Kaartautomaten van bussen in Almere waren benaderbaar via TeamViewer

Een inwoner van Almere kreeg op afstand toegang tot de kaartautomaten van zeven bussen van Keolis. Dat lukte doordat hij een TeamViewer ID op een scherm zag en het wachtwoord '1234' raadde.

Melvin Morssink zegt tegen Omroep Flevoland dat hij door in te loggen op de kaartautomaten toegang kreeg tot betaalgegevens van passagiers. Volgens vervoerder Keolis zat daar geen persoonlijke informatie bij en gaat het niet om een datalek. Via TeamViewer kon Morssink de automaten ook uitschakelen.

Morssink zag tijdens een busrit het logo van TeamViewer op het scherm van een kaartautomaat, met daarbij het ID om in te loggen op de sessie. Vervolgens probeerde hij thuis toegang te krijgen tot de automaat en dat lukte met het wachtwoord 1234. Hij kreeg toegang tot de automaten in meer bussen door de ID's te raden.

Tegen RTL Nieuws vertelt Morssink dat hij het beveiligingsprobleem meldde bij Keolis. De vervoerder reageerde binnen twee dagen en bood hem een dagkaart ter waarde van zes euro aan. Hij ging daar niet mee akkoord en kreeg uiteindelijk een beloning van zevenhonderd euro. Keolis stelt dat de leverancier van de automaten actie heeft ondernomen.

Reacties (215)

Netrunner 15 augustus 2018 11:14

Ben bang dat dit nog een staartje gaat krijgen....

Melvin Morssink zegt tegen Omroep Flevoland dat hij door in te loggen op de kaartautomaten toegang kreeg tot betaalgegevens van passagiers. Volgens vervoerder Keolis zat daar geen persoonlijke informatie bij en gaat het niet om een datalek.

wtf? daar staat toch betaalgegevens van passagiers, als daar geen persoonsgegevens in staan, welke informatie vallen dan tegenwoordig onder betaalgegevens??? een IBAN is tegenwoordig al heel eenvoudig reversed engineerd naar een natuurlijk persoon.

KenVerburg @Netrunner • 15 augustus 2018 11:27

Volgens mij staan er geen echte persoonsgegevens op een pinbon, wel naam bank, het kaartnummer gemaskeerd (wat niet op de pas zelf voor komt, alleen eerste nummer is laatste nummer van IBAN) en een bedrag. En de merchant informatie, tijdstippen, etc.

[Reactie gewijzigd door KenVerburg op 23 juli 2024 14:01]

tweaknico @KenVerburg • 15 augustus 2018 13:33

Pin bon is alleen maar een afdruk..., in een systeem zullen de volledige gegevens vastgelegd zijn...
Voor profilering en volgen is ook niet de volledige info benodigd.

KenVerburg @tweaknico • 15 augustus 2018 17:18

Wat er de pinbon staat + gelukt/mislukt is het enige wat je krijgt van de financiële verwerker, dus meer dan de pinbon kun je niet vastleggen.

aval0ne @tweaknico • 16 augustus 2018 14:38

Veel aannames, weinig bewijzen.

xoniq @KenVerburg • 15 augustus 2018 12:10

Toch kan je door de tijdstippen, stukje IBAN etc wel een profiel opbouwen wie het is.

HADES2001 @xoniq • 15 augustus 2018 15:34

jij kan een profiel bouwen van iemand aan de hand van 4 cijfers bankrekening en 1 pinbonnetje met tijd?

xoniq @HADES2001 • 15 augustus 2018 16:29

Als jij een patroon ziet in de tijden i.c.m. de 4 cijfers van het bankrekening bij die specifieke bus, dan weet je dat het om een specifiek persoon gaat die volgens een patroon met die bus gaat. Als je die bus vervolgens in de gaten houdt dan kan je aan de hand van de tijd achterhalen wie die persoon is, die om die tijd heeft ingecheckt, en weet je de bijbehorende persoon.

aval0ne @xoniq • 16 augustus 2018 14:40

En wat weet je dan precies? Wanneer iemand de bus neemt. Boeiend zeg. Huur een detective als je echt iets te weten wil komen van iemand.

MM99 @Netrunner • 15 augustus 2018 11:56

De pintransactie lopen via een financieële acquirer, daar hoef je dus niks van op te slaan op de automaat. De software stuurt een bericht naar acquirer deze bedrag moet afgerekend worden. Dat regelt de acquirer dat dit bedrag op pintermal komt en dat de transactie goed verloopt. Als dit goed gaat, stuurt acquirer enkel terug of het wel of niet goed verlopen is.
Dus nee, er hoeven geen gegevens opgeslagen te zijn op de automaat.

Michelli

@Netrunner • 15 augustus 2018 11:27

Als je kijkt naar de voorbeelden van persoonsgegevens die de Europese Commissie geeft, dan valt een IBAN hier inderdaad ook vrijwel zeker onder.

aval0ne @Michelli • 16 augustus 2018 14:41

Dus het IBAN nummer staat er niet in. Dat is ook helemaal niet nodig.

Wouterkaas @Netrunner • 15 augustus 2018 11:28

Strikt genomen zullen het waarschijnlijk inderdaad gewoon persoonsgegevens zijn, maar ik denk dat er waarschijnlijk een OV-chipkaart nummer, bedrag en tijdstip zichtbaar zijn geweest en dat Keolis daar (al dan niet onterecht) van zegt dat het geen persoonlijke informatie is. Gezien de aanvankelijke beloning hebben ze dit flink onderschat.

[Reactie gewijzigd door Wouterkaas op 23 juli 2024 14:01]

itsalex

15 augustus 2018 11:43

Ik vraag mij af of ze daar in een sociale werkplaats werken met een beetje houtlijm dit en daar en er is wat in elkaar geknutseld, zo lijkt het wel. Dit is toch schandalig hoe of wat. Sorry maar vroeger bij de strippenkaart kon dit niet. Dat ding gaf alleen een stempel en voor de rest kon je er niets mee. Dat werkte, als nu 4G uitvalt wat dan? Als je een GSM blocker bij die kaartautomaten gaat houden, dan hebben ze geen verbinding en hoe moeten ze dan alles checken?
Dat was hetzelfde als onze afvalbakken waar 3 weken geen verbinding meegemaakt kon worden omdat 4G uitviel.

Ik vind € 700 nogal karig als je dat zo krijgt. Eigenlijk is het gewoon schandalig. Als die nou niet had gemeld en de info had doorverkocht en het was niet eens opgemerkt gebleven, dan had de schade veel groter kunnen worden.

[Reactie gewijzigd door itsalex op 23 juli 2024 14:01]

mschol @itsalex • 15 augustus 2018 12:10

een bus komt sowieso 1x per etmaal in de remise te staan, daar zullen alle gegevens gesynct worden via het lokale wifi netwerk met de gegevens van translink

MM99 @mschol • 16 augustus 2018 14:10

Hoeft net. Tegenwoordig gebeurd dit vaak ook "real-time".

revertive @MM99 • 16 augustus 2018 23:20

Tot dat de 4G verbinding weg valt, en dat was nou net het punt dat itsalex aan kaarte.

Anoniem: 998261 @itsalex • 15 augustus 2018 11:54

Vroeger bij een strippenkaart deed je een stukje mat plakband op de kaart (wel even heel precies werken) en kon je gratis reizen. Zodra je de bus uitstapte veegde je de stempel van de tape.

Qalo @Anoniem: 998261 • 15 augustus 2018 14:08

Ha ha.... dat heb ik ook gedaan in mijn puberjaren. Nu ben ik redelijk op leeftijd en betaal alles netjes, maar inderdaad, die methode werkte als een speer. Enige voorwaarde om het vaker te gebruiken was dat je je strippenkaart heel netjes moest opbergen en vervoeren. Want een beetje kreukels of vuil bij de randen van de tape kon je al verraden.

Die goeie oude tijd. Ha ha....

Nijl @Anoniem: 998261 • 15 augustus 2018 12:06

haarlak bedoel je

itsalex

@Nijl • 15 augustus 2018 12:19

Nee plakband kon ook. Dat viel alleen soms teveel op.

blissard @itsalex • 15 augustus 2018 12:54

De CiCo heeft in een bus geen internetverbinding nodig. Deze wordt 1 maal per dag in de remise gesynchroniseerd.

S-1-5-7 15 augustus 2018 11:25

Hoe kon hij de ID's raden? Deze worden toch willekeurig gegenereerd?

Gekkoo @S-1-5-7 • 15 augustus 2018 12:10

ID's blijven over het algemeen altijd hetzelfde. Heb al eens meegemaakt dat een desktop na een herinstallatie gewoon precies hetzelfde ID had als voor de herinstallatie.
Toch blijf ik het raden van ID's voor deze specifieke apparaten heel apart vinden. Tm ID's bestaan uit 9 of tegenwoordig zelf 10 cijfers. Hoe groot is de kans dat als je al een ID intypt dat dat heel toevallig dan ook nog eens de machine is die je wilt benaderen? Denk dat de kans groter is dat je een ID intypt van een totaal ander systeem!!

PvdVen777 @Gekkoo • 15 augustus 2018 13:13

Raden van Id's snap ik ook niet, maar misschien wordt het verward met de naam. Die naam kan je zelf aanmaken en dan zou dat zoiets als 'bus5678' geweest kunnen zijn. Kan me alleen niet herinneren of je ook op die naam kan verbinden (ik gebruikte deze vanuit een adresboek)

Gekkoo @PvdVen777 • 15 augustus 2018 13:52

Naam is alleen visueel voor zover ik weet. Kun je volgens mij niet als vervanger voor een ID gebruiken. Vooral handig als je de contacten lijst gebruikt en een flinke lijst hebt.

S-1-5-7 @Gekkoo • 15 augustus 2018 16:57

Klopt, dat weet ik. Maar hoe raad je het ID van apparaat 2 als je het ID van apparaat 1 hebt

GrasshopperNL @S-1-5-7 • 15 augustus 2018 20:19

Niet

revertive @S-1-5-7 • 16 augustus 2018 23:23

Waarschijnlijk door in te loggen en te zoeken naar andere ID's op apparaat 1, als ze als wachtwoord 1234 gebruiken zullen ook wel ID's van andere apparaten hebben rondslingeren.

Teamviewer naar apparaat 1, en dan rondsnuffelen in het adresboek van apparaat 1 waarschijnlijk daar zullen mogelijke de andere apparaten ook in staan.

SadisticPanda @S-1-5-7 • 15 augustus 2018 11:32

Die teamviewers draaien als service en en die betaalautomaten worden ook zelden of nooit uitgeschakeld. Mijn werk pc had bijna 2jaar lang zelfde ID. (nooit lang uitgeschakeld, enkel reboots). Gratis versie.

Denk wel dat je met een betalende licentie kan kiezen voor vaste ID's, anders wordt het moeilijk om pc's over te nemen waarvan je eerst moet naar de betaalterminal gaan fietsen om te kijken welke ID erop staat

Heedless @SadisticPanda • 15 augustus 2018 11:40

@S-1-5-7 bedoelt waarschijnlijk dat op het moment dat het ID aangemaakt wordt dit een willekeurig nummer is, als in niet het ID van je vorige apparaat + 1. Dat de IDs niet veranderen na genereren verklaart niet hoe hij ze kon raden?

SadisticPanda @Heedless • 15 augustus 2018 11:54

Mja raden, volgens mij heeft die gewoon 7 bussen genomen en daarvan de id's genoteerd. Anders had zijn N wel groter geweest.

S-1-5-7 @Heedless • 15 augustus 2018 16:56

Dit bedoel ik inderdaad. Gebruik TeamViewer regelmatig, maar heb nooit een verband gezien in de ID van de ene en een ID van een andere computer in het zelfde netwerk o.i.d.

Yggdrasil

@SadisticPanda • 15 augustus 2018 11:54

Je kunt Teamviewer devices (ook bij de gratis variant) gewoon aan een centrale account koppelen, desgewenst met 2FA, waardoor en geen ID's en wachtwoorden als '1234' meer hoeft te gebruiken.

g1n0 @S-1-5-7 • 15 augustus 2018 12:09

Niet helemaal, ik heb een keer een geval gehad waarbij het teamviewer-id hetzelfde was na een complete os reinstall. Vond ik toch knap. En ja: de hele schijf werd eerst geformatteerd.

WhiteDog @g1n0 • 15 augustus 2018 13:17

Je bent iets te snel onder de indruk

Alleen al je IP-adres kan voldoende zijn om je te "herkennen" en je dezelfde ID terug te geven.

SpoekGTi @S-1-5-7 • 15 augustus 2018 11:48

Nee wachtwoorden worden indien niet handmatig op 1234 gezet gegenereerd op het moment de sessie verbroken wordt. Over het algemeen hebben de meeste TV clients vaste ID’s omdat ze op basis van wat hardware wat in de pc of laptop zit worden gegeneerd. Indien er een grote hardware wijziging plaatsvind zal er een nieuw ID worden gemaakt.

715289 15 augustus 2018 11:12

Een dagkaart van zes euro.

Het is dat het zo triest is, anders zou je er om lachen.

Blijkbaar unattended access via Teamviewer, vind ik al niet zo slim, maar dan ook nog '1234'.
Hier heeft de AP iets te corrigeren.

Accretion @715289 • 15 augustus 2018 11:22

Tja, ze kunnen het proberen ofniet dan?
Ze hadden hem ook helemaal niets kunnen geven.

Of zelfs kunnen aanklagen voor "computervredebreuk".

[Reactie gewijzigd door Accretion op 23 juli 2024 14:01]

i-chat @Accretion • 15 augustus 2018 12:09

Die zaak ga je NOOIT winnen.

voor computervrede breuk is wederrechtelijkheid nodig, en die komt direct te vervallen zodra er maatschappelijk belang in het spel is. (hackbaarheid van een systeem dat persoonsgegevens verwerkt), is genoeg reden om 'onderzoek' te mogen doen en daar vervolgens stappen tegen te ondernemen.

Als je het hebt over aanklagen mag deze busmaatschappij blij zijn dat ze geen torenhoge boete krijgen van de AP. die kan zomaar oplopen tot 100.000 euro voor een first-offence.

MM99 @i-chat • 15 augustus 2018 12:27

En wat als er geen persoonsgegevens op staan? Dan vervalt de "maatschappelijke belang".

Bliksem B

@MM99 • 16 augustus 2018 00:08

Meestal hebben bedrijven een beloningssysteem wanneer hackers kwetsbaarheden vinden. Er zou dus niks aan de hand zijn, zolang hij maar geen data steelt.

lethalnl @715289 • 15 augustus 2018 11:28

hij vind een datalek met betaalgegevens...dan is het eerste wat je doet als het over een beloning gaat toch een lange vrijkaart.

een jaar ofzo, kost keolis toch geen drol onderaan de streep.

maar waarom sowieso access met een passcode, zet de passwords uit en gebruik een account met 2FA ingeschakeld.
dan kan het je niet schelen dat een passagier dat teamviewer venster ziet, staan toch geen gegevens in.

i-chat @lethalnl • 15 augustus 2018 12:10

2fa of clients-cert. idd.

SunnieNL

@715289 • 15 augustus 2018 11:46

Aan de andere kant, ze hadden ook helemaal niets aan kunnen bieden behalve een bedankje en een bloemetje.

ik vind 700 euro dan weer aan de hoge kant en het 'hij ging er niet mee akkoord' is eigenlijk nog veel triester.
Uit het artikel blijkt namelijk dat hij na het kunnen inloggen verder is gegaan. Hoe weet hij anders dat hij ook toegang had tot betaalgegevens. Dat is natuurlijk "not done" om dat te doen. Alleen kunnen inloggen was al meer dan genoeg. Je weet dat je dan toegang hebt tot alles op die machine. Doorgaan met 'rondneuzen' is dan gewoon echt niet netjes meer.

715289 @SunnieNL • 15 augustus 2018 12:10

Persoonlijk had ik een oprecht bedankje meer gewaardeerd dan een dagkaart van 6 euro.

Die dagkaart komt mij een beetje over als een lollie en een aai over mijn bol als ik gevallen ben; kortom niet serieus genomen bij een serieus probleem.

Eerlijkheidshalve had ik niet gerekend op enige financiele vergoeding en zie ik het als mijn burgerplicht om mijn nieuwsgierigheid te bevredigen en ook zo'n Teamviewer sessietje te proberen, maar anders dan melden en een bedankje zou voor mij prima zijn.

Bender @715289 • 15 augustus 2018 11:20

Het gaat het doel ook wel voorbij als het niet unattended acces zou zijn..

slijkie 15 augustus 2018 11:12

De vervoerder reageerde binnen twee dagen en bood hem een dagkaart ter waarde van zes euro aan. Hij ging daar niet mee akkoord en kreeg uiteindelijk een beloning van zevenhonderd euro.

Dit maakt het artikel toch mooi af.

teunw @slijkie • 15 augustus 2018 11:31

Van 6 naar 700 euro, dan heeft hij toch iets goed gedaan

sys64738 Moderator F&V @teunw • 15 augustus 2018 11:37

Nope. De busmaatschappij heeft iets fout gedaan. Namelijk eerst zichzelf belachelijk gemaakt. Ze hadden direct (op zijn minst) 700 euro moeten aanbieden voor het vinden en netjes melden van zo'n grof security lek.

Maar voor hem is het leuk dat zijn oplettendheid beloond wordt.

[Reactie gewijzigd door sys64738 op 23 juli 2024 14:01]

Astennu @sys64738 • 15 augustus 2018 11:45

Helemaal mee eens.
Schandalig dat het zo slecht beveiligd is. Dat het ID zichtbaar was is al niet handig maar dan ook nog zo'n simpel wachtwoord. Die beheerders moeten zich schamen.

Anoniem: 998261 @Astennu • 15 augustus 2018 11:49

Met terugwerkende kracht moeten de beheerders alle cadeautjes die ze een paar weken terug met Sysadmindag hebben gekregen teruggeven ;-)

The Zep Man

Beveiliging en antivirus
Nederland
Economie en maatschappij
Beveiliging

@Anoniem: 998261 • 15 augustus 2018 12:06

Doe je dan hetzelfde met eventuele extraatjes van managers die die beheerders aansturen?

Dat was sarcastisch. Het is zoals Astennu zegt schandalig, maar meteen met vingers wijzen is niet gezond. Probeer eerst te beantwoorden waarom de situatie is zoals deze is. De "door wie" vraag is vaak niet zo belangrijk als dat men denkt, omdat het vaak niet een enkele partij is die heeft bijgedragen aan de situatie.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 14:01]

Proxx @The Zep Man • 15 augustus 2018 12:52

ik denk dat er ook enige vorm van sarcasme achter die 'cadeautjes' zit

Galan @Astennu • 15 augustus 2018 13:14

Heb jij het al eens anders meegemaakt bij een bedrijf dan?
Ik namelijk nog nooit, de meeste bedrijven gebruiken simpele wachtwoorden voor teamviewer .

Astennu @Galan • 15 augustus 2018 13:23

Jazeker. waar ik zelf jaren terug werkte gebruikte we complexe wachtwoorden (10 char, hoofd en kleine letters door elkaar en vreemde tekens). En wachtwoorden voor dit soort tools waren dan losse wachtwoorden die niet ergens anders voor gebruikt werden.

En je heb nu ook allemaal van die mooie wachtwoord management tools dus in mijn ogen is er dan geen goede rede meer om dit zo te doen.

P-e-t-j-e @Astennu • 15 augustus 2018 14:59

Dat is dan denk ik ook het meest kwalijke... weergeven van teamviewer id kan meerdere redenen hebben zoals crashen shell, open laten staan teamviewer na sessie, onverwachte resultaten na een herstart, etc....

Er zijn zoveel teamviewer gebruikers dat ik denk ik van de 100 gokken 90 werkende id's zal hebben gevonden. Die heb je dan ook niet voor het kiezen. Het wachtwoord daarentegen wel en dat zou meer bescherming moeten bieden, bij voorkeur icm mfa.

Snap overigens ook niet hoe meneer door gokken meer id's van automaten heeft gevonden, ga ervanuit dat deze niet per tientallen tegelijk worden voorzien van teamviewer en dus een opvolgend nummer hebben (aantal nieuwe tv id's per minuut weet ik niet maar ik heb volgens mij nog nooit opeenvolgende nummers gehad, ook niet bij bulk installatie)

Astennu @P-e-t-j-e • 15 augustus 2018 15:05

Inderdaad. Als het wachtwoord goed was geweest was het nog geen ramp.
Maar het is dan wel de moeite om te bekijken of ze het ID beter verborgen kunnen houden om het nog wat veiliger te maken.

r2504 @sys64738 • 15 augustus 2018 12:43

Waarom zou men geld moeten betalen... dit is geen bounty programma.

Het lijkt me gewoon normaal dat wanneer je een probleem ziet dat je dat meld... als je op straat een onveilige situatie ziet verwacht je toch ook niet dat de politie je 700 euro gaat betalen bij het melden ervan

Soethaud @r2504 • 15 augustus 2018 13:00

Klopt. Vooropgesteld dat ik het helemaal met je eens ben, zie je toch dat in de wereld van datalek-meldingen beloningen worden uitgeloofd. Morssink wilde niet achterblijven. Wat ie echter uit het oog verliest, is dat echte datalek-meldingen, waar (hoge) bedragen voor worden uitgeloofd, ook echt skills bij komen kijken die Pietje om de hoek niet heeft... en het gokken van 1234 als wachtwoord valt niet in die categorie.
Anywho: de wereld, waarin je een beloning eist om het juiste te doen...

uiltje @Soethaud • 15 augustus 2018 14:19

Nou ja, als het om die ene apparaat ging heb je gelijk. Hier heeft hij toch een redelijk grove IT fout blootgelegd door te kijken of hij ook van afstand meerdere bussen kon benaderen. Dat gaat wel wat verder dan even een enkele PIN raden. Stel dat je een weekje ermee bezig bent en reken dan loonkosten...

Vandaar dat ik die 700 euro wel op zijn plaats vind. Waarschijnlijk is de publiciteit wel meer waard dan de 700 euro overigens. Misschien dat iemand anders hem nu wel wil hebben; staat in ieder geval leuk op je CV.

freaky @uiltje • 15 augustus 2018 17:38

Stel dat je een weekje ermee bezig bent en reken dan loonkosten...

Lekker makkelijk. Ze hebben hem niet gevraagd om te testen, hij kan derhalve ook moeilijk loon vragen.

Of vind je het ook oke als je vanavond thuis komt dat de glazenwasser op je stoep staat om 20 euro te collecteren? Omdat ie je ramen gewassen heeft terwijl je er niet om gevraagd hebt?

Wellicht vond je die nog wel handig, voor een keertje. Maar als ie elke dag langs komt en de melkman ook maar gewoon flessen melk bij je weg begint te zetten en de loodgieter ongevraagd je WC begint door te spoelen en hello fresh je zomaar maaltijd boxen gaat sturen en de rekeningen zich op stapelen, ben je het zo beu gok ik.

uiltje @freaky • 17 augustus 2018 20:59

Het ging mij om het vergelijk. Er werd gezegd dat die 700 euro wel veel was. Dat vind ik niet; ik vind die 700 wel op zijn plaats. En natuurlijk "eist" hij niet daadwerkelijk die 700 euro. Dat kan niet want hij heeft wettelijk gezien geen poot om op te staan.

Het is niet zo dat je dit soort acties bij herhaling gaat doen. Je loopt ergens toevallig tegenaan, iets wat het bedrijf zelf is vergeten te beveiligen. Dat is een compleet andere situatie dan een glazenwasser. Ik zie zelf wel dat (idd niet of) mijn ramen vies zijn. En het is ook niet dat hij er "per ongeluk" tegen aan loopt.

Je vergelijkingen raken echt kant nog wal.

OPELOPA @r2504 • 17 augustus 2018 21:14

De politie is niet blij met een melding, dan moeten ze ergens aandacht aan besteden wat niet in hun eigen protocol voorkomt.

dehardstyler @sys64738 • 15 augustus 2018 12:12

Zelfs met die €700 is hij niet blij, hij had liever een baan gekregen omdat hij "1234" kon gokken.

https://youtu.be/UiMdlzNMZjk

TweakOverflow

@dehardstyler • 15 augustus 2018 12:31

Klopt niet helemaal wat je aangeeft, hij wil meer lekken gaan zoeken. In het filmpje wordt het volgende verteld vanaf 1:53:

Melvin Morssink: " 700 euro"
Verslaggever: "Tevreden mee?"
Melvin Morssink: "Nee. Eigenlijk doormiddel van wat ik heb gevonden vind ik het nog steeds niet 'straight' met wat ze hebben betaald."
Verslaggever: "Het liefst wil Morssink bij Keolis in dienst om meer lekken te zoeken"

Anoniem: 109978 @TweakOverflow • 15 augustus 2018 13:47

Als ik het tweakers artikel zo zie, heeft de man nou niet echt veel onderzoek hoeven doen. Ik vind 700 wel terecht.

De busmaatschappij heeft hier echt een flinke steek laten vallen. Ik kan de data niet zien, dus ik kan het niet beoordelen. Toch verwacht ik wel dat er data tussen zit die naar een persoon kan worden geleid.

Hoe dan ook, zou het mooi zijn als ze hier toch voor gestraft worden, dit soort lekken in deze tijd kan echt niet.

sjettepetJR. @Anoniem: 109978 • 15 augustus 2018 14:02

maar de hoeveelheid onderzoek zou toch eigenlijk niets moeten uitmaken? wat uitmaakt is hoe grote impact deze melding heeft op de veiligheid van het systeem.

ro8in @sjettepetJR. • 15 augustus 2018 14:08

Maar de impact was niet zo groot. Hij kon met teamviewer op een verder lege pc inloggen. Zoals gezegd de data etc stond daar verder niet opgeslagen. De noodzaak tot goede beveiliging van die pc was dus niet heel erg groot.

Het is een beetje als dat je in de mediamarkt op een demo pc weet in te loggen en dat gaat melden als een grootse hack. Ja schande het wachtwoord was mediamarkt123 kan echt niet! Heb verder weinig kunnen zien of doen, maar toch was het schande dat ze die pc zo slecht beveiligd hebben en ik ben master hacker!

[Reactie gewijzigd door ro8in op 23 juli 2024 14:01]

Anoniem: 109978 @sjettepetJR. • 15 augustus 2018 15:08

Wel als je een baan in dit vak verwacht..

dehardstyler @TweakOverflow • 15 augustus 2018 12:46

Ze zullen nog wel doorgepraat hebben na de video? Lijkt mij niet dat de verslaggever dat zo uit z'n duim zuigt toch?

Proxx @TweakOverflow • 15 augustus 2018 12:50

maar het enige wat deze meneer heeft bewezen is dat hij weet wat teamviewer is en hoe het werkt.
en door zijn uber skills het wachtwoord 1234 heeft gekraakt (geraden) ...

geen idee wat zijn kwaliteiten verder zijn, maar voor deze prestatie zou ik niet iemand in dienst nemen.

overigens zou ik wel een goed gesprek aangaan met de mensen die dit hebben opgezet (teamviewer met ww 1234)

HADES2001 @Proxx • 15 augustus 2018 15:32

als het dezelfde persoon is die ik terugvind met wat google werk dan is hij een veredelde it helpdesk medewerker met een mbo diploma, wat hij gevonden heeft is slordig maar echt niet iets waarvoor je hem meteen een baan aanbied om je IT beveiliging te verbeteren.

Proxx @Galan • 15 augustus 2018 13:31

vertel eens wat hij nog meer heeft bewezen? wat kun jij nog meer opmaken uit dit bericht en het filmpje wat het gesprek in voorkomt?

want kudo's voor iemand die een wachtwoord 1234 raad. dat spelletje deden we al op de basisschool
geloof mij we waren geen uber hackers destijds. hij weet wat teamviewer is.. nou petje af, mijn moeder weet dat ook, zullen we die ook maar een baan geven?

hij legt idd een probleem bloot wat er nooit had mogen zijn. maar het probleem is niet ingewikkeld genoeg om zijn specialisme (wachtwoorden raden en teamviewer skill) daarvoor in dienst te nemen.

ik heb toegelicht waarom ik tot mijn conclusie kom, nu jij

ro8in @Proxx • 15 augustus 2018 14:13

En daarnaast is hij ook niet binnengedrongen bij een heel belangrijk systeem ofzo. Exact wat je zegt hij zag bij toeval een teamviewer ID en raadde het wachtwoord van 1234. Het getuigd verder niet van ontzettende goede skills ofzo.

Anoniem: 418540 @ro8in • 15 augustus 2018 14:48

Klopt. Maar ik ken ook voorbeelden van dure pentesters die ook admin/admin vinden of injecties toepassen die ook overal te vinden zijn. Dat heb je ook geen zware vaardigheden voor nodig, maar de rekening liegt er niet om.

Teamviewer wordt gebruikt om op afstand dingen te kunnen doen die best ver kunnen gaan. Zou er alleen maar een web cliënt draaien? Als je die zou kunnen aanpassen, dan kun je dat leuke dingen meedoen...bv pincodes in laten typen.

Proxx @Anoniem: 418540 • 15 augustus 2018 14:55

maar die pentesters hebben wel de skills om ook andere dingen bloot te leggen.
sterker nog als een pentester alsnog met een admin/admin probleem op de proppen komt verdien je het om die factuur te betalen. die fase had je allang voorbij moeten zijn voordat je expertise inhuurt

Anoniem: 418540 @Proxx • 15 augustus 2018 15:15

Helemaal mee eens. Dat geldt ook voor wachtwoord 1234 en een inlog id dat voor iedereen open en bloot zichtbaar.

Verder is het een te snelle conclusie dat de betrokken persoon verder geen skills zou bezitten voor dit soort werk.

freaky @Anoniem: 418540 • 15 augustus 2018 17:35

Maar ik ken ook voorbeelden van dure pentesters die ook admin/admin vinden of injecties toepassen die ook overal te vinden zijn. Dat heb je ook geen zware vaardigheden voor nodig, maar de rekening liegt er niet om.

Er zit een groot verschil tussen iemand die bijv. OpenVAS kan draaien en iemand die begrijpt wat die definities in OpenVAS nu echt precies doen.

Eveneens zit er een groot verschil in (interpretatie van) de rapportage. Zie pentesters zat die blind roepen dat certificaten hier niet op orde zijn. Blijkbaar snappen die niet wat een eigen CA inhoud (ehm, nee, dat valideert niet tegen je standaard CA store, goh, raar zeg, als ik dat moet toelichten krijgen we jouw salaris, niet?). Die zijn niet capabel dus. Je mag van een pentester verwachten dat ie het rapportje wat er uit komt wel op de correcte waarde in kan schatten. En dat valt ook inderdaad weleens tegen dus. Maar ja, tekort aan IT'ers dus een-oog > blinde.

sHELL @Proxx • 15 augustus 2018 15:07

Wat hij heeft bewezen is dat het zaakje, een uitbesteding die ongetwijfeld tonnen gekost heeft, voor 700 euro zo lek als een mandje is. Denk ook dat die inwoner van Almere hier hooguit een halfuurtje uurtje voor hoefde te prutsen. Wat tenenkrommend is dat by Keolis 1750 mensen werken en blijkbaar niemand aan de bel getrokken heeft.

Dit doet met denken aan 5 jaar geleden aan de Mediamarkt waar de wachtwoorden van alle mobiele providers in een excel sheet op de desktop stonden, met gouden klassiekers zoals 12345678 en Welkom03 Las laatst dat dit begin 2018 nog steeds een probleem is.

tweaknico @sHELL • 15 augustus 2018 16:26

Ik vermoed dat het nu opgelost is door het ww. te veranderen naar 87654321. of als dat te lang is, 4321.

sHELL @tweaknico • 15 augustus 2018 16:42

Maar als elke klant nog steeds kan mee kijken op de monitor waar de wachtwoorden op staan.. heeft dat niet veel zin

sjettepetJR. @Proxx • 15 augustus 2018 14:04

helemaal mee eens. een beloning voor het blootleggen van het lek is erg gepast, maar deze man heeft geen enkele speciale vaardigheden getoond waarvoor je hem in dienst zou willen nemen.

Odie @dehardstyler • 15 augustus 2018 12:49

Zolang 'de media' dit soort figuren blijft bestempelen als 'hackers' (zucht)... En Melvin moet zichzelf even afvragen of het gokken van een TeamViewer ID hem meteen een gekwalificeerd ethical hacker maakt. Maar goed, het feit dat ie als Ethical Hacker bij een busmaatschappij wil werken zegt ook iets over z'n zelfbeeld.

Kom maar door met die -1 :-)

HMC @Odie • 15 augustus 2018 13:37

Zolang 'de media' dit soort figuren blijft bestempelen als 'hackers' (zucht)... En Melvin moet zichzelf even afvragen of het gokken van een TeamViewer ID hem meteen een gekwalificeerd ethical hacker maakt. Maar goed, het feit dat ie als Ethical Hacker bij een busmaatschappij wil werken zegt ook iets over z'n zelfbeeld.

Kom maar door met die -1 :-)

Bij deze.

Graag gedaan.

Wat is er trouwens mis met voor een busmaatschappij werken?

Odie @HMC • 15 augustus 2018 13:41

Niets, maar als ik mezelf nou als ethical hacker zou zien dan zou ik niet direct ambiëren om bij een busmaatschappij te gaan werken...

HMC @Odie • 15 augustus 2018 13:44

Wat een nonsens. Ethical Hacker kan dan wel een baan zijn, maar het zal voornamelijk hobby zijn. Dus het is iemand met kennis van programmeren en waarschijnlijk ook ICT. Die hebben busmaatschappijen niet nodig of zo?

Ik doelde echter meer op het "zelfbeeld"-argument.
Alsof het laag is, of zo?

Odie @HMC • 15 augustus 2018 15:30

Wat een nonsens. Ethical Hacker kan dan wel een baan zijn, maar het zal voornamelijk hobby zijn. Dus het is iemand met kennis van programmeren en waarschijnlijk ook ICT. Die hebben busmaatschappijen niet nodig of zo?

Ja zo kun je het ook in jouw richting praten ;-)

Qua zelfbeeld doelde ik op het feit dat hij zichzelf blijkbaar als ethical hacker ziet en hij kennelijk een baan als ethical hacker bij de busmaatschappij ambieert. Ethical hackers die zichzelf op waarde weten te schatten gaan volgens mij liever bij een KPN, Secura, KPMG of FoxIT aan de slag.

HMC @Odie • 15 augustus 2018 15:39

Mja, daar heb je een punt, maar toch is het niet vreemd om gewoon als "ICT-specialist" meteen bij zo'n bedrijf aan de slag te willen gaan. Ze kennen hem inmiddels en hij heeft een streepje voor, qua "goede bedoelingen".
Het is eigenlijk zelfs vreemd dat het vermeld is dat hij daar een baan ambieert.

Nevermind, je hebt gelijk.

Odie @HMC • 15 augustus 2018 15:43

ViperXL @dehardstyler • 15 augustus 2018 12:47

1:46
"Als mensen ons van een goede tip voorzien zijn wij altijd genereus"
Whahaha, 6eu !?

dehardstyler @ViperXL • 15 augustus 2018 12:58

Ze moeten de hopelijk aanstaande boete aan het AP nog betalen, nu moeten ze bezuinigen.

Anoniem: 1071831 @YopY • 15 augustus 2018 13:05

Je vergeet er nog wat achter te zetten.

BarôZZa @sys64738 • 15 augustus 2018 12:25

Die dagkaart is natuurlijk gewoon het standaard weggevertje van de belmiep bij de klantenservice. Die geven ze aan iedereen met een klacht en die lui kunnen zelf niet meteen 700 euro weggeven. Pas als er iemand bij wordt gehaald.

Overigens wel raar dat er een beloning is en het alsnog in de media komt. Je zou een soort gentlemans agreement verwachten als je 700 euro hebt gekregen voor een paar minuten spelen.

draadloos @slijkie • 15 augustus 2018 11:45

Wat zijn we in deze maatschappij toch allemaal geldwolven geworden zeg...

i-chat @draadloos • 15 augustus 2018 11:59

Dat zullen ook een hoop mensen hebben gezegd in almere toen men begin dit jaar de ritprijzen in bepaalde gevallen bijna verdubbelde.

Nu vind ik 700 euro voor zo'n 'simpel' lek ook wel echt veel te veel geld, maar 6 euro is natuurlijk wel echt schandelijk laag. een bedrag van 50 tot 100 euro zou prima op zijn plaats zijn geweest.

Het simpele feit dat men teamviewer niet onzichtbaar weet te draaien op zo'n embedded systeem zegt al een hoop, maar dat de code dan ook nog eens 1234 blijkt te zijn (en dan ook nog eens voor meerdere bussen het zelfde) is wel echt debiel te noemen.

Om die reden zal ik die 700 maar als 50 beloning en 650 boete beschouwen.

Mocro_Pimp® @i-chat • 15 augustus 2018 12:21

Veel en weinig is ook voor veel mensen relatief. Er zijn genoeg ICT'ers met unieke vaardigheden en verdiensten hebben van meer dan 2 of 3 ton per jaar. Dan valt 700 euro in het niets.

Als ik bijv hoofd beveiliging van ICT zou zijn, zou dit wel hebben afgerond naar € 1.000

Hoewel een voorbijganger iemand niets schuldig is als deze tegen je roept dat je raam nog openstaat, mag je van een groot bedrijf wel verwachten zulk goed gedrag te belonen. Hij had ook niets kunnen zeggen. Wie hing dan aan de schandpaal?

Edit: Oja en dat bedrag natuurlijk 10 voudig intrekken van de blunder's eindverantwoordelijke.

[Reactie gewijzigd door Mocro_Pimp® op 23 juli 2024 14:01]

Odie @i-chat • 15 augustus 2018 12:50

De busmaatschappij heeft het over iets van een taart en meneer toetert zelf '700 euro'. Iets in mij zegt dat meneer Melvin niet de waarheid spreekt en zn eigen daden meer geld waard vond en dat zo ook maar even hardop heeft geroepen.

Amadeus1966 @i-chat • 15 augustus 2018 12:10

Een simpel lek?
Tja dat maakt het eigenlijk nog dommer.

Dat is hetzelfde als een goed slot op je voordeur hebben en de sleutel aan de buitenkant in het slot laten.

[Remmes] @draadloos • 15 augustus 2018 11:52

Want? Ik zou geen duizenden euro's verwachten maar een kaartje van €6 voor het melden van een redelijk ernstig (en dom) lek is mij ook te knullig, op die manier willen velen niet eens de moeite doen om zoiets te melden (wat vaak zelfs al tegenvalt om te doen)

PvdVen777 @[Remmes] • 15 augustus 2018 13:00

Precies het punt wat mij betreft.

Heb eens een storing gemeld aan een parkeerautomaat. Gewoon het -betaal- nummer gebeld dat op de automaat. Werd door diverse verstrooide mensen tenminste 10 min. aan de lijn gehouden met vrij weinig resultaat. Idem bij een tankstation, waar ik overigens wel begrepen en vriendelijk bedankt werd. Maar ga ik nog ooit kosten maken om een bedrijf te helpen......... !?

Barryke @draadloos • 15 augustus 2018 12:05

Wat zijn we in deze maatschappij toch allemaal geldwolven geworden zeg...

Die beloning is er om mensen aan te moedigen ook het volgende probleem juist netjes melden. In plaats van dat iemand er misbruik van maakt, het herstel daarvan kost het bedrijf uiteindelijk meer dan de 700 euro beloning.

De beloning is dus eigenlijk helemaal niet zo gek, het bedrijf heeft hiermee juist een effectieve en goedkope oplossing.

DigitalExorcist @draadloos • 15 augustus 2018 12:47

Ja gek he, 6 euro zwijggeld terwijl een lek je tonnen had gekost. Goh....

AW_Bos

@slijkie • 15 augustus 2018 12:19

Die dagkaart van zes euro klinkt een beetje als een compensatie die een simpele webcare/klantenservice in bepaalde gevallen als compensatie cadeau mag geven. Zou het probleem niet eerst hier terecht zijn gekomen, waarna het geëscaleerd is naar de ICT-afdeling die er een stevigere beloning tegenaan gooide (in overleg met hogere mensen)?

Qalo @slijkie • 15 augustus 2018 14:05

Ik moest er keihard om lachen. Een kaartje van 6 euro. Je mag een gegeven paard nooit in de bek kijken, maar héé.... deze jongen heeft een gigantisch probleem ontdekt, en daar mag heus wel een passende beloning voor staan. 700 euro klinkt al een stuk beter. Voor Nederlandse begrippen dan...

totaalgeenhard @slijkie • 15 augustus 2018 16:04

Is gewoon afpersing.

Hij mag blij zijn dat ze geen aangiften hebben gedaan.

Dit soort onethische gedrag dien je niet te belonen.

Jerie

@slijkie • 15 augustus 2018 17:36

Niet echt. Hij had geen toestemming, en heeft de wet overtreden.

hawkeye73 @slijkie • 15 augustus 2018 11:37

ja dit zijn toch mooie berichten... geweldig... 6 euro.... eigenlijk was het nog mooier geweest als er stond 100.000 euro boete, ontslag/contact ontbinding system administrator en 700 euro voor de melder...dan gaan we er goed mee om.

Amadeus1966 @hawkeye73 • 15 augustus 2018 12:15

Als we iedereen die fouten maken op straat zouden zetten dan zat iedereen inmiddels thuis zijn ww of van de bijstand te snoepen.
Niet echt iets wat wenselijk is.
Of ben jij foutloos?

hawkeye73 @Amadeus1966 • 15 augustus 2018 13:49

ik vind dit geen fout, ik vind dit laksheid. Hoort niet thuis in een always connected omgeving.

Ik ben niet foutloos maar mensen niet aanpakken is ook niet de bedoeling. misschien beetje te grof neergezet maar helemaal niets er aan doen... of krijgt de stagiaire de schuld... en beloven we beterschap maar er komt geen structurele verbetering en aanpak.

WillySis @hawkeye73 • 15 augustus 2018 12:50

TeamViewer is natuurlijk hartstikke gemakkelijk om apparaten van afstand te kunnen bekijken, maar hoort na de testfase toch te verdwijnen. Als je er al voor kiest om TeamViewer te blijven gebruiken, zorg dan dat daar geen sporen van zichtbaar zijn.
Moeilijke wachtwoorden zijn prima, maar wie onthoudt die allemaal. Zeker als je met meerdere mensen toegang moet hebben is een gemakkelijk wachtwoord nog steeds redelijk gangbaar. Bij de overgang van test naar productie fase wordt helaas vaak het één en ander vergeten. Verwijderen van remote-software, of het overschakelen op een degelijk wachtwoord hoort bij de simpele dingen die wel eens worden vergeten.

Hier gelijk een grote boete en ontslag voor eisen lijkt mij overdreven. Een leuke beloning voor de melder is wel een goed idee. Daarmee voorkom je dat zo'n lek blijft bestaan, of dat dit aan hackers wordt doorgespeeld. 6 Euro is natuurlijk een lachertje, maar € 700 lijkt mij in dit geval al ruim betaald.

Anoniem: 418540 @WillySis • 15 augustus 2018 15:27

Zover ik weet het Teamviewer oplossingen voor multi admin.

Dat het wachtwoord. 1234 werd gebruikt, suggereert dat ze een standaard wachtwoord hadden voor alle machines.

Ik ben benieuwd of ze de gratis privé versie gebruikten of een officiële licentie hebben.

Wachtwoord policies moeten standaard zijn. Het niet hebben, onvoldoende en/of niet handhaven is verantwoordelijkheid directeur. Wil je dit soort zaken goed geregeld hebben, de directeur persoonlijk aansprakelijk stellen en vervolgen.

Dit laatste hoef je maar een paar keer te doen met de nodige media-aandacht (jammer een zuur voor de personen in kwestie) en dat gebeurt deze onzin de komende 10 jaar niet meer in Nederland.

WillySis @Anoniem: 418540 • 15 augustus 2018 21:23

Je hebt gelijk, maar mensen kiezen van nature de gemakkelijkste weg. Tijdsdruk en gedeelde verantwoordelijkheid zijn daarbij een versterkende factor. Je kan allerhande procedures en protocollen maken, maar dit soort dingen zijn nooit volledig uit te bannen. Mensen zijn nu eenmaal eigenwijze wezens die de regels wel eens naar eigen inzicht aanpassen. Een directeur persoonlijk aansprakelijk stellen lost niets op.
Bij (grote) datalekken is de directeur uit monde van zijn functie toch al verantwoordelijk, al is het niet persoonlijk.

