TMF beveiligde persoonsgegevens bezoekers niet

De muziekzender TMF, die sinds 30 april in een nieuwe opzet te zien is, had een behoorlijk gat in de vernieuwde website zitten. De persoonlijke gegevens van gebruikers waren eenvoudig te bemachtigen door random getallen in een URL in te vullen. Het was zelfs mogelijk om persoonsgegevens aan te passen door een andere variabele in de URL van normal te veranderen naar edit. Eén persoon heeft de gehele database weten te bemachtigen, maar men heeft in goed overleg afgesproken dat de deze niet openbaar zal worden gemaakt. Hieronder een gedeelte uit het artikel van WebWereld:

TMF Cybersite"Chatten via sms is nu nog gewoon mogelijk. De extra optie waarbij tijdens het chatten een foto van iemand in beeld komt, is nu tijdelijk niet mogelijk omdat de database uitgeschakeld is. Binnen een week moet alles weer naar behoren werken", zegt Van Haren.

Met dank aan Anoniem: 12072 voor de tip.

Door Robin van Rootseler

Developer

Feedback • 05-05-2002 11:34 41

05-05-2002 • 11:34

41

Bron: IDG WebWereld

Lees meer

Voortaan ook ADSL-abonnementen van TMF te krijgen
Voortaan ook ADSL-abonnementen van TMF te krijgen Nieuws van 16 januari 2004
Bedrijfsnieuws

Reacties (41)

-Moderatie-faq
41
40
39
26
9
0
Wijzig sortering
Malebolgia 5 mei 2002 11:36
http://nu.nl/document?n=56138
nog ff een aanvullinkje van nu.nl.

De webmasters van TMF zijn niet in staat zelf hun site te beveiligen, en gaan dan een externe bureau inschakelen om dit voor elkaa te krijgen. :+
Anoniem: 31259 @Malebolgia5 mei 2002 17:54
Nu.nl is fout.
Die externe audit komt om te dubbelchecken.
SKiLLa @Anoniem: 312595 mei 2002 19:21
> Woensdag is alles terug.
> Werkend én veilig.
> En bij TMF zijn het geen prutsers, maar soit, dat terzijde.

En waarom zijn het geen prutsers; werk je er soms ?

Ik bedoel het niet als een persoonlijke flame op TMF, maar aangezien ze al een lange geschiedenis van security issues mbt. hun website hebben, zou je denken dat ze daar iets van geleerd zouden hebben.

Aangezien dat blijkbaar niet zo is, zijn het prutsers.
Oke, je kan zeggen dat het externe bedrijf welke dit voor TMF doet dan prutsers (aka amateurs) zijn, maar dan had TMF maar een ander bureau in dienst moeten nemen :9
Anoniem: 31259 @SKiLLa5 mei 2002 19:29
edit
Anoniem: 32081 @SKiLLa5 mei 2002 20:12
reactie op TSASDA:
En meer ga ik er trouwens niet over zeggen want kheb al veel teveel gezegd.
Komt helaas maar al te vaak voor. Soms doordat de opdrachtgever nauwelijks tijd gunt aan de ontwikkelaars, soms omdat de geschatte bouwtijd wordt overschreden door een te krappe planning. Meestal is de oorzaak te vinden in onervarenheid en inzicht bij de opdrachtgever, die denkt dat het opleveren van een systeem gelijk staat aan het bouwen alleen, zonder afdoende testen. En dat is jammer voor de personen die het systeem gebouwd hebben. Vaak is er veel tijd in gestopt, en met iets meer tijd om te testen zou het systeem pas echt af zijn. Dan blijf je altijd met dat gevoel rondlopen dat het net iets beter had kunnen zijn. Een vreselijk gevoel voor een ontwikkelaar die graag de puntjes op de i wilt zetten.
KMK @Anoniem: 312595 mei 2002 21:17
Ik vindt dit wel een eerste klas prutsers fout hoor..

Dit is niet gewoon een foutje in je code maar een niet goed doordacht beveiligings plan van de structuur van de site... Ik geloof dat "jou" bedrijf zich toch wel flink achter zijn oren mag krabben.

Als ik TMF was dan zou ik jullie heeeeeel erg suwen.. dus een hele dikke schade klaim aan jullie broek hangen.

Strekte er mee...
Anoniem: 31259 @KMK5 mei 2002 22:10
edit
Anoniem: 49825 @KMK6 mei 2002 01:57
Helaas de wet persoonsregistraties is vervallen. (goed geprobeerd!) Ik denk dat je Wet Bescherming Persoonsgegevens bedoelt. En die is nu nog in de overgangsfase... Dus zal waarschijnlijk allemaal wel meevallen. (Is bij veel bedrijven nog niet OK)
Anoniem: 43136 @KMK6 mei 2002 01:38
de houder is verantwoordelijk voor de rechtmatige verkrijging van de persoonsgegevens en hij treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de gegevens hij heeft de zorg voor de beveiliging tegen verlies of aantasting van de gegevens (art 8 wet op persoonsregistratie)

het blijkt dus dat er wel degelijk iemand gesued kan worden namelijk tmf.
Mischien zijn er wel een paar tmf pubers die een zakcentje kunnen gebruiken
Anoniem: 43136 @KMK6 mei 2002 12:36
dat lijkt het me dat in wat er voor in de plaats in gekomen toch minimaal een zelfde artikel is opgenomen
Anoniem: 43136 @KMK6 mei 2002 12:50
Even opgezocht

Artikel 13
De verantwoordelijke legt passende technische en organisatorische
maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies
of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen
garanderen, rekening houdend met de stand van de techniek en de kosten
van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de
risico’s die de verwerking en de aard van te beschermen gegevens met
zich meebrengen. De maatregelen zijn er mede op gericht onnodige
verzameling en verdere verwerking van persoonsgegevens te voorkomen.
GiLuX @Malebolgia5 mei 2002 17:36
dat is niet helemaal juist.

je huurt een audit bureau in om een security check te laten doen.
aan de hand van hun bevindingen ga je de boel 'nog beter' dichtspijkeren (dat gaat het audit bureau dus niet voor je doen).
bij sites waar persoonlijke gegevens van mensen worden opgeslagen is dit een niet geheel vreemde procedure.

als het audit bureau geen security isseus meer kan vinden krijg je meestal ook een predikaat 'veilig', dit voor je eigen gemoeds rust en als garantie voor je bezoekers dat hun gegevens niet zomaar op straat liggen.
ik denk dat TMF er verstandig aan had gedaan als ze zo'n bureau hadden ingehuurd voordat ze de site live hadden gegooid

het is daarbij helemaal niet zo simpel om een enigzins gecompliceerde site zomaar even goed te beveiligen in tegenstelling tot wat hier door sommige word geroepen.

als programmeur doe je uiteraard je best om zo goed mogelijk af te vangen maar uiteindelijk zal een uitgebreide test fase alle evt lose-ends moeten afvangen.

dat is waarschijnlijk niet gebeurd in dit geval aangezien in een test traject het eerste wat je doet is random variabelen aanpassen en het effect bekijken.

verder, deze site is in php gemaakt, veel php-ers gebruiken standaard de global scope, dat houd in dat alle waardes die je aan een pagina meegeeft automatisch globaal in het script bekend zijn, dit maakt de kans op dit soort security holes een stuk groter

sinds php4.1.0 staat dit standaard uit, maar het is maar de vraag of de programeurs van tmf dit ook al gebruiken.

ik gok van niet.
jurriaan 5 mei 2002 12:54
maar men heeft in goed overleg afgesproken dat de deze niet openbaar zal worden gemaakt.
Als ik Fok! moet geloven is dat 'goede' overleg meer intimidatie..
Uit logs van TMF-chat wordt duidelijk dat medewerkers van TMF geprobeerd hebben de ontdekkers te intimideren en geprobeerd hebben het niet te laten uitlekken, nadat de ontdekkers een aantal telefoonnummers openbaar had gemaakt.
SKiLLa 5 mei 2002 17:49
Het zijn bij TMF inderdaad prutser;

- hun site was vroeger ookal lek als een mandje
- de oude chatbox (waarschijnlijk ook wel de nieuwere) was zo lek als een mandje

Security is niet moeilijk of complex; het is kwestie van goed ontwerpen, whitebox en blackbox testen en gestructureerd programmeren.

De meeste sites die 'gehackt' worden, zijn gehackt doordat bv. een login database gewoon te downloaden was; of op te vragen door gemanipuleerde requests (errug dom; altijd checks inbouwen). Dit gedoe met gemanipuleerde querystrings is dan ook absoluut een domme beginners fout. Ik zou in iedergeval een ander webdesign bureau nemen (bv. NRG van tmf.be ; die weten waar ze mee bezig zijn ;-)
himlims_ 5 mei 2002 20:10
De site was voor 30 april al tezien op sc.tmf.nl ik zel had daar toen ook een bezoek je gebracht, net al 179 mensen voor mij (dit was te zien aan de ingevulde poll).

Ik vind het een slechte zaak dat de site voor die tijd al te zien / te bezoeken was, en dat de gegevens niet bescherm waren.
Ze hadden alles gewoon beter moeten testen, en dan de streefdatum maar niet gehaald, maar ik vind dat 'privecy' voor de deadline had moeten gaan
T.T. 5 mei 2002 11:36
Ze zijn bij TMF een beetje hardleers. Hun eerste website was ook al zo lek als een mandje :)
Speed24 @T.T.5 mei 2002 11:38
Maar wie verwacht ook dat de bezoekers ( tussen 12 en 16 jaar) naar beveiligings-fouten gaan zoeken?

Het lijkt me ook niet verstandig veel persoonlijke gegevens in te vullen, want die worden dan iedere keer op tv getoond en kunnen door heel Nederland opgevraagd worden...
Krijg je van die dingen als op Fok!, dat mensen in dubieuze topics reageren en dan ziet iemand die je irl kent dat --> probleem :)
Anoniem: 51061 @Speed245 mei 2002 11:48
Nou wil ik niet lullig doen maar er zijn juist zat kereltjes (misschien ook vrouwtjes :9) tussen de 12 en 16 die juist op zo'n simpele manier proberen te cracken. Noem het ongezonde geldingsdrang ofzo. Ze horen ergens wat en gaan zelf een beetje rommelen.

By the way, er zijn nog steeds genoeg sites die m.b.v. een bepaald nummer toegang geven tot een 'secure' area. Mooi voorbeeld is de site van The Economist. Deze site levert tegenwoordig sommige artikelen alleen nog maar tegen betaling, maar je als je de juiste Story_ID invult heb je zo wat je wilt, zonder te dokken.

Admin break: die links liever niet.
Speed24 @Anoniem: 510615 mei 2002 12:11
Jij hacker!!!

;)

Maar ohkee, de TMF-kleuters zullen dit soort dingen wel eens proberen...
Dit zijn ook wel nog opvallendere fouten dan ./Admin open te laten staan ( gebeurt ook wel eens :) ), iedereen kan zo'n nummertje even veranderen.
Anoniem: 37344 @Anoniem: 510617 mei 2002 13:04
Er zijn genoeg mensen die op het internet klooien maar vergeet alsjeblieft niet het verschil tussen een hacker en een cracker.

Een hacker breekt alleen in om te leren en richt geen schade en een cracker vernielt en veranderd data en dat is ook het geval bij tmf.

Vergeet nooit het verschil en beschuldig hackers niet van iets waar ze niks mee te maken hebben en willen hebben.
Randal Peelen @Speed245 mei 2002 22:24
Volgens mij is met name 15 / 16 jaar DE leeftijd dat mensen hierin geinteresseerd zijn en ook wel wat gegevens van mensen bij wijze van "grap" willen versprijden.
timstegeman 5 mei 2002 11:56
Dat is nog niet het enigste. De poll op de site is ook al zo geweldig beveiligd. :)
Speed24 @timstegeman5 mei 2002 12:11
Hehe, had ik ook al eens geprobeerd... zouden ze wel eens van cookies gehoord hebben?

Zo krijg je dus ook polls met meer dan 80.000 stemmen, maar hoeveel stemmen zouden uniek zijn ?
jelmervos @timstegeman5 mei 2002 12:20
Stem allen op Sita:

http://www.tmf.nl/nieuw/inc/poll.php?action=vote&poll_ident=6&option_i d=1
Mentalist @jelmervos5 mei 2002 15:08
Ff refresh machine uit de oude doos halen :7

Speelkwartier :7
Haranaka @jelmervos5 mei 2002 12:30
Wie wil er in vredes naam nou weer met sita chatten :?
Ok die alternatieven zijn misschien nog erger maar dat lijkt me geen goede reden om nou op haar te stemmen....
sirdupre 5 mei 2002 13:25
ik heb wel eens een beetje zitten kloten met die nummer aanvragen ofzo, heel amateuristisch gewoon html pagina aanpassen.

Kreeg ik zo'n melding:

Er klopt iets niet. Probeer je ons te hacken ofzo?

Lekker professioneel weer van tmf.....
Als zij dus een programmeer fout maken in een pagina krijg je: Probeer je ons te hacken ofzo :D.
jep 5 mei 2002 13:34
Leuk joh, dacht ik; ik schaf mezelf zo'n TMF-ID aan om 'jep' te claimen, stuur ik zo'n smsje, krijg ik een code en wat denk je? Hij werkt niet? Ondertussen krijg ik al 3 dagen sms'jes van TMF met als inhoud: <DATA>, en dan 3 achter elkaar :+

De apen! ;)
Anoniem: 53651 5 mei 2002 13:40
De oude site van TMF was ook ontzettend brak! Ik heb ook nog een database liggen met zo'n 32.000 stemmen van de TMF awards inclusief naam, adres, email enz :D
Wom 5 mei 2002 15:28
Ik vind het gewoon zwaar knudde van TMF. Komen ze met een nieuwe format , waaraan ze geld willen verdienen ( via dat SMS gedoe ). Dan kun je op zijn minst toch wel verwachten dat hij goed beveiligd is ?

Zeker een site als TMF , waar toch redelijk wat bezoekers per dag op komen , kunnen toch wel rekening houden met zulke dingen ?

Ergste is nog wel dat ze zichzelf niet vertrouwen voor de beveiliging , dus daarom maar een extern bureau in schakelen om de beveiliging te regelen.

Ik vind het maar een triestige zaak.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq