Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tennisbond KNLTB haalt ledenadministratiesysteem offline na phishingpogingen

Tennisbond KNLTB heeft afgelopen vrijdag het ledenadministratiesysteem KNLTB.Club offline gehaald nadat criminelen wisten in te loggen bij dat systeem en phishingmails stuurden naar leden van tennisverenigingen.

De KNLTB waarschuwde leden via e-mail over de phishingpogingen. De criminelen probeerden leden te bewegen om lidmaatschapsgeld over te maken. Daarnaast probeerden ze leden over te halen in te loggen op een website die van de KNLTB leek, maar nep was. Door in te loggen zouden leden hun inloggegevens prijsgeven, waarmee de criminelen nog meer phishingmails uit naam van een vereniging konden sturen.

Volgens RTL Nieuws lijkt het erop dat de problemen begonnen toen de criminelen via phishing de inloggegevens van functionarissen van tennisverenigingen van het ledenadministratiesysteem in handen kregen. Via dat systeem, KNLTB.Club geheten, konden ze contactgegevens van leden van verenigingen achterhalen. Vervolgens vroegen ze die personen contributie te betalen via een Bunq.me-link.

Phishingsite van KNLTB-site

De tennisbond haalde KNLTB.Club vrijdag offline om het incident te onderzoeken. Maandag ging het systeem weer online, maar konden leden nog niet inloggen. De clubs hebben aangifte gedaan bij de politie en de tennisbond doet melding bij de Autoriteit Persoonsgegevens namens de verenigingen.

De criminelen lijken geen gebruik te hebben gemaakt van een kwetsbaarheid in het systeem. Gebruiker Sjoerd van der Hoorn meldt aan Tweakers dat hij begin 2017 wel een lek aantrof in het Afhangbord-systeem van de KNLTB. Dat biedt een planningsmogelijkheid voor tennisbanen en spelers. Voorheen was de ledenadministratiesoftware daar ook onderdeel van.

Met de kwetsbaarheid kon Van der Hoorn naar eigen zeggen de gegevens verkrijgen van alle mensen die in verenigingsverband tennis spelen. Het gaat dan om namen en e-mailadressen. Dit kon door een rapportage te openen onder beheer en vervolgens het verenigingsnummer van de url waar de rapportage naar verwees te wijzigen. Van der Hoorn lichtte de KNLTB in februari 2017 in, maar die antwoordde dat het probleem bekend was en pas begin 2018 verholpen zou worden, bij de installatie van een nieuwe versie van Afhangbord, zo blijkt uit de mailwisseling.

Door Olaf van Miltenburg

Nieuwscoördinator

03-12-2018 • 18:15

40 Linkedin Google+

Submitter: Skit3000

Reacties (40)

Wijzig sortering
gelukkig is sportlink ook zo "lek" als een mandje. via apikeys die te vinden zijn op internet kan je ook bijna alles opvragen van leden van diverse sportbondenclubs van verschillende sportbonden.. Maarja sportlink vind dit geen issue maar een feature 8)7

[Reactie gewijzigd door Meneerik op 3 december 2018 23:24]

Als dat zo is is dat wel een artikel waard.
heb het inmiddels aangekaart en men is er mee bezig. maar men ziet het niet direct als probleem aangezien iedere gebruiker van sportlink de mogelijkheid heeft om te zeggen dat zijn/haar profiel afgeschermt is.
Ik heb 10 minuten gekeken uit nieuwsgierigheid en kon zo bij diverse sportclubs content wijzigen op hun website die middels sportlink aangeleverd wordt. Daarnaast is het echt kinderspel om alle data die niet afgeschermd is (mijn steekproef: vrijwel niets is afgeschermd - wat verwacht je ook van sportclubs met vrijwilligers) te verzamelen. Natuurlijk niets uitgevoerd, maar het maakt een zeer amateuristische indruk :/
Dat dus. Simpele zoekopdracht geeft aan dat zo'n 200 verschillende clubs die API gebruiken. Tel uit je winst wanneer je een goed werkend scriptje bouwt die alles binnenharkt.
Ach, wat naakt het uit. De knltb stelt de gegevens (NAW en telefoonnummers) van de leden sowieso al ter beschikking voor derden. Bron

"De KNLTB gaat samenwerkingen met partners aan om inkomsten te genereren voor de tennissport in Nederland én om leden te laten profiteren van aantrekkelijke relevante aanbiedingen/acties." Aan wie de gegevens doorgegeven worden is mij niet duidelijk.

Via deze link kan je je afmelden. Dit is dan een actueel bestand. Je krijgt dan geen reclame meer via de post of telefoon. Je gegevens worden dan niet gedeeld met derden of partners.

[Reactie gewijzigd door stevens20 op 3 december 2018 19:05]

"Samenwerking met partners" is heel iets anders als criminelen die gegevens buitmaken om op die manier mensen geld af te troggelen...
Beetje flauw dat je scammers en legitieme bedrijven over 1 kam scheert.
Het is ook met een knipoog. Ze stellen je gegevens brschikbaar aan derden waarmee zij denken winst te kunnen behalen met de leden van de bond. Wie die derden zijn is constant veranderend. Op die manier zijn mijn gegevens wel erg openbaar in mijn ogen.

Ik zet die tekst niet voor niks in de quote.

Daarbij: "Hierbij geef ik aan dat ik niet meer wens te worden benaderd via de volgende wijze:*" Dit staat er als je het formulier invult. Hier wordt niet aangegeven of de gegevens ook daadwerkelijk niet meer gedeeld worden. Er staat alleen dat ze geen contact met je opnemen. Je krijgt van de bond een bevestigingsmail met daarin de melding dat het 4 weken duurt voordat het verwerkt is. Voor meer vragen ga naar de FAQ.

Ook baart het mij zorgen dat het een actueel formulier is. Ik schrijf me uit voor het niet meer contact opnemen door de huidige partners. Wat gebeurt er als er nieuwe partners komen?

[Reactie gewijzigd door stevens20 op 4 december 2018 13:15]

Ik denk dat een club of bond zichzelf behoorlijk voor schut zet als ze zo maar het ledenbestand overdragen aan nieuwe sponsoren. Sterker nog: ik denk dat als ze gegevens overdragen van mensen die aangegeven hebben niet benaderd te willen worden door de huidige sponsoren, ze een brief kunnen verwachten van de AP. Er zal volgens mij gewoon opnieuw toestemming gevraagd moeten worden voor iedere vorm van gegevensoverdracht van de leden.

@PlowKing ongeloofwaardig, maar goed: hou vol!
Het is nu blijkbaar een opt out. Ze proberen hier en daar te doen alsof dat niet zo is (zie FAQ van de KNLTB hiervoor) maar al met alcmoet ik wel bezwaar aantekenen als ik NIET wil dat het gebeurd. In mijn ogen ga je dan te ver! Sowieso bij het delen van NAW gegevens.

Nu heb ik de FAQ door zitten lezen maar volgens mij is die na de vrijdagmiddagborrel gemaakt. Per vraag verschilt het welke gegevens gedeeld worden. Het is allemaal erg houtjetouwtje. Het lijkt in ieder geval niet erg doordacht.
Je zou toch verwachten dat er wel een paar juristen bij de leden zitten... :D
Dat klopt.

Ik heb eerder ergens gelezen dat er een advocaat naar de rechter stapt die zelf lid is. Helaas kan ik dat artikel niet vinden.

Hier een "uitslagje" van deze zaak. Tot op de dag van vandaag moet je blijkbaar nog uitschrijven voor het delen van dergelijke gegevens. Ik heb overigens zelf de brochure van TennisDirect ook ontvangen en was daar zeer verbaasd over aangezien ik nooit toestemming heb gegeven en TD mijn adres ook niet had. Mijns inziens blijft het zaakje stinken.

[Reactie gewijzigd door stevens20 op 5 december 2018 00:00]

Ongeloofwaardig? Dus ad networks hebben nooit malware verspreid?

https://www.google.com/se...alware+spreads+ad+network
Dus jij rijdt nooit in een auto want daar zijn wel eens dodelijke ongelukken mee gebeurd, je loopt nuet over de stoep want daar zijn ook mensen op verongelukt?
Ik vraag me af of je überhaupt wel het internet op durft: zelfs bij Tweakers hebben ze een keer besmette banners gehad...

Dus ja: ongeloofwaardig! Maar hou vol! :)
Lol, appelen en peren vergelijken.

Ads toelaten is als het lopen op de snelweg. Maar ja, ik loop tegen een muur te praten ;)
Zo moeilijk is het toch niet? Jij beweert dat je risico loopt, want de sponsoren verspreiden virussen via ads. Die redenatie is al zo krom als een hoepeltje: waarom zijn die banners gevaarlijker dan van andere websites? Zo gek veel partijen die banners verkopen zijn er nou ook weer niet, en die verkopers willen ook geen malware verspreiden omdat dat ten koste gaat van hun reputatie.

Zelfs Tweakers heeft een keer last gehad van malware die via banners verspreid werd, dus waarom zit je te wijzen naar de KNLTB? Het kan dus blijkbaar ALLE websites die banners hebben overkomen, maar jij vindt dat je extra risico loopt vanwege die paar banners bij de KNLTB? Onzin, en inderdaad: ongeloofwaardig.
Ik heb ook nooit beweerd dat alleen KNLTB je malware geeft, maar tjah.....

En dus ik zou ook maar geen virus scanner meer installeren, want ja websites willen geen slechte reputatie? nice
zo word je dus verplicht om je gegevens te delen met sukkelige bedrijven die malware ads verspreiden als je een balletje wilt staan.
Jouw tekst, toch?

En waar je dat verhaal van virusscanners vandaan haalt, is mij een raadsel...
sukkelige bedrijven == ad network bedrijven

Wat een semantics hier zeg.
Geen idee wat je er nu weer bij probeert te slepen. Feit is dat jij begon over het gevaar van bezoeken vsn de site van de KNLTB, om dat daarna weer te ontkennen. Heeft niks met semantics te maken, maar met fatsoen.
Ik laat het hier maar verder bij.
En zo word je dus verplicht om je gegevens te delen met sukkelige bedrijven die malware ads verspreiden als je een balletje wilt staan. Dat is zeker crimineel!
Wat de KNLTB doet is niet louche: ze laten open en duidelijk weten dat je gegevens gedeeld worden. Ik vind dat een groot verschil met figuren die op achterbakse wijze je PC proberen binnen te dringen.
Bovendien: als jij door een partner van de KNLTB benaderd wordt, zeg je 1x nee en je bent er vanaf. Succes met nee zeggen tegen de scammer die spyware, ransomware of andere shit op je PC plaatst.
Van de interviews die ik zag lijkt het erop dat de KNLTB aanneemt dat ze zonder toestemming jouw gegevens mogen verkopen aan andere partijen.

Dacht dat ze zoiets expliciet eerst moeten vragen aan je.

Door hoeveel partners moet je ongevraagd benaderd worden en “nee” moeten zeggen om het ok te vinden? Ik vraag wel vaker aan bedrijven die bellen hoe ze aan mn gegevens komen. Vrijwel geen enkele callcenter medewerker wilt/kan me dat vertellen. Ook al sta ik in het belmeniet register en hebben ze daarna een bandje van jawel, het belmenietregister.
Dat gebeurt me ook regelmatig.
De callcenter medewerkers krijgen gewoon een lijst met nummers, hoe die tot stand komt wordt ze niet verteld. Dus aan hun vragen hoe ze aan je gegevens komen heeft helaas geen zin. Ik denk dat het meer zin heeft om na ieder telefoontje een klacht neer te leggen bij de AP: het belmeniet-register is er niet voor niks. Daarnaast hebben burgers nu de mogelijkheid om terug te gaan stalken: na ieder telefoontje eisen dat ze de gegevens verstrekken die ze van jou hebben (kost ze werk, dus geld), om pas daarna (!) te eisen dat ze je gegevens verwijderen. Kost ze opnieuw werk, dus geld. Misschien dat daarmee een effectiever einde gemaakt kan worden aan de telefoonterreur.:)

Maar bedrijven zijn er tegenwoordig handig in geworden om data te verzamelen. Klantenkaarten en enquêtes zijn twee simpele maar doeltreffende manieren om aan gegevens te komen. Wil je korting? Geen probleem: moet je hier even je mailadres achterlaten. Persoonlijke aanbiedingen? Geen probleem: laat hier je gegevens achter. Mogen we u even wat vragen? En voor je het weet...

Toch vind ik de vergelijking die batjes maakt met scammers volslagen de plank misslaan: ja, beiden (scammers en bedrijven) misbruiken je gegevens voor eigen belang, maar er is nogal een verschil tussen crimineel en commercieel belang. Van alle bedrijven die je benaderen heb je het recht om op te vragen welke gegevens ze van je hebben en die te verwijderen.
Daarnaast hebben burgers nu de mogelijkheid om terug te gaan stalken: na ieder telefoontje eisen dat ze de gegevens verstrekken die ze van jou hebben (kost ze werk, dus geld)

Klopt niet. Wat ze vervolgens direct doen is meer gegevens van mij vragen zoals kopie ID (ook al kunnen ze al bevestigen dat ik bel/email vanaf de door hun gespamde telefoonnummer/emailadres). Dat wil ik uiteraard niet geven als ze me al ongepast en tegen de regels al benaderen.
Ook die moeten ze verwijderen nadat ze je identiteit vastgesteld hebben :)
Maar het levert wel meer werk op, dat ben ik met je eens...
het lek vinden in Febuari 2017 en dan reageren met een mail dat het in "Begin" 2018 opgelost zal worden.

Is dit niet volledig in strijd met de AVG? Want het mag dan geen wachtwoorden betreffen maar dat jouw naam en email op tot op zekere hoogte "op straat ligt" lijkt mij niet legaal binnen deze context.
Was de AVG al van kracht begin 2018?
De AVG was in werking getreden in Mei 2016, om de bedrijven 2 jaar te geven om te voldoen aan de voorwaarden beschreven in de AVG. In Mei 2018 werd de AVG toegepast en word je als bedrijf op de vingers getikt als je niet voldoet aan de voorwaarden van de AVG.

Dus technisch gezien wel in strijd met de AVG maar geen prioriteit om het "probleem" op te lossen omdat de AVG nog geen gevolgen had in de praktijk.
De wet bescherming persoonsgegevens was al van kracht en die week niet enorm af van de AVG. 2 Grootste verschillen zijn de hoogte van de boetes die opgelegd kunnen worden, en de rechten die je als consument nu binnen heel Europa hebt.
Hier ook al jaren gebruiker van het KNLTB afhangsysteem.

De versie waar in het artikel wordt gerefereneerd was een oud systeem (afhangbord.nl systeem) die clubs al niet meer konden gebruiken en die uitgefasseerd werd. KNLTB.Club (het huidige systeem waar dus die aanvallen op zijn) was het nieuwe systeem die tennisverenigingen moesten gaan gebruiken.

Het systeem in februari 2017 (afhangbord.nl) werdt toentertijd al niet meer ondersteund voor clubs, niet dat di een goede reden is om niet meteen op te lossen maar wellicht verhelderd dit wel de situatie een beetje.
IIS6 (raden welke server versie) en reporting services wagenwijd open.. ongelovelijk dat men dit zo heeft ingericht.
IIS6? Echt? Men gebruikt dus gewoon producten die al jaren EOL zijn. Hier mag de AP best tegen optreden.
Jep, moet je eens naar reports.tdx.nl gaan. Zie je de error pagina van IIS6.
Niet direct met phishing te maken maar ik heb mijn buik vol van de knltb qua IT - zeker de club app zuigt.
Van alles beloven, niet- of slecht communiceren en dan een blog waar de reactie mogelijkheid is uitgeschakeld.....http://blog.knltb.club
De club app wordt door LISA gemaakt maar die bakken ze ook bruin. Facturen sturen voor zaken die we niet gebruiken, accountmanagers die dingen beloven die er nooit komen etc.
Moet het even kwijt. Kan me prima voorstellen dat ze geen controle hebben over hun infrastructuur en software....
hmm. weer wordt hiervoor een nieuwe bank, bunq, dit keer misbruikt, dat dat niet op valt bij die leden van die club.... 8)7
De pogingen tot phishing op tennisverenigingen gaan al zeker een halve maand rond. Zo waarschuwde LTC Emmen op 14 en 15 November nog voor verschillende phishingpogingen om de lidmaatschap te verlengen. En vorige week dinsdag waarschuwde bijvoorbeeld TC Zandvoort dat diverse verenigingen melding hadden gemaakt van phishingpogingen rond betalingen van lidmaatschap.
Ben ik blij dat tennisvlaanderen zijn samenwerking met deze prutsers heeft opgezegd. Nadat ze na 2 jaar development nog niet konden opleveren wat ze origineel na 6 maanden hadden beloofd. Om dan zulke resultaten te krijgen...


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True