Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties
Bron: IDG WebWereld

De muziekzender TMF, die sinds 30 april in een nieuwe opzet te zien is, had een behoorlijk gat in de vernieuwde website zitten. De persoonlijke gegevens van gebruikers waren eenvoudig te bemachtigen door random getallen in een URL in te vullen. Het was zelfs mogelijk om persoonsgegevens aan te passen door een andere variabele in de URL van normal te veranderen naar edit. Eén persoon heeft de gehele database weten te bemachtigen, maar men heeft in goed overleg afgesproken dat de deze niet openbaar zal worden gemaakt. Hieronder een gedeelte uit het artikel van WebWereld:

TMF Cybersite"Chatten via sms is nu nog gewoon mogelijk. De extra optie waarbij tijdens het chatten een foto van iemand in beeld komt, is nu tijdelijk niet mogelijk omdat de database uitgeschakeld is. Binnen een week moet alles weer naar behoren werken", zegt Van Haren.

Met dank aan Besnax voor de tip.

Moderatie-faq Wijzig weergave

Reacties (41)

http://nu.nl/document?n=56138
nog ff een aanvullinkje van nu.nl.

De webmasters van TMF zijn niet in staat zelf hun site te beveiligen, en gaan dan een externe bureau inschakelen om dit voor elkaa te krijgen. :+
Nu.nl is fout.
Die externe audit komt om te dubbelchecken.
> Woensdag is alles terug.
> Werkend én veilig.
> En bij TMF zijn het geen prutsers, maar soit, dat terzijde.

En waarom zijn het geen prutsers; werk je er soms ?

Ik bedoel het niet als een persoonlijke flame op TMF, maar aangezien ze al een lange geschiedenis van security issues mbt. hun website hebben, zou je denken dat ze daar iets van geleerd zouden hebben.

Aangezien dat blijkbaar niet zo is, zijn het prutsers.
Oke, je kan zeggen dat het externe bedrijf welke dit voor TMF doet dan prutsers (aka amateurs) zijn, maar dan had TMF maar een ander bureau in dienst moeten nemen :9
reactie op TSASDA:
En meer ga ik er trouwens niet over zeggen want kheb al veel teveel gezegd.
Komt helaas maar al te vaak voor. Soms doordat de opdrachtgever nauwelijks tijd gunt aan de ontwikkelaars, soms omdat de geschatte bouwtijd wordt overschreden door een te krappe planning. Meestal is de oorzaak te vinden in onervarenheid en inzicht bij de opdrachtgever, die denkt dat het opleveren van een systeem gelijk staat aan het bouwen alleen, zonder afdoende testen. En dat is jammer voor de personen die het systeem gebouwd hebben. Vaak is er veel tijd in gestopt, en met iets meer tijd om te testen zou het systeem pas echt af zijn. Dan blijf je altijd met dat gevoel rondlopen dat het net iets beter had kunnen zijn. Een vreselijk gevoel voor een ontwikkelaar die graag de puntjes op de i wilt zetten.
Ik vindt dit wel een eerste klas prutsers fout hoor..

Dit is niet gewoon een foutje in je code maar een niet goed doordacht beveiligings plan van de structuur van de site... Ik geloof dat "jou" bedrijf zich toch wel flink achter zijn oren mag krabben.

Als ik TMF was dan zou ik jullie heeeeeel erg suwen.. dus een hele dikke schade klaim aan jullie broek hangen.

Strekte er mee...
Helaas de wet persoonsregistraties is vervallen. (goed geprobeerd!) Ik denk dat je Wet Bescherming Persoonsgegevens bedoelt. En die is nu nog in de overgangsfase... Dus zal waarschijnlijk allemaal wel meevallen. (Is bij veel bedrijven nog niet OK)
de houder is verantwoordelijk voor de rechtmatige verkrijging van de persoonsgegevens en hij treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de gegevens hij heeft de zorg voor de beveiliging tegen verlies of aantasting van de gegevens (art 8 wet op persoonsregistratie)

het blijkt dus dat er wel degelijk iemand gesued kan worden namelijk tmf.
Mischien zijn er wel een paar tmf pubers die een zakcentje kunnen gebruiken
dat lijkt het me dat in wat er voor in de plaats in gekomen toch minimaal een zelfde artikel is opgenomen
Even opgezocht

Artikel 13
De verantwoordelijke legt passende technische en organisatorische
maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies
of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen
garanderen, rekening houdend met de stand van de techniek en de kosten
van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de
risico’s die de verwerking en de aard van te beschermen gegevens met
zich meebrengen. De maatregelen zijn er mede op gericht onnodige
verzameling en verdere verwerking van persoonsgegevens te voorkomen.
dat is niet helemaal juist.

je huurt een audit bureau in om een security check te laten doen.
aan de hand van hun bevindingen ga je de boel 'nog beter' dichtspijkeren (dat gaat het audit bureau dus niet voor je doen).
bij sites waar persoonlijke gegevens van mensen worden opgeslagen is dit een niet geheel vreemde procedure.

als het audit bureau geen security isseus meer kan vinden krijg je meestal ook een predikaat 'veilig', dit voor je eigen gemoeds rust en als garantie voor je bezoekers dat hun gegevens niet zomaar op straat liggen.
ik denk dat TMF er verstandig aan had gedaan als ze zo'n bureau hadden ingehuurd voordat ze de site live hadden gegooid

het is daarbij helemaal niet zo simpel om een enigzins gecompliceerde site zomaar even goed te beveiligen in tegenstelling tot wat hier door sommige word geroepen.

als programmeur doe je uiteraard je best om zo goed mogelijk af te vangen maar uiteindelijk zal een uitgebreide test fase alle evt lose-ends moeten afvangen.

dat is waarschijnlijk niet gebeurd in dit geval aangezien in een test traject het eerste wat je doet is random variabelen aanpassen en het effect bekijken.

verder, deze site is in php gemaakt, veel php-ers gebruiken standaard de global scope, dat houd in dat alle waardes die je aan een pagina meegeeft automatisch globaal in het script bekend zijn, dit maakt de kans op dit soort security holes een stuk groter

sinds php4.1.0 staat dit standaard uit, maar het is maar de vraag of de programeurs van tmf dit ook al gebruiken.

ik gok van niet.
maar men heeft in goed overleg afgesproken dat de deze niet openbaar zal worden gemaakt.
Als ik Fok! moet geloven is dat 'goede' overleg meer intimidatie..
Uit logs van TMF-chat wordt duidelijk dat medewerkers van TMF geprobeerd hebben de ontdekkers te intimideren en geprobeerd hebben het niet te laten uitlekken, nadat de ontdekkers een aantal telefoonnummers openbaar had gemaakt.
Het zijn bij TMF inderdaad prutser;

- hun site was vroeger ookal lek als een mandje
- de oude chatbox (waarschijnlijk ook wel de nieuwere) was zo lek als een mandje

Security is niet moeilijk of complex; het is kwestie van goed ontwerpen, whitebox en blackbox testen en gestructureerd programmeren.

De meeste sites die 'gehackt' worden, zijn gehackt doordat bv. een login database gewoon te downloaden was; of op te vragen door gemanipuleerde requests (errug dom; altijd checks inbouwen). Dit gedoe met gemanipuleerde querystrings is dan ook absoluut een domme beginners fout. Ik zou in iedergeval een ander webdesign bureau nemen (bv. NRG van tmf.be ; die weten waar ze mee bezig zijn ;-)
De site was voor 30 april al tezien op sc.tmf.nl ik zel had daar toen ook een bezoek je gebracht, net al 179 mensen voor mij (dit was te zien aan de ingevulde poll).

Ik vind het een slechte zaak dat de site voor die tijd al te zien / te bezoeken was, en dat de gegevens niet bescherm waren.
Ze hadden alles gewoon beter moeten testen, en dan de streefdatum maar niet gehaald, maar ik vind dat 'privecy' voor de deadline had moeten gaan
Ze zijn bij TMF een beetje hardleers. Hun eerste website was ook al zo lek als een mandje :)
Maar wie verwacht ook dat de bezoekers ( tussen 12 en 16 jaar) naar beveiligings-fouten gaan zoeken?

Het lijkt me ook niet verstandig veel persoonlijke gegevens in te vullen, want die worden dan iedere keer op tv getoond en kunnen door heel Nederland opgevraagd worden...
Krijg je van die dingen als op Fok!, dat mensen in dubieuze topics reageren en dan ziet iemand die je irl kent dat --> probleem :)
Nou wil ik niet lullig doen maar er zijn juist zat kereltjes (misschien ook vrouwtjes :9) tussen de 12 en 16 die juist op zo'n simpele manier proberen te cracken. Noem het ongezonde geldingsdrang ofzo. Ze horen ergens wat en gaan zelf een beetje rommelen.

By the way, er zijn nog steeds genoeg sites die m.b.v. een bepaald nummer toegang geven tot een 'secure' area. Mooi voorbeeld is de site van The Economist. Deze site levert tegenwoordig sommige artikelen alleen nog maar tegen betaling, maar je als je de juiste Story_ID invult heb je zo wat je wilt, zonder te dokken.

Admin break: die links liever niet.
Jij hacker!!!

;)

Maar ohkee, de TMF-kleuters zullen dit soort dingen wel eens proberen...
Dit zijn ook wel nog opvallendere fouten dan ./Admin open te laten staan ( gebeurt ook wel eens :) ), iedereen kan zo'n nummertje even veranderen.
Er zijn genoeg mensen die op het internet klooien maar vergeet alsjeblieft niet het verschil tussen een hacker en een cracker.

Een hacker breekt alleen in om te leren en richt geen schade en een cracker vernielt en veranderd data en dat is ook het geval bij tmf.

Vergeet nooit het verschil en beschuldig hackers niet van iets waar ze niks mee te maken hebben en willen hebben.
Volgens mij is met name 15 / 16 jaar DE leeftijd dat mensen hierin geinteresseerd zijn en ook wel wat gegevens van mensen bij wijze van "grap" willen versprijden.
Dat is nog niet het enigste. De poll op de site is ook al zo geweldig beveiligd. :)
Hehe, had ik ook al eens geprobeerd... zouden ze wel eens van cookies gehoord hebben?

Zo krijg je dus ook polls met meer dan 80.000 stemmen, maar hoeveel stemmen zouden uniek zijn ?
Ff refresh machine uit de oude doos halen :7

Speelkwartier :7
Wie wil er in vredes naam nou weer met sita chatten :?
Ok die alternatieven zijn misschien nog erger maar dat lijkt me geen goede reden om nou op haar te stemmen....
ik heb wel eens een beetje zitten kloten met die nummer aanvragen ofzo, heel amateuristisch gewoon html pagina aanpassen.

Kreeg ik zo'n melding:

Er klopt iets niet. Probeer je ons te hacken ofzo?

Lekker professioneel weer van tmf.....
Als zij dus een programmeer fout maken in een pagina krijg je: Probeer je ons te hacken ofzo :D.
Leuk joh, dacht ik; ik schaf mezelf zo'n TMF-ID aan om 'jep' te claimen, stuur ik zo'n smsje, krijg ik een code en wat denk je? Hij werkt niet? Ondertussen krijg ik al 3 dagen sms'jes van TMF met als inhoud: <DATA>, en dan 3 achter elkaar :+

De apen! ;)
De oude site van TMF was ook ontzettend brak! Ik heb ook nog een database liggen met zo'n 32.000 stemmen van de TMF awards inclusief naam, adres, email enz :D
Ik vind het gewoon zwaar knudde van TMF. Komen ze met een nieuwe format , waaraan ze geld willen verdienen ( via dat SMS gedoe ). Dan kun je op zijn minst toch wel verwachten dat hij goed beveiligd is ?

Zeker een site als TMF , waar toch redelijk wat bezoekers per dag op komen , kunnen toch wel rekening houden met zulke dingen ?

Ergste is nog wel dat ze zichzelf niet vertrouwen voor de beveiliging , dus daarom maar een extern bureau in schakelen om de beveiliging te regelen.

Ik vind het maar een triestige zaak.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True