Open dir op Extremediscount.nl bevat gegevens bijna 1000 klanten

Webwinkel Extremediscount.nl blijkt in een publiek toegankelijke folder op de server data van bijna duizend klanten te hebben staan. De naw-gegevens staan in pdf-bestanden die zijn aangemaakt na een rma-aanvraag of orderannulering.

De folder was tot vrijdagochtend publiek beschikbaar, maar is door de webwinkel offline gehaald nadat deze door Tweakers.net over het privacylek werd geïnformeerd. De servermap bevat onder andere 988 pdf-bestanden die betrekking hebben op rma-aanvragen of geannuleerde bestellingen tussen september en oktober 2009.

Nagenoeg al deze pdf's bevatten gegevens van klanten van Extremediscount.nl, waaronder naam, adres en telefoonnummer. Ook is via de pdf-bestanden te zien welk product de genoemde persoon heeft gekocht of juist heeft geannuleerd. In veel gevallen wordt ook een rekeningnummer vermeld.

Volgens het privacybeleid gaat de webwinkel 'uiterst zorgvuldig' om met gegevens van klanten, onder meer door het gebruik van ssl-technologie. Het bedrijf zegt de zaak te betreuren en alles in het werk te stellen om herhaling te voorkomen. Extremediscount.nl probeert te achterhalen hoe de bestanden in een openbare map op de server zijn terechtgekomen.

IT-banen

Reacties (91)

dstyle_nl 16 april 2010 11:29

Ik snap de ophef nooit zo bij deze zaken. Ik zou mij er totaal niet druk om maken als er een pdf met mijn naw gegevens tussen zou staan. Ze zullen dit in de toekomst vast beter afschermen.

Triqster @dstyle_nl • 16 april 2010 11:35

Mischien vind jij het niet iets om druk te maken. Nu is het ogenschijnlijk 'on interessante' data (wat voor de juiste personen mischien wel van waarde is). Straks zijn het

- credit card gegevens
- SoFi nummers
- je patient dossier
- je complete financiele achtergrond
- username/wachtwoorden
of bedenk het maar zo gek...

Het moment dat een persoon zijn gegevens af geeft heeft de ontvanger van deze gegevens de morele (en wettellijke?) plicht hier zorgvuldig mee om te gaan.

Het blijft verbazend de manier waarmee sommige bedrijven met hun gegevens om gaan.

De ene keer is het interne documentatie, een andere keer zijn het klant gegevens of telefoon nummers (GPD publiceert per abuis nummers bekende Nederlanders)

[Reactie gewijzigd door Triqster op 24 juli 2024 07:38]

Mythica @dstyle_nl • 16 april 2010 11:34

Het wekt toch weinig vertrouwen als een bedrijf zo met privacy gevoelige gegevens omgaat. Er is niet voor niets privacy wetgeving. Gaat het bedrijf dan wel zorgvuldig met andere zaken om als ze dit al laten 'slingeren'? Bedrijven werken vaak op basis van vertrouwen en dit soort zaken helpt natuurlijk niet.

En in dit geval zijn het puur NAW gegevens, maar wat als er ook orders in staan? Bedrijfsgevoelige gegevens (zakelijke klanten)?

musiman

@dstyle_nl • 16 april 2010 11:36

hmm, interessant, dus jij hebt leuke spullen gekocht die ik ook wel wil verkrijgen (gratis weliswaar) en jij woont daar, heh? Oke, even naar jouw telefoonnummer bellen om te kijken of je thuis bent. Hmm, er wordt niet opgepakt...

Foamy @dstyle_nl • 16 april 2010 11:39

wtf kerel

Als ik mijn adresgegevens aan een bedrijf geef dan zijn deze enkel en alleen bedoelt voor dit bedrijf. Niet voor elke mafketel die op het internet rondzwerft.

Als een dergelijk bedrijf zijn beveiliging/systemen blijkbaar dusdanig niet op orde heeft dat *alle* gegevens van veel klanten zo op het internet gezet kunnen worden dan is dat zeker wat ophef waard. Deze klantgegevens (en zeker zaken als orderbevestigingen, RMA aanvragen, etc. op PDF formaat) mogen wat mij betreft *nooit* op een systeem gezet worden dat aan het internet vasthangt. Dat je het nodig hebt voor de werking van je bedrijf kan ik inkomen. Maar zet t dan op een lokale server, zonder rechtstreekse internettoegang.

[Reactie gewijzigd door Foamy op 24 juli 2024 07:38]

Die Bruine @dstyle_nl • 16 april 2010 11:41

Er zijn genoeg "ratten" die misbruik maken van naw gegevens. Een andere extreme irritatie van mij persoonlijk zijn spammers en callcenters. Die schromen echt niet om naw gegevens die op deze manier zijn verkregen te gebruiken. Dat je gebruik maakt van het internet maakt nog niet dat je moet accepteren dat iedereen alles van je komt te weten.

DvE @Die Bruine • 16 april 2010 12:24

Nog nooit van 'de telefoongids' gehoord zeker.
Het zijn niet de NAW gegevens die het probleem zijn. De combinatie met bankrekeningnummer is zeker niet wenselijk, maar nog steeds niet dodelijk.
Het is in ieder geval niet het EPD of iets dergelijks.
Ja het is erg vervelend en is geen goeie reclame voor je bedrijf, maar meer dan ook niet hoor.

Herman 16 april 2010 11:42

Echt maf: Hun 'trustlogo' van Comodo point tot verify kun je gewoon kopen voor € 120! Op die website staat gewoon letterlijk:

TrustLogo delivers trust, confidence and peace of mind to your customers

Het logo dient gewoon om de het vertrouwen te winnen en de gemoedsrust van bezoekers te kweken. Terwijl het logo wel net lijkt alsof het een hele betrouwbare site is. Ik vraag mij echt af of er werkelijk vereisten zijn om dat logo te mogen gebruiken behalve die € 120.

Edit:
Bedankt hieronder voor de duidelijke uitleg!

[Reactie gewijzigd door Herman op 24 juli 2024 07:38]

kibje @Herman • 16 april 2010 11:55

Natuurlijk kun je een SSL Certificaat gewoon kopen bij een bedrijf dat zelf vertrouwd is. Volgens mij snap jij niet precies hoe SSL certificaten en de chain of trust precies werken.

Dat Comodo een leuk verhaaltje heeft dat je hun logootje mag gebruiken om aan de consument duidelijk te maken dat je niet zomaar een self-signed maar een heus gekocht certificaat hebt wil niet zeggen dat het minder betrouwbaar is. In additie leveren ze daarvoor een extra verzekering aan je klanten.

Niet maf dus: SSL-certificaten zijn te koop. Bij Comodo kun je als je dat doet een background check van je kredietwaardigheid / betrouwbaarheid laten doen voor 120 dollar. Zij zullen dan gebruikers tot een bedrag van 10k verzekeren dat jij geen fraudeur bent. Het is natuurlijk vanzelfsprekend dat je die niet gaat krijgen als jij met je bedrijf niet door hun tests heenkomt. Bij Comodo zijn ze ook niet gek!

[Reactie gewijzigd door kibje op 24 juli 2024 07:38]

Orion84 Admin General Chat / Wonen & Mobiliteit @Herman • 16 april 2010 11:57

Volgens mij heeft dat logo te maken met SSL certificaten en zo. Behalve het versleutelen van je verbinding zorgen SSL certificaten ook voor verificatie van de identiteit van de website. Dat logo is als ik het goed begrijp gekoppeld aan het afnemen van een SSL certificaat en bijbehorende controle van de identiteit van het bedrijf dat die aanvraag doet en zo.

Wat exact de procedures zijn die Comodo hanteert is me niet helemaal duidelijk, maar om dat soort zaken nu meteen af te doen als een wassen neus is wel erg kort door de bocht.

[Reactie gewijzigd door Orion84 op 24 juli 2024 07:38]

musiman

@Herman • 16 april 2010 11:59

Bij een SSL certificaat gaat het erom dat je
A ) bewijst dat jij degene bent die je zegt dat je bent
B ) data kunt versleutelen met behulp van SSL encryptie (HTTPS dus)

En hoe kun je bewijzen dat je jezelf bent? Door dit te laten verifiëren bij een door iedereen vertrouwde CA (Certificate Authority), zoals Verisign, Comodo, Thawte etc.

[Reactie gewijzigd door musiman op 24 juli 2024 07:38]

Anoniem: 69767 16 april 2010 11:26

tja, veel systeembeheerders hebben nog steeds geen kaas gegeten van security. Ik vind dat de beheerders die met persoonsgegevens omgaan eigenlijk gecertificeerd moeten zijn. Een arts mag zonder papieren ook niet opereren. Security is nou eenmaal een aparte tak van sport, en zeker waar het om persoonsgegevens / vertrouwelijke gegevens niet zo maar iedere mbo systeembeheerder dat beheert. Verplichte certificaat met goede security issues en management training, kan in ieder geval wel het eea voorkomen.

[Reactie gewijzigd door Anoniem: 69767 op 24 juli 2024 07:38]

bbob

E-commerce
Privacy
Nederland

@Anoniem: 69767 • 16 april 2010 11:32

Klinkt als een leuk voorstel maar ja de techniek staat niet stil en wat je nu weet is over 5 jaar weer anders. Moet je dan ieder jaar opnieuw naar school. Kijk eens naar de extra kosten en wie gaat het allemaal controleren en wat zijn de sancties.

Waar mensen zijn worden fouten gemaakt en ja ook onder doktoren die opereren worden fouten gemaakt. Kijk maar eens naar de cijfers van hoeveel mensen er onnodig per jaar sterven door een medische blunder.

Ook bij grote systemen heb je mensen en dus fouten ik denk dat een certificatie daar geen verschil in zal gaan maken.

Anoniem: 69767 @bbob • 16 april 2010 11:34

omdat het mensen werk is, en dus altijd fouten gemaakt worden - is totaal geen excuus om de kans daarop wel zo klein mogelijk te maken. En daar draagt verplichte security certificering zeker wel aan bij.

buzzin @Anoniem: 69767 • 16 april 2010 11:49

Tuurlijk, maar gecertificeerd zijn in windows security heeft totaal geen nut als je linux beheert. een certificaat voor vista is nutteloos op 7 etc.
Voor een dokter geldt: een mens zal niet spontaan fundamenteel veranderen...
Certificering is in de IT branch gewoon een wassen neus gebleken en je hebt er dan ook eigenlijk niets aan.
Je kunt beter gewoon iemand hebben die het écht kan, als iemand die een MSCE heeft en dénkt dat ie het kan....

i-chat @buzzin • 16 april 2010 12:14

blijkbaar denkt iedereen die het ECHT kan,

met jouw beargumentering loop je direct weer het risico dat je van die figuren tegen het lijf loopt die zeggen ik heb geen av-scanner nodig want : ik ben goed.....

en nu zul je ongetwijfeld ook van die figuren hebben die zullen zeggen ik heb geen firewall nodig want ik ben MVP... maar dat heeft mijns inziens meer te maken met te lage examinerings-eisen voor heel wat van die papiertjes.

z'n suggestie wil ik dan ook onderstrepen zo certificaat zou verplicht moeten worden,

en trouwens over je redenatie van het mens veranderd niet? - idd maar de methode hoe wel met het lichaam om gaan wel, denk maar eens aan de steeds herhaalde ehbo-cursussen (jaartje niet op cursus geweest en je diploma vervalt).

net als bij Microsoft (daar moet je ook steeds een upgrade examen doen om bij te blijven wat betreft de windows versies). dat zo voor een beveilgings certificaat prima kunnen - en wie het gaat betalen? -- wie betaald er nu voor je cisco papiertjes en je MS diploma of je novell stickerboekje? -- juist de baas!

Mega-Druif @i-chat • 16 april 2010 13:43

De baas heeft natuurlijk wel baat bij een beter beveiligde werkomgeving!

Ik zou het niet fijn vinden om te weten dat een arts die mij behandeld, voor het laatst in 2002 zijn certificaat heeft behaald, omdat het niet belangrijk genoeg is om up-to-date te blijven... (of omdat z'n baas niet wil betalen voor 'dure' cursussen)

Croga

@buzzin • 16 april 2010 12:34

Voor een dokter geldt: een mens zal niet spontaan fundamenteel veranderen...

Een PC verandert ook niet fundamenteel...
Het Internet en bijbehorende protocollen veranderen ook niet fundamenteel....

Ook die arts moet regelmatig terug naar school om te leren over nieuwe medicijnen, nieuwe medische inzichten en nieuwe technieken. Dus waarom zou een ITer dat niet moeten?

cappie @bbob • 16 april 2010 11:46

Als de basisregels goed zijn, kan je dit onafhankelijk van techniek invoeren... Er zijn standaard regels waardoor je, mits je je er aan houd, nooit de spreekwoordelijke mist in kunt gaan...

Gevoelige informatie / persoonlijke informatie nooit publiekelijk beschikbaar maken is daar één van de regels van!

Dit is gewoon prutswerk van een incompetent persoon die dacht veilig te zijn omdat er niet werd gelinkt naar een directory, en zonder even te kijken of de directory indexing aanstond... dit had met een simpele test voorkomen kunnen worden.

Orion84 Admin General Chat / Wonen & Mobiliteit @cappie • 16 april 2010 11:50

Sterker nog, in mijn ogen zou directory indexing op een dergelijke server überhaupt nooit aan hebben mogen staan.

Grijze Vos @Orion84 • 16 april 2010 12:45

Ook al staat indexering uit, dan nog zijn die bestanden publiekelijk toegankelijk. Dat zou -eigenlijk- al niet mogen. Bij random documenten kan ik me voorstellen dat je daar wat lakser in bent, maar als die bestanden NAW en bankgegevens bevatten mag er wel wat voorzichtiger worden gedaan.

Hier zijn dus twee problemen aan de hand. 1.) een slapende systeembeheerder die een dir open zet op een productieserver. 2.) slapende programmeurs die bestanden gewoon in een directory aanbieden in plaats van via een token systeem.

siepeltjuh @bbob • 16 april 2010 11:46

Het gaat dan bij zo`n certificering ook meer om de manier van denken/werken dan om alle nieuwste technieken onder de knie te hebben denk ik zo.

een opendir is nou ook niet echt een nieuwe techniek

Anoniem: 62763 @bbob • 16 april 2010 13:55

Beveiliging heeft vrij weinig met techniek te maken, he... Techniek is niets anders dan een middel om de beveiliging te implementeren.

Zer0 @Anoniem: 69767 • 16 april 2010 11:33

En wie zegt dat de systeembeheerder(s) hier schuldig aan zijn? Het zou ook door een "gebruiker" daar neer gezet kunnen zijn. Natuurlijk kun je je dan afvragen wat die user daar te doen had, maar er zijn genoeg bedrijven waarin de directie of het management bepaalt dat gebruikers bepaalde rechten krijgen, ook al geeft de systeembeheerder aan dat dit een risico is.

Kriebelkous @Zer0 • 16 april 2010 11:40

de systeembeheerder hoort er voor te zorgen dat een normale gebruiker zoiets niet kan. IIG niet op de server van het bedrijf.

Ik ben wel voorstander van een certificaat wat je elke 2 jaar moet vernieuwen. Vooral bij kleinere bedrijven werken er toch vaak mensen die minder van de materie afweten dan dat ze laten voorkomen. Zo kwam ik laatst op een school een systeembeheerder tegen die alles netjes in win server2003 had draaien. Maar niet wist wat een forrest was, of hoe je rechten moet instellen voor gebruikers. dcpromo? nog nooit van gehoord...

[Reactie gewijzigd door Kriebelkous op 24 juli 2024 07:38]

Zer0 @Kriebelkous • 16 april 2010 12:27

de systeembeheerder hoort er voor te zorgen dat een normale gebruiker zoiets niet kan. IIG niet op de server van het bedrijf.

Als de directie zegt dat iemand toegang moet krijgen kun je hoog en laag springen als systeembeheerder, maar zal het toch gebeuren.

Kriebelkous @Zer0 • 16 april 2010 12:43

Ik heb in een vlaag van verstandsverbijstering even over dat stukkie heen gelezen...

kriebelkous loopt weer eens "nee" schuddend naar de koffiepot....

[Reactie gewijzigd door Kriebelkous op 24 juli 2024 07:38]

Anoniem: 62763 @Zer0 • 16 april 2010 13:55

Zodra een 'gebruiker' schrijftoegang heeft tot een webserver, kom je toch al snel weer bij de sysop uit.

YopY @Anoniem: 69767 • 16 april 2010 12:00

tja, veel systeembeheerders hebben nog steeds geen kaas gegeten van security. Ik vind dat de beheerders die met persoonsgegevens omgaan eigenlijk gecertificeerd moeten zijn.

Leuke aanname, maar zelfs als je alles weet van security, dan nog kan dit soort dingen gewoon lange tijd onopgemerkt blijven. Bijvoorbeeld dat deze map publiek leesbaar gemaakt is tijdens het ontwikkelen en testen van deze site, maar dat het niet weer ongedaan gemaakt is. Dat kan gebeuren, dat is gebeurd, en nee, een certificaat of wat dan ook houdt dit soort menselijke foutjes niet tegen.

Het is één cijfertje op één map, dat zou iedereen kunnen missen.

Milt @YopY • 16 april 2010 13:24

Het is één cijfertje op één map, dat zou iedereen kunnen missen.

Het foutje dat de directory open en bloot voor iedereen te zien is een klein foutje maar met grote gevolgen vanwege de fundamenteel foute oplossing die ze hebben gekozen.

Als je er voor kiest om PDF's te generen en op te slaan op disk dan moet je dat niet in een directory onder de root directory van de WWW server doen. Maar doe dat dan buiten de WWW root directory zodat die files niet via de website benaderbaar zijn. De klant moet die PDF's alleen kunnen downloaden via een script wat een controle uitvoert of die klant toegang heeft tot die PDF (bijv. via een login of een unieke sleutel).

marko77 @Anoniem: 69767 • 16 april 2010 12:32

En iemand met papieren maakt nooit een foutje

Ik snap de ophef niet echt, fouten worden overal gemaakt, als men snel en adequaat fouten oplost is er weinig aan de hand imo.

mstam @Anoniem: 69767 • 16 april 2010 11:35

tja, veel systeembeheerders hebben nog steeds geen kaas gegeten van security. Ik vind dat de beheerders die met persoonsgegevens omgaan eigenlijk gecertificeerd moeten zijn.

Gecertificeerd voor wat? Om een folder een wachtwoord te geven? En als deze gecertificeerde persoon dit vergeet, certificaat afnemen?

Alleen maar extra bureaucratie. Beter om de persoon in kwestie aan te spreken of bij herhaling te ontslaan.

Jeffroiscool @Anoniem: 69767 • 16 april 2010 11:42

Ohja geef de MBO'rs maar weer de schuld

Zo moeilijk is dat toch niet. Daar let je toch op bij zo'n installatie

DutchKel @Anoniem: 69767 • 16 april 2010 15:16

Hier heb je gelijk in en er zijn ook cursussen voor. Ik heb een ICT opleiding gedaan en wist dat ik ook wel eens een cursus moet gaan doen om mijn kennis bij te spijkeren.

Helaas zijn de bazen vaak aan het bezuinigen op die kosten want dit hoort eigenlijk gewoon bij het werk erbij. Je kunt van een werknemen niet verwachten dat hij zelf gaat betalen voor zijn werk.

Daarbij zijn cursussen/trainingen ook vaak veel te simpel. Je krijgt dan vragen als wat is een veilige verbinding: http of https? Waardoor je direct denkt dat als je met https werkt je 100% veilig bent. In het artikel kan ik het er niet uit opmaken, maar misschien stond die pagina ook wel op een https site.

Dan creer je weer schijnveiligheid.

Zc0rp 16 april 2010 11:23

wat een verschrikkelijke blunder zeg! dit mag toch nooit voorkomen?!

SPee @Zc0rp • 16 april 2010 11:28

Inderdaad mag nooit voorkomen.
Blijkbaar is iemand vergeten iets in te stellen of is een instelling fout gezet. Helaas kan dat voorkomen. Gelukkig hebben ze de fout snel ongedaan gemaakt.
Zou erger zijn geweest wanneer ze er geen haast me hadden gemaakt om het op te lossen. Dat geeft wel aan dat ze er toch waarde aan hechten.

corl @SPee • 16 april 2010 11:52

Sorry? Dit mag helemaal niet mogelijk zijn. Wat moeten deze documenten op de webserver? Ik mag toch hopen dat ze daar wel gescheiden servers hebben en dat de koppeling via iets van een database server loopt.

Icekiller2k6 @corl • 16 april 2010 11:56

Als ze een mail sturen met een link in, gecodeerd naar uw PDF dan moet die toch ergens vandaan gehaald worden?

Er is 1 permissie fout gezet: dir listing.

edit: + mss een randomizing token dervoor session id ofzo

[Reactie gewijzigd door Icekiller2k6 op 24 juli 2024 07:38]

TDeK @Icekiller2k6 • 16 april 2010 11:58

Zulke PDFjes genereer je toch?

Icekiller2k6 @TDeK • 16 april 2010 12:00

umm dus jou oplossing is... Heel de tijd SQL queries te gooien die dan op hun beurt nog zouden kunnen geexploit worden?!

en volgens de wet mogen facturen niet aanpasbaar zijn, en als ze heel de tijd gegenereerd worden... dan zijn ze altijd aanpasbaar.

[Reactie gewijzigd door Icekiller2k6 op 24 juli 2024 07:38]

cyble @Icekiller2k6 • 16 april 2010 12:12

Runtime genereren vind ik ook veel netter.

Over je argumenten:
- SQL exploits is in mijn ogen net zo'n grote blunder wanneer dat mogelijk is, als een permission fout zetten.
- Database load die valt over een paar getallen ophalen is een nog grotere blunder.
- Een niet jit gegenereerde pdf is net zo aanpasbaar als eentje die in de database staat (zelfs eenvoudiger omdat de waarden niet relatief veiliger in een database zitten maar in een dir waar andere processen zo bij kunnen of, zoals in het bericht, het risico op permission blunders) , dus je zult ze altijd moeten printen voor een echte hard copy.

Xirt @cyble • 16 april 2010 13:43

Ik denk niet dat je naar de database load moet kijken, maar naar de load op het systeem om een PDF te genereren. Een PDF genereren kost namelijk significant meer werkgeheugen en waarschijnlijk ook processorkracht dan een doorsnede webpagina.

Anoniem: 62763 @cyble • 16 april 2010 13:51

Wij genereren al onze PDF's op aanvraag, kost echt niet veel resources.
Vanuit de DB word XML gegenereerd en dat wordt weer een PDF.

Yoozer @Icekiller2k6 • 16 april 2010 12:09

umm dus jou oplossing is... Heel de tijd SQL queries te gooien die dan op hun beurt nog zouden kunnen geexploit worden?!

Het enige wat de klant moet krijgen is een URL met het volgende:

site.nl/factuur/12345/789?code=sha256

12345 is het klantnummer, 789 het ordernummer, en zonder sha256 hash krijg je niks te zien.

Knappe jongen als jij daar exploits in kan vinden, want dan moet je toch wel een volstrekt waardeloze programmeur zijn om niet 3 inputs te checken - 2 op type en 1 op aanwezigheid en geldigheid.

edit: wat je aanpasbaarheid betreft: nee; facturen genereer je niet dynamisch. De factuurdata dump je in een platte tabel met alle informatie al uitgesplitst en gerenderd, en absoluut geen foreign keys naar producten.

Problem solved. En ach, die klant kijkt er maar 1 keer naar: je kunt niet voorkomen dat mensen stom genoeg zijn om 'm op twitter te zetten, maar daarvoor heb je je hash die je na 24 uur ongeldig verklaart.

[Reactie gewijzigd door Yoozer op 24 juli 2024 07:38]

Xirt @Yoozer • 16 april 2010 13:42

Dat lijkt mij echt superhandig, kan ik in het weekend niet zien welke producten ik ook alweer besteld had e.d., omdat mijn hash niet meer geldig is. Inloggen alvorens je de PDF kan bekijken is natuurlijk ook een optie (en dan optioneel de loginsessie bewaren, zodat de klant dat niet elke keer hoeft te doen).

kwaakvaak_v2 @Icekiller2k6 • 16 april 2010 13:12

Het mag wel, Exact doet niet anders, als je vanuit het systeem een factuur laat printen worden keurig netjes alle records uit de DB gehaald en door een template gehaald en komt er een PDF of Print uit gerolt. Zolang de rest van je software maar zo is gemaakt dat de gebruiker de factuur niet eenvoudig aan kan passen. (en ja met de SQL explorer kan het direct in de tabellen maar om nu te zeggen dat dat eenvoudig is als je het datamodel niet kent

)

elmuerte @Icekiller2k6 • 16 april 2010 13:40

iirc moeten dat soort gegevens achter een authenticatie en autorisatie mechanisme zitten volgens de verschillende wetten/regels.

Anoniem: 62763 @elmuerte • 16 april 2010 13:53

Zijn daar wetten en regels voor? Afgezien door aansprakelijkheid door laksigheid denk ik dat de rest enkel best-practice is.

keesdewit @Icekiller2k6 • 16 april 2010 16:45

Site is zo lek als een mandje: XSS voorbeeld:

http://www.extremediscoun...ipt%3E&tot=&zoeken=Zoeken

Ook vatbaar voor injectie en andere toestanden, maar dat mogen jullie zelf uitzoeken

blackjack21 @keesdewit • 16 april 2010 23:02

En niet zo beetje lek ook. Heerlijke SQL injections en volop XSS lekken.
Toch een hele prestatie om dat voor elkaar krijgen.

sorted.bits @corl • 16 april 2010 12:54

Het klinkt alsof je geen idee hebt waar je het over hebt. Gescheiden servers voor wat? Voor de website? En welke koppeling via de database server heb je het over?

Waarschijnlijk staan ze op de webserver, zodat de klanten de PDF's kunnen downloaden. Het is inderdaad een blunder, wat niet mag voorkomen. Maar ik gok dat Azerty een dergelijke oplossing heeft voor het downloaden van oude facturen? Misschien is het een cache directory ofzo. Weet jij veel.

Dit soort aannames zijn altijd prachtig als je geen idee hebt van de achterliggende structuur.

Denagammi @sorted.bits • 16 april 2010 13:22

"Waarschijnlijk staan ze op de webserver"

"Maar ik gok dat Azerty een dergelijke oplossing heeft voor het downloaden van oude facturen? Misschien is het een cache directory ofzo."

en dan:

"Dit soort aannames zijn altijd prachtig als je geen idee hebt van de achterliggende structuur".

Wat gaat hier fout ?

LOTG @SPee • 16 april 2010 12:05

Gelukkig hebben ze de fout snel ongedaan gemaakt.

Ja na dat ze er over ingelicht waren, god weet hoelang die documenten al publiekelijk beschikbaar zijn en of er misbruik van is gemaakt.

Ik neem aan dat ze er waarde aan hechten want het hele bedrijf raakt hier door in gevaar.

En inderdaad wat corl, waarom staat dit op een webserver?
Ik ben het ook niet met Icekill2k6 eens dat dit moet vanwege e-mails want dan zet je dit doorgaans in de attachement (wat dan volledige automatisch uit de database kan worden gehaald) en stuur je het naar je klanten. Of nog beter, je genereert die PDF vanuit je database gegevens.

Dit is een zeer ernstige zaak, je hebt hier mee het vertrouwen van je klanten behoorlijk geschaad, en nog erger de privacy van je klanten.

Caelestis @LOTG • 16 april 2010 16:40

Zal wel los lopen hoor.

Je kan een adres van iemand achterhalen.
Wat wil een hacker hiermee doen? Je thuis opwachten zo van ik weet waar je woont?

Je weet zijn bank rekening nummer.
Wat wil een hacker hiermee doen? Een mislukte poging tot creditcard fraude zonder de juiste gegevens?

Je weet zijn telefoon nummer.
Wat wil een hacker hiermee doen? Je thuis opbellen van goh je bent een eikel dat je .... besteld hebt? Nooit gehoord van een telefoon boek?

Je weet wat iemand besteld/geannuleerd heeft.
Wat wil een hacker hiermee doen? Een google adsense profiel aanleggen?

Ook al is dit een knullige fout zie ik de werkelijke schade hier niet van in en van wat ik ervan begrijp is dat zij dit z.s.m dicht hebben gegooid en hun fout hebben toegegeven. Dat is voor mij al voldoende, wij zijn immers allemaal mensen en mensen maken nou eenmaal fouten en deze is zeker nog te overzien.

Anoniem: 93798 @Caelestis • 16 april 2010 17:17

Een hacker misschien niet maar voor een inbreker / dievenbende kunnen dit best interessante gegevens zijn, vooral de adresgegevens ... Men weet dan onmiddellijk waar het interessant is om eens in te breken, want misschien heb jij wel toevallig een Plasma / LCD TV van meer dan 1000 euro in je woonkamer staan die je enkele weken daarvoor hebt aangeschaft ...

Ik vind dit dus zeker geen knullige fout, je hebt recht op je privacy en deze hoort niet te grabbel te liggen op het internet, tenzij je daar natuurlijk zelf voor kiest ...

Teigetje! @Zc0rp • 16 april 2010 12:47

En toch zal dit blijven gebeuren, en dan hebben we het er nog niet over dit soort documenten die opgeslagen staan op een pc/server die gehackt kan worden........ Alles waar je vanuit het internet bij kan is een potentieel risico.

En dan te bedenken dat de overheid ook bezig is met allerlei initiatieven die het de burger "gemakkelijker" moeten maken.......... met alle gevolgen van dien

Anoniem: 231832 16 april 2010 11:29

mmm Extreme Discount....

Je had het kunnen weten: Goedkoop is duurkoop!

Die disclaimers etc. worden door een externe jurist opgesteld of gewoon van een andere website gekopieerd, en in het gunstigste geval nog een keer in andere woorden overgetypt.

Maar zorgvuldigheid en naleving is niet altijd werkelijk gegarandeerd.

Die lettertjes bieden dus een schijnveiligheid waar je in praktijk echt heel weinig aan hebt.

Verder zegt SSL alleen maar dat de verbinding wat minder gemakkelijk kan worden getapt. Maar als je eenmaal verbinding hebt met een SSL server zou het best kunnen dat je bijvoorbeeld gemakkelijk de gegevens van andere klanten aankunt of erger.

Extreme blunder!

[Reactie gewijzigd door Anoniem: 231832 op 24 juli 2024 07:38]

musiman

@Anoniem: 231832 • 16 april 2010 11:35

Security heeft niks met discount te maken. Ook systeembeheerders bij dure bedrijven die dure spullen verkopen maken fouten.

Goed van tweakers.net om de site te waarschuwen voor dit lek van persoonsgegevens.

Anoniem: 231832 @musiman • 16 april 2010 11:38

Om discount te geven zou het toch zo kunnen zijn dat men minder geld aan IT personeel uitgeeft?

musiman

@Anoniem: 231832 • 16 april 2010 11:45

Tuurlijk. maar security heeft niet altijd met geld te maken. Wanneer je een aantal simpele basisregels hanteert, kun je al redelijk wat aan security doen. En ook al timmer je alles met al het geld van de wereld dicht, het allergrootste lek blijft altijd en eeuwig de gebruiker. En nu schaar ik systeembeheer ook even onder die noemer.

Gebruikers moeten zich bewust zijn van security. Wanneer gebruikers zomaar wachtwoorden vrijgeven aan anderen die erom vragen of wanneer bijvoorbeeld de servicedesk zomaar wachtwoorden van gebruikers reset terwijl er geen zwart op wit bewijs is dat degene aan de telefoon ook die persoon is van wie het wachtwoord gereset wordt, dan kun je nog zoveel geld aan security uitgeven, dan helpt dat niet.

Oftewel, goede procedures die ook nageleefd worden EN een mentaliteitsverandering doen al een heleboel en dat hoeft niet veel geld te kosten.

Anoniem: 231832 @musiman • 16 april 2010 11:49

Dat ben ik met je eens. Duurder is niet altijd beter. Sterker nog, als ze beter IT personeel hadden ingehuurd / opgeleid had het bedrijf een hoop imago schade kunne besparen en was er minder geld nodig geweest om dat weer te repareren

[Reactie gewijzigd door Anoniem: 231832 op 24 juli 2024 07:38]

musiman

@Anoniem: 231832 • 16 april 2010 11:56

Zoek je soms nog een baantje?

Anoniem: 231832 @musiman • 16 april 2010 11:58

Ben je toevallig HRM medewerker van Extreme Discount?

musiman

@Anoniem: 231832 • 16 april 2010 12:01

LOL nee, helaas. Daarvoor moet ik je verwijzen naar onze hun website.

Anoniem: 231832 @musiman • 16 april 2010 12:16

Helaas mag ik je ook geen punten geven omdat ik het toevallig met je eens ben in je reactie om mijn reactie op jouw reactie op mijn reactie. Pindakaas!

"Extremediscount.nl verkoopt uw gegevens niet " , we geven ze gratis weg.

[Reactie gewijzigd door Anoniem: 231832 op 24 juli 2024 07:38]

Anoniem: 174744 16 april 2010 11:32

Ik vraag me wel af, hoe is deze 'publiekelijk toegankelijke' folder überhaupt gevonden?

Anoniem: 1322 @Anoniem: 174744 • 16 april 2010 11:39

Er zijn speciale webserver scanners die controleren of er open dirs zijn. Een andere optie is dat de ontdekker gewoon het einde van zijn aankoop bon heeft gehaald (dus gewoon de pdf uit de url halen)

woekele @Anoniem: 174744 • 16 april 2010 11:40

Doordat er ook bestanden in die folder stonden die op de site gewoon werden gebruikt (plaatjes). Het kan iemand toevallig opvallen dat een van deze plaatjes in de map 'upload' staat en diegene zou dan uit nieuwschierigheid kunnen gaan kijken wat er nog meer in die map staat

Anoniem: 250814 16 april 2010 11:59

"Volgens het privacybeleid gaat de webwinkel 'uiterst zorgvuldig' om met gegevens van klanten, onder meer door het gebruik van ssl-technologie"

Awesome! Waarom denken er zoveel mensen dat als er ssl wordt gebruikt dat opeens alles veilig is?

Herko_ter_Horst

@Anoniem: 250814 • 16 april 2010 12:03

Precies. Die dir staat nog net zo open als het communicatiekanaal versleuteld is.

musiman

@Anoniem: 250814 • 16 april 2010 12:03

Omdat iedereen ze dat voorspiegelt denk ik. Maar je hebt een punt

We moeten het "volk" beter voorlichten over security op het net.

mvdejong 16 april 2010 11:31

Het probleem kan natuurlijk ook zijn dat een willekeurige medewerker die toegang had tot de gegevens deze naar een verkeerde locatie gekopieerd heeft. Systeembeheerders hebben meestal wel een redelijk besef van security, maar alle incidenten met USB-sticks van de overheid laat zien dat medewerkers die dagelijks met gevoelig materiaal omgaan hier nogal laks in dreigen te worden.

Orion84 Admin General Chat / Wonen & Mobiliteit @mvdejong • 16 april 2010 11:46

Het hele feit dat er een publiekelijk beschikbare open dir is, is natuurlijk wel degelijk een fout van de beheerder. Hoe die gegevens daarin terecht komen is dan een tweede vraag, maar wat moet je op de productieserver van een webshop in 's hemelsnaam met open dirs?

tweaktubbie 16 april 2010 12:01

Maak me ook ernstig zorgen over mijn laatste bestelling bij ze die faliekant mis ging.
Zie namelijk ook service.pdf'jes die bij vragen/klachten verstuurd worden in het overzicht!

Toko ging al belachelijk slecht met orderafhandeling aan de slag ( http://tweakers.net/shopreview/7584/extreme-discount.html ) en negeerde crediteringstermijn tot aan Thuiswinkel.org-klachten aan toe. Wat een lutsers.

[Reactie gewijzigd door tweaktubbie op 24 juli 2024 07:38]

musiman

@tweaktubbie • 16 april 2010 12:09

Hmm, extreme-don't-buy.nl moet het dus eigenlijk zijn. Naar voor jou dat je wss tussen staat

tweaktubbie @musiman • 16 april 2010 12:39

Zie googlecache en wat er na modereren staat. Dit soort praktijken ben ik ook tegenaan gelopen (loze beloftes), en ook op bv TrosRadarforum genoeg klachten.

Even voor de beeldvorming: men had iets op voorraad volgens de site, kreeg 2 dagen later verzendbericht, en dag later (!) mail dat het artikel niet op voorraad is. Toen geannuleerd. Na dag een mail met de vraag welk rekeningnummer het naartoe moet (dus geen zicht op waarvan je met ideal betaald hebt). Bij creditering (alleen pdf, niet daadwerkelijk overboeken) krijg je ook zo'n pdfje toegemailed.

Hoe kan het ook van 1 maand zijn, en verders niet. Vaag.

Huppol 16 april 2010 11:32

Foutjes gebeuren nou eenmaal. Iedereen leert van zijn fouten. Jammer dat het gebeurd is, maar dit is een goede reden om de volgende keer bij hun iets aan te schaffen. Want in het vervolg zullen ze oplettender zijn! (zou je verwachten

)

Op dit item kan niet meer gereageerd worden.

Open dir op Extremediscount.nl bevat gegevens bijna 1000 klanten

Lees meer

IT-banen

Reacties (91)

Sorteer op:

Weergave: