Telenet-klanten zagen door fout gegevens van andere klanten in MyTelenet-portal

We onderzoeken het intern verder

Tuurlijk is dat wel een antwoord. Je moet toch eerst onderzoek doen voordat je conclusies kan trekken/delen?

Wat hier eigenlijk staat is: Door een technisch probleem is de authenticatielaag even volledig omgevallen. Jouw sessie wees opeens naar iemand anders z'n account. Dat is geen randgeval of edge case,dat lijkt een fundamentele fout in sessiebeheer of caching, het soort fout dat in elke security-opleiding op dag één wordt behandeld.

En nadat dat in je security-opleiding op dag één behandeld is, sluipt er uiteraard ook nooit meer een bug in de code die je schrijft. Memory-management, buffer overflows, input-verificatie... worden ook al tientallen jaren behandeld in elke serieuze IT-opleiding en toch duiken er elke dag dergelijke fouten op in veelgebruikte software die door professionals geschreven is.

Mensen maken fouten en sommige fouten sluipen door de mazen van het net. Het is belangrijker of er een serieuze softwarevalidatie is en wat we uit deze fout leren. Ik heb minder problemen met een serieuze fout die om een of andere reden toch door een in principe vrij goed validatiesysteem sluipt dan een kleine fout die in productie sluipt omdat er eigenlijk helemaal niets gevalideerd wordt. Die eerste zal sowieso zeldzamer zijn, die tweede is een tikkende tijdbom die deze keer meeviel.

Eens. Ik begin een beetje moe te worden van dit soort verhalen, waarbij standaard gedownplayed wordt wat de daadwerkelijke risico's van dit soort fouten zijn. Aan de ene kant worden wij (eindgebruikers) bestookt met campagnes om veilig met onze data om te gaan. Aan de andere kant hebben de bedrijven die onze data in beheer hebben lak aan onze privacy en security. En als het mis gaat, krijgt de klant de problemen op zijn/haar bord.

Ik zou heel graag zeggen: doe geen zaken meer met dit soort bedrijven. Maar je hebt niet echt een keuze, zo massaal en wijdverspreid zijn de lekken. Er blijft dan bijna geen bedrijf meer over waarmee je zaken kunt doen.

Het wordt dus tijd voor een andere manier van databeveiliging, waarbij mijn gevoelige data niet meer in beheer van bedrijven komen. Ik heb daar wel een (vaag) idee over, maar weet niet hoe haalbaar en handig dit is: een soort centrale authenticatie-database (vergelijkbaar mer iDin). Eén instantie, met de volledige verantwoordelijkheid over jouw privacygevoelige data. Bij een lek is deze instantie verantwoordelijk voor het herstellen van schade, en het aanspreekpunt voor de user. Ideaal? Nee. Maar wie een beter idee heeft, is welkom.

Het is ook geen beoordeling van het datalek, het is een PR medewerker die de pers tewoord staat. En ja, ik verwacht dat doordat het probleem slechts 20 minuten bestond, dat het ook maar een klein deel van de klanten betrof. Maar of het nu 1 klant is of allemaal maakt uiteindelijk niet uit. Je hebt een datalek gehad en moet nu dezelfde procedure volgen.

De analyse van wie wat heeft kunnen zien zal daarna ook pas op gang zijn gekomen. Stap 1 is het lek dichten. De gevolgen onderzoek je pas later. En dat kan wel enige tijd in beslag nemen. Dus neen, op het moment dat de pers aan je deur komt kloppen kan je niet veel zinnigs zeggen.

En ik begrijp ook niet hoe jij er van maakt dat de authenticatielaag volledig is omgevallen. Want dat zal hier ook niet gebeurd zijn. Het is niet alsof iedereen ineens alle data van alle gebruikers kon inzien. Dat is pas authenticatie die omvalt. Dit is gelukkig minder ernstig, maar nog altijd ernstig uiteraard.

En als private onderneming zijn zij helemaal niet verplicht om klanten in te lichten over de kernoorzaak van het probleem of welke structurele veranderingen zij gaan aanbrengen. Leuk dat jij dat wenst te weten, maar wat ga je verder met die informatie doen? Wil je meer transparantie, ga dan op zoek naar bedrijven die beloven daar open over te zijn.

Spoider in 'Telenet-klanten zagen door fout gegevens van andere klanten in MyTelenet-portal'

Waarschijnlijk een foutje in de cache config. De website wordt voor een deel door cache afgehandeld zodat alles sneller laad, dan hoeft niet alles via de webserver. Stel nou dat de pagina/url van de klantgegevens ook per ongeluk uit die cache komt, dan krijg je gegevens van iemand anders te zien.

Wat je ook voor oplossing gebruikt, een ingelogde gebruiker is simpelweg een 'id' wat op een bepaalde plek bijgehouden moet worden.
In web services is het vrij gangbaar om niet voor ieder verzoek een nieuw proces op te starten maar bestaande processen of threads te hergebruiken. Als een verzoek niet correct afgesloten wordt kan dat leiden tot het 'lekken' van een gebruikers id naar een andere context waardoor een verzoek uitgevoerd wordt voor de verkeerde gebruiker. Moderne frameworks en programmeertalen proberen dat op alle mogelijke manieren te voorkomen, maar er draait natuurlijk ook nogal wat software die niet gisteren geschreven is.

Ik zie inderdaad een patroon aan "hacks" of "fouten" die de laatste tijd plaatsvinden

Ik moet bij dit soort lekken ook altijd terugdenken aan de beruchte Steam cache datalek. Gelukkig was Valve wel open over wat het probleem was, Cloudflare is ook altijd open over het technische aspect van een lek/storing.

Steam artikel uit 2015: nieuws: Valve: 34.000 Steam-gebruikers getroffen door cachingproblemen

Totaal onvergelijkbaar. Bij Odido was er sprake van een fundamentele procesfout. Hier een softwarebug.

Ik zou willen dat dit ook bij Odido was gebeurd, zoals bij Telenet.

Les 1 AI

Een verkeerd antwoord is beter dan geen antwoord.