Anoniem: 998261 @hawkeye73 • 15 augustus 2018 11:50

Ik denk dat je raar zou opkijken als ontslaan van mensen zo makkelijk zou gaan.

i-chat @Anoniem: 998261 • 15 augustus 2018 12:05

In dit geval zou ontslag wel een beetje ver gaan, maar ik ken casus waarbij mensen niet eens worden ontslagen terwijl er door hun falen mensen in levensbedreigende situaties hebben verkeert.
De 'straffen' voor verwijtbare nalatigheid binnen bedrijf of beroep zijn in Nederland echt hardnekkig laag.
tenzij je toevallig dakdekker bent en een dakpan op iemands hoofd laat vallen.
Toch zijn we in onze maatschappij steeds afhankelijker geworden van computers en technologie terwijl het 'recht' deze materie onvoldoende begrijpt en onvoldoende belang hecht aan verwijtbaar computer-falen. (waar onder andere ook updatebeheer onder zou moeten vallen).

Pathogen @i-chat • 15 augustus 2018 13:42

Ik vind ontslag dan ook totaal niet passend. Ook altijd die topfunctionarissen die moeten opstappen.
Véél te makkelijk! Die mensen moeten juist in functie blijven en de gevolgen van hun fouten dagelijks meemaken en herstellen!

t link @slijkie • 15 augustus 2018 11:29

hahahahaha zes euro wat een grap

computerjunky @t link • 15 augustus 2018 13:38

Waarom zou je überhaupt geld moeten ontvangen voor het melden van een probleem?
De hebzucht is weer enorm. Wat is er gebeurd met het melden van een probleem omdat het gewoon het correcte ding is om te doen?

Anoniem: 304028 @computerjunky • 15 augustus 2018 14:16

Omdat je deze mensen red van een groter probleem?
Namelijk dat de volgende de informatie gewoon verkoopt aan een groepje skimmers.

t link @computerjunky • 15 augustus 2018 15:06

Omdat dit voor veel mensen hun beroep is. kijk een klein foutje zou ik het best van accepteren maar dit was gewoon een gigantisch lek in het systeem, als hier ransomware op gegooit was liepen ze veel meer mis dan 700 euro.

Ryan28 @slijkie • 15 augustus 2018 11:36

Geweldig hoor

dylan111111 @Ryan28 • 15 augustus 2018 11:45

Dit is echt quality content om te lezen als systeembeheerder

Pathogen 15 augustus 2018 11:30

Vind het wel verbazingwekkend hoe makkelijk men er vanuit gaat dat een hoge beloning part of the deal is. Als ik iemand op de weg wijs op een lekke band verwacht ik ook geen bloemetje, laat staan een gratis grote beurt.

Ja, als er een bug bounty programma is...

Ik vind dit wel discutabel wat ethisch hacken betreft.

[Reactie gewijzigd door Pathogen op 23 juli 2024 14:01]

jhnddy @Pathogen • 15 augustus 2018 11:49

Je zou het kunnen vergelijken met digitaal vindersloon. Als ik jouw portemonnee vind met €50.000, kan ik deze natuurlijke leegroven. Ik kan hem ook terugbrengen en een redelijk vindersloon vragen. Daar heb ik dan namelijk recht op volgens de Nederlandse wet, en het voelt ook ethisch. Zonder mij was je namelijk alles kwijt.

Zo ook een digitaal lek. Wanneer ik de moeite neem om het lek te vinden, en dat netjes te melden, bespaar ik jou een hoop ellende en kosten. Daar mag heus wel een beloning en een stukje dankbaarheid tegenover staan.

[Reactie gewijzigd door jhnddy op 23 juli 2024 14:01]

MSteverink @jhnddy • 15 augustus 2018 12:18

De wet schrijft geen percentage vindersloon voor, zie https://nl.wikipedia.org/...cht)#Eigendomsverkrijging .
Ik ben wel met je eens dat een beloning hier op z'n plaats is.

jhnddy @MSteverink • 15 augustus 2018 14:59

Klopt. Ik heb me er even snel in verdiept: de wet schrijft inderdaad voor dat het een 'redelijke vergoeding' is. Zie ook bron.

Edit: dat staat zo te zien ook in jouw link

[Reactie gewijzigd door jhnddy op 23 juli 2024 14:01]

SkyCloud @Pathogen • 15 augustus 2018 12:01

Hangt een beetje af van situatie tot situatie. Als de fout of het probleem grote gevolgen kan hebben voor het bedrijf of gemeenschap, dan mag een grote(re) beloning verwacht worden.

Een lekke band bij een auto heeft dan ook geen grote gevolgen als deze al dan niet op tijd vervangen wordt. Hoogstens gaat het ongemak beperkt blijven tot het trager of lastiger rijden van de auto, zodat de bestuurder na een tijdje doorheeft dat er iets mis is.

Als bijvoorbeeld de rem van een goederenwagon blijft hangen en deze oververhit geraakt, kunnen er gensters afspringen en zo een bermbrand veroorzaken (wat op zich al grotere gevolgen kan hebben), of dat de wagon (mét gevaarlijke lading erop) gewoonweg in brand vliegt en de gevolgen nog véél erger zijn.

Indien er iemand bij het laatste voorbeeld de treinmaatschappij kan verwittigen en veel erger voorkomen kan worden, mag de persoon in kwestie ook een grotere beloning krijgen.

Yggdrasil

@Pathogen • 15 augustus 2018 12:04

Nee, men is niet verplicht om te betalen en uit het artikel wordt ook niet duidelijk of Morssink überhaupt om een vergoeding vroeg. Overigens vind ik het bijna een belediging dat Keolis ervoor koos om hem een kaartje t.w.v. €6 te geven. Dan hadden ze nog beter niks kunnen geven behalve een welgemeende bedankmail.

Het siert je als bedrijf om mensen te belonen die hun tijd opofferen om je op ernstige fouten te wijzen, juist als er geen bug bounty programma is.

Origin64 @Pathogen • 15 augustus 2018 12:22

Het is in het belang van bedrijven om mensen die lekken netjes aangeven te belonen, anders denkt de volgende die een lek vindt 'ja doei' en verkoopt het.

teunw 15 augustus 2018 11:11

Had nooit gedacht dat die kastjes genoeg power zouden hebben voor Teamviewer, kost dat niet enorm veel data om te gebruiken?

Blokker_1999

Economie en maatschappij
Openbaar vervoer
Beveiliging en antivirus
Nederland

@teunw • 15 augustus 2018 11:14

Valt op zich wel mee. 4G verbinding biedt voldoende bandbreedte. Moet je alleen op een plaats staan met een goede verbinding. En de vereiste CPU kracht is ook niet hoog. Er werden al remote desktop sessies op gezet in de tijd dat we onze CPUs nog met enkel een nummertje benoemden.

Meekoh @teunw • 15 augustus 2018 11:14

Nee dat valt best mee hoor. Zoveel bandbreedte kost het nou ook weer niet 50 kbps is al genoeg.

MM99 @teunw • 15 augustus 2018 11:57

Nee. Ook wordt verbinding niet constant opgezet. Is enkel nodig voor onderhoud of iets dergelijke.

tinustate 15 augustus 2018 11:12

"een dagkaart ter waarde van zes euro"
Men is zich nog niet bewust van de risico's die men heeft gelopen. Als iemand met slechte bedoelingen toegang had gekregen had het mogelijk erger kunnen aflopen met miljoenen schade tot gevolg. Zes euro (700 is wat beter maar internationaal gezien weinig) is dan wel erg weinig.

[Reactie gewijzigd door tinustate op 23 juli 2024 14:01]

SunnieNL

@tinustate • 15 augustus 2018 11:49

Als je zo'n gat vind is het niet netjes om na het inloggen door te gaan en te zoeken welke gegevens er op staan. Het kunnen inloggen is voldoende. Het doorgaan en gegevens inzien door de persoon die ongeautoriseerd toegang verkrijgt, is daarna niet meer goed te praten.

4x4 @tinustate • 15 augustus 2018 16:39

Of ze probeerden de zaak te marginaliseren door met opzet zo een laag bedrag te geven. Zo van bedankt voor de melding maar zo groot was de fout niet.

Hammetje 15 augustus 2018 11:13

Waardeloos geconfigureerd. Teamviewer is prima instelbaar om apparaten alleen via een ingelogd account te kunnen benaderen. Die kan je vervolgens ook nog eens beveiligen met 2FA. Ik snap niet dat er nog ICT'ers rondlopen die denken dat 1234 een goed wachtwoord is.

cbr600f4i @Hammetje • 15 augustus 2018 11:20

Ik werk samen met een ICT'er die vanwege ruimtegebrek geen backups maakt. En dit doodleuk verzwijgt wanneer de sh*t has hit the fan. Ze zijn er gewoon hoor die pareltjes.

gjmi @cbr600f4i • 15 augustus 2018 11:28

Zoiets moet gemeld worden en zo’n vent moet je per direct ontslaan, dat is gewoon incompetentie. Hoe moeilijk is het om voor extra data opslag voor backup te zorgen?

[Reactie gewijzigd door gjmi op 23 juli 2024 14:01]

cbr600f4i @gjmi • 15 augustus 2018 11:38

Het halve bedrijf is incompetent, ik kan je zo een screenshot sturen van de schijfruimte waarin de helft van de servers in het rood staat en dat terwijl er tientallen klanten op een server staan. Verder gaan er updates ongetest live en, sterker nog, worden updates gewoon gepushed wanneer er een bekend probleem is opgetreden. Ik heb het al zo vaak aangekaart maar er wordt niets mee gedaan. Ik ben binnenkort weg hier, dit bedrijf verdient dergelijk personeel.

draadloos @cbr600f4i • 15 augustus 2018 11:48

En ligt dat aan de ict-er, of aan het bedrijf wat er geen budget voor vrijgeeft? Ik lees hier altijd zoveel opmerkingen over ict-ers.. "Ontslaan" "incompetent" etc etc. Soms moet je roeien met de riemen die je hebt. Niet ieder bedrijf heeft 5 miljoen en meer per jaar te besteden aan IT.

F-I-X @draadloos • 15 augustus 2018 12:34

Professioneel IT spul kost idd wel behoorlijk wat en moet ook in verhouding staan tot de omzet van zon bedrijf. Maar als ze dan daar het geld niet voor uit willen geven zijn er natuurlijk ook nog lap middelen in de consumenten markt die de schade beperken en veel minder kosten.

Uiteraard is dat elke systeemadmin onwaardig, maar je kop in het zand steken is zeker geen optie, dan roei je met de riemen die je hebt en ben je creatief óf je stuurt brieven naar de directie en je dekt jezelf in.

Aetje @Hammetje • 15 augustus 2018 11:58

Pay peanuts, get monkeys... Het moge duidelijk zijn dat iemand die denkt dat 1234 een goed wachtwoord is voor iets wat openbaar toegankelijk is, geen professionele ITer is. Dit riekt naar een simpel gevalletje van "geen geld voor beveiling of onderhoud dus doe maar wat je handig lijkt".

Fitzer 15 augustus 2018 11:13

Het blijft mij verbazen dat TeamViewer zo vaak gebruikt wordt, want als je het niet een lastig wachtwoord in stelt kan iedereen mee kijken als de ID in beeld is. Dit is het geval bij de interactieve reclameborden in Amsterdam (denk maar aan A'dam CS) maar ook de reclameschermen in bussen (ik weet dat EBS deze ook gebruikt). Als er een foutmelding naar voren springt, of het programma gecrasht is zie je vaak de TeamViewer ID in beeld.

MsG @Fitzer • 15 augustus 2018 11:19

De wachtwoorden die het programma mij standaard geeft zijn nooit van dit kaliber. Mijnsinziens ligt dit vooral aan de beheerder die dit soort wachtwoorden aanmaakt. Teamviewer werkt eenvoudig en zonder installatierechten gewoon te draaien. Met RRP moet je vaak weer handmatig moeilijk doen met portforwards of ander ongein.

Bender @Fitzer • 15 augustus 2018 11:21

Heb je een alternatief dan?

Shanquish

@Bender • 15 augustus 2018 11:24

Logmein, om maar even wat te noemen.

Bender @Shanquish • 15 augustus 2018 11:28

Waarom is dat beter?

Daar kun je ook een niet lastig wachtwoord invullen lijkt me?

Shanquish

@Bender • 15 augustus 2018 12:14

Klopt, ik begreep het niet als zodanig dat je een veiliger alternatief bedoelde

maar gewoon een alternatief.

thomasmoors @Shanquish • 15 augustus 2018 11:29

Ik zie geen reden waarom de ene software beter is voor remote screens dan de andere zoals je hier impliceert. Eerder de manier van authenticeren. Zo zou al een deel van de problemen kunnen worden verholpen met een IP-whitelist en in plaats van vaste accounts en wachtwoorden te delen voor iedere medewerker een eigen SSH-key (of desnoods alsnog een wachtwoord) aan te maken.

Rolf @Bender • 15 augustus 2018 12:01

https://en.m.wikipedia.org/wiki/TightVNC

FOSS alternatief, lekker minimalistisch opgezet.

FreshMaker @Rolf • 15 augustus 2018 12:32

Alleen moet je met VNC poorten doorzetten naar buiten, en dat zal op een 4Gverbinding niet altijd even makkelijk zijn.
Teamviewer gaat altijd via hun eigen cloudservers

P-e-t-j-e @FreshMaker • 15 augustus 2018 14:52

Teamviewer kan (afhankelijk van de versie wellicht) ook directe verbindingen maken. Weet niet of de servers van tv wel nodig zijn voor authenticatiefase...

Maar simpele oplossing zou zijn geen directe internet toegang vanuit de systemen behalve vpn naar buiten, dus via een always-on vpn naar een centraal netwerk, bij voorkeur met een goed firewall/proxyserver... dan is het openzetten van poorten peanuts omdat je als het ware in hetzelfde netwerk of afgeschermde omgeving zit...

skatebiker @Fitzer • 15 augustus 2018 11:57

Ik snap al helemaal niet waarom zulke apparaten als schermen in bussen, treinen en op perrons onder Windows draaien, dat vraagt erg veel resources. Waarom niet gewoon een simpele Linux, desnoods een Raspberry Pi achtig platform ? Scheelt een hoop energieverbruik en dus ook af te voeren warmte.
En ook al is het Windows, dan zet je er toch tenminste een VPN tussen zodat deze niet vanaf het openbare internet bereikbaar is.
De hele ICT wereld heeft het over 'veiligheid' maar van alles en nog wat is zonder enige VPN met het openbare internet verbonden.

Op dit item kan niet meer gereageerd worden.

Kaartautomaten van bussen in Almere waren benaderbaar via TeamViewer

Lees meer

Reacties (215)

Sorteer op:

Weergave: