Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 211 reacties
Submitter: LuckY

Een hacker heeft een enorm lek aangetoond in de website ervaarhetov.nl van de provincie Gelderland. Door een simpele sql-injection uit te voeren, wist de hacker toegang te krijgen tot de database met persoonsgegevens van 168.000 mensen.

Een hacker die schuilgaat onder de naam ins3ct3d tipte Webwereld dat de site ervaarhetov.nl gevoelig was voor een simpele hackmethode. Via een zogenaamde sql-injection, waarbij in dit geval een sql-query aan een url werd vastgeplakt, kreeg de hacker toegang tot de complete database met persoonsgegevens van 168.000 reizigers. Naast naam en adresgegevens stonden ook de e-mailadressen en telefoonnummers van sommige gebruikers geregistreerd. Er zijn zelfs databasevelden gevonden voor het opslaan van nummers van legitimatiebewijzen. De provincie Gelderland heeft de website meteen nadat ze op de hoogte was gebracht offline gehaald.

De ontwikkeling van de website werd geleid door reclamebureau DMO, dat uit voorzorg alle door het bureau ontwikkelde sites die persoonsgegevens opslaan offline heeft gehaald. Volgens Frans Colthoff van DMO wordt de beveiliging van alle websites die het bureau ontwikkelt op verschillende manieren getest, maar is de sql-injection hack in het teststadium niet opgemerkt. Het bedrijf zegt nu hard te werken aan het vinden van de precieze oorzaak en het dichten van het lek. Wanneer de website weer online komt, is in handen van de provincie, aldus het bureau. Colthoff bevestigt dat in sommige gevallen ook nummers van identiteitsbewijzen in de database werden opgenomen, al zou het hier maar om een 'fractie' van de ongeveer 168.000 geregistreerde personen gaan.

Volgens ins3ct3d pleegde hij de hack om aan te tonen dat de overheid niet genoeg aandacht besteedt aan de beveiliging van online-diensten. "Zolang de overheid de burger onveilige systemen blijft opdringen, voel ik me gedwongen de veiligheid van mijn medeburgers te beschermen en hen te waarschuwen”, meldt hij tegen Webwereld.

De website ervaarhetov.nl is een initiatief van de provincie Gelderland en de verschillende vervoersbedrijven in de regio, bedoeld om het gebruik van het openbaar vervoer in de regio te stimuleren. Via de site, die al drie jaar in de lucht is, konden reizigers zich voor verschillende acties aanmelden en ook was het mogelijk een persoonlijke ov-chipkaart aan te vragen.

Moderatie-faq Wijzig weergave

Reacties (211)

Er is ook een video beschikbaar van de actie :)
Gezien deze video gaat het waarschijnlijk om Blind SQL Injection, waarschijnlijk bij het loggen van een id naar de database op actie.html of zoiets. Daarom moeten programmeurs dus altijd prepared statements gebruiken indien mogelijk en nooit zomaar user-input in de query laten komen, zelfs niet als het resultaat niet direct zichtbaar is zoals in dit geval. Eigenlijk schandalig dat dit nog voorkomt voor zo'n relatief nieuwe 'professionele' site.

Verder is dit ook niet zozeer een kwestie van 'testen', het is meer een kwestie van op een fatsoenlijke, moderne en professionele manier programmeren. :P Testen gebeurd vaak zonder source code. Het is onhandig en extra werk als een tester dan iedere keer als er een 'id' aan een pagina meegegeven wordt, moet testen of er geen sql-injection op deze id mogelijk is. Dat soort tests worden dan vaak ook (terecht) niet uitgevoerd, omdat het een onzinnige test zou zijn als er gewoon altijd met prepared statements of andere tools gewerkt wordt.
Volgens Frans Colthoff van DMO wordt de beveiliging van alle websites die het bureau ontwikkelt op verschillende manieren getest, maar is de sql-injection hack in het teststadium niet opgemerkt.

Is dit niet iets wat je tijdens de bouw gewoon verwerkt??
Dit is toch wel héél simpel?
Inderdaad, SQL injection is echt een van de meest voor de hand liggende veiligheids lekken die je kunt verzinnen. Iedere zichzelf respecterende developer die SQL gebruikt in combinatie met gebruikers invoer zou moeten weten dat je alle gebruikers invoer die in SQL statements terecht komt altijd via geparametriseerde queries moet implementeren, met als dubbel check nog een controle op de invoervelden. Als je dit als professional niet doet dan ben je echt het amateur niveau nog niet ontstegen, en je geld niet waard.

Schandalig dat er geen betere screening is op het soort bureau'tjes dat elke keer wordt ingehuurd om overheids ICT te implementeren. Zal wel weer een vriendje van iemand geweest zijn, of bij de verplichte openbare aanbesteding zo lekker goedkoop. |:(
DMO is een RECLAMEbureau.

En daarom laat je reclamebureau's geen complexe websites bouwen met persoonsgegevens. Daar heb je specialisten voor.
Reclamebureas werken regelmatig samen met gespecialiseerde internetbedrijven. De internetbedrijven leveren dan een product en het reclamebureau test dit. Het kan dus ook zo zijn dat het niet eens het reclamebureau is dat de boel niet goed getest heeft (of heeft kunnen testen). Reclamebureaus kunnen, afhankelijk van de leverancier, best complexe websites leveren.

Zoals johnbetonschaar zegt is het echt te dom voor woorden dat dit kan. Een SQL injection is een zeer voor-de-hand-liggende methode om een website te "hacken". Dat moet door elke zelf-respecterende professional afgevangen worden.

Maar, klanten (lees: afnemer van de website/tussenpartij) weten vaak niet van dit soort dingen af. Ze hebben dus op kwalitatief gebied een beperkte manier om te bepalen hoe bekwaam iemand is. Hoe moet de provincie Gelderland of een reclamebureau is van SQL injections weten en hoe controleer je op voorhand of een bureau "veilige" applicaties levert?

Ik ben het er helemaal mee eens dat een selectie-procedure voor software waarmee, zeker op grote schaal, persoonsgegevens gemoeid zijn zeer streng hoort te zijn. Zolang zo'n procedure echter nog niet, of niet goed genoeg, aanwezig is, kan je eigenlijk niemand dit aanrekenen behalve de daadwerkelijke ontwikkelaar van de site.
Ja dit lijkt me ook 1 van de eerste dingen die je bij een security scan uitvoert. En dan vraag ik me ook meteen af hoe deze site in elkaar gehackt is. Elk fatsoenlijk ORM framework heeft prima SQL injection beveiliging... Dit is de straf voor het zelf in elkaar hacken van dingen.

Daarnaast zou elke bedrijf dat serieuze websites maakt altijd de OWASP top tien door moeten lopen (zie owasp.org). Dan weet je dat je je site goed dicht hebt. 100% is nooit te garanderen maar zo kom je aardig in de buurt.

Op de radio liet een woordvoerder van de provincie trouwens weten dat de site anders prima heeft gewerkt al die tijd. Meer dan prima in de ogen van hackers :Y) . Helaas weer iemand aan het woord met te weinig kennis van zaken.
"maar is de sql-injection hack in het teststadium niet opgemerkt."
Mag je dat eigenlijk wel een hack noemen?
"Mag je dat eigenlijk wel een hack noemen?"
Tja daar zullen de meningen oververdeeld zijn... denk niet dat je echt van een hack kan spreken, aangezien het gewoon een feature is die niet is dicht gezet ;-)
Mensen die niet weten wat een SQL-injection is zullen meteen denken "WTF een hack", daarin tegen mensen die wel een beetje kunnen proggen en iets afweten van SQL zullen het met me eens zijn ;-)

Een SQL injection is niets anders dan je SQL statement achter het URL plakken.
Even ter illustratie (dus niet bedoelt om zelf te gaan testen)
Ik kan me voorstellen dat ze bijvoord de onderstaande regel hebben gebruikt om er achter te komen dat er database velden zijn voor het opslaan van nummers van legitimatiebewijzen.

SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES

In je webbrouwsertje zou dat er als volgt uit komen te zien....
http://websitedienietbeveiligdis/index.asp?id=10 UNION SELECT TOP 1 TABLE_NAME FROM INFORMATION_SCHEMA.TABLES--

Dus tja is dat een hack?!? Persoonlijk vind ik van niet...
Ze pasten gewoon hun SQL commando naar de website, die voert dit voor hun uit en het geeft (waarschijnlijk) een error met daarin de door jouw gevraagde informatie....

Het word tijd dat die mensen een in de leer gaan bij google ;-)
http://tweakers.net/nieuws/67156/google-geeft-les-in-websitebeveiliging.html

[Reactie gewijzigd door The_XIII op 18 mei 2010 14:55]

Nee dit is geen hack meer te noemen, het is vergelijkbaar met:
"wij hadden bij de controle na de bouw van uw huis niet door dat wij het slot op uw voordeur zijn vergeten"

Als je zo een project moet gaan maken dan neem ik aan dat je met classes werkt, de meeste voorbeeld classes hebben een beveiliging tegen SQL injecties.
En zo niet dan kun je heel simpel je site beveiligen tegen injecties met een paar regels code:
function query($query){
return mysql_query(mysql_real_escape_string($query));
}
Hebben ze de website überhaupt wel echt getest vraag ik me af?

[Reactie gewijzigd door redstorm op 18 mei 2010 14:24]

Echt heel jammer dat er weer zoiets moet gebeuren. Maar een + voor de mensen die hun skillz voor whitehat onderzoek gebruiken en niet alles gaan misbruiken. Ondanks dat het inderdaad een simpele kwestie van rekening houden met is gebeurt het toch verrassend vaak dat een website er gevoelig voor is... Ik vind dat je dit als bedrijf niet kunt maken in dit digitale tijdperk vol met beveiligings gaten, leuke achterdeurtjes en trojaanse konijnen*.
Het punt is dat er geen ultieme manier is om je code foutvrij te maken en te houden.
Er bestaat immers geen "veilige code" Veiiligheid is een illusie, zo dus ook veilige code.

Afgezien van dat je als ontwikkelaar natuurlijk zo security bewust bezig moet zijn ben je immers afhankelijk van hoe een compiler of een interpreter met jouw code omgaat en de uiteindelijke omzetting. Laat staat als het gaat om webdevelopment.

om alleen al die cyclus van bijvoorbeeld PHP te nemen:

parser generator -> compiler -> interpreter -> scripts -> browser.

En dan heb je niet eens alles. Maar het staat gewoon vast dat je afhaneklijk bent van hoe een groep mensen met zijn of haar code omgaat.

Hoeveel fouten er in deze cyclus zitten is niet eens meer te tellen volgens mij.
Echter kan je wel de code zodanig aanpassen dat het moeilijk is om misbruik te maken d.m.v. een exploit. En dat is de bedoeling dan ook als ontwikkelaar dat je dat ook toepast.

Nu is dit probleem kinderlijk eenvoudig op te lossen maar complexiteit van security vraagstukken is immens en dat vergeten mensen weleens of hebben er geen verstand van.

[Reactie gewijzigd door Typnix op 18 mei 2010 11:59]

Even dit voor iedereen, hoe slecht een beveiliging ook is, dit is geen rechtvaardiging voor criminineel gedrag heel simpel.

Als jij je voordeur wagenwijd open laat staan heeft een vreemde nog geen recht om je huis te betreden en spullen mee te nemen.

Het is niet slim dat is waar en de vraag is of jij je als burger wilt inlaten met partijen ( de overheid in dit geval ) die een voordeur wagenwijd laat openstaan waar jou spulletjes achter staan ( gegevens )

maar nogmaals een open deur is geen rechtvaardiging voor crimineel gedrag, dat maakt het gedrag niet opeens legaal ;)

hetzelfde kan gezegd worden over bv copyright wetgeving, al is de copy beveiliging nog zo onrechtvaardig of gemeen of slecht, geeft je geen wettige reden om dan maar je niet aan de wet te houden

[Reactie gewijzigd door YPACCuitVenlo op 18 mei 2010 16:41]

ik snap niet geheel je vergelijking, dit is namelijk niet een voordeur waar je naar binnen gaat, dit is een winkelruit waardoor naar binnen wordt gekeken.

Zonder de SQL zou jij die hele web pagina niet eens kunnen bekijken, als jij op z'n linkje klikt triggert dat achter de schermen allerlij SQL commando's om ervoor te zorgen dat jij de juiste informatie krijgt te zien.

Ter illustratie: Je kan deze pagina bekijken via:
nieuws: Hackers konden door lek in ov-site bij gegevens 168.000 personen
of
nieuws: Hackers konden door lek in ov-site bij gegevens 168.000 personen
of
nieuws: Hackers konden door lek in ov-site bij gegevens 168.000 personen

Bij de twee laatste urls heb ik zelf de parameters veranderd, heb ik nu iets illegaals gedaan? nee hij laat gewoon iets anders zien. Heb ik nu Tweakers.net gehacked? Ik mag hopen van niet ;-) Bij een SQL injection doe je niets anders dan een paar extra variablen mee sturen...

PS. de link die jij left naar de copyright wetgeving snap ik niet geheel.
Vooral doorgaan met dit soort acties.
Het word echt hoognodig tijd dat de gemiddelde nederlander eens bewust word wat er nu al allemaal van hem rondslingerd in databases en hoe makkelijk er dus (soms) bij te komen is.
Ik zit zelf in de zorg sector,

Het EPD (electr.. pa.. dossier) willen ze nu er ook door drukken, wat mij niet verstandig lijkt aangezien het nog niet volledig als veilig mag worden beschouwd...

Het is dus bijna onmogelijk om voor 1 Juli (dan willen ze de start maken) het systeem compleet veilig te krijgen.

Nederlanders worden door deze berichten wel bewuster over hun gegevens 'online'...

Ik geef je dan ook groot gelijk!
Helemaal mee eens, ik zit ook in de zorg en ik ken het probleem.

In het Orbis Medisch Centrum wordt overigs wel heel erg netjes, effectief en efficient omgegaan met het EPD en het zorgt ook zeker voor kwaliteitswinst voor de patient. In dat opzicht is het EPD echt niet meer weg te denken, maar de beveiliging van de gegevens is eigenlijk gewoon zo lek als een mandje, en dan is het in het OMC zelf nog heel erg goed gesteld met de beveiliging, strikte eisen en beperkingen in het gebruik ervan. Maar iemand die kwaad wil kan zonder enig probleem overal toegang krijgen tot 250.000 patientengegevens lokaal en dadelijk 16 miljoen landelijk.

En de traceerbaarheid van toegang is ook te omzeilen in 3 tellen...dus dat schrikt een kwaadwillende echt niet af. Deze prive gegevens zijn allemaal zeer gevoelig en het toont dus maar weer aan dat er echt heel erg goed gekeken moet worden naar de veiligheid en of het uberhaupt nodig is om centraal opgeslagen te worden...

Piratenpartij heeft gewoon als enige in de politiek hier een standpunt over en dat vind ik schandalig.

Vingerafdrukken afgeven wanneer ik een paspoort afhaal, waarom? Ben ik bij voorbaat al verdacht of willen ze mij gewoon graag traceren? Of wil de overheid het kwaadwillenden gewoon makkelijker maken hun daden te verdoezelen door een beetje te knoeien met data?
Hieronder de brief van Minister Klink over eht EPD

Geachte voorzitter,
Op 20 april 2010 heeft uw Kamer het nader voorlopig verslag ten aanzien van het wetsvoorstel tot wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg vastgesteld. U heeft mij verzocht de vragen in het nader voorlopig verslag tijdig en adequaat te beantwoorden teneinde de parlementaire behandeling voortvarend te kunnen voortzetten. Uw Kamer heeft deze behandeling vooralsnog gepland op 1 juni 2010.

Ik waardeer uw voornemen tot voortvarende behandeling ten zeerste en stel dan ook alles in het werk om u daarbij te faciliteren. De vragen uit het nader verslag wil ik zeer zorgvuldig bestuderen en van antwoorden voorzien. De beantwoording van deze vragen en de door de experts gemaakte opmerkingen verdienen de benodigde aandacht.

Tevens vergt een aantal opmerkingen gedaan door de experts nader onderzoek en afweging. In de eerste plaats heb ik naar aanleiding van de opmerkingen van mevrouw Beuving van het College Bescherming Persoonsgegevens een externe deskundige gevraagd het toezichtskader (als het gaat om specifiek en continu toezicht) uit te werken. Deze uitwerking zal in de eerste week van juli aan mij worden opgeleverd.

In de tweede plaats zal ik naar aanleiding van hetgeen een aantal experts heeft opgemerkt laten onderzoeken of, en zo ja op welke wijze, het mogelijk is om op verzoek van de patiënt regionale begrenzing van de informatieuitwisseling binnen de landelijke infrastructuur aan te brengen. Tevens zal ik bezien of automatische sms-notificatie van raadplegingen aan patiënten haalbaar is. Een burger ontvangt – zodra een arts zijn of haar gegevens heeft opgevraagd via de landelijke infrastuctuur - per sms een bericht hierover. Ik zal ten aanzien van deze twee punten technische impactanalyses laten uitvoeren door Nictiz. Daarnaast bestudeer ik eventuele juridische consequenties daarvan voor het wetsvoorstel en het besluit. Het in kaart brengen van de mogelijke technische en juridische impact dient uiteraard zorgvuldig te gebeuren en neemt circa 3 maanden in beslag.

Daarnaast heb ik van de Raad van State onlangs twee adviezen ontvangen die van belang zijn voor de mondelinge behandeling van het wetsvoorstel. Dit betreft in de eerste plaats het advies ten aanzien van het concept-besluit, waarin het wetsvoorstel nader wordt uitgewerkt. In het concept-besluit staat ondermeer aangegeven welke gegevens door welke zorgverleners kunnen worden geraad-pleegd en is invulling gegeven aan de delegatiebepalingen uit het wetsvoorstel.
In de tweede plaats heb ik advies van de Raad van State ontvangen ten aanzien van de wijziging van het onderhavige wetsvoorstel. Hierin worden nadere bepalingen geïntroduceerd onder andere ten aanzien van:
- Strafbaarstelling van misbruik van het EPD.
- Zichtbaarheid afscherming van gegevens.
- Uitsluiten toegang verzekeraars tot het EPD.

Het advies van de Raad van State leidt tot aanpassing van zowel het concept-besluit als tot wijziging van het onderhavige wetsvoorstel. Deze aanpassingen vergen zorgvuldige bestudering en interdepartementale afstemming en vragen
- net als de beantwoording van het nader voorlopig verslag - om die reden de nodige tijd. Kennisname van beide concept-regelingen is mijns inziens van belang voor een zorgvuldige beoordeling van het wetsvoorstel.

Het bovenstaande leidt er tot mijn grote spijt toe dat het niet haalbaar is u de antwoorden in combinatie met de concept-regelingen en de uitkomsten van de twee in gang gezette onderzoeken, tijdig voor 1 juni te doen toekomen. Ik vraag om uw begrip voor mijn dilemma om enerzijds tegemoet te willen komen aan uw wens de vragen zo spoedig mogelijk te beantwoorden en anderzijds u zo volledig mogelijk te willen informeren, zodat gedegen besluitvorming mogelijk is. Ik ver-zoek u dan ook de voorgenomen behandeling uit te stellen in afwachting van de voornoemde stukken.

Hoogachtend,

de Minister van Volksgezondheid,
Welzijn en Sport,


dr. A. Klink
En een systeem als het EPD kan je nooit veilig krijgen odmat te veel mensen toegang moeten hebben tot het systeem. Het enige wat nmen kan doen is ervoor zorgen dat misbruik snel kan opgespoord worden en misbruik streng bestraffen.

Ik vind het ook spijitig dat men met deze hack de overheid op de korrel wenst te nemen terwijl het werk uitbesteed werd en de fout dus ergens anders lag. Wanneer je iets uitbesteed (en dit is geen ingewikkeld, complex project) mag je er vanuit gaan dat het goed gebeurd en je dus niet continue moet gaan controleren.
En een systeem als het EPD kan je nooit veilig krijgen
Dan moet je het dus niet doen. De noodzaak om het verplicht te maken voor iedereen is er helemaal niet. Een enkeling die bijzondere zorg nodig heeft kan er baat bij hebben, maar voor de meeste mensen is het helemaal niet nodig dat Jan en alleman bij zijn medische gegevens kan.
Het enige wat nmen kan doen is ervoor zorgen dat misbruik snel kan opgespoord worden en misbruik streng bestraffen.
Dat is het paard achter de wagen spannen. Je creëert een onnodig probleem dat je vervolgens moet gaan zitten oplossen met regeltjes. Een crimineel laat zich daardoor ook helemaal niet afschrikken; dat is namelijk per definitie iemand die zich niets van regeltjes aantrekt.
Nee, daar mag je niet zomaar vanuit gaan, daar moet je zeer strikte eisen aan stellen met forse boeteclausules mocht het toch lek blijken. In dit geval is op een zeer simpele manier (SQL injectie, come on!) de hele database opengelegd. Dat is echt niet acceptabel. Heeft de provincie geen eisen gesteld aan de veiligheid?
Dat is juist het hele punt van dit verhaal. Ook al ga je bedrijven aanklagen en/of mensen ontslaan de informatie blijft weg. Als er al bots het net afgaan om dit soort sites aan te vallen en leeg te trekken dan kun je er vergif op innemen dat die informatie al 'gebruikt' wordt.

What Goes on on the Internet, Stays on the Internet
Ik vind het ook spijitig dat men met deze hack de overheid op de korrel wenst te nemen terwijl het werk uitbesteed werd en de fout dus ergens anders lag. Wanneer je iets uitbesteed (en dit is geen ingewikkeld, complex project) mag je er vanuit gaan dat het goed gebeurd en je dus niet continue moet gaan controleren.
Blijkbaar is dat dus wel nodig :+
Ik ben het met je eens dat het epd nooit veilig te krijgen is. Maar jammer genoeg zorgt men niet dat misbruik snel opgespoord en bestraft wordt. Want in eerste instantie moet de huisarts beoordelen of er gebruik gemaakt had mogen worden en heeft de echte eigenaar geen inzage in deze logging. Dat zou pas later komen.

Ik zie een huisarts niet dagelijks allerlei computerlogbestanden controleren en contact opnemen met opvrager en de patient om te beoordelen of er misbruik geweest is.

Ik ben het echter oneens met de stelling dat je bij uitbesteding er vanuit mag gaan dat het goed gebeurd, en dat je niet continue moet gaan controleren. In het algemeen lijkt het me handig dat je wel controleert of aan de eisen voldaan is en blijft.

Maar in dit specifieke geval is volgens de privacy wetgeving de overheid volledig verantwoordelijk. http://wetten.overheid.nl...ldigheidsdatum_03-05-2010. De overheid had dit dus moeten controleren. Die kan en mag dat niet afschuiven naar de bewerker.
Onlangs is nog een flink deel van het epd afgeschoten door de eerste kamer.

http://www.zorgvisie.nl/N...r-tegen-landelijk-epd.htm
Ik vind het heel apart dat de discussie meteen weer op privacy uitdraait. (Net als ook de eerste reactie.) Het is toch logisch dat zo'n organisatie je gegevens nodig heeft... en ik heb er ook helemaal geen probleem mee dat ze mijn gegevens hebben. Er zijn zat instanties die mijn gegevens nodig hebben om mij van service te kunnen voorzien (bv mijn bank). Waar ik wel een probleem mee heb is dat ze hun beveiliging zo slecht voor elkaar hebben dat iedereen bij mijn gegevens kan.

Dus dit voorval staat in mijn optiek echt los van privacy. Ga dit voorval dus niet zien als stok om mee te slaan in de privacy discussie. Dit voorval toont aan dat bedrijven en de overheid veel meer aandacht moet besteden aan security bij het uitbesteden van opdrachten. Laat leveranciers maar eens uitleggen hoe ze beveiliging aan gaan pakken en eis maar dat ze voldoen aan de OWASP top tien. Helaas is vooral bij de overheid het gebrek aan kennis de oorzaak dat dit soort dingen niet wordt gevraagd en bedrijven wegkomen met dit soort gepruts. Ik hoop in ieder geval van harte dat DMO van de supplier list van de overheid wordt geschrapt maar ik vrees dat ze vrolijk door mogen blijven hacken.

En voor mij als gebruiker is niet direct te zien of een site veilig is (ik ga niet bij elke site eerst even proberen of ik XSS of SQL injection erdoor krijg). Dus je waant je veilig maar krijgt de deksel hard op de neus... erg jammer.

edit: XXS = XSS

@Kozue: Eén van die "mensen zoals hierboven" zal maar even reageren dan. Nee om van A naar B te reizen heeft de NS jouw gegevens niet nodig. Maar als je "vroeger" een papieren abonnement of trajectkaart wilde kopen, moest je ook al deze gegevens opgeven. Dus wat dat betreft is er niet zo veel veranderd. En om een persoonlijke chipkaart te maken hebben ze toch persoonsgegevens nodig lijkt me. Ook is het wel handig is ze mijn kunnen benaderen voor bv wijzigingen in de voorwaarden of andere zaken omtrent mijn chipkaart.

En nee, mijn attitude is niet zorgelijker dan die lekke databases. Ik kies heel bewust welke organisaties welke gegevens van mij nodig hebben maar vind het heel erg als die instanties mijn gegevens rond laten slingeren. Waarbij het onbewust rond laten slingeren bijna even erg is als bewust. Dus sla alsjeblieft niet zo door met je populistische "de overheid bespioneerd ons" verhalen.

[Reactie gewijzigd door sys64738 op 18 mei 2010 12:31]

Wat is er logisch aan dat het OV jouw gegevens nodig heeft? Dat hadden ze vroeger ook niet nodig om mij van A naar B te brengen, toen je nog treinkaartjes en strippenkaarten moest kopen.
Het OV is totaal niet te vergelijken met een bank. Anonieme bankrekeningen zouden puur voor fraude worden gebruikt, dus moeten ze naar een eigenaar te traceren zijn. Voor het OV is het helemaal niet van belang wie ik ben. Ik wil van A naar B en betaal daarvoor, ze hoeven niet te weten waar ik woon en hoe ik heet om mij van service te kunnen voorzien.
Eigenlijk vind ik de attitude van personen zoals hierboven nog veel zorgelijker dan een lekke database. Blijkbaar is de overheid er al in geslaagd mensen zo te hersenspoelen dat ze zomaar overal zichzelf laten bespioneren. Ze verzinnen er altijd wel een reden voor.
zoals sys64738 hierboven ook al zegt:
Als je gewoon van A naar B wil is het ook nergens voor nodig om persoonlijke gegevens te hebben. En dat is bij de OV chipkaart dan ook niet anders: gewoon een anonieme chipkaart gebruiken.

Als je echter abonementen wilt gebruiken, is onvermijdelijk dat er persoonlijke informatie wordt bewaard (net zoals dat nu ook al gebeurd: als je een "papieren" ov kaart hebt zijn je gegevens ook gewoon bekend bij het OV bedrijf).

Het enige verschil is dat er in de "oude" situatie per definitie geen mogelijkheid is om reisgegevens te koppelen aan personen, waar dit met de nieuwe OV chipkaart wel mogelijk is. Voor details over wat er wel/niet mee mag gebeuren:
https://www.ov-chipkaart....vchipenuwpersoonsgegevens

Belangrijk stuk:
Wanneer u bij een OV-bedrijf een persoonsgebonden (reis)product of dienst afneemt,
dan kan dit OV-bedrijf uw gegevens gebruiken om u persoonsgerichte aanbiedingen
(direct marketing) te sturen. Dat kan op twee verschillende manieren:
1. het OV-bedrijf kan een vijftal gegevens die zijn afgeleid van uw reisgedrag (te
weten: Reisfrequentie; Tijdsduur die is verstreken na laatst gemaakte reis;
Binnen/buiten spits; Voorkeursstations; Voorkeurstrajecten) gebruiken om u
aanbiedingen te sturen, tenzij u heeft aangegeven dat u daar geen prijs op stelt
(zogenaamde opt-out);
2. het OV-bedrijf mag gedetailleerde gegevens over uw reisgedrag gebruiken om
u aanbiedingen te sturen als u het OV-bedrijf daarvoor vooraf uw toestemming
heeft gegeven (zogenaamde opt-in).


Je kan stellen dat van punt 1 ook een opt-in maken netter is, maar het gaat me wat ver om nu meteen over bespioneren en hersenspoelen te gaan hebben.
Ik vind het heel apart dat de discussie meteen weer op privacy uitdraait. [...] Waar ik wel een probleem mee heb is dat ze hun beveiliging zo slecht voor elkaar hebben dat iedereen bij mijn gegevens kan.
Gebrekkige beveiliging slaat toch direct terug op potentiëel verlies van privacy? Het is toch niet raar dat mensen die link meteen leggen (hun gegevens liggen immers 'op straat' en er zullen zeker partijen zijn die daar 'ongewenste' dingen mee willen doen).
Mooizo, hoop dat het nu duidelijk is voor alle mensen die altijd roepen dat als je niets te verbergen hebt dat verschillende instanties dan prima je gegevens mogen hebben.
Ach ja, dit is de zoveelste megafail in dit project. En het zal alleen maar erger worden.
Waarom wij niet gewoon het simpele Engelse OV systeem met papieren anonieme magneetkaartjes en poortjes konden gebruiken is mij nog steeds een raadsel.

Dat systeem is bewezen te werken, maar nee, wij in Nederland moeten weer de fancy uithangen met technologische snufjes :)

edit: typo

[Reactie gewijzigd door CobraVE op 18 mei 2010 11:30]

Heb je van de Oyster Card gehoord? Welliswaar alleen in de regio London. Maar ook RFID chip, vergelijkbaar met de OV Chipkaart. Ingevoerd in 2003, dus ook de Engelsen proberen fancy snufjes.
http://nl.wikipedia.org/wiki/Oyster_card

Enig (belangrijk) verschil: de Oyster Card is in principe niet persoonlijk.
Er zijn wat zeer essentiele verschillen tussen de Oysterkaart en de OV Chipkaart:
- De OV chipkaart is een electronische ID kaart, waarbij ieder poortje met de centrale host de status checked, etc. De Oysterkaart is standalone, een echte electronische wallet, waarbij voor de registered kaarten de reis naderhand aan jouw history gekoppeld wordt. Alleen van geregistreerde Oysterkaarten krijg je saldo terug bij verlies. De anon kaarten is jammer dan.
- De OV Chipkaart kun je anoniem kopen met saldo zo weinig dat je er net een busreisje mee kunt maken, maar bij de eerste opwaardering (verplicht PIN) wordt die aan jou gelinked. Dus niets anoniem. De Oysterkaart kun je aan het loket gewoon met contanten opwaarderen (min GBP 5.00) en blijft ook anoniem tot je een keer een electronische opwaardering doet, dan is je hele (8 weken ? ) reishistory aan jou gekoppeld.
- Inchecken van de OV Chipkaart is ook voor onbeperkt-abo houders verplicht, dus ook die kunnen niet meer anoniem reizen.
- Waar het reizen met de Oysterkaart aanzienlijk goedkoper is als met een gewoon kaartje, is de OV Chipkaart in de praktijk gezien aanzienlijk duurder dan een gewoon kaartje, een factor 2 ! is geen uitzondering.

Dus een OV Chipkaart is duur en een RAMP kwa privacy. Privacy heb je principieel niet, alle mooie woorden van de overheid, commissies ten spijt. :(

Overigens is ook het gewone treinkaartje verre van anoniem, daar je die eigenlijk alleen met registered betalingsmiddel kan betalen. En die reisinfo wil de NS natuurlijk niet missen, dus dat moest er toch in bij de OV Chipkaart. Het verschil is dat een gewoon treinkaartje een intentie tot reizen uitdrukt en de OV Chipkaart de daadwerkelijke reis.
- De OV chipkaart is een electronische ID kaart, waarbij ieder poortje met de centrale host de status checked, etc.
Dat lijkt me sterk, waarom heeft dat ding anders een off-line memory waar je te goed op staat? Zoals jij het voorstelt zou dat hele opladen en schrijven op de kaart totaal niet nodig zijn en zou 'afhalen' van producten ook totaal overbodig zijn, want alles staat dan op de server en je kaart is alleen je ID (zoals je PIN pas).

Dat is dus NIET zo...
- De OV Chipkaart kun je anoniem kopen met saldo zo weinig dat je er net een busreisje mee kunt maken, maar bij de eerste opwaardering (verplicht PIN) wordt die aan jou gelinked.
Slap argument, het zijn de automaten die bepalen welke betaal middel ze accepteren en laten de NS automaten nu ook munt geld accepteren. De OV chipkaart zelf zegt trouwens helemaal niets over het betaalmiddel dat de oplaad automaat moet accepteren.
Inchecken van de OV Chipkaart is ook voor onbeperkt-abo houders verplicht, dus ook die kunnen niet meer anoniem reizen.
Waarom is dat een -essentiel- verschil met de Oysterkaart??? Ook daar moet je gewoon inchecken voor de underground toch???
Waar het reizen met de Oysterkaart aanzienlijk goedkoper is als met een gewoon kaartje, is de OV Chipkaart in de praktijk gezien aanzienlijk duurder dan een gewoon kaartje, een factor 2 ! is geen uitzondering.
Ook dat is niet de OV chipkaart zelf die dat dicteert. Dat zijn de vervoersmaatshappijen en heeft NIETS met de techniek zelf te maken. Ja, het is OER en OER dom dat 'ze' situaties laten ontstaan waar de OV Chipkaart duurder is dan de heilige strippenkaart. Dat geeft namelijk mensen zoals jij weer een stuk om mee te slaan. Dat de kaart gemiddeld gewoon exact op hetzelfde komt doet er niet toe. 1 reisje die duurder uitkomt en jij slaat op tilt. Maar goed, jij hebt je zelf ook niet gemaakt en ik snap je woede. Ik vind het zelf ook DOM. Technisch kun je vrij makkelijk instellen dat hetgeen je betaalt altijd minder is dan de strippen kaart. DOM DOM DOM dat ze dat niet gedaan hebben.
Dus een OV Chipkaart is duur en een RAMP kwa privacy.
Mobiel bellen is pas duur en pas echt een RAMP(!) kwa privacy! En heeft niet iedereen zo'n ding? Hebben we alleen in NL al niet meer mobiels dan we uberhaupt mensen hebben? Zo'n 20 miljoen ofzo... wat denk je welke stroom aan data daar uitkomt? Op bepaalde locaties ben je zelfs IN gebouwen te volgen!!!
Overigens is ook het gewone treinkaartje verre van anoniem, daar je die eigenlijk alleen met registered betalingsmiddel kan betalen.
Hou nou eens op man! Die NS automaten slikken ook je heilige perfect anonieme muntgeld hoor! Moet je alleen nog even de vinger afdrukken eraf poetsen...

En dat pak melk bij de AH is ook niet meer anoniem, want volgens jouw redenering accepteerd de AH ook alleen registered betalingsmiddelen. En heb je wel eens een beetje omhoog gekeken naar al die kekke zware bollen aan het plafond bij de AH. Wat zouden dat nou toch zijn? Camera's misschien?

Maar niet meer boodschappen doen he? Gewoon lekker je eigen eten verbouwen, want 'ze' mochten er eens achter komen wat jij elke dag eet...
En daar zit het hem in. Het persoonlijke. Ok, het is handig dat m'n studenten-OV automagisch z'n saldo opwaardeerd. Maar daar hebben ze alleen m'n bankgegevens voor nodig, en niet mijn naam etc.

Mijn volledige reisgeschiedenis staat nu ergens in een database, het is gewoon een kwestie van afwachten wanneer daar lekken in worden gevonden. wanneer dat gebeurd kun je zien waar ik op school zit, waar mn vrienden wonen, waar mn vriendin woont, (waar ik woon) en waar ik werk.

(als ik idd vrienden, een vriendin, school en een huis heb O-) )

Waarom zo fancy, als ik alleen maar van a naar b wil via het OV, (met betalen natuurlijk)...???
Je kan altijd gewoon een anonieme kaart halen hoor. Niemand die je tegenhoud.
Wel als je een student bent en stage loopt (en natuurlijk niet een paar 100 euro per maand kunt betalen om naar je stageplek te komen, terwijl je recht hebt op een studenten OV (die niet anoniem kan zijn))
Als student had je altijd al een kaart met je persoonsgegevens, pasfoto en streepjescode.

Het enige verschil is nu dat die streepjescode op een chipje staat.
Het verschil is dat de overheid nu precies kan weten waar je op welk tijdstip heenging met de trein. Het lijkt me niet dat ze dat hoeven te weten, ze kunnen blijkbaar niet persoonlijke gegevens omgaan(zie dit nieuwsbericht bijvoorbeeld).
Dat is dus niet het enige verschil, de 'streepjescode' wordt gescand en opgeslagen, mijn reishistorie is dus te alle tijden uit een database te trekken. Mensen die zeggen niets te verbergen te hebben, bedenk goed dat een crimineel precies kan weten wanneer jij je aan de andere kant van het land bevind en dat hij zonder gestoord te worden je hele hebben en houden uit je huis kan sleuren. Bovendien gaat het niemand iets aan dat ik niets te verbergen heb en als ik iets wil verbergen dan moet ik dan kunnen doen.
Ik zit met precies hetzelfde probleem. Ben ook blij dat ik hem dus niet voor m'n stage heb aangevraagd. Zeker niet met dit "foutje"..
Jij weet dat toevallig, maar niet veel mensen zijn er van op de hoogte dat je ook een anonieme kaart kunt halen.

En bij het aanvragen van een kaart word je er NIET attent op gemaakt dat het ook anoniem kan. Dus daar zit het hem juist.
Je KUNT wel, maar als je het niet WEET dan heb je er weinig aan.
Dat ligt natuurlijk niet aan de consument, want dat zijn 9/10 schapen die alleen verkoop-argumenten kunnen/willen lezen. Ze weten iets niet als het er niet bij staat.

Dus ik zou zeggen: vertel het zoveel mogelijk mensen, die over de veiligheid van de OV-kaart zeuren, dat er ook een anonieme kaart bestaat.
Geef hierbij een link voor de aanvraag mogelijkheden.

Op de normale manier krijg je deze site:
http://www.ov-chipkaart.n...artpastbiju/kaartsoorten/

Die geeft echter niet aan hoe je de anonieme kunt krijgen. Dus verder naar de FAQ.
Deze dus:
https://tls.helptu.nl/%28ezck3145p1izfiftnelfvc45%29/p_sn_li.aspx?ClickType=2&NodeID=1294

En Shadow heeft een goed punt. Die info is niet duidelijk terug te lezen voor leken, dus goed dat je dat er nog even bij zegt.

[Reactie gewijzigd door Yezpahr op 18 mei 2010 13:23]

er staat toch duidelijk dat je een anonieme kaart kan afhalen bij alle afhaalkantoren. ik zou alleen deze niet gaan betalen dan met een bankpas :)
in t geval dat je automatisch opwaarderen wilt hebben dan hebben ze je gegevens nodig om het geld af te boeken en gezien ze dat op je kaart zetten zijn die twee automatisch gekoppeld. wat dus inhoud dat ze je gegevens hebben. je kunt je reisverleden afschermen nadat je de automatische opwaardering hebt geactiveerd. dit staat idd slecht vermeld.
Als je veel reist moet je bijna wel automatisch opladen. Er kan namelijk niet meer dan E150 op zo'n kaart staan. Dat is leuk als bescherming van de gebruiker, maar iemand die een paar keer per week met de trein reist gaat daar zo door heen.

Ook als je bereid bent om dagelijks je pas op te laden (we kopen nu immers ook iedere dag een kaartje) dan heb je nog een probleem. Zonder pinpas/creditcard is die pas bijna niet op te laden. Niemand gaat een treinkaartje van E20 in muntjes betalen. Bij het loket betalen kan wel maar dan moet je daar iedere dag in de rij gaan staan. Als je ook maar 1 keer in je leven haast hebt en je pinpas gebruikt is je anonimiteit weg en zal je een nieuwe pas moeten kopen.

Oftewel is het in praktijk bijna niet mogelijk om echt anoniem te reizen met die chipkaart.
En nadat je die ene keer toch je pinpas hebt gebruikt om op te laden, kunnen ze je reis geschiedenis dus ook weer aan jou koppelen.
Met de Oyster Card heb je in principe aan £35 genoeg in een week. En dat is alleen al als je meerdere keren per dag van zone 6 naar 1 reist. Sterker nog ik heb aan £10 al genoeg voor de hele week. Daar kan je met je kaart dus gewoon de hele maand mee doen zonder het op te waarderen. Het openbaar vervoer is hier gewoon veel te duur.

Het probleem is gewoon dat ze bij alles (niet alleen de OV kaart) veel te veel persoonlijke informatie vragen en opslaan waar ze in principe helemaal het recht niet op hebben (ik geloof dat er in Nederland een equivalent van D.P.A bestaat?).

Het OV kaart heeft maar één unieke nummer nodig. Dat nummer zou je kunnen gebruiken om bijvoorbeeld via online internet bankieren je kaart op te laden via een website. Je kaart is anoniem, gebruiksgemak voor online saldo bekijken en opwaarderen. Klaar, alle problemen opgelost. Niets geen namen of rekeningnummers.
Als je met korting wilt reizen kun je geen anonieme kaart aanvragen. Nou kon je in het verleden ook geen anonieme kortingskaarten krijgen, maar wel met een kortingskaart een anonieme bestemming kiezen door een papieren kaartje te halen. Op het moment dat papieren kaartjes niet meer kunnen vervalt deze mogelijkheid in zijn geheel.

Eigenlijk is dat je reinste consumentennepperij. Mensen voorhouden dat anoniem reizen mogelijk is, maar ondertussen mensen die dat willen in principe verplichten meer te betalen dan mensen die er geen probleem mee hebben dat elke stad waar ze geweest zijn opgeslagen wordt in een database.
Mag je mij uitleggen hoe je met een anonieme pas met korting kan reizen.
De enige manier om anoniem met korting te reizen is door een kortingskaart te kopen.
En dan met papieren kaartjes te reizen.
Je kunt zeggen ja maar dan hebben ze je gegevens als via je kortingskaart, klopt maar ze hebben niet je reis gegevens erbij.
en die kortingskaart was al niet op naam ?
Vroeger wist de NS alleen dat ik een kortingskaart had en niet wat ik er mee deed.
Nu wordt iedere reis geregistreerd.
Het streven is om tenminste 80% niet-anonieme kaarten te bereiken, dus het is niet bij toeval dat de mogelijkheid van een anonieme kaart niet zo breed wordt uitgemeten,. Een van de doelen is dat het bijvoorbeeld bij een misdrijf op een perron mogelijk wordt om de dader direct aan de hand van zijn OV-kaart op te sporen, of -als de dader een anonieme kaart heeft- tenminste getuigen op te sporen (dus 80% van de andere mensen die zich toevallig op datzelfde perron bevinden). Klinkt heel loffelijk, maar vanuit privacy-oogpunt vind ik het bedenkelijk.

N.B. ik heb helaas geen internetbron, hoorde dit verhaal enkele dagen geleden op radio 1.
En binnen een jaar is er bij elk klein misdrijf in een station plots iedereen in de buurt uitgemoord wegens mogelijk getuigen.

En de misdadigers kunnen deze mensen zelfs thuis opsporen mits zulke lekken en ze daar de mond snoeren.

Zien wanneer er het minste volk aanwezig is in een station of net wanneer er heel veel toeristen zijn die even niet op hun handbagage letten.

Elk voordeel heeft z'n nadeel.
Als ze je bankgegevens mogen hebben krijgen ze daarmee ook 'automagisch' je naam en adres ter beschikking gezien ze deze daarvoor nodig hebben. Zolang jij dus wilt dat je kaart automatisch opwaardeert hebben ze die gegevens dus nodig.

Jij wilt het beste van twee werelden, wat in dit geval helaas niet mogelijk is.
Wel eens in Azië geweest?

Daar heeft iedereen kleine (verpersoonlijkbare) RFID chips die gewoon een keychain zijn.

Je hangt ze dus aan je mobiel (iedereen daar heeft een mobiel, dus vandaar) en als je door nn poortje moet dan haal je je mobiel (met de keychain) langs het apparaat en voila weg kan je.

Die RFID kaartjes daar kun je trouwens overal kopen met verschillende vrolijke afbeeldingen (er staat geen tekst op) voor next-to-nothing.

En dit systeem hebben ze al god weet hoe lang....

(ikzelf heb een Gundam Wing RFID phonechain hier nog liggen ^^)
er zijn genoeg systemen al in gebruik over de hele wereld.
de enige reden die ik kan bedenken waarvoor ze het in eigen handen nemen is het geldelijk gewin. de software en hardware word nu gewoon door nederlandse bedrijven gemaakt. zal ook vast wel iets met licencies te maken hebben.
De software is gebasseerd op Octopus uit Hong Kong en zeker niet van scratch geschreven in Nederland.
Enkel het administratieve gedeelte is daarop gebaseerd.
OV Kaart (Mifare Classic 1kb) is vermoedelijk van NXP, heeft relaties met Philips.
De chipkaart zelf is daarmee ook gewoon dezelfde als in London gebruikt wordt...

Het spook verhaaltje dat Nederland alles van de grond af aan heeft willen ontwikkelen is een beetje overdreven.
NXP Semiconductors is de voormalige halfgeleiderdivisie van Philips. De letters NXP staan voor Next eXPerience. NXP is een wereldwijd opererende firma, met hoofdkantoor in Eindhoven (HTC), Nederland. NXP Nijmegen (ca. 4000 medewerkers) is het grootste productiecentrum van NXP en één van de grootste halfgeleiderfabricagecentra van Europa.
bron: wikipedia
Hardware word door Thales(Frans) gemaakt of is te minsten ontworpen door Thales.
In bv de Randstadrail (DH-ZM) zie je dat goed en op van de site van Thales(Niet de defensie site natuurlijk :P).
Ik heb zo'n Oyster Card, en daar staat gewoon mijn naam + pasfoto op.
Een niet-persoonlijk systeem zou onze big-brother overheid nooit gaan gebruiken. Daarmee kun je personen niet genoeg in de gaten houden. Ze willen van iedereen weten wat ze doen. Vandaar ook die plannen voor de kilometerheffing die steeds maar weer terug komen.
Als je de overheid hun gang laat gaan kun je over een jaar of 10 nergens meer heen zonder dat ze weten waar je zit. Na de ov-chipkaart op naam en kastjes in auto's zullen ze wel gaan beginnen met fietsen en brommers van een tracking mechanisme voorzien.
Vind je me paranoïde? Mag je mij eens uitleggen wat het praktische nut is van persoonsregistratie voor die ov-chipkaarten. Wat kun je daarmee wat je met een anonieme kaart niet kan en meerwaarde oplevert voor de gebruiker?
Wat een oppervlakkige en ongegronde kritiek weer. Goedkoop bashen...

Ten eerste, deze site en dit lek hebben niets te maken met de OV-chipcard.

Ten tweede, het systeem dat het Engelse OV gebruikt lijkt als twee druppels water op het Nederlandse OV-chipkaart systeem, alleen waren ze een paar jaar eerder en heeft Nederland goed afgekeken van ondermeer de systemen van London en Hong Kong.

[Reactie gewijzigd door Maurits van Baerle op 18 mei 2010 12:21]

Ten eerste, deze site en dit lek hebben niets te maken met de OV-chipcard.
Sorry? Kijk eens naar de kop van het bericht!
De informatie van duizenden gebruikers van de OV-chipfaal waren erop te vinden.. niets mee te maken inderdaad |:(

De problemen van de OV-chip zitten niet in 1 hoek, ze komen overal vandaan.
Waaronder de ondersteunende websites, die weldegelijk een onderdeel van het OV-chipkaart verhaal zijn.
Ten tweede, het systeem dat het Engelse OV gebruikt lijkt als twee druppels water op het Nederlandse OV-chipkaart systeem, alleen waren ze een paar jaar eerder en heeft Nederland goed afgekeken van ondermeer de systemen van London en Hong Kong.
En waarom gaat het dan alsnog aan alle kanten mis?
Waarom moet ik alsnog een f***ing treinkaartje kopen als ik op korting reis?
1 kaart voor alles.. behalve als je als student met de trein gaat.
Het punt dat hiervoor werd gemaakt is dat dit in principe weinig met de landelijke invoering van de OV chipkaart te maken heeft.

Er is niet zoiets als 1 OV chip kaart project. Elk OV bedrijf heeft zijn eigen project. En blijkbaar doet de provincie Gelderland ook nog iets. Dit probleem is voornamelijk het probleem van de provincie en moet ook daar worden opgelost!
Sorry, maar hier in Engeland (Zit ik nu al 2 jaar) heb je gewoon oranje/gele papieren kaartjes met een magneetstrip, die je door een poortje haald, en als je klaar bent met reizen gewoon wegflikkerd. Ik heb het niet over Oystercard systemen in London, maar over het OV systeem in de rest van het land.

edit: typo

[Reactie gewijzigd door CobraVE op 18 mei 2010 12:50]

Belangrijk verschil met die Oyster Card: er staat in de Londense Metro bij de poortjes in de spits een heel legertje aan medewerkers om je te helpen met scannen en om poortjes open te gooien wanneer dat nodig is.

[Reactie gewijzigd door Keypunchie op 18 mei 2010 13:31]

Helemaal waar!

Het wiel opnieuw uitvinden is altijd een slechte zaak. Zelfde verhaal voor die JSF jachten vliegtuig.. alleen voor de R&D kosten hadden we al tien van de nieuwste MIG jacht vlieguigen kunnen kopen. Ik vind het ook onzin dat de overheid dit soort taken op zich neemt. Een instelling zonder winst-strevend doel is van de start gedoemd te falen, en dat vind ik niet erg zolang het maar niet mijn belastings geld is.

Nederlandse overheid + Projecten = altijd -1 (JSF, Betuwelijn, duizende gebouwen, ga maar door)

- edit typo

[Reactie gewijzigd door DeKuiper op 18 mei 2010 11:41]

Niet waar. Inderdaad is het wiel natuurlijk al een keer uitgevonden... maar er wordt veel kennis opgedaan. Het is echter als burger altijd gemakkelijk om af te geven... maar anders komt er nooit iets van de grond. Juist door als land soms dingen aan te pakken die groter zijn dan je kunt voorstellen kom je op verassende vondsten die bepalend kunnen zijn in de concurrentie met andere landen. Het is echter geen excuus voor mismanagement, maar dat alles uitgevoerd kan worden als bedacht is ook een utopische gedachte.
Het probleem is dat er altijd zoveel geld wordt uitgegeven aan consultants ed waardoor er een minimaal bedrag is voor de uitvoering. Dan heb je ook nog die heerlijke bureaucratie in Nederland (wat veel simpeler kan). Hierdoor wordt het een gehaast klusje waar veel fouten in voorkomen. (ik ken een aantal mensen bij de overheid ed die hier altijd over klagen) Ik vind het best dat je een technologisch vooruitstrevend land wilt zijn maar doe het dan goed ipv elke keer weer dezelfde fouten te maken. (komt ook doordat veel beslissing makers totaal geen of weinig technische kennis hebben)

[Reactie gewijzigd door Mellow Jack op 18 mei 2010 12:15]

Ook als er juist veel geld voor de uitvoering wordt gebruikt is het niet goed. Ook dan kan het eind resultaat het zelfde zijn (lees; dezelfde fout gemaakt zijn). Ook bij een duurder en groter bedrijf die hierin gespecialiseerd is kan deze fout hebben gemaakt.

Het probleem ligt niet alleen bij overheid maar ook bij jou, mij en iedere andere burger. Mooie voorbeelden; Waarom vragen of verlengen veel mensen hun ID e.d. tegenwoordig steeds meer online ? Waarom maak je niet ter plaatse een afspraak bij een gemeente ? Waarom doe je online belastingaangifte en niet meer op papier ?

De mogelijkheden worden wel geboden, maar steeds meer mensen willen de luxe van online via het internet e.e.a. te regelen. Als dit dan eindelijk mogelijk is, dan klagen diezelfde mensen dat het project te duur was en ze hiervoor niet de belastingcenten over hebben. Kwestie van vraag en aanbod dus! En waar gewerkt wordt, worden nu eenmaal fouten gemaakt. Dat heeft niets met budget te maken want die fout had iedereen kunnen maken.
Sorry hoor maar als een klein team studenten van de radboud universiteit voor een afstudeer project een veiliger en anoniem ov chipkaart kunnen ontwikkelen op papier.
Dat hebben ze namelijk gedaan.
Waarom kan de overheid dat dan niet met een ik weet niet hoeveel miljoenen om deze klus te.
Volgens mij omdat de vervoers bedrijven de aivd en vast nog wel wat instanties graag jouw reis informatie willen aan jouw naam gekoppeld.

Waarom mensen hun ID online aanvragen nou omdat ze geen 2 keer zin hebben om vrij te nemen van hun werk die gasten zijn in mijn gemeente van 9:30 tot 16:30 open de balie tenminste en aan het parkeer terrein te zien de rest ook. 1 dag per week zijn ze tot 8 uur open, maar meestal haal ik dat ook niet.
Nu kan ik hem online aanvragen en dan hoef ik maar 1 keer vrij te nemen.

edit owja <frustratie modus/>
Vergeet ok het leuke vinger afdrukken data base idee niet.
Welke terrorist gaan we daar mee pakken een beetje een slimme vogel omzeild dit zonder problemen trek handschoenen aan bijv of je woont niet in nederland voila.
Mag iemand mij gaan vertellen wie ze hier wel mee gaan pakken want aan de gewone diefstal gevallen in nl doet de politie weinig. Heeft geen prioriteit bij de recherche. Moord is daar nummer 1 diefstal en fraude staat op plaats 3 dat lijkt niet zo veel maar ga maar eens naar de politie met een fraude geval ze doen weinig.

[Reactie gewijzigd door kaaas op 19 mei 2010 16:18]

Je ziet over het hoofd dat de universiteit wel een (theoretisch) veiliger systeem kan ontwikkeling, maar de de universiteit geen kaas heeft gegeten van de invoering van een dergelijk systeem op nationaal niveau met een heleboel verschillende OV bedrijven. Bovendien zouden we dan een systeem krijgen wat verder nergens ter wereld wordt gebruikt en daardoor (waarschijnlijk) duur zou uitpakken.

In principe hebben de OV bedrijven best een goede stap genomen, door goed te kijken wat er verder in de wereld gebeurde en daarbij aan te sluiten. Uiteindelijk bleek dat niet handig.
De overheid WIL geen anonieme kaart. Men wil alle reizen op persoonsnivo geregistreerd krijgen. Motto: Veiligheid .......
DarkForce wat jij doet is appels met peren vergelijken, je noemt hier twee projecten van de overheid waar de burger ook echt iets aan heeft gehad en die qua privacy schending niet controversieel zijn.

De overheid heeft genoeg plannen en een aantal daarvan zijn gewoon een aantal al fout vanaf het ontwerp, toch worden projecten zoals de OV-chipkaart, het EPD en mogelijk ook de kilometer heffing doorgedramd zodat Nederland weer eens het braafste jongetje van de klas kan uithangen.
Van de bovenstaande projecten hebben de burgers bijna geen tot geen voordeel maar de overheid wel, erg leuk dat we nu via internet onze OV-chipkaart kunnen beheren maar het weegt totaal niet op tegen de privacy schending met de OV-chipkaart en het bied voor de burgers geen voordeel t.o.v. de strippenkaart.
Hier hebben de burgers geen vraag naar, we hebben hier niks aan want het wordt zelfs duurder met de OV-chipkaart.

[Reactie gewijzigd door redstorm op 18 mei 2010 12:52]

@ redstorm, mij hebben ze het niks gevragen hoor. hebben ze jou wel iets gevragen dan ?

[Reactie gewijzigd door Proxx op 18 mei 2010 12:54]

Wel waar. De JSF is een stripped down versie van de Raptor F29. De Sukhoi SU 47 Berkut is vergelijkbaar aan de raptor en is zelfs nog een stukje wendbaarder. Voor het geld van 1 JSF heb je 3 SU-47's. Waarom een duur vliegtuig ontwikkelen terwijl je voor het zelfde geld 3 betere modellen hebt? Een oorlog ga je er in ieder geval niet mee winnen want ik weet wel wat voor vliegtuigen een potentiele vijand aan gaat schaffen. En dan vallen de faalhazen in onze politiek pas echt goed door de mand. Probleem is alleen dat het dan te laat is.
Mijn stem gaat uit naar de Sukhoi PAK-FA:
http://lenta.ru/news/2010/01/29/pakfa/pak.jpg
http://www.secretprojects...dex.php/topic,9186.0.html

Bijna klaar met ontwikkelen, en een gigantisch mooi design. Veel interessanter dan onze lelijke 1 engine fighter. En daarbij waarschijnlijk veel geodkoper en effectiever.
Het gaat niet om de JSF zelf en wat die kan maar om de betrekkingen met de USA. Bij argumenten om specs en prijs verhouding vergeet je de goodwill die je verdient of verliest bij de JSF. Daarbij de ontwikkelings orders die hoewel ze tegenvallen wel een deel van de kosten terugbrengen.

Daarnaast vecht Nederland in principe altijd met de USA samen en is het natuurlijk logistiek handiger als ze het zelfde type vliegtuigen gebruiken.

Alleen kijken naar de prijs/kwaliteit bij aanschaf is dus lang niet het gehele plaatje.
Ja, hoe logistiek dat handig is hebben we gezien met onze F-16's. Er is geen reserve-onderdeel voor te krijgen bijna, omdat de Amerikanen voorrang krijgen bij het kopen van reserveonderdelen, die kopen alles op.
Allemaal leuk en aardig dat een russisch vliegtuig voor hetzelfde geld beter zou moeten presteren maar je vergist je op 2 punten.

1) Ammunitie van russische toestellen zijn wezelijk anders dan welke gebruikt worden door NATO toestellen. Je moet ineens dus 2 standaarden beheren.

2) Afhankelijkheid van rusland. Need I say more?

"Save a penny, lose a dime"
Sorry, maar je kunt er altijd gewoon je eigen NATO wapen op en onder hangen hoor. Je kunt het airframe uit Rusland halen, en de wapens uit Amerika. Of natuurlijk onder licentie bouwen.
Het is bij de JSF niet alleen de vlieg mogelijkheden van het toestel. Maar ook de verdere technische hoogstandjes zoals raketten, nachtvisieren, communicatie etc. Dat kost natuurlijk ook gigantisch veel geld.
Bijna goed... de ideeen en daaruit voortgekomen projecten zijn zeker niet verkeerd.
Het project is zo groot dat er teveel schijven tussen zitten en te weinig controle waardoor iedereen een stukje van de taart pikt en er geen overzicht meer is wie wat doet.
Vaak zit er ook een uitmelk constructie achter... denk aan kilometer heffing.

OT:
Er is geen veilig systeem, alles is te kraken.
De mensheid is controle-geil... het begint al bij de roddels in de flat/buurt/werk.
Het oneindige registreren van waar je bent zal ergere worden, en mensen zullen dit blijven bestrijden.
En dus minder registreren, en om je data beter te beveiligen koop je een Fortigate of Nokia firewall waardoor een SQL injectie niet mogelijk is.

EENVOUD mensen, simpeler is beter.
Offtopic: Nokia firewalls bestaan eigenlijk niet meer, de IP appliances zijn over genomen door Check Point ;)
Die mensen kun je hooguit van naiviteit betichten. Ze gaan er immers van uit dat die instanties (ik neem aan dat je daarmee overheid en semi-overheid mee bedoelt, niet commerciele bedrijven?) alles in het werk stelt om je gegevens te beschermen. Die mensen hebben dus niet in de gaten dat a) de overheid ook fouten maakt en b) je je niet tegen alle hacks kunt wapenen omdat je met beveiling per definite achter de feiten aanloopt.

Bovendien kun je wellicht nu niks te verbergen hebben, maar je weet niet of dat over 10 jaar nog zo is... ;)
Puntje a doet mij denken aan een scene in AVP2 (de film) waar iemand zegt:
"The government doesn't lie to people!"
Ik lag zeker 5 minuten plat :)


on topic:
Als zo'n SQL-injection zo simpel is als hier wordt voorgesteld, vind ik het toch verbazend dat dit niet in de testprocedure is opgenomen.
Een sql injectie is zo simpel als het wordt voorgesteld. Normaal gezien stem je je manier van werken af om een sql injectie te vermijden. Nooit user input (nooit user input vertrouwen!) rechtstreeks met de databank laten praten. Je hoort gewoon al je variabelen te beveiligen. Anywayz voor zo'n site, zijn er tools voor handen die de meest gebruikte/gekende injecties uit proberen en je krijgt er nog een mooi rapport van terug. Als ze al niet competent waren om hun user input te beveiligen zullen ze ook niet over het bestaan van die tools op de hoogte zijn geweest |:(
SQL injectie is nou niet -echt- iets nieuws, ... dus zo erg achter de feiten aanlopen is dit niet.
De fout die de overheid in dit geval heeft gemaakt is het verkeerde bedrijf inschakelen om hun opdracht aan te outsourcen. Die website bouwer heeft blijkbaar geen kaas gegeten van beveiliging, aangezien SQL injectie al zou oud is als SQL zelf.
Het feit dat het om een SQL injectie gaat bewijst eigenlijk dat de mensen die het hebben gemaakt, niet competent zijn. Want dat is ongeveer de basis van beveiligen, als het daar al fout gaat, dan hoop ik dat ze hun eigen server(s) niet beheren.
Dat zijn twee verschillende dingen die imho niks met elkaar van doen hebben.

Dat zo'n instantie je gegevens mogen hebben omdat je zegt niks te verbergen te hebben, wil niet zeggen dat zo'n instantie niet voorzichtig moet zijn met die gegevens. Elke beveiliging is te kraken, wil dat dan meteen zeggen dat de vooruitgang maar moet stoppen?

In een maatschappij waarin bijna iedereen een hyves/facebook/twitter/website/hotmail/gmail heeft, en bijna iedereen voor gemak kiest boven al het andere, is privacy alzo ver te zoeken, en imho alzo niet veel meer dan een achterhaald begrip.

Er word teveel achter het begrip privacy geschuild...
Het is sowieso stom dat je een dergelijke database direct aan een website koppelt. Major design flaw right there.
"Zo lang de overheid de burger onveilige systemen blijft opdringen, voel ik me gedwongen de veiligheid van mijn medeburgers te beschermen en hen te waarschuwen”
Wie zit er hier nou op te dringen? Volgens mij is hij degene die zit te hacken en niet de overheid. Waarom doe ik dat niet? Als je het niet weet, zal je het nooit merken maarja dit is weeer typisch gedrag van een hacker, bewust uit zijn op dingen en dan iemand anders de schuld geven terwijl niemand dit weet alleen hij.
Ja, want als de bank 's nachts zijn kluisdeur wagenwijd openzet en iemand merkt dit toevallig moet hij ook vooral zijn mond houden, want dat is het beste. Dat er vervolgens een ander langs kan komen die er wél misbruik van maakt zeggen we maar niet.

Lekker struisvogel spelen, kop in het zand en hard "lalala ik hoor je niet, er is niets aan de hand" roepen...
Wat heb ik met die kluisdeur te maken? Hij is toch niet van mij? Afblijven dus. Ik overdrijf misschien maar in het ergste geval bel je de politie en neem je niet de wet in eigen handen en dat is wel wat hier gebeurd en vervolgens schijnheilig moraalriddertje spelen dat het iemand ander's schuld is en zelf de grote held uithangen dat je iets "ontdenkt" hebt.

[Reactie gewijzigd door chim0 op 18 mei 2010 13:45]

Je belt de politie? Je kunt ook de bank bellen uiteraard. En dat is precies wat hier gebeurd is. Wat is dus het verschil tussen deze persoon en jij bij de bank?
Dat hij de kluis in gaat om te kijken.
Oh als het zo makkelijk is hebben we helemaal geen beveiliging nodig... sterker nog helemaal geen inlog procedures meer nodig. Waarom zou iemand mijn gegevens op internet willen bekijken???? Ik ben toch de enige die dat wil weten
Nee cort, je bent niet de enige die iets van jou wil weten. De overheid wil sowieso alles weten. Maar nieuwe vrienden, vriendinnen, werkgevers stellen ook allerhande vragen. Zelfs "Hoe heet je ?", is iets willen weten.
In een ideale wereld zou het zo moeten zijn ja. Helaas leven we niet in een ideale wereld. :'(
En degene die iets willen vinden !!!
WTF? mocht hij de gegevens doorverkopen dan was hij schuldig, maar nu toont ie gewoon aan dat de overheid wel online databases wil hebben en dna-databases, maar ze niet genoeg beveiligd. Als hij het kan kan een ander het ook, en die verkopen mss wel de gegevens, of gebruiken ze voor een crimineel feit.

Zal jij ff mooi schrikken als de politie aan je deur staat omdat een ander met je gegevens ingebroken heeft of dergelijke, en je gegevens gebruikt als dekmantel...
Als je als persoon aanvraag doet naar zo'n chip bij de overheid en er zo'n gevoelige data als nummer van je identiteitsbewijs worden ingegeven, dan denk je als gewone gebruiker dat dit veilig is.
Anders zouden ze het toch niet openbaar zetten?

Het is dus zeker wel de overheid die hier in de fout is, en niet de hacker.
Ze mogen blij zijn dat hij het gevonden heeft, en niet een organisatie met slechte bedoelingen.
(vb. niet melden maar namaak identiteitskaarten maken,...)
Hij heeft toch netjes vertelt dat de beveiliging niet in orde was? Hij geeft niemand de schuld, hij wijst aan waar problemen zitten.

Als hij er in kan komen, kunnen anderen dat ook, de makers hadden meer aandacht moeten besteden aan de beveiliging. De makers erkennen het zelfs en hebben de site snel offline gehaald, stel je voor wat een kwaadwillend persoon er mee had kunnen doen.
Ik begrijp heel goed waarom je kritisch bent, maar geloof me: als deze gegevens zo gemakkelijk te bemachtigen zijn, dan is het vrij aannemelijk dat er al kwaadwillenden stilzwijgend geprofiteerd hebben van dit lek (lang voor deze 'klokkenluider' met dit nieuws kwam). En met dat lek gebeurd dus niks.... tot nu.

Alhoewel we kunnen discussieren of het wel of niet netjes is hoe de klokkenluider te werk gaat, heeft hij zeker een punt.
Typisch gevalletje van portemonnee gevonden, netjes terug brengen en beschuldigd worden van diefstal.

Zo gaat het altijd, helaas.

Geef die hacker een dikke beloning plus een lintje, dank u.
Meer een gevalletje "ik heb een portemonnee gevonden, hij lag bij die persoon thuis voor het raam op de vensterbank"

of "inbreken om de beveiliging te testen" nu wel of niet acceptabel is, valt natuurlijk te betwisten. Dit lijkt me meer een taak voor overheid/politie/beveiligingsbureau's.
Het enige probleem is dat dit wel niet zou gebeuren. (Volgens sommigen is dit wellicht een verspilling van belastingcenten)
hoe kan een SQL-injectie gevoeligheid nu onopgemerkt gaan bij het testen? Ik ontwikkel geen websites, maar het lijkt me dat dit makkelijk af te vangen is, en behoort tot de eerste dingen waarmee rekening gehouden wordt.
hoe kan een SQL-injectie gevoeligheid nu onopgemerkt gaan bij het testen?
Wat dacht je van 'niet' testen of het niet op technisch vlak laten testen?
Ik ontwikkel geen websites, maar het lijkt me dat dit makkelijk af te vangen is, en behoort tot de eerste dingen waarmee rekening gehouden wordt.
Het is ook makkelijk te vermijden. Dit is gewoon een teken van brak programmeerwerk, waardoor je jezelf moet afvragen: Hoeveel exploits kent die site nog meer? Hoe veilig zijn mijn gegevens daar nu eigenlijk als door zo'n simpele hackpoging mijn informatie op straat komt te liggen?

Voor strafrechtelijke consequenties moet niet gezocht worden naar een enkel persoon: zowel de opdrachtgever als de ontwikkelaars zijn verantwoordelijk. De ontwikkelaar is verantwoordelijk voor het brakke programmeerwerk, de opdrachtgever voor het risico dat gegevens op straat zijn gekomen.

[Reactie gewijzigd door The Zep Man op 18 mei 2010 11:35]

Onwetendheid, geldgebrek, luiheid, noem maar op. Dit lijkt me één van de vele bedrijven die bij 'testen' slechts het lijstje met requirements afgaat en het product de deur uitdoet zodra dat allemaal klopt.
Het is idd zeer eenvoudig dit af te vangen.
Helaas word er juridisch te weinig gedaan. Het verantwoordelijk bedrijf hoort aangeklaagd te worden wegens privacy schending en grove nalatigheid. 168000 x honderd euro of zo?
Zodra men dit soort zaken strenger aan pakken dan zullen zowel bedrijven als de overheid veel voorzichtiger om gaan met dit soort dingen. Met name als de verantwoordelijke persoon strafrechtelijk aansprakelijk gesteld kan worden.

DMO is 'bezig' het probleem op te lossen, maar als zoiets als SQL-injectie er al inzit dan zal er waarschijnlijk wel meer mis zijn en kan je beter al hun sites de prullenbak in gooien. Ik denk dat het juridisch zelfs af te dwingen is.
ik vraag het me ook af hoe dit kan :
waarbij in dit geval een sql-query aan een url werd vastgeplakt
Dat klinkt toch sterk als een webpagina die $_GET gebruikt om een variabele in te lezen... dat was voor mij destijds les 1 in de cursus 'gooi de voordeur open voor inbrekers' ...Ik kan me haast niet voorstellen dat het zo simpel ligt.
Hier kunnen we nog eens blij mee zijn, een hacker die het doet om er niet zelf beter van te worden, maar om te waarschuwen!
De echte vraag is... hoeveel kwaadwillende mensen hebben de afgelopen 3 jaar dat de site online was, de gegevens al overgesnoept?
als ik paranoia denk dan is het naar buiten brengen een leuke cover....
hij geeft aan dat hij zelfs velden voor identiteits bewijzen heeft gevonden, welke velden nog meer? creditcard gegevens? bankrekeningnummers?
welke gegevens heeft hij wel en niet gezien en welke daarvan heeft hij bewaard.....


naief gedacht is dit geweldig dat iemand de moeite neemt om de veiligheid van een website zoals deze te testen en ons voor de onveiligheid ervan te waarschuwen....


de gedachte daar tussenin mag iedereen voor zichzelf bedenken :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True