diensten, die kunnen van het ene op het andere moment helemaal veranderen. Probeer dat maar bij te houden, zeker als je (als klant) niet achter de schermen kan kijken.
Ten derde heb je in een grote organisatie maar beperkte controle over al je werknemers. Iedereen met een credit card kan in een handomdraai een online service zoals jotform aanschaffen. Dat kun je wel verbieden maar controleren is erg lastig. Voor een website of een app van drie euro belt niemand de afdeling inkoop, dat wordt gewoon even bij elkaar geklikt.

Al met al is het erg moeilijk om het goed te doen. Dat is geen excuus. Maar wat zou ik toch graag willen dat het makkelijker was.

consolefreak @HooksForFeet • 1 november 2016 18:04

Nee, een dataeigenaar is altijd verantwoordelijk voor wat de dataverwerker doet..

assk 1 november 2016 23:57

Je moest een scan van je paspoort uploaden wanneer je je diploma wilde aanvragen bij de examencommissie. Dat ging via een vaag formuliertje op hun website.

kodak 1 november 2016 23:59

Inmiddels heeft de Open Universiteit getroffen personen een nieuw bericht gestuurd met de melding dat de documenten vrijdagavond 21 oktober zijn verwijderd en nu niet meer bereikbaar zijn.

Dat is ook een manier om te zeggen dat er nog backups zijn maar dat niemand daar aan hoort te zitten.

Snake 1 november 2016 17:39

Met de post, en dan, dan ligt het kopietje ergens bij het oud papier de week er op...

BartB. @Snake • 1 november 2016 17:49

'Analoge' (papieren) vertrouwelijke documenten gaan op universiteiten in een speciale container, waarvan de inhoud dus ook op een vertrouwelijke manier totaal wordt vernietigd. Die belanden niet zomaar bij het normale afval van een universiteit... Niet als de uni z'n zaakjes op orde heeft althans.

supersnathan94 @BartB. • 1 november 2016 18:44

ik mag aannemen dat dergelijke printjes eerst door de shredder heen gaan. Niet eentje die er lange slierten van maakt maar zo een die om de zoveel cm ook even een knip erin zet. Een zogenaamde "Cross-Cut shredder" of nog beter een "Micro-Cut shredder". Standaard Strip-cut is voor identificatie papieren niet echt gewenst.

rtv 1 november 2016 20:43

Ik ben wel benieuwd hoe die oud student achter die url is gekomen. Deze is alleen zichtbaar aan de "achterkant" van JotForm, als in een login door de univ. medewerker. En daarbij is het onmogelijk om andere upload bestanden te bekijken.

R4gnax @rtv • 1 november 2016 22:05

Ik ben wel benieuwd hoe die oud student achter die url is gekomen. Deze is alleen zichtbaar aan de "achterkant" van JotForm, als in een login door de univ. medewerker. En daarbij is het onmogelijk om andere upload bestanden te bekijken.

Kan al stom toeval geweest zijn met een typo.

Of misschien waren de random URLs helemaal niet zo random als JotForm claimde en was er een patroon in terug te vinden.

Als je even google er bij pakt dan vormt zich al snel het beeld dat het niet al te jofel gesteld is met security bij die club, trouwens.

rtv @R4gnax • 1 november 2016 23:51

[...]

Kan al stom toeval geweest zijn met een typo.

Of misschien waren de random URLs helemaal niet zo random als JotForm claimde en was er een patroon in terug te vinden.

Nope, upload URL is geheel verschillend en niet zichbaar in het JotForm zelf.

totaalgeenhard 1 november 2016 17:37

Wat is bron van dit artikel?

Want als Autoriteit persoonsgegevens dit soort nieuwsberichten gaat uitgeven dan werkt dat om meerdere reden averechts.

Als eerste partijen willen niet geassocieerd worden met nalatigheid.
Als ook dat het kwaadwillende op ideeën brengt waar ze bepaalde specifieke content kunnen vinden.

Auteur

Xtuv @totaalgeenhard • 1 november 2016 17:42

De bron zijn de e-mails die naar mensen zijn gestuurd die hun scans op de betreffende servers hadden staan. Diverse tweakers hebben die e-mails gesubmit. Ook vorige week al, maar toen hebben we er niet over gepubliceerd omdat de bestanden nog niet verwijderd waren. Inmiddels zijn de bestanden weg en heeft het voor kwaadwillenden dus weinig nut meer om daar te gaan zoeken.

totaalgeenhard @Xtuv • 1 november 2016 17:51

Bedankt voor je reactie.

Laatste tijd viel het mij op dat zeer specifieke gevallen geopenbaard werden (o.a. hier) zonder dat er een bron te vinden was.

Wel netjes dat jullie even afgewacht hebben, maar wel opvallen dat ze eerst mailen en dan pas put gaan dempen...

Daarmee hebben ze actief bijgedragen aan mogelijke verdere verspreiding....

[Reactie gewijzigd door totaalgeenhard op 24 juli 2024 01:26]

supersnathan94 @totaalgeenhard • 1 november 2016 18:39

Tsja. Het was niet helemaal slim om alvast te mailen dat ze de boel gingen verwijderen (voordat het uberhaupt gelukt was dus). Zeker niet als dan blijkt dat het verwijderen mislukt en het er nog een week op staat.