Tennisbond KNLTB haalt ledenadministratiesysteem offline na phishingpogingen

Tennisbond KNLTB heeft afgelopen vrijdag het ledenadministratiesysteem KNLTB.Club offline gehaald nadat criminelen wisten in te loggen bij dat systeem en phishingmails stuurden naar leden van tennisverenigingen.

De KNLTB waarschuwde leden via e-mail over de phishingpogingen. De criminelen probeerden leden te bewegen om lidmaatschapsgeld over te maken. Daarnaast probeerden ze leden over te halen in te loggen op een website die van de KNLTB leek, maar nep was. Door in te loggen zouden leden hun inloggegevens prijsgeven, waarmee de criminelen nog meer phishingmails uit naam van een vereniging konden sturen.

Volgens RTL Nieuws lijkt het erop dat de problemen begonnen toen de criminelen via phishing de inloggegevens van functionarissen van tennisverenigingen van het ledenadministratiesysteem in handen kregen. Via dat systeem, KNLTB.Club geheten, konden ze contactgegevens van leden van verenigingen achterhalen. Vervolgens vroegen ze die personen contributie te betalen via een Bunq.me-link.

De tennisbond haalde KNLTB.Club vrijdag offline om het incident te onderzoeken. Maandag ging het systeem weer online, maar konden leden nog niet inloggen. De clubs hebben aangifte gedaan bij de politie en de tennisbond doet melding bij de Autoriteit Persoonsgegevens namens de verenigingen.

De criminelen lijken geen gebruik te hebben gemaakt van een kwetsbaarheid in het systeem. Gebruiker Sjoerd van der Hoorn meldt aan Tweakers dat hij begin 2017 wel een lek aantrof in het Afhangbord-systeem van de KNLTB. Dat biedt een planningsmogelijkheid voor tennisbanen en spelers. Voorheen was de ledenadministratiesoftware daar ook onderdeel van.

Met de kwetsbaarheid kon Van der Hoorn naar eigen zeggen de gegevens verkrijgen van alle mensen die in verenigingsverband tennis spelen. Het gaat dan om namen en e-mailadressen. Dit kon door een rapportage te openen onder beheer en vervolgens het verenigingsnummer van de url waar de rapportage naar verwees te wijzigen. Van der Hoorn lichtte de KNLTB in februari 2017 in, maar die antwoordde dat het probleem bekend was en pas begin 2018 verholpen zou worden, bij de installatie van een nieuwe versie van Afhangbord, zo blijkt uit de mailwisseling.

KNLTB Afhangbord

Reacties (50)

Verwijderd 3 december 2018 20:28

gelukkig is sportlink ook zo "lek" als een mandje. via apikeys die te vinden zijn op internet kan je ook bijna alles opvragen van leden van diverse sportbondenclubs van verschillende sportbonden.. Maarja sportlink vind dit geen issue maar een feature

[Reactie gewijzigd door Verwijderd op 25 juli 2024 12:25]

Maxxi @Verwijderd • 3 december 2018 23:13

Als dat zo is is dat wel een artikel waard.

Verwijderd @Maxxi • 3 december 2018 23:23

heb het inmiddels aangekaart en men is er mee bezig. maar men ziet het niet direct als probleem aangezien iedere gebruiker van sportlink de mogelijkheid heeft om te zeggen dat zijn/haar profiel afgeschermt is.

Stoffel @Verwijderd • 4 december 2018 00:40

Ik heb 10 minuten gekeken uit nieuwsgierigheid en kon zo bij diverse sportclubs content wijzigen op hun website die middels sportlink aangeleverd wordt. Daarnaast is het echt kinderspel om alle data die niet afgeschermd is (mijn steekproef: vrijwel niets is afgeschermd - wat verwacht je ook van sportclubs met vrijwilligers) te verzamelen. Natuurlijk niets uitgevoerd, maar het maakt een zeer amateuristische indruk

Verwijderd @Stoffel • 4 december 2018 06:26

Dat dus. Simpele zoekopdracht geeft aan dat zo'n 200 verschillende clubs die API gebruiken. Tel uit je winst wanneer je een goed werkend scriptje bouwt die alles binnenharkt.

Gamebuster @Verwijderd • 18 december 2018 09:15

Kan je mij een PM sturen met details?

Verwijderd @Gamebuster • 18 december 2018 09:38

wat wil je weten?

Gamebuster @Verwijderd • 18 december 2018 10:22

Welk API, welke keys en welke calls je kan doen met de keys die je op internet kan vinden

Verwijderd @Gamebuster • 18 december 2018 10:28

Dat mag je allemaal zelf zoeken, maar zal je een tipje geven.
Check https://dexels.github.io/navajofeeds-json-parser/ en kijk welke sites dat allemaal gebruiken

stevens20 3 december 2018 19:02

Ach, wat naakt het uit. De knltb stelt de gegevens (NAW en telefoonnummers) van de leden sowieso al ter beschikking voor derden. Bron

"De KNLTB gaat samenwerkingen met partners aan om inkomsten te genereren voor de tennissport in Nederland én om leden te laten profiteren van aantrekkelijke relevante aanbiedingen/acties." Aan wie de gegevens doorgegeven worden is mij niet duidelijk.

Via deze link kan je je afmelden. Dit is dan een actueel bestand. Je krijgt dan geen reclame meer via de post of telefoon. Je gegevens worden dan niet gedeeld met derden of partners.

[Reactie gewijzigd door stevens20 op 25 juli 2024 12:25]

Pietervs @stevens20 • 3 december 2018 20:52

"Samenwerking met partners" is heel iets anders als criminelen die gegevens buitmaken om op die manier mensen geld af te troggelen...
Beetje flauw dat je scammers en legitieme bedrijven over 1 kam scheert.

stevens20 @Pietervs • 4 december 2018 10:49

Het is ook met een knipoog. Ze stellen je gegevens brschikbaar aan derden waarmee zij denken winst te kunnen behalen met de leden van de bond. Wie die derden zijn is constant veranderend. Op die manier zijn mijn gegevens wel erg openbaar in mijn ogen.

Ik zet die tekst niet voor niks in de quote.

Daarbij: "Hierbij geef ik aan dat ik niet meer wens te worden benaderd via de volgende wijze:*" Dit staat er als je het formulier invult. Hier wordt niet aangegeven of de gegevens ook daadwerkelijk niet meer gedeeld worden. Er staat alleen dat ze geen contact met je opnemen. Je krijgt van de bond een bevestigingsmail met daarin de melding dat het 4 weken duurt voordat het verwerkt is. Voor meer vragen ga naar de FAQ.

Ook baart het mij zorgen dat het een actueel formulier is. Ik schrijf me uit voor het niet meer contact opnemen door de huidige partners. Wat gebeurt er als er nieuwe partners komen?

[Reactie gewijzigd door stevens20 op 25 juli 2024 12:25]

Pietervs @stevens20 • 4 december 2018 17:28

Ik denk dat een club of bond zichzelf behoorlijk voor schut zet als ze zo maar het ledenbestand overdragen aan nieuwe sponsoren. Sterker nog: ik denk dat als ze gegevens overdragen van mensen die aangegeven hebben niet benaderd te willen worden door de huidige sponsoren, ze een brief kunnen verwachten van de AP. Er zal volgens mij gewoon opnieuw toestemming gevraagd moeten worden voor iedere vorm van gegevensoverdracht van de leden.

@Verwijderd ongeloofwaardig, maar goed: hou vol!

stevens20 @Pietervs • 4 december 2018 19:24

Het is nu blijkbaar een opt out. Ze proberen hier en daar te doen alsof dat niet zo is (zie FAQ van de KNLTB hiervoor) maar al met alcmoet ik wel bezwaar aantekenen als ik NIET wil dat het gebeurd. In mijn ogen ga je dan te ver! Sowieso bij het delen van NAW gegevens.

Nu heb ik de FAQ door zitten lezen maar volgens mij is die na de vrijdagmiddagborrel gemaakt. Per vraag verschilt het welke gegevens gedeeld worden. Het is allemaal erg houtjetouwtje. Het lijkt in ieder geval niet erg doordacht.

Pietervs @stevens20 • 4 december 2018 22:36

Je zou toch verwachten dat er wel een paar juristen bij de leden zitten...

stevens20 @Pietervs • 4 december 2018 22:59

Dat klopt.

Ik heb eerder ergens gelezen dat er een advocaat naar de rechter stapt die zelf lid is. Helaas kan ik dat artikel niet vinden.

Hier een "uitslagje" van deze zaak. Tot op de dag van vandaag moet je blijkbaar nog uitschrijven voor het delen van dergelijke gegevens. Ik heb overigens zelf de brochure van TennisDirect ook ontvangen en was daar zeer verbaasd over aangezien ik nooit toestemming heb gegeven en TD mijn adres ook niet had. Mijns inziens blijft het zaakje stinken.

[Reactie gewijzigd door stevens20 op 25 juli 2024 12:25]

Verwijderd @Pietervs • 5 december 2018 14:21

Ongeloofwaardig? Dus ad networks hebben nooit malware verspreid?

https://www.google.com/se...alware+spreads+ad+network

Pietervs @Verwijderd • 5 december 2018 16:57

Dus jij rijdt nooit in een auto want daar zijn wel eens dodelijke ongelukken mee gebeurd, je loopt nuet over de stoep want daar zijn ook mensen op verongelukt?
Ik vraag me af of je überhaupt wel het internet op durft: zelfs bij Tweakers hebben ze een keer besmette banners gehad...

Dus ja: ongeloofwaardig! Maar hou vol!

Verwijderd @Pietervs • 6 december 2018 09:16

Lol, appelen en peren vergelijken.

Ads toelaten is als het lopen op de snelweg. Maar ja, ik loop tegen een muur te praten

Pietervs @Verwijderd • 6 december 2018 17:14

Zo moeilijk is het toch niet? Jij beweert dat je risico loopt, want de sponsoren verspreiden virussen via ads. Die redenatie is al zo krom als een hoepeltje: waarom zijn die banners gevaarlijker dan van andere websites? Zo gek veel partijen die banners verkopen zijn er nou ook weer niet, en die verkopers willen ook geen malware verspreiden omdat dat ten koste gaat van hun reputatie.

Zelfs Tweakers heeft een keer last gehad van malware die via banners verspreid werd, dus waarom zit je te wijzen naar de KNLTB? Het kan dus blijkbaar ALLE websites die banners hebben overkomen, maar jij vindt dat je extra risico loopt vanwege die paar banners bij de KNLTB? Onzin, en inderdaad: ongeloofwaardig.

Verwijderd @Pietervs • 7 december 2018 09:37

Ik heb ook nooit beweerd dat alleen KNLTB je malware geeft, maar tjah.....

En dus ik zou ook maar geen virus scanner meer installeren, want ja websites willen geen slechte reputatie? nice

Pietervs @Verwijderd • 7 december 2018 16:33

zo word je dus verplicht om je gegevens te delen met sukkelige bedrijven die malware ads verspreiden als je een balletje wilt staan.
Jouw tekst, toch?

En waar je dat verhaal van virusscanners vandaan haalt, is mij een raadsel...

Verwijderd @Pietervs • 11 december 2018 16:58

sukkelige bedrijven == ad network bedrijven

Wat een semantics hier zeg.

Pietervs @Verwijderd • 11 december 2018 23:19

Geen idee wat je er nu weer bij probeert te slepen. Feit is dat jij begon over het gevaar van bezoeken vsn de site van de KNLTB, om dat daarna weer te ontkennen. Heeft niks met semantics te maken, maar met fatsoen.
Ik laat het hier maar verder bij.

Verwijderd @Pietervs • 12 december 2018 08:48

En zo word je dus verplicht om je gegevens te delen met sukkelige bedrijven die malware ads verspreiden als je een balletje wilt staan. Dat is zeker crimineel!

is wat ik schreef. Dat jij dan niet snapt dat dat op ad networks slaat, is niet mijn probleem, maar je maakt het er wel van.....

Pietervs @Verwijderd • 12 december 2018 16:38

Ik snap uitstekend dat dat op de ad networks slaat, ik vind het alleen zo sneu dat je net doet alsof je bij de KNLTB een groter risico zou lopen als op andere websites. Vandaar dat ik ook zei:
Dus jij rijdt nooit in een auto want daar zijn wel eens dodelijke ongelukken mee gebeurd, je loopt nuet over de stoep want daar zijn ook mensen op verongelukt?
Ik vraag me af of je überhaupt wel het internet op durft: zelfs bij Tweakers hebben ze een keer besmette banners gehad...

Dus maak het eens concreet: waarom zou je meer risico's lopen bij de banners van de KNLTB als van een andere site?

Verwijderd @Pietervs • 12 december 2018 16:41

Ik heb nooit gezegd dat je daar mee risico loopt, alleen vind ik het gek dat je voor een tennisvereniging waar je al voor betaald ook noig eens reclame hebt. Vandaar dat ik zei:"voor een beetje een balletje slaan"/

Maar zolang jij dingen erbij leest / verzint gaat dit lang duren.

Pietervs @Verwijderd • 12 december 2018 16:49

Ik verzin niks, jij suggereert dat mensen meer risico’s op een virusbesmetting hebben als ze de website van de KNLTB bezoeken. NU begin je ineens erover dat het belachelijk is dat je reclames krijgt.

Je moet je eigen onzin maar eens teruglezen, ik ben wel klaar met jou je eigen woorden uit te leggen. Fijne avond.

Verwijderd @Pietervs • 13 december 2018 08:53

Omgekeerde bewijslast, mooi bezig.

Maar ga maar lekker bij andere mensen woorden in de mond leggen

Verwijderd @Pietervs • 4 december 2018 13:59

En zo word je dus verplicht om je gegevens te delen met sukkelige bedrijven die malware ads verspreiden als je een balletje wilt staan. Dat is zeker crimineel!

Pietervs @batjes • 3 december 2018 23:33

Wat de KNLTB doet is niet louche: ze laten open en duidelijk weten dat je gegevens gedeeld worden. Ik vind dat een groot verschil met figuren die op achterbakse wijze je PC proberen binnen te dringen.
Bovendien: als jij door een partner van de KNLTB benaderd wordt, zeg je 1x nee en je bent er vanaf. Succes met nee zeggen tegen de scammer die spyware, ransomware of andere shit op je PC plaatst.

twkr18526 @Pietervs • 4 december 2018 00:38

Van de interviews die ik zag lijkt het erop dat de KNLTB aanneemt dat ze zonder toestemming jouw gegevens mogen verkopen aan andere partijen.

Dacht dat ze zoiets expliciet eerst moeten vragen aan je.

Door hoeveel partners moet je ongevraagd benaderd worden en “nee” moeten zeggen om het ok te vinden? Ik vraag wel vaker aan bedrijven die bellen hoe ze aan mn gegevens komen. Vrijwel geen enkele callcenter medewerker wilt/kan me dat vertellen. Ook al sta ik in het belmeniet register en hebben ze daarna een bandje van jawel, het belmenietregister.

Pietervs @twkr18526 • 4 december 2018 06:53

Dat gebeurt me ook regelmatig.
De callcenter medewerkers krijgen gewoon een lijst met nummers, hoe die tot stand komt wordt ze niet verteld. Dus aan hun vragen hoe ze aan je gegevens komen heeft helaas geen zin. Ik denk dat het meer zin heeft om na ieder telefoontje een klacht neer te leggen bij de AP: het belmeniet-register is er niet voor niks. Daarnaast hebben burgers nu de mogelijkheid om terug te gaan stalken: na ieder telefoontje eisen dat ze de gegevens verstrekken die ze van jou hebben (kost ze werk, dus geld), om pas daarna (!) te eisen dat ze je gegevens verwijderen. Kost ze opnieuw werk, dus geld. Misschien dat daarmee een effectiever einde gemaakt kan worden aan de telefoonterreur.:)

Maar bedrijven zijn er tegenwoordig handig in geworden om data te verzamelen. Klantenkaarten en enquêtes zijn twee simpele maar doeltreffende manieren om aan gegevens te komen. Wil je korting? Geen probleem: moet je hier even je mailadres achterlaten. Persoonlijke aanbiedingen? Geen probleem: laat hier je gegevens achter. Mogen we u even wat vragen? En voor je het weet...

Toch vind ik de vergelijking die batjes maakt met scammers volslagen de plank misslaan: ja, beiden (scammers en bedrijven) misbruiken je gegevens voor eigen belang, maar er is nogal een verschil tussen crimineel en commercieel belang. Van alle bedrijven die je benaderen heb je het recht om op te vragen welke gegevens ze van je hebben en die te verwijderen.

twkr18526 @Pietervs • 4 december 2018 08:45

Daarnaast hebben burgers nu de mogelijkheid om terug te gaan stalken: na ieder telefoontje eisen dat ze de gegevens verstrekken die ze van jou hebben (kost ze werk, dus geld)

Klopt niet. Wat ze vervolgens direct doen is meer gegevens van mij vragen zoals kopie ID (ook al kunnen ze al bevestigen dat ik bel/email vanaf de door hun gespamde telefoonnummer/emailadres). Dat wil ik uiteraard niet geven als ze me al ongepast en tegen de regels al benaderen.

Pietervs @twkr18526 • 4 december 2018 23:21

Ook die moeten ze verwijderen nadat ze je identiteit vastgesteld hebben

Maar het levert wel meer werk op, dat ben ik met je eens...

Coy 3 december 2018 18:37

het lek vinden in Febuari 2017 en dan reageren met een mail dat het in "Begin" 2018 opgelost zal worden.

Is dit niet volledig in strijd met de AVG? Want het mag dan geen wachtwoorden betreffen maar dat jouw naam en email op tot op zekere hoogte "op straat ligt" lijkt mij niet legaal binnen deze context.

hcQd @Coy • 3 december 2018 18:39

Was de AVG al van kracht begin 2018?

Coy @hcQd • 3 december 2018 18:43

De AVG was in werking getreden in Mei 2016, om de bedrijven 2 jaar te geven om te voldoen aan de voorwaarden beschreven in de AVG. In Mei 2018 werd de AVG toegepast en word je als bedrijf op de vingers getikt als je niet voldoet aan de voorwaarden van de AVG.

Dus technisch gezien wel in strijd met de AVG maar geen prioriteit om het "probleem" op te lossen omdat de AVG nog geen gevolgen had in de praktijk.

hcQd @Coy • 3 december 2018 18:48

Duidelijk.

Polydeukes @hcQd • 3 december 2018 19:17

De wet bescherming persoonsgegevens was al van kracht en die week niet enorm af van de AVG. 2 Grootste verschillen zijn de hoogte van de boetes die opgelegd kunnen worden, en de rechten die je als consument nu binnen heel Europa hebt.

Jordyz @Coy • 3 december 2018 18:57

Hier ook al jaren gebruiker van het KNLTB afhangsysteem.

De versie waar in het artikel wordt gerefereneerd was een oud systeem (afhangbord.nl systeem) die clubs al niet meer konden gebruiken en die uitgefasseerd werd. KNLTB.Club (het huidige systeem waar dus die aanvallen op zijn) was het nieuwe systeem die tennisverenigingen moesten gaan gebruiken.

Het systeem in februari 2017 (afhangbord.nl) werdt toentertijd al niet meer ondersteund voor clubs, niet dat di een goede reden is om niet meteen op te lossen maar wellicht verhelderd dit wel de situatie een beetje.

Baris 3 december 2018 18:50

IIS6 (raden welke server versie) en reporting services wagenwijd open.. ongelovelijk dat men dit zo heeft ingericht.

batjes @Baris • 3 december 2018 23:26

IIS6? Echt? Men gebruikt dus gewoon producten die al jaren EOL zijn. Hier mag de AP best tegen optreden.

Baris @batjes • 4 december 2018 08:12

Jep, moet je eens naar reports.tdx.nl gaan. Zie je de error pagina van IIS6.

Gamebuster @Baris • 18 december 2018 09:18

Die software is gewoon 10 jaar oud waarschijnlijk. Uit de hand gelopen hobby

DaveFlash 3 december 2018 18:47

hmm. weer wordt hiervoor een nieuwe bank, bunq, dit keer misbruikt, dat dat niet op valt bij die leden van die club....

kodak

Phishing
Beveiliging en antivirus

3 december 2018 23:41

De pogingen tot phishing op tennisverenigingen gaan al zeker een halve maand rond. Zo waarschuwde LTC Emmen op 14 en 15 November nog voor verschillende phishingpogingen om de lidmaatschap te verlengen. En vorige week dinsdag waarschuwde bijvoorbeeld TC Zandvoort dat diverse verenigingen melding hadden gemaakt van phishingpogingen rond betalingen van lidmaatschap.

Neggs 4 december 2018 09:36

Niet direct met phishing te maken maar ik heb mijn buik vol van de knltb qua IT - zeker de club app zuigt.
Van alles beloven, niet- of slecht communiceren en dan een blog waar de reactie mogelijkheid is uitgeschakeld.....http://blog.knltb.club
De club app wordt door LISA gemaakt maar die bakken ze ook bruin. Facturen sturen voor zaken die we niet gebruiken, accountmanagers die dingen beloven die er nooit komen etc.
Moet het even kwijt. Kan me prima voorstellen dat ze geen controle hebben over hun infrastructuur en software....

D3vilke 4 december 2018 12:52

Ben ik blij dat tennisvlaanderen zijn samenwerking met deze prutsers heeft opgezegd. Nadat ze na 2 jaar development nog niet konden opleveren wat ze origineel na 6 maanden hadden beloofd. Om dan zulke resultaten te krijgen...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (50)

Sorteer op:

Weergave: