Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 183 reacties
Submitter: GeneLipa

Banktransacties van klanten van online-boekhoudservice Kasboek.nl zijn toegankelijk geweest voor buitenstaanders. Een open directory op de server bood toegang tot csv-bestanden met daarin gegevens over betalingen en salarissen.

Door de gebrekkige beveiliging kon Tweakers.net de financiële gegevens inzien van duizenden klanten van Kasboek.nl. In totaal ging het om 8985 csv-bestanden die op de server stonden. De onversleutelde bestanden stonden op een server die zowel via http als https bereikbaar is.

Na een melding van Tweakers.net heeft Invers, het bedrijf achter Kasboek.nl, binnen drie kwartier de directory's voor de buitenwereld afgesloten. Er waren wel maatregelen genomen om te voorkomen dat de directory's door zoekmachines konden worden geïndexeerd.

De csv-bestanden met transactiegegevens waren vermoedelijk door gebruikers zelf geüpload: Kasboek.nl biedt klanten de mogelijkheid de bij hun bank gedownloade transactieoverzichten eenvoudig te importeren. In de beheeromgeving van het internetkasboekje kunnen transacties vervolgens worden ingedeeld in categorieën om beter inzicht in de financiën te krijgen.

Volgens Invers is er tijdens het maken van een nieuwe versie van de site een 'foutje' gemaakt. "Waardoor het precies komt, is ons nog onduidelijk. We wilden eerst het lek dichten", zegt Bob Jaspers Voecks van Invers. Het is onduidelijk hoe lang de pagina online stond.

De bestanden bevatten alle bankgegevens, waaronder van veel rekeninghouders naam, adres en rekeningnummer. In totaal gaat het om meer dan een miljoen transacties met een totale waarde van ongeveer 200 miljoen euro. De oudste transactie die Tweakers.net tijdens een snelle analyse van de bestanden kon terugvinden dateert uit april. De meeste transacties werden gedaan in mei na het ontvangen van het vakantiegeld. Ook in augustus waren er veel transacties.

In de bestanden komt het woord salaris 3362 keer voor, terwijl er in 5332 gevallen geld van of naar de Belastingdienst werd overgemaakt. Daarnaast keerden 147 mensen alimentatie uit aan een ex-partner. Ook staan er intieme transacties tussen, zoals iemand die 1459 euro uitgaf bij 'Erotica' en een ander die ogenschijnlijk een vriend 3,25 euro overmaakte 'voor porno te downloaden'.

De grootste transactie was 101.680 euro, naar een beleggingsrekening. Diezelfde persoon had ook de kleinste transactie: 1 cent, om zijn rekening te valideren. De gemiddelde afschrijving uit een representatieve selectie van de bestanden was 110,80 euro. De gemiddelde bijschrijving bedroeg 639,79 euro.

Kasboek.nl: screenshot directory Algemene Voorwaarden Kasboek.nl: er wordt niet ingebroken op de site Kasboek.nl: standaard inloggen via http
Moderatie-faq Wijzig weergave

Reacties (183)

1 2 3 ... 7
Tja, voor mij is het een bevestiging dat je je boekhouding toch beter niet aan iemand anders zijn beheer kunt overlaten (boekhouders daargelaten). Dit is natuurlijk een flinke deuk in het vertrouwen van de klanten van deze site, maar ergens hadden ze het kunnen zien aankomen dat alle informatie die je aan het internet toevertrouwd weleens openbaar kan worden, hoe goed beveiligd/versleuteld dan ook. Het devies lijkt mij dan ook: wil je absoluut geen risico lopen dat dit soort essentiële privacygevoelige informatie naar buiten komt, bewaar je papierwinkel dan gewoon ouderwets in de kast/kluis/encrypted schijf.
Déjà vu. Ik heb enkele maanden terug ook contact gezocht met Invers over deze fout. Door een fout tijdens het inloggen kwam ik uit in deze open dir. Buiten de open dir was toegang, zonder authenticate, tot het admin panel ook mogelijk. Via het admin panel heb ik mijn eigen account direct verwijderd. Invers maakte zich niet heel druk om de fout en herstelde deze wel binnen een half uur. Ik heb toen besloten niet de media op te zoeken maar heb genoeg gevoelige informatie gezien.

Aanvullende informatie: voor wat ik heb gezien bewaren ze alle uploads tot een jaar terug.

[Reactie gewijzigd door qwertyuiop op 6 oktober 2010 14:56]

Zeg tweakers, ik snap de sensatiedrift, maar is het nou echt nodig om zaken te gaan posten als:
Ook staan er intieme transacties tussen, zoals iemand die 1459 euro uitgaf bij 'Erotica' en een ander die ogenschijnlijk een vriend 3,25 euro overmaakte 'voor porno te downloaden'.
Is het niet voldoende te melden dat die gegevens toegankelijk zijn geweest voor buitenstaanders? Ook al koppelen jullie er geen NAW aan.

Disclaimer: ik was het niet :P

[Reactie gewijzigd door rodie83 op 6 oktober 2010 12:35]

Is het nodig om in een Journaal-item over oorlog beelden van neergeschoten mensen te laten zien?

We wilden voor iedereen aantonen dat we zonder enige hindering de csv-bestanden konden downloaden en door konden spitten. We hebben met opzet geen gegevens gepubliceerd die te herleiden zijn naar een persoon, maar hieruit kun je wel opmaken wat voor info er in de bestanden staat: een voorbeeld zegt nu eenmaal meer dan een omschrijving.

Overigens zijn we hier secuur mee omgegaan, maar om de omvang van het lek te kunnen achterhalen heeft een van onze devvers - ACM - een deel van de csv-bestanden verwerkt in een database om er statistieken uit te kunnen halen als datum en totale som van overgemaakte bedragen.

Uiteraard wordt die database vernietigd, net als de csv-bestanden die we hadden gedownload :)

Over dit onderwerp kun je het best discussiëren in het topic dat erover gaat: Kasboek.nl artikel

[Reactie gewijzigd door arnoudwokke op 6 oktober 2010 12:57]

Je had de gegevens ook kunnen anonimiseren en dan online zetten. Zou interessant geweest zijn om op zo een grote collectie aan gegevens eens een studie te doen.
Je mag niet zonder meer data online zetten/publiceren. (maakt niet uit of het geanonimiseerd is)

Daar kun je juridisch best wel mee in de nesten komen.
dit soort gegevens zijn moeilijk anoniem te maken.... en het nut daarvan zou klein zijn:

van naar datum bedrag omschr type
xxxx xxx 01/01/01 51,90 xxxx bank
Aan de ene kant snap ik wat je bedoelt. Aan de andere kant mag je er toch ook op rekenen dat wij als lezers vertrouwen hebben in jullie journalistieke kwaliteiten. Dus als jullie schrijven dat je volledige toegang had tot rekeningnummers, omschrijvingen enzovoort, dan geloven wij dat toch ook (tenminste, ik in ieder geval wel).

Als voorbeeld: wanneer er in de NRC staat dat zij een usb-stick met gevoelige personeelsgegevens van defensie in hadden hebben, dan hoeven zij dat toch ook niet te bewijzen door wat voorbeelden van die data te geven?
Zoals jullie er mee omgaan is er niets mis mee, IMHO. Andere nieuwssites kunnen hier nog wat van leren!

Het is toch leuk om te lezen wat er zoal gedaan wordt met de transacties, zonder namen te noemen. :)
Uiteraard wordt die database vernietigd, net als de csv-bestanden die we hadden gedownload
Ik hoop dat je bedoelt: Uiteraard wordt is die database vernietigd, net als de csv-bestanden die we hadden gedownload ?

Er is geen enkele reden meer om die data nog te bewaren.
Die data nu nog in je bezit hebben geeft alleen maar risico dat er alsnog gevoelige dingen uit naar buiten komen.
Daarnaast hebben al die personen in de database Tweakers.net geen toestemming gegeven die data te bewaren (voor hoe lang of kort dan ook) zoals ze dat ongetwijffeld wel ergens in de kleine letters aan kasboek.nl hadden gegeven.
Vanuit het journalistiek belang die data doornemen om de slechte beveiliging aan te tonen is dan 1 ding, die data daarna bewaren een andere...
Ik hoop dat je bedoelt: Uiteraard wordt is die database vernietigd, net als de csv-bestanden die we hadden gedownload ?
Zie http://gathering.tweakers...message/34806308#34806308 en dan het stuk over 'downplayen'. :)
Sluit ik me bij aan. Ik snap ook niet zo goed wat deze concrete transactie-informatie (ook de genoemde grootste en kleinste transacties) werkelijk toevoegen aan het nieuwsbericht.
Door het noemen van deze feitjes begrijpen mensen beter waarom dit soort gegevens niet op straat horen te liggen. Anders hadden we weer allemaal reacties gehad met ik heb toch niks te verbergen dus wat maakt mij het uit.

Dat er iemand is die spullen koopt bij erotica had ik ook wel kunnen bedenken. Dat het voor 1459 euro was en dat dezelfde persoon ook kasboek.nl gebruikt vindt ik nou niet echt bijzondere informatie.

Als tweakers het rekeningnummer van de persoon had gepubliceerd had ik het vervelend gevonden. Maar nu is er niks aan de hand.

Ik ben blij dat tweakers dit lek heeft gevonden en niet iemand anders die het direct als torrent online gooit zodat de hele wereld kan zien dat ik 3.25 heb ontvangen van een vriend. :P
Onzin, dit soort vermeldingen was nog steeds niet nodig geweest, en is puur gebasseerd op sensatiezucht...
En wie moet de situatie in het vervolg beter begrijpen door het onthullen van dit soort details: de persoon die tegoedertrouw z'n uitgaven heeft genoteerd op de website waarbij hij/zij een abonnement heeft lopen om dit soort overzichten overzichtelijk en privé te kunnen houden en ook geen directe invloed kan uitoefenen op het IT-beheer, of het bedrijf dat zich verder niet aangesproken voelt over specifieke (porno-)uitgaven van z'n klanten?

Ik bedoel, natuurlijk vind kasboek.nl het vervelend dat er gegevens op straat liggen, maar deze zal zich niet extra aangesproken voelen door deze extra saillante details.

[Reactie gewijzigd door DUX op 6 oktober 2010 13:32]

Nee, kasboek.nl wist misschien zelfs al dat deze saillante details in de gegevens stonden die op straat kwamen te liggen.

Het zijn de klanten die zich bewust moeten zijn van gevolgen van het weggeven van deze gegevens aan een willekeurig bedrijf. Ik zou er ook niet bij stil gestaan hebben dat wanneer een vriend van mij zijn gegevens bij kasboek.nl gaat beheren dat vervolgens duidelijk wordt dat ik 3.25 heb ontvangen voor zoiets als pron.

Het gaat erom dat mensen (de maatschappij) zich bewust wordt van deze gevaren voor de privacy zodat hier iets tegen gedaan kan worden. Passende maatregelen genomen kunnen worden.

Als tweakers alleen maar had vermeld dat er rekeninggegevens op straat hebben gelegen hadden er veel meer mensen hun schouders opgehaald en gezegd: "ik heb toch niks te verbergen", "lekker belangrijk, mijn gegevens staan toch niet bij kasboek.nl"

Maar door dit voorbeeld wordt duidelijk dat de gevolgen er ook zijn als een vriend, kennis of bedrijf waar jij geld aan heb betaald klant is bij kasboek.nl
Van sensatiedrift was sprake geweest als de kop was: Kasboek.nl lekt gegevens seksbezoekjes klanten ofzo. Dit is gewoon een krentje uit de pap uitlichten.
bovendien is dit een leuke manier om aan te geven dat je niet uit je nek lult, hoevaak ik wel niet van die mailtjes krijg met ik heb je database gehackt geef me 1000 euro. terwijl er juist in die maand wellicht helemaal geen info in die database stond

bovendien is het een kwestie van een paar simpele queries op de data los laten.
dan hoef je in het eindresultaat niet eens 'te zien' wie nu die pornel zut had gekocht.
En waarom moet het dan een query zijn op porno/erotica? Omdat het lekker verkoopt?
Inderdaad, interessanter dan dat je weet dat iemand 300 euro per week uitgeeft bij de c1000.
Ach, ik heb zo vaak en krijg zo vaak bedragen overgemaakt met als omschrijving "Bezoek "De Gulden Vulva"" oid. Dat zijn dan vaak ook bedragen van rond de 50 euro, en heeft meer te maken met kortlopende bierleningen dan wat anders.

Je kunt er mi dus weinig aan afleiden :P
Ik vind het ook niet kunnen :)
Tweakers is blijkbaar ook niet te beroerd om privacy-gevoelige gegevens door te graven en statistieken met ons te delen. O-)
Hier is door Arnoud Engelfriet (gallery: Arnoud Engelfriet) op het forum iets over geschreven.

Ik citeer:
Heel formeel is er denk ik wel sprake van een 'verwerking' van persoonsgegevens in de zin van de Wbp door Tweakers.net. Niet alleen publiceren maar ook doorspitten, compileren, extraheren van gegevens valt daar namelijk onder. T.net mag dat echter als zij een eigen aantoonbare noodzaak heeft om dit te doen (art. 8 sub f Wbp). En die is er: zij moet haar artikel kunnen onderbouwen en daarvoor feitelijke conclusies kunnen trekken.
Tweakers.net mag het dus kennelijk wel, omdat er een aantoonbare noodzaak is.
Volledige post: http://gathering.tweakers...message/34806372#34806372
Tweakers.net verantwoordt dit waarschijnlijk met het journalistieke belang, maar toch is ook dit m.i. een inbreuk op de privacy. Stel dat de journalist die het onderzoek erachter kwam dat die man die voor 1400 erotica bestelde haar man/vader/zoon/buurman was?
Dan nog is het posten ervan toch geen inbreuk op privacy? Ik weet van iemand dat hij/zij is vreemdgegaan. Zolang ik niet vertel wie dat was, schend ik natuurlijk geen privacy.
Het enige dat je in dit geval weet is dat het Kasboek.nl-gebruikers zijn, nou, dat lijkt me niet voldoende zeggen.

[Reactie gewijzigd door MarijnvdZaag op 6 oktober 2010 12:46]

Misschien niet nee, maar het inkijken alleen al, is inbreuk op de privacy, ook al gebeurt het door 1 persoon.
Met zulke kleine en (mijns inziens) relatief onschuldige geanonimiseerde feiten tonen ze natuurlijk ook enigzins aan dat werkelijk alles onversleuteld was en inzichtbaar.
Iets wat de fout wel des te erger maakt.

Vanuit journalistiek, maar ook maatschappelijk belang (namelijk iedereen die daar bij aangesloten is heeft belang bij dit verhaal), is in deze wat mij betreft een correcte keus tussen ethisch verantwoord en journalistiek aantrekkelijke feiten gemaakt.
een correcte keus tussen ethisch verantwoord en journalistiek aantrekkelijke feiten gemaakt
De eerste feiten die opgesomd worden voldoen daar inderdaad aan, de feiten over erotica en porno downloaden zijn gewoon sensatie journalistiek en hebben geen enkele verdere waarde.
Dat schept een referentiekader om de ernst ervan te realiseren. Het heeft dus wel degelijke meerwaarde buiten het voeden van de sensatiezucht.
als we die redenering doortrekken is het ineens gedaan met onderzoeksjournalistiek
De data in kwestie is niet privacy gevoelig, want het is niet te herleiden tot een individue.

dat maakt dat tweakers haar journalistieke verantwoordelijkheid heeft genomen. (ook door niet te publiceren voor de directories dicht waren)
De data in kwestie is niet privacy gevoelig, want het is niet te herleiden tot een individue.
Die heb ik vaker gehoord. Een zoekmachine verspreidde een aantal jaren terug een lijst met zoekopdrachten, gekoppeld aan unieke IDs die terugkerende gebruikers voorstelden. Aan de hand van wat detectivewerk (op alleen de ingevulde zoektermen) kon die persoon getraceerd worden.

Zo ook hier, waarschijnlijk. Als er een paar boekingen in staan geaddresseerd aan "ome henk", "tante trees" en "pietje junior" kun je al 99.9% van de kandidaten uitsluiten.
Alleen publiceert Tweakers alleen de transactie omschrijvingen, en daarbij slechts een stuk of 3. Zo'n kleine set is absoluut niet terug te traceren.
Die personen konden inderdaad herleid worden... d.m.v ego search / ego surfing
http://en.wikipedia.org/wiki/Egosurfing

Zelfde idee zal mogelijk zijn met deze resultaten, aangezien er vast een hoop mensen te vinden zijn die geld overboeken naar hun andere persoonlijke rekening.
Dat is nog maar af te vragen!
Het zijn namelijk wel bankrekening nummers; die zijn wel gekoppeld aan een (of meerdere) personen. Misschien niet dat jij en ik dat kunnen 'vertalen' naar namen, maar de banken kunnen dat wel.
Juist dat was dus ook mijn gedachte, vindt dat dus erg slecht van Tweakers.net dat ze uberhaupt de bestanden gedownload zouden hebben.. Melden was genoeg geweest.
Ik hecht veel waarde aan privacy, maar ga svp tweakers nu niet veroordelen. Door kennis te nemen van vrijwel alle gegevens kunnen zij een juist oordeel vellen.
Anders was het gebleven bij een 'foutje' zoals kasboek het graag zelf noemt!! Dat is in mijn optiek pas schandalig! Nu weet iedereen dat het een blunder is.

Vanzelfsprekend doet tweakers er goed aan de gegevens nu te vernietigen.
En daarnaast zou ik van kasboek een eerlijk antwoord(is dat mogelijk?) willen hebben hoeveel unieke ip-adressen welke bestanden hebben opgevraagd.
voor er inbreuk is op de privacy moet men de gegevens eerst ook aan een privaat persoon linken. Dit zijn gewoon wat statistieken, totaal anoniem.
Het feit dat ze de bestanden gedownload hebben en grondig doorzocht hebben vindt ik al belachelijk genoeg, dat ze 1 of 2 bestanden gecontroleerd hadden en daarna de site hadden gewaarschuwd was meer dan genoeg geweest, maar nee ze moesten toch eventjes zich onetisch gedragen..
En dat is de eeuwige tweeslag tussen privacy en journalistieke ethiek. In mijn ogen geeft tweakers.net alleen aan dat deze gegevens 'waarschijnlijk' zijn door enkele voorbeelde te geven die