Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kentekens en adresgegevens 50.000 Snappcar-gebruikers uitgelekt via api

Door een lek bij autodeelplatform Snappcar lagen de kentekens en adresgegevens van 50.000 Nederlanders op straat. Die waren op te vragen via de api, ontdekte RTL Nieuws. Het lek is inmiddels gedicht en het bedrijf informeert getroffen gebruikers.

RTL ontdekte het lek na een tip van een lezer en bracht Snappcar daar maandag vóór publicatie van op de hoogte. Het bedrijf heeft het lek direct gedicht, waarna RTL publiceerde. Het bleek mogelijk om via de api informatie op te vragen die niet opvraagbaar zou moeten zijn. Het ging om kentekens en privéadressen van gebruikers.

Snappcar heeft inmiddels een reactie op het nieuws geplaatst. Daarin zegt het bedrijf dat er geen tekenen zijn dat er misbruik is gemaakt van het lek, en dat niemand toegang heeft gehad tot de adresgegevens en kentekens. Ook zegt het bedrijf dat e-mailadressen en wachtwoorden niet via de api te bemachtigen waren. Het bedrijf roept klanten die bezorgd zijn over het lek, op om contact op te nemen. Snappcar heeft de Autoriteit Persoonsgegevens ingelicht en klanten die getroffen zijn geïnformeerd.

Door Tijs Hofmans

Redacteur privacy & security

09-07-2019 • 16:31

67 Linkedin Google+

Reacties (67)

Wijzig sortering
Sorry, maar ik vind je strekking totaal verkeerd. Ik kom uit de Devops rol en ben zeer betrokken met security op dit moment. Daarnaast ook veel te maken gehad "change management" waardoor ik inzicht heb over de gehele organisatie en niet dat 'ene kleine' stukje waar jij het nu over hebt (onervaren programmeurs, etc.).

Ten eerste is een programmeur met alle respect een nobody binnen de organisatie. Ik bedoel dit niet inhoudelijk of persoonlijk, noch denigerend. Echter draagt een programmeur maar beperkte verantwoordelijkheid. Misschien verantwoordelijk voor zijn stukje code, dat dit wel "goed" moet zijn. Desalnietemin zul je nog steeds processen moeten hebben die zulke dingen kunnen waarborgen. Dus om zo'n hack af te schuiven richting "onervaren mensen die APIs bouwen en beveiligen", vind ik wel heel erg gemakkelijk. Dit is puur kijken naar 'eerste' oorzaak en gevolg. Niet vanuit WAAR die oorzaak vandaan is gekomen.

Er kan net zo goed een project manager en/of IT manager zijn die zorgt draagt dat bepaalde doelen behaald worden. Ook op het gebied van testing & security. Je mag en kan niet verwachten dat 1 programmeur de gehele organisatorische verantwoordelijkheid draagd.

Ook al is een programmeur onbekwaam en/of onervaren. Dan ligt die verantwoording alsnog bij een manager / baas. Hier zijn ook letterlijk rechtsuitspraken op gedaan. Recent nog een casus geweest van een verpleegkundige die door onkunde een grove fout heeft gemaakt. De uitspraak was dat "bedrijf" onvoldoende begeleiding heeft gegeven. Hoewel de verpleegkundige dermate "slecht bezig was", had bedrijf dit moeten signaleren en adequaat op moeten reageren.

Het feit dat men vrijheid krijgt in architectuur is helemaal niet slecht en zeker niet de gehele oorzaak is bepaalde infra niet 'okay' is. Immers vind ik dat hier een rol van CTO of whatever een eindverantwoordelijke rol in moet spelen. In het geven van de vrijheid en waar nodig managen om bedrijfswaardes te waarborgen (en dus ook security, CISO ;) ).

Zolang de big boss de waarde van gedegen producten niet inziet, er geen tijd en geld wordt geinvesteerd in kennis, kunde en rust, dan zal dit ook merkbaar zijn in de rest van de organisatie. Als er geen CISO is. Als er geen seniors zijn die ook nog ruimte krijgen om een veilig product te mogen ontwikkelen of hun kennis te delen met het rest van het team. Zeker als je alleen maar deadlines hebt en niet eens mag/kan werken aan test-cases, pen-tests, of whatever. Visa-versa ook als er geen gedegen mensen binnen de organisatie zitten die juist op een iets hoger niveau deze kernwaardes moeten overbrengen bij management. Maar laten we vooral die ene onervaren programmeur te schuld geven.

-----

Dat allemaal gezegd hebbende. Zolang er geen boeiende post mortem komt met daadwerkelijke details zit iedereen hier maar te gissen. Voor hetzelfde geld is eigenlijk alles best wel in orde en is er toevallig 1 stomme fout geweest. Misschien hebben ze vorige maand nog wel een volledige pen test gedaan en is er pas een nieuwe release geweest. Ik probeer het niet echt goed te praten, want uiteindelijk ben ik wel van mening dat dit echt wel voorkomen had moeten worden. Desalnietemin vind ik het te simpel om van die one-liners te roepen; "daar lag het aan". Want dat is pure onzin.
Jong, onervaren en meestal overmoedig. Vooral dat laatste wil nog wel eens de bovenhand nemen.
Mijn ervaring is dat juist de meest ervaren developers op den duur niet meer kritisch op zichzelf zijn en dan
juist de foutjes in de applicaties sluipen.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True