Beveiligingsonderzoeker kon duizenden klantgegevens van webshopbeheerder inzien

De informatie van meer dan 7000 klanten van verschillende webshops was makkelijk toegankelijk voor derden door een configuratiefout. Een beveiligingsonderzoeker ontdekte het lek bij Mijnwebshoppartner, dat de kwetsbaarheid inmiddels stilzwijgend heeft gedicht.

Beveiligingsonderzoeker Dennis Baaten ontdekte in september een kwetsbaarheid op webshopplatform Mijnwebshoppartner. Hij beschrijft in een blogpost dat het gaat om een Insecure Direct Object Reference-kwetsbaarheid gaat. Daarbij wordt input van een gebruiker niet goed gevalideerd. Baaten kon via de kwetsbaarheid data in xml-formaat van de website aflezen door de url handmatig te veranderen.

De website gebruikte oplopende klantnummers die Baaten kon opvragen via de url. Hij kreeg dan namen, adressen en contactinformatie te zien van gebruikers. Het ging bij dat laatste om e-mailadressen en telefoonnummers. Ook waren in sommige gevallen bedrijfsnamen, KvK-nummers en btw-nummers te zien. Tot voor kort hadden zelfstandig ondernemers een btw-nummer dat was gebaseerd op hun burgerservicenummer.

Baaten zegt dat het klantbestand op die manier eenvoudig geautomatiseerd te downloaden was. In totaal stonden er 7232 klanten in de database, die verdeeld stonden over vier webshops. Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Door een configuratiefout in zijn eigen mailserver, maar merkte later wel op dat het lek gedicht was. Daarop besloot hij zijn blog te publiceren. Tegen Tweakers zegt Baaten dat hij testen heeft uitgevoerd en dat het niet meer mogelijk is zonder authenticatie gegevens op te vragen. Of het probleem voor alle webshops die onder Mijnwebshoppartner vallen is opgelost weet hij niet. "Mogelijk zijn er nog meer webshops die op dit platform draaien die ik niet heb gevonden. Dan zou het probleem nog groter in omvang zijn", zegt hij.

Update: Baaten zegt nu dat het uitblijven van een reactie van het bedrijf kwam door een configuratiefout in zijn eigen mailserver.

Webshop

Reacties (57)

DennisBaaten 9 oktober 2020 23:34

Ik heb zojuist een update toegevoegd in mijn blogpost (https://www.baaten.com/bl...egevens-webshop-platform/). De uitblijvende reactie van de leverancier was blijkbaar het gevolg van een e-mail probleem. Ik heb vanmiddag nog aan de redactie van Tweakers doorgegeven dat er plotseling tóch contact was met de leverancier en dat er een update zou volgen. Maar ik zie nu dat dit bericht de redactie niet meer tijdig heeft bereikt.

Jochem

@DennisBaaten • 10 oktober 2020 09:40

Wellicht goed te melden dat door een configuratiefout in @DennisBaaten mailsysteem de mails van de leverancier van de webshopsoftware hem met een inhoudelijke reactie niet kon bereiken.

djwice

@DennisBaaten • 11 oktober 2020 21:30

@TijsZonderH zie aanvulling hierboven van @DennisBaaten

[Reactie gewijzigd door djwice op 31 juli 2024 21:10]

Luc45 10 oktober 2020 10:06

In zijn blogpost schijft hij het volgende:

Ik hoop dat de leverancier in staat is geweest om een datalek uit te sluiten. Bijvoorbeeld op basis van beschikbare loggegevens. Wanneer dit niet redelijkerwijs kan worden uitgesloten, zullen de 4 webshops in kwestie binnen 72 uur melding moeten maken van een datalek.

Nu heeft hij zelf al de volledige klanten database tot zijn beschikking door middel van de enumeratie. Hierdoor is er al sprake van een datalek. Als er een steekproef had plaats gevonden, dan had het wellicht ter discussie kunnen staan.

Dit staat ook duidelijk aangegeven in een bekend en veelgebruikt voorbeeld van een responsible diclosure beleid op https://responsibledisclosure.nl/

Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen

dakathefox 9 oktober 2020 20:41

In de afgelopen 10 jaar ben ik meer dan 50 van dit soort veiligheidslekken gestuit. Elke keer keurig melding van gemaakt bij de partij in kwestie, maar je wordt:

a) Voor gek verklaard
b) Kaltgestellt
c) Vriendelijk bedankt en verzocht op te tyfen

Het is maar zelden dat je een webshopeigenaar of -ontwikkelaar treft die echt blij is met je feedback én ook de ballen heeft om er melding van te maken bij de Autoriteit Persoonsgegevens. Dat zal in dit geval ook wel niet gedaan zijn door Mijnwebshoppartner neem ik aan.

Wat dat betreft mag de AP ook wel harder optreden. Denk aan het openbaar maken van de geconstateerde veiligheidslekken bij partijen of de mogelijkheid om veiligheidslekken direct en zonder tussenkomst van de eigenaar bij het AP te melden. Iets wat nu niet kan.

Verwijderd @dakathefox • 9 oktober 2020 21:46

Klopt. Bij mij ook. Een erotische webwinkel "overgenomen" van een klant, die andere / betere hosting zocht en meer persoonlijke support nodig had. Kijk ik naar het facturatiesysteem, wordt dit gewoon aangeboden in /klant.php?factuur=XYZ waarbij XYZ een ordernummer was, en door het puur wijzigen van dit ordernummer zo de hele inzage had in iedereen die ooit artikelen met name tot dildo's en toestanden had besteld

Het moet allemaal snel, en men let nauwelijks op security, privacy en toestanden.

Verwijderd @dakathefox • 9 oktober 2020 20:50

Er hoeft maar 1 gedupeerde te klagen bij AP en dan krijgt die webshop een fikse boete.
Ik zou juist enorm dankbaar zijn als iemand de moeite neemt het lek te melden zodat ik het kan dichten, sterker nog, ik zou hem misschien wel een baan aanbieden.

dakathefox @Verwijderd • 9 oktober 2020 20:58

Er hoeft maar 1 gedupeerde te klagen bij AP en dan krijgt die webshop een fikse boete.

En ik vraag me dus serieus af of dat zo is.

cbravo2 @dakathefox • 9 oktober 2020 21:07

Ik heb wel eenss aangifte gedaan bij het AP over een ingekochte lijst van Marktplaats adressen. Gebeurt echt niets mee.

CorbataGames

@cbravo2 • 9 oktober 2020 21:13

Ik heb wel eens aangifte moeten doen van een datalek namens een klant. De aangifte was al gedaan maar de klant werd vermanend opgebeld door de AP dat die aangifte er binnen 3 dagen moest zijn....

Ze zitten er dus wel degelijk bovenop.

tja @dakathefox • 10 oktober 2020 04:27

nope, winkel belooft beterschap, einde klacht. pas bij herhaaldelijke grootschalige overtreding waarbij geen aanstalten is gemaakt tot verbetering en na herhaaldelijke dreiging zal de AP er over gaan nadenken. kijk naar het aantal klachten en daadwerkelijk uitgedeelde boetes.

dakathefox @tja • 10 oktober 2020 11:10

Inderdaad. Dat vermoeden had ik dus al. Nou moet ik ook eerlijk bekennen dat het aantreden van ene meneer Aleid W als bestuurder mij persoonlijk niet echt heeft geholpen in de overtuiging dat dit een club is die serieus stappen durft te nemen.

tja @dakathefox • 10 oktober 2020 12:27

vergeet niet dat nu elk prive persoon een klacht of melding kan doen en dat de organisatie hier niet op ingericht was, je zit dus met een capaciteitsvraagstuk. daarnaast hebben ze destijds al een overgangsperiode ingebouwd met meldplicht datalekken. de paniek in de markt destijds was volkomen onnodig. ik vind wel dat de AP harder moet bijten ook naar kleine clubjes toe. stel maar een paar voorbeelden. grote overtreders van dit moment zijn bijvoorbeeld de socials, webwinkels en recruitment bureaus. ik krijg af en toe een belletje van een cv uit 2016 of afgelopen maand nog de vraag of ik voor 10 jaar toestemming wilde geven voor het verwerken van mijn cv. 10 jaar kan dus niet. ik heb toestemming geweigerd en al nooit gegeven maar ze verwerken nog steeds mijn verouderde cv. wat je nu in hemelsnaam moet met een verouderd cv weet ik niet. AP zou grote partijen moeten aanpakken als signaal, google, facebook, noem ze maar. ze kunnen ook zelf een onderzoek zonder klacht starten zoals destijds bij microsoft en telemetrie in windows. maar 1 klacht van een prive persoon doet helemaal niets,.

bbob @dakathefox • 10 oktober 2020 08:11

AP hoeft niet op te treden op een melding, ze hebben die keuze.
Daarnaast kijken ze ook om wat voor gegevens het gaat. n.a.w gegevens zijn over het algemeen niet echt kritische gegeven.
Een BSN nummer is dan weer iets anders. Ze zullen het dus van geval tot geval bekijken.
Een lek in een medische database met patiëntgegevens is heel iets anders dat n.a.w gegevens van een webshop.

kodak

Datalek
Beveiliging en antivirus

@dakathefox • 10 oktober 2020 15:37

Er is in 10 jaar wel wat gewijzigd om wat minder te hoeven accepteren dat dit gebeurt. Er is bijvoorbeeld responsible disclosure en bugbounty ontstaan. Je hoeft niet alleen afhankelijk van een onwelwillend bedrijf te zijn om dit soort lekken op te lossen. En zelfs als je denkt wel afhankelijk te zijn dan hoef je je ook niet in te houden om het verantwoord publiek te maken als een bedrijf serieuze lekken over persoonsgegevens niet verhelpt.
Natuurlijk mag je verwachten dat anderen meer of ook hun best doen. Maar als onderzoeker is klagen dat het aan een ander ligt terwijl je het zelf ook noemt al te veel moeite wil doen inmiddels te makkelijk. Dus als het echt zo erg was, heb je dan andere manieren gezocht om het opgelost te krijgen?

Wim-Bart @dakathefox • 11 oktober 2020 05:38

Ik heb zelf gewoon aangifte gedaan bij de AP van 3 sites nadat deze niet gereageerd hadden en er niks aan gedaan was. Kreeg ook een vraag van de AP over bewijsvoering en of ik het lek kon aantonen. Heb de informatie aangeleverd, en alle drie de bedrijven hebben het gefixed. 1 van de drie heeft nog gepoogd mij te achterhalen om mij aansprakelijk te stellen voor de kosten. Maar dat is niet gelukt (ik was er zelf klant en slachtoffer van het lek).

djwice

@dakathefox • 11 oktober 2020 21:40

Veel partijen hebben intern te weinig kennis om de melding te begrijpen.
Ik ken een webhosting partij die ik in december 2019 heb gewezen om het niet PCI-DSS compliant zijn (volks mond; ze hebben de encryptie op HTTPS niet op orde - deze standaard stelt eisen aan verwerkingen van betalingen ) én hoe ze dat kunnen oplossen in het merk webserver dat ze hebben (paar minuten werk; slechts een configuratie aanpassing).

Ik heb hen daarna nog 3x in contact getreden, zelfs een test gegeven die ze gratis zelf gratis kunnen uitvoeren.
En links naar onafhankelijke partijen die uitleggen in 1 pagina hoe dat te configureren op de server én wat de impact daarvan is.

Maar tot op heden geen resultaat. Die partij host ruim meer dan 35.000 websites waaronder ook webshops die persoonsgegevens verwerken en waar je uiteraard ook kunt betalen.

Opgegeven reden: het kost tijd om de impact te testen en heeft geen prioriteit - geen andere "klachten" er over gehad.

[Reactie gewijzigd door djwice op 31 juli 2024 21:10]

dakathefox @Verwijderd • 9 oktober 2020 20:58

Inbreken is iets te kort door de bocht. Ik zie het meer als iemand wijzen op het feit dat ze het autoraam open hebben laten staan. Dat mag je vervelend vinden, maar het is geen inbreken te noemen.

Natuurlijk heb je altijd een verschil van inzicht hierover. De partij die meende mij juridisch aan te moeten pakken is van een zeer koude kermis thuisgekomen.

Verwijderd @dakathefox • 9 oktober 2020 21:10

Het is geen inbreken idd, want alles stond open. Net als jij je deur open laat en ik bij je naar binnenloop om ff te zeggen dat je wel je deur op slot moet doen. Daar wordt je ook blij van toch, als ik ineens in je woonkamer sta?

"Nou dank je wel zeg, ga lekker zitten, bakje koffie? :)"

dakathefox @Verwijderd • 10 oktober 2020 11:16

Nee, je vergelijking gaat mank.

Het is als het open hebben van je autoraam, terwijl de auto op je oprit staat. Ik zou dan aanbellen bij de voordeur en dan zeggen dat je je autoraam open hebt staan. Ik zou niet zomaar naar binnen lopen, ik zou ook niet het kinderzitje uit de auto meenemen als bewijslast.

Tegelijkertijd zou ik ook geen kopje koffie verwachten, een simpele dankjewel is al voldoende. Maar de realiteit is gewoon dat de deur dicht geflikkerd wordt en dat je vriendelijk verzocht wordt op te donderen van het erf.

Xzorby @Verwijderd • 10 oktober 2020 03:12

Het is niet zomaar als de deur open laten staan, het is als een enorme stapel persoonsgegevens op de deurmat laten liggen.

amigob2 @Verwijderd • 10 oktober 2020 09:06

ik wordt heel blij als iemand aanbelt en mij zegt dat de garagedeur of de voordeur open staat.
Je bent gewoon aan het trollen en niet anders

Verwijderd @dakathefox • 9 oktober 2020 21:01

precies dit. Zolang mensen niets slopen vind ik het juist erg goed als ze op een vriendelijke manier je op een lek wijzen. Uiteindelijk zijn het toch je klanten en je bedrijfsgegevens die mogelijk op straat komen te liggen. Wat dakathefox zegt, iemand wijzen op een open autoraam is netjes. Het is natuurlijk een ander verhaal als iemand je ruit ingooit met een steen en vervolgens zegt, kijk ik kan zo je auto binnenkomen

Verwijderd @Verwijderd • 9 oktober 2020 21:22

In dit geval zou ik eerder zeggen dat iemand dus iets uit de auto gepakt heeft. Hij heeft klantdata gedownload.
Lastig natuurlijk, de vertaling naar de echte wereld. Krijg je nooit helemaal kloppend die analogie.

Je kan ook zeggen dat hij een verantwoordelijkheid heeft om goed op die data te passen en dat er dus wel degelijk een basis is om er wat van te zeggen.
Toch zullen velen het opvatten als; "je loopt mn huis in, optyfen jij". En dat blijkt ook wel uit de reactie hierboven, hij krijgt vrijwel nooit een positieve reactie. Misschien een beetje naief om te denken dat iedereen blij gaat zijn met je?
Ik ken niet zoveel mensen die blij worden als je ze op hun fouten wijst.

Zyppora @Verwijderd • 9 oktober 2020 22:06

Wat zie jij dan als correcte manier van hiermee omgaan? Want het enige dat ik door je reacties heen zie is dat men maar gewoon niks moet doen, want 'inbreken is fout'. En vervolgens gaan die klant(!!)gegevens na verloop van tijd vrolijk de zwarte markt op want iedereen die erbij kon en zich verder geen zak aantrok van wat de beheerder van deze klantdata vindt van de term 'exploit' verdient er goud geld mee.

turbojet80s @Zyppora • 9 oktober 2020 23:13

Als Dennis voor een open autoraam had gestaan, had hij dan ook alles uit de auto meegenomen waar hij zo bij kon om het vervolgens bij de eigenaar op zijn bureau te gooien en te zeggen: nou meneer dit komt ervan als u uw raam open laat staan?

Als antwoord op jouw vraag

Wat zie jij dan als correcte manier van hiermee omgaan?

Zou ik zeggen: Dennis had ook het lek kunnen aankaarten zonder alle gegevens van alle klanten te downloaden..

[Reactie gewijzigd door turbojet80s op 31 juli 2024 21:10]

Zyppora @turbojet80s • 10 oktober 2020 00:57

Als Dennis Baaten voor een open autoraam had gestaan, had hij dan ook alles uit de auto meegenomen waar hij zo bij kon om het vervolgens bij de eigenaar op zijn bureau te gooien en te zeggen: nou meneer dit komt ervan als u uw raam open laat staan?

Hij heeft dan ook niks meegenomen. Hij zag simpelweg de gegevens door het raam liggen en is ze gaan overpennen. Als de gegevens nu verdwenen waren van de servers dan was ik in de meenemen vergelijking meegegaan, en als Dennis nu daadwerkelijk op de servers had moeten inbreken via SSH of Telnet of iets dergelijks, dan zou ik met de inbraak/insluiping vergelijking meegaan. Maar het feit blijft nu eenmaal dat die klantgegevens via de buitenkant op te halen waren

Als antwoord op jouw vraag
[...]

Zou ik zeggen: Dennis had ook het lek kunnen aankaarten zonder alle gegevens van alle klanten te downloaden..

Ik kan dan ook nergens vinden dat hij alle gegevens van alle klanten heeft gedownload. In het screenshot hierboven, wat ook op de blog van Dennis terugkomt, zitten we op ID 80 en staat de scrollbalk bijna halverwege. Dat zijn dus sowieso geen 7000 records. Aangezien de IDs opvolgend zijn is best te verzinnen dat je gaat kijken welke IDs nog wel records teruggeven en welke niet, om op basis daarvan het totaal aantal records te kunnen bepalen. Maar goed, dat zijn van ons beide aannames.

Overigens is downloaden van de records bijna niet te voorkomen voor het aantonen van het lek, gezien het inzien van de records technisch al downloaden is. Ik ga er tevens vanuit dat als Dennis zo eerlijk is het lek te melden, dat hij dan ook wel verantwoord omgaat met de records die hij gedownload heeft. Die zullen niet via hem op de zwarte markt terechtkomen, lijkt me zo.

turbojet80s @Zyppora • 10 oktober 2020 07:23

Ik kan dan ook nergens vinden dat hij alle gegevens van alle klanten heeft gedownload.

Je geeft zelf aan:

Overigens is downloaden van de records bijna niet te voorkomen voor het aantonen van het lek, gezien het inzien van de records technisch al downloaden is.

In het artikel staat:

Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.

Hoe kon hij het aantal dan weten?

Edit: met 3 tot 10 records had hij het lek ook aan kunnen tonen. Dan is het aan het bedrijf om het lek en de scope te melden de AP.

Nog beter was geweest als hij van te voren toestemming had gevraagd: ik vermoed dat ik hier misbruik van kan maken. Mag ik dit verder onderzoeken?

[Reactie gewijzigd door turbojet80s op 31 juli 2024 21:10]

Zyppora @turbojet80s • 10 oktober 2020 10:35

[...]
Je geeft zelf aan:

[...]
In het artikel staat:

[...]
Hoe kon hij het aantal dan weten?

Aantal bepalen bij initiële vondst? Op de wijze die ik hierboven uitgelegd heb.

Edit: met 3 tot 10 records had hij het lek ook aan kunnen tonen. Dan is het aan het bedrijf om het lek en de scope te melden de AP.

Nog beter was geweest als hij van te voren toestemming had gevraagd: ik vermoed dat ik hier misbruik van kan maken. Mag ik dit verder onderzoeken?

En wat voor antwoord verwacht je dan te krijgen? En als je nee te horen krijgt en een maand later blijkt de site nog steeds wagenwijd open te staan, en de klantgegevens worden inmiddels te koop aangeboden op het darknet?

turbojet80s @Zyppora • 10 oktober 2020 11:39

Dat is dan het probleem van het bedrijf en de gedupeerden. Wat Dennis heeft gedaan is gewoon niet toegestaan: https://www.ncsc.nl/aan-d...en-in-ict-systemen-vinden

[Reactie gewijzigd door turbojet80s op 31 juli 2024 21:10]

Verwijderd @Zyppora • 10 oktober 2020 08:45

Ik probeer alleen de reactie van een bedrijf te verklaren. Men doet daar verbaasd over en het bedrijf zou blij moeten zijn. Dat vind ik een rare verwachting. Sommigen mensen vinden het blijkbaar moeilijk zich te verplaatsen in de positie van een ander.
In een soort utopische wereld gaat dat misschien zo, dat je een blij antwoord krijgt.
Of het terecht is, is moeilijk te zeggen. Zoals ik al aangaf, het bedrijf heeft een verantwoordelijkheid. Ik verwacht niet dat er opzet in het spel is, meer onkunde.

Ik weet ook niet wat er gecommuniceerd is. Misschien is het bedrijf wel gemaild met het volgende: "Je site is lek en als je het niet snel fixed zet ik het op m'n blog".
Ik zou daar ook niet op reageren denk ik. Het ligt een beetje aan de context

Ik wijs bedrijven ook wel een op issues met hun e-mail, hoe ze het in de inbox kunnen krijgen ipv in de spam. Krijg er nooit reactie op, zit men niet op te wachten. Toch is het gratis advies, ik verdien er goed geld mee bij andere bedrijven. Men wilt gewoon geen commentaar van een vreemde

Edit:

Ik vind overigens dat de schrijver van het blog zijn eigen belang er ook bij trekt. Als hij zo'n goed mens is die de wereld wil verbeteren, waarom moet hij het dan op zijn blog zetten? Dat is gewoon eigen gewin ten koste van een ander toch? Om de situatie te verbeteren is het gewoon niet nodig om het op een blog te zetten. Geeft een soort nasmaak en ik geloof zo'n kerel dan ook niet meer.
Wat hij moet doen is het melden bij het bedrijf en AP. Die blog kan lekker achterwege blijven.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 21:10]

Zyppora @Verwijderd • 10 oktober 2020 11:28

Ik begrijp wel wat je bedoelt, maar ik ben het er toch echt mee oneens. Als ik een briefje onder mijn ruitenwisser vind met de contactgegevens van iemand die per ongeluk mijn auto geraakt heeft bij het uitparkeren, ben ik ook blij. Niet omdat ik schade heb, maar omdat deze persoon blijkbaar integer genoeg is om het netjes te melden.

Dat de reactie van het bedrijf verklaarbaar is, snap ik. Maar dat maakt het nog niet correct. Het op een fout gewezen worden is niet fijn, maar de gevolgen van het niet melden van zo'n fout kunnen zo ongelofelijk groot zijn dat het simpelweg niet maatschappelijk verantwoord is om het niet te doen. En even goede vrienden, ik vind het in dit geval ook wel een beetje muggenziften gezien de daadwerkelijke reactie van dit bedrijf. De radiostilte is niet netjes, maar het lek is wel gedicht -> missie geslaagd dus. Ik denk dan ook dat de afgunst vooral in het licht staat van hoe er in het verleden met dit soort klokkenluiders om is gegaan.

De realiteit is dat we met een web zitten dat gewoon zo lek als een mandje is, en dat die lekke websites steeds meer persoonlijke data opslaan, met alle risico's vandien. Mensen zoals Dennis helpen de situatie te verbeteren, maar in plaats daarvan werden ze tot voor kort nog verketterd en aangeklaagd, en ook nu nog lijkt er, in een groot deel van de reacties hier in elk geval, afkeurend gereageerd te worden op zijn acties. Ik ben juist van mening dat we dit soort mensen hard nodig hebben.

Donstil @dakathefox • 9 oktober 2020 23:35

Inbreken is iets te kort door de bocht. Ik zie het meer als iemand wijzen op het feit dat ze het autoraam open hebben laten staan. Dat mag je vervelend vinden, maar het is geen inbreken te noemen.

Nou het is vaak meer “kijken hoe ik via dat Open autoraampje op de bestuurders stoel kan gaan zitten, of in het dashboard kastje kan kijken”, ik snap best dat je daar als webshop eigenaar in eerste instantie geen gat voor in de lucht springt.

dakathefox @Donstil • 10 oktober 2020 11:13

Dat is een keuze hè... De laatste keer dat ik een veiligheidslek aantrof, was bij een hotelketen die gewoon alle personeelshandboeken open en bloot op het internet had staan. Inclusief de code van de achterdeur, de code van de kluisjes, etc, etc. In overleg met de manager heb ik verder onderzoek gedaan en kwam ik tot in het klantreserveringssysteem met daarin alle historische, lopende en komende boekingen.

kodak

Datalek
Beveiliging en antivirus

@dakathefox • 10 oktober 2020 12:59

De onderzoeker liet zien nogal veel persoonsgegevens te zijn gaan downloaden omdat het kon. Maar het doel is niet om dat te doen maar om duidelijk te maken dat iets niet in orde is en waarom dat opgelost moet worden. Dat het voor een onderzoeker dan mogelijk is om zelf ook veel weg te nemen is geen excuus om dat dan ook maar te doen. Als je het met minder persoonsgegevens kan aantonen dan hoor je ook minder te downloaden. Het beschermen van persoonsgegevens is zeker ook de verantwoordelijkheid van de onderzoeker die klaagt dat een ander het niet genoeg doet. Daar is bijvoorbeeld ook al uitspraak over toen iemand even wat meer persoonsgegevens ging gebruiken omdat het kon.

sprankel @Verwijderd • 10 oktober 2020 03:45

Er is een grijze zone, als ik een briefje onder de wisser stop met de melding dat er zichtbaar een portemonnee ligt zie ik daar geen probleem mee. Of dat een band een uitstulping heeft wat inhoud dat de binnenkant van de band zwaar beschadigd is wat een serieus veiligheidsrisico is wegens hoog risico op klapband onderweg. (kan er niet aan doen, dat soort details spot ik zonder op te letten).

Sommige mensen zullen daar alsnog pissed op reageren richting boodschapper, jammer voor hun als ze zo in het leven staan. Ik heb geen aandelen van banden of ruiten dus ik heb niets te winnen.

Als de ruit echter openstaat en ik haal de portemonnee eruit om hem dan in hun gezicht te staan zwaaien, dat is een ander verhaal uiteraard.

Echter niemand hoort graag dat hij een band moet wisselen net zoals niemand graag hoort dat hij een beveiligingslek heeft. Slecht nieuws, dat horen we niet graag maar afreageren op de boodschapper, als deze correct is, not done.

Als je actief zwakke plekken zoekt, dat zou je kunnen vergelijken met aan elke klink te voelen of ze wel vast zijn. Dat is poging tot inbraak en gewoon duidelijk no-go.

Maar je ziet per toeval dat een auto open is, mag je dan even aan die klink trekken om te controleren of je wel zeker bent en dat is grijs natuurlijk, bij een fysieke klink iets donkerder, virtueel iets witter.

Echter wat hier dan ook weer gebeurd, men heeft ook nagekeken wat er juist allemaal te vinden is, typerend om het daarna als publiciteitsstunt van kijk eens wat ik ontdekt heb te publiceren. Het equivalent van de de open deur open te doen en vervolgens eens goed rond te kijken en het handschoenkastje eens open te doen waarbij je weer richting heel donker grijs / zwart gaat.

Meest correcte lijkt hier aan te geven dat je per toeval zag dat er een probleem was, dat je het manueel getest hebt met 3 random getallen waarbij je die 3 gebruikte getallen meegeeft. Dat je vervolgens niet verder gekeken hebt maar dat het in theorie kinderspel is om vervolgens heel de klantenlijst via script eruit te halen maar dat je dit niet gedaan hebt omdat je hier absoluut niet de intentie toe hebt. Tenzij zij zelf schriftelijk, uitdrukkelijk en expliciet vragen/toestemming geven om verder te gaan als test. Vervolgens met contact gegevens en nummer mocht men nog vragen hebben.

Been there done that, en de reacties lopen uiteen echter echt kwaad heb ik ze nog niet geweten. 1 site was 30 minuten later volledig offline met positieve reactie.

kodak

Datalek
Beveiliging en antivirus

@sprankel • 10 oktober 2020 12:46

De grijze zone is niet zo grijs als het gaat om te ver gaan. Het voorbeeld laat zien dat de onderzoeker om te bewijzen of er met het lek meer zou kunnen ook meer persoonsgegevens is gaan downloaden. Niet 1 of 2 of 10 maar veel meer. En daar heeft een rechter enkele jaren geleden al over aangegeven dat dat te ver gaat. Je kan het lek dat er meerdere gegevens tegelijk gedownload kunnen worden al aantonen door niet te veel persoonsgegevens te downloaden. Daar moet je als onderzoeker ook rekening mee houden. En dan zie ik niet dat de @DennisBaaten daar aandacht voor heeft gehad.

[Reactie gewijzigd door kodak op 31 juli 2024 21:10]

johnkeates @Verwijderd • 9 oktober 2020 20:56

Dat jij er niet van op kijkt maar het niet een 'goed' iets. Ook als het een schaduw-norm zou zijn moet er wat aan gedaan worden.

Verwijderd @johnkeates • 9 oktober 2020 21:03

Ik praat het niet goed, het is wat het is.

johnkeates @Verwijderd • 9 oktober 2020 21:49

Vroeger hadden we ook al mensen die het niet goed praatten, die vonden ook 'het is wat het is'. Na de tweede wereldoorlog hebben we die toch maar collaborateurs genoemd, ook als het slechts passieve deelname was.

Nu wil ik niet zeggen dat jij, Fewture, een collaborateur uit de tweede wereldoorlog bent, maar wel dat 'het is wat het is' als lekkere dooddoener niet echt helpt. Het is erg passief, en maakt eigenlijk dat je 'iets' schrijft, en tegelijk 'niks' zegt.

Wat de webshophouders betreft, of bedrijven die openbaar bereikbare diensten aanbieden, die moeten misschien een keertje op de vingers getikt worden of een professionaliseringsslag maken, want nu is het een beetje alsof ze wel de vruchten willen plukken van een dienst beschikbaar stellen, maar niet de lasten willen dragen van het veiligstellen van die beschikbaarheid en onderhouden van zo'n dienst. Dat is gewoon niet professioneel en op het moment alleen maar grootschalig een probleem om dat er wettelijk nogal vaag over gedaan kan worden en voor het volk de vergelijking tussen een fysieke winkel en een ecommerce zaak snel gemaakt is (terwijl die vergelijking alleen maar voor een aantal retail eigenschappen op gaat).

Als jij naar een speelgoedwinkel zou gaan, en bij de kassa verplicht werd je naam en adres achter te laten, waarna je ziet dat die in de etalage gelegd worden, dan zou je daar wel wat van vinden, misschien wat van zeggen, en anders een uitvoerende macht inschakelen. Dat je dat niet 1-op-1 visueel ziet bij een webshop maakt het niet minder belangrijk of minder de verantwoordelijkheid van de winkelier.

Jerie

@Verwijderd • 9 oktober 2020 22:58

Ooit in je opgekomen dat mensen het niet leuk vinden als je bij ze inbreekt?

Dit heeft niets te maken met huisvredebreuk of iets dergelijks. Hoogstens computervredebreuk.

Verwijderd @Jerie • 10 oktober 2020 08:46

Het is een analogie die jij nu de werkelijkheid in trekt.. zo kan je blijven door gaan he.. Het is niet hetzelfde idd, zo werkt een analogie.

Jerie

@Verwijderd • 10 oktober 2020 10:21

Dat snap ik dat deze analogie mank loopt, en stierenpoep is. Dat wilde ik ook even benadrukken. Zijn we het daar toch over eens.

Je hebt het over inbreken. Dit is meer iets van hey buurman je deur staat open, de sleutel zit in je slot, of je slot is gaar. Het is netjes gemeld, en er is niets meegenomen uit het huis (en daar zou de analogie mank lopen want kopieren en stelen is totaal niet hetzelfde).

[Reactie gewijzigd door Jerie op 31 juli 2024 21:10]

OxWax 9 oktober 2020 20:38

Hoe zielig als bedrijf moet je zijn om de man niet eens te bedanken...

RoestVrijStaal @OxWax • 10 oktober 2020 01:39

Dat is niet helemaal waar.

Dennis Baaten besloot te klooien met zijn mailservers (wat een perfecte timing om zoiets te doen

) waardoor de mails van dat bedrijf niet in zijn mailbox aankwamen.

Pas toen het bedrijf met een Gmail account een bedankje ging mailen, ging het balletje rollen.

[Reactie gewijzigd door RoestVrijStaal op 31 juli 2024 21:10]

OxWax @RoestVrijStaal • 10 oktober 2020 11:55

Dit mag wel in het artikel worden opgenomen @TijsZonderH

Verwijderd @OxWax • 9 oktober 2020 23:34

Aannames...heb je de blog wel gelezen? Hoe weet je dat dat bedrijf de man niet heeft bedanken voor zijn moeite?

OxWax @Verwijderd • 10 oktober 2020 11:52

Door het artikel te lezen

Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.

Verwijderd @OxWax • 10 oktober 2020 13:33

In zijn blog te lezen dat dat niet het geval is, dus....

Postman 9 oktober 2020 20:34

Ik vraag mij toch echt af of het stilzwijgend dichten van een datalek nog wel mag tegenwoordig. Er bestaat toch ook een meldplicht?
Is niet dat er een paar persoonlijke gegevens in te zien waren, meer dan 7000 is nogal wat.

Verwijderd @Postman • 9 oktober 2020 20:38

Ja mijnwebshoppartner moet dit melden via een speciaal meldpunt. Ook moeten ze alle klanten (in dit geval de webshops) op de hoogte stellen. Kan zijn dat ze dit dus hebben gedaan en de webshops hun klanten weer hebben geïnformeerd.

Marcel317 @Postman • 9 oktober 2020 20:38

Er is inderdaad een meldplicht.

slaay 9 oktober 2020 21:25

Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.

En wat was de reactie toen Tweakers contact met het bedrijf zocht? Wel zo netjes om het bedrijf 'nogmaals' de kans te geven om te reageren op de bevindingen van Baaten en zijn blog.

biglia 9 oktober 2020 21:37

Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.

Volgens zijn blog heeft hij wel reactie gehad. Hij deed zijn eerste melding op een vrijdagnamiddag om 15u00. Ik weet niet hoe dit is in Nederland, maar in België zijn de meesten dan al in weekend modus en niet meer bereikbaar. Dus niet zo vreemd dat je dan niet direct een antwoord krijgt. De tweede melding deed hij op een zaterdag. Dan moet je al helemaal geen reactie meer verwachten bij een bedrijf. Maar iemand van de sales antwoordde toch binnen het half uur: "Bedankt voor het melden. Ik heb het doorgestuurd naar de desbetreffende afdeling. We komen er op terug bij je.” Daar was toch al het bedankje: het minimum dat je mag verwachten. Daarna bleeft hij aandringen op meer, een reactie, maar dat is geen verplichting en als een bedrijf dan schrijft dat ze later opnieuw contact opnemen en ze doen dat niet, dan kan je hieruit afleiden dat ze liever geen reactie geven.

Op dit item kan niet meer gereageerd worden.

Beveiligingsonderzoeker kon duizenden klantgegevens van webshopbeheerder inzien

Lees meer

Reacties (57)

Sorteer op:

Weergave: