Klantgegevens waterbedrijf Dunea waren online te zien

Gegevens van klanten van het Zuid-Hollandse waterbedrijf Dunea waren tijdelijk online in te zien. Dat was mogelijk omdat de online tool om meterstanden door te geven te manipuleren was. Het lek is inmiddels gedicht.

De kwetsbaarheid werd ontdekt door tweaker Tim Struijs. Hij vond bij toeval een manier om de tool te manipuleren. Daardoor kon hij adressen en e-mailadressen van Dunea-klanten inzien. Dunea heeft 1,3 miljoen klanten in met name het westen van Zuid-Holland.

Klanten van Dunea konden op een speciale website hun meterstanden doorgeven. Daarvoor hadden zij alleen het opnamenummer nodig dat Dunea per post opstuurde. Er zat geen postcodecheck op de tool die controleerde of het opnamenummer bij een bepaald adres hoorde. Andere Nederlandse waterbedrijven in andere provincies hebben allemaal wel zo'n postcodecheck. Omdat die in dit geval ontbrak was het mogelijk om willekeurige opnamenummers in te vullen. Bovendien zat er geen limiet op het aantal keren dat iemand dat kon proberen. Ook ontbrak een captcha, waardoor de tool ook geautomatiseerd zou kunnen worden uitgebuit.

Als een aanvaller een werkend opnamenummer vond was het mogelijk een fictieve meterstand door te geven. Na dat te hebben gedaan verschenen klantgegevens in beeld. Het ging om het adres, de woonplaats en het e-mailadres van een klant. De tweaker die het lek ontdekte kwam zo in ieder geval één klant tegen. Tweakers wilde het lek niet reproduceren omdat dat zou betekenen dat we van klanten een onjuiste meterstand zouden doorgeven, maar Dunea bevestigt wel dat via deze methode ook potentieel andere adressen in te zien waren. "Er was wel een heel erg kleine kans dat iemand toevallig een kloppend opnamenummer kon opgeven", zegt een woordvoerder, al zou dat geautomatiseerd wel makkelijker zijn.

De woordvoerder zegt ook dat er vooraf al maatregelen in het systeem zaten om het doorgeven van niet kloppende meterstanden tegen te houden. "Op het moment dat iemand een meterstand opgeeft die niet kloppend is met de verwachtingen vragen we om een extra controle, zoals een foto van de watermeter." Volgens Dunea zijn er bovendien geen aanwijzingen dat het lek actief misbruikt is.

Nadat Tweakers eerder deze week het lek aan Dunea doorgaf haalde het bedrijf de tool uit voorzorg offline. Inmiddels is er ook een postcodecheck bij de tool geplaatst. Dunea heeft het lek doorgegeven aan de Autoriteit Persoonsgegevens en de betrokken persoon ingelicht. "Dunea heeft privacy hoog in het vaandel staan", schrijft het bedrijf in een reactie. "Wij hebben daarom na deze melding direct de toegang tot deze applicatie via onze website onbereikbaar gemaakt, onderzocht hoe dit kon gebeuren en direct een oplossing in gang gezet."

Door Tijs Hofmans

Nieuwscoördinator

24-05-2019 • 15:52

46

Reacties (46)

46
40
24
4
0
9
Wijzig sortering
Goed om te lezen dat het waterbedrijf het lek gedicht heeft.
AuteurTijsZonderH Nieuwscoördinator @Djordjo24 mei 2019 16:10
Ja, en moet ook gezegd worden dat ze er heel serieus en snel mee zijn omgegaan. Woensdag gemeld, vrijwel meteen een communicatiemanager aan de lijn die het serieus nam en er snel op reageerde, binnen dag of anderhalf een fix doorgevoerd... Dat heb ik bij sommige bedrijven wel eens anders meegemaakt.
Alleen jammer dat ik als klant niet op de hoogte ben gebracht :(
Alleen jammer dat ik als klant niet op de hoogte ben gebracht :(
Jouw gegevens zijn niet opgehaald / online ingezien.
Ik zou ook verwachten dat dit verplicht zou zijn, maar dat is het niet:
Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kunt u aannemelijk maken dat dit niet zo is? Dan hoeft u het datalek niet aan de betrokkenen te melden.

Let op: u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geeft u in uw melding aan dat u het datalek niet heeft gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeldt u welke redenen u heeft om de betrokkenen niet te informeren.
https://autoriteitpersoon...meldplicht-datalekken#faq
Op zich prima gereageerd als ik het zo lees. Wat me alleen verbaast is dat ze 1 klant inlichten, en de rest niet. Als klant van Dunea (die vorige week deze tool nog heeft gebruikt, maar niet in verdiept op dat moment) ben ik theoretisch gedupeerd, en of nu uit logging of niet wordt aangegeven dat dat niet zo is, voordat het in de pers staat stuur je toch ook je klanten even een nieuwsbrief?
Op zich prima gereageerd als ik het zo lees. Wat me alleen verbaast is dat ze 1 klant inlichten, en de rest niet.
Ze weten slechts van 1 klant dat de gegevens vrij zijn gekomen he.
Kunnen ze het echter ook onomstotelijk uitsluiten? Dat is in de praktijk vaak gewoon moeilijk en het artikel meldt enkel dat men geen aanwijzingen voor misbruik heeft kunnen vinden; een nieuwsbrief om mensen op de hoogte te brengen lijkt mij dan niet uit den boze :)
Ik denk dat het @JorgD vooral om de "intended pun" te doen was ;)
Ik snap wat je schrijft maar vind het woordje serieus niet op zijn plaats. Bij implementatie van online gegevens moet men meteen serieus omgaan en niet achteraf. Beetje snelle manier iets programmeren zonder check en daarna fixen... nope... meteen goed doen...
Maar wat je wel ziet is dat de GDPR 'incident' based wordt ingevoerd, met "Wij hebben daarom na deze melding direct de toegang tot deze applicatie via onze website onbereikbaar gemaakt, onderzocht hoe dit kon gebeuren en direct een oplossing in gang gezet." voorkom je de boete of vervolg acties. Je ziet dit nu meer bij bedrijven, GDPR wordt zo heet nog niet gegeten, we zien het wel als het zo ver is.
Als ze een lek niet dichten wordt 't wel erg nat en zo.....
Niet zo serieus man, hij maakt een woordgrapje
Heeft in dit geval de Tweaker (Tim), Tweakers ingelicht over dit lek?

Ik heb een paar weken geleden op een niet nader te noemen platform iets soortgelijks ontdekt en direct het bedrijf ingelicht. Nog geen half uur later had ik een ontwikkelaar aan de lijn die, na een paar gerichte vragen gesteld te hebben, het lek gedicht heeft. Ik geloof dat zij het verder netjes hebben afgehandeld en het gemeld hebben bij de AP. Heeft het verder nut om bijvoorbeeld een Tweakers hiervan op de hoogte te stellen?
AuteurTijsZonderH Nieuwscoördinator @Whis!24 mei 2019 16:49
Goede vraag, zeker relevant in zulke gevallen. De lezer heeft eerst netjes bij het bedrijf aangeklopt, maar kreeg daarop geen (goede) respons van de klantenservice. Dan kun je het hogerop zoeken in een bedrijf, maar dat is soms lastig en kost veel tijd. Hij heeft ons toen getipt, wij hebben het via de communicatieafdeling volgens responsible disclosure afgehandeld (dus: tijd geven om het lek te dichten voor publicatie etc.).
Okay. Het ging in mijn geval niet 'slechts' over een paar simpele NAW gegevens, maar over kopieën van identiteitsbewijzen, loonstrookjes, contracten en nog veel meer ontzettend privacygevoelige informatie en documenten.

Gezien de aard van de data hebben ze denk ik ook erg snel en adequaat opgetreden. De directeur heeft me tevens uitgenodigd op hun kantoor en verteld dat het lek nooit misbruikt is en dat het gemeld is bij de AP. Dit zou ik dan maar moeten aannemen denk ik. Hun manier van communiceren heeft mij in ieder geval doen besluiten om niet de publiciteit op te zoeken.
AuteurTijsZonderH Nieuwscoördinator @Whis!24 mei 2019 19:30
Ik miste even je laatste vraag in je eerdere comment, maar: ja, wat mij betreft is het altijd interessant om ons/mij te tippen. Dan kunnen we hier altijd afwegen of het ook achteraf waard is daarover te publiceren, dat zal per geval verschillen - in het geval dat je beschrijft zal dat eerder zo zijn.

Inderdaad, de manier waarop een bedrijf reageert kan veel verschil maken, maar hoe dan ook gaan wij er altijd via responsible disclosure mee om. Sommige bedrijven zijn daar echter wat gevoeliger voor dan anderen :)
Ja, het heeft nut. Het is wel zo leuk als klanten weten dat er een kleine kans bestaat dat hun gegevens zijn gelekt, iets wat niet elk bedrijf na een lek doorgeeft aan die klanten.
Iets wat ook niet altijd gemeld hoeft te worden aan de klanten.
Volgens Dunea zijn er bovendien geen aanwijzingen dat het lek actief misbruikt is.
Het bekende ontken excuus, Dunea had er in beginsel niet eens een idee van dat het kon gebeuren dus hebben ze er ook geen idee van of het lek misbruikt is. Als je iets niet onderzoekt (of kan onderzoeken) dan is het erg makkelijk om te stellen dat je geen aanwijzingen hebt gevonden.
Anoniem: 310408 @botoo24 mei 2019 16:26
Dus jij denkt dat ze gewoon de schouders opgehaald hebben en niets onderzocht hebben? Het valt absoluut niet mee om op een modern systeem al je sporen uit te wissen. De tools die een onderzoeker kan gebruiken om log files te onderzoeken zijn tegenwoordig werkelijk niet te onderschatten.

Daarnaast, van verreweg de meeste kwetsbaarheden kan gewoon nooit aangetoond worden dat het ook misbruikt is. Als de data inderdaad gelekt is dan zie je die vrij snel in bestanden die te koop zijn opduiken, als dat niet zo is moet je de kans dat er werkelijk aanvallers waren als bijzonder klein achten. In een geval als dit moest de aanvaller wel erg veel geluk hebben om precies dit te checken.

Als jij aanwijzingen hebt dat in dit geval er wel gelekt is moet je die zeker met ons delen!
Ik heb bij een aantal MSP's gewerkt om bepaalde securityprocessen te verbeteren en ik kan je vertellen dat 99% van de MSP's zelf niets instelt qua auditing. En helaas is de default auditing van veel systemen matig. Het is als onderzoeker vaak een tijdrovende klus om maar een beetje logging bij elkaar te krijgen om genoeg verbanden te kunnen leggen.
Het lek is eerder deze week doorgegeven. Ze hebben dus wel even de tijd gehad om te onderzoeken of het misbruikt is.
Als je in de logs geen overdreven aantal foutief ingevulde meldingsnummers ziet, kun je er redelijk zeker van zijn dat er geen brute-force toegepast is.
Als er logs zijn dan he
Ja. mss zijn er geen logs (meer) van bv de webserver. De waterstanden zullen er gewoon zijn. En die kunnen ze vergelijken met een vooraf berekent verwacht getal en dan kun je op die fiets redelijk snel zien(in dit geval) of er meer personen getroffen zijn.
Kan best zijn dat ze logging hebben van alle acties en dus kunnen zien dat er maar 1x iemand twee nummers heeft gedaan. En dus terecht aangeven dat het niet misbruikt is.
Het zou geen kwaad kunnen als er eens iets van een kwaliteitscode voor programmeurs komt waar zij zich aan dienen te houden, en anders gewoon niet aan publiek gebruikte systemen mogen werken.

Naast dat niemand dit zo had moeten bedenken, had dit ook niet zo gebouwd moeten worden.
If you think it's expensive to hire a professional to do the job, wait until you hire an amateur.

[Reactie gewijzigd door frickY op 23 juli 2024 04:17]

Wel toepasselijk. Waterbedrijf - lek.
Als Dunea privacy (en dus bescherming van klantgegevens) zo hoog in het vaandel heeft staan zet ik vraagtekens bij de kwaliteit van de IT en controleprocessen bij Dunea.
Zo'n site/applicatie wordt niet door het bedrijf zelf ontwikkeld. Dit is in opdracht van Dunea gedaan door een web/app-ontwikkelaar. De oorzaak van deze fout kan op zeer veel lagen liggen. Het kan zijn dat de ontwikkelaar teveel vertrouwen had in zijn RNG (random number generator) voor de meldingsnummers. Het kan ook zijn dat de opdrachtgever bij Dunea vond dat zo'n postcodecheck niet nodig was. Het kan ook zijn dat een manager gezegd heeft dat ze dat te gebruikersonvriendelijk vinden en het idee daarom afgeschoten hebben.

Het is ontzettend moeilijk direct te wijzen naar waar zo'n fout ontstaat maar het heeft totaal geen zin om direct de hele IT dan wel organisatie van zo'n bedrijf hierop af te rekenen. Dat het slechte PR is, moge duidelijk zijn.
Oneens, Dunea blijf en is verantwoordelijk.
En ze hebben hun verantwoordelijkheid ook genomen. Zodra het lek bekend werd gemaakt is de tool offline gehaald, aangepast en werd het lek gemeld aan de AP.
ACM Software Architect @yobikap24 mei 2019 16:26
Ook bij bedrijven waar IT wel core business is kunnen dit soort situaties voorkomen. Bijvoorbeeld omdat het over het hoofd wordt gezien (of de specifieke kennis bij de ontwikkelaar ontbrak) - op zijn minst ten tijde van het onwikkelen, wat al weer enige tijd geleden geweest kan zijn. En ook die leeftijd kan over het hoofd gezien worden.

Dat is juist het probleem met beveiliging, er zijn legio manieren om iets te misbruiken. En je hoeft er maar een niet te kennen (of vergeten), te missen, of niet goed genoeg af te dichten...

Ter aanvulling op @Evanescent het hoeft allemaal niet eens bewust gedaan te zijn ;)
Maar niet alleen het over het hoofd zien, ook een gebrek aan nacontrole van wat je beschikbaar stelt aan de buitenwereld. Dat zou een bedrijfspolicy moeten zijn, of je het nou in-house controleert of uitbesteed aan een IT-security club die zo'n tool doorlicht en een rapportje over schrijft. De klacht is dus eigenlijk niet dat men een fout maakt maar dat het ook geen prioriteit lijkt te hebben in het bedrijf om je security door te lichten.
Als je gewoon een pen-test had gedaan voor release (en dan om de x-periode) dan had je zoiets triviaals wel opgepakt. Met 1.3 miljoen klanten is dat eigenlijk een grove nalatigheid.

Dat heeft niets te maken met kennis van de ontwikkelaar, maar met bewustwording van security in de algemene zin.
Dat mag wel wezen. Maar zorgen dat je niet direct bij informatie van andere gebruikers/klanten kan komen door ergens direct heen te linken is wel een beetje security 101. Het is minimaal erg slordig.

Verder wel gelijk dat het iedereen kan overkomen. Fouten maken kan, hoe het opgelost is veel belangrijker dan de fout zelf. Gezien de reactie, dikke kudos, zullen ze hier wel van geleerd hebben.
En zelfs bij bedrijven bij wie het wel core business is kan dit voorkomen.

Maar dat ze het niet serieus nemen wil ik niet gezegd hebben. Je weet niet wie er allemaal bij betrokken is en welke beslissingen er genomen zijn.
Anoniem: 310408 @yobikap24 mei 2019 16:19
Ze bezuinigen op IT en nemen het niet serieus.
Werk jij bij Dunea of roeptoeter je gewoon maar wat? Veel andere opties zijn er niet.

Het is erg in de mode op Tweakers om te roepen dat bedrijven IT niet serieus nemen maar ik zie dat gewoon niet stelselmatig. Natuurlijk wil de IT afdeling meer budget maar dat wil marketing ook. Nog nooit een afdeling tegengekomen die zeiden dat ze het met wat minder ook wel zouden redden. Ik zie de laatste tien jaar een enorme professionalisering binnen bedrijven. Veel tweakers werken zich uit de naad om dat te bewerkstelligen.

In keiharde cijfers heb je ook gewoon ongelijk. Het percentage dat bedrijven aan IT uitgeven is de laatste 5 jaren met 11% gestegen.
Anoniem: 310408 @yobikap24 mei 2019 16:52
Je hebt het over bedrijven, en ik heb het over een bedrijf. Dat zijn twee verschillende zaken.
Okay dan hebben we het over Dunea (tenslotte het onderwerp van dit nieuwsbericht...), blijft de vraag... Werk jij bij Dunea of roep je maar wat?

Het spijt me dat je om je heen ziet dat er op IT bezuinigd word. Ik zie dat gewoon niet en heb werkelijk geen enkele aanwijzing dat bezuinigen tot meer lekken leiden zoals jij gelooft. Kan je enige voorbeelden geven? Lekken genoeg tenslotte.

En lek als dit kan door tientallen oorzaken ontstaan. Ik denk er geen professionele IT'er is die durft te beweren dat het bij hem en bij onbeperkt budget niet zou gebeuren. Als een van mijn IT'ers dat zou roepen zou ik hem waarschijnlijk kwijt willen.

[Reactie gewijzigd door Anoniem: 310408 op 23 juli 2024 04:17]

"Wij hebben daarom na deze melding direct de toegang tot deze applicatie via onze website onbereikbaar gemaakt, onderzocht hoe dit kon gebeuren en direct een oplossing in gang gezet."
Over het algemeen omdat een manager vindt dat het wel makkelijker kan en het onnodig ingewikkeld vindt voor een gebruiker om ook nog een postcode in te vullen...

Op dit item kan niet meer gereageerd worden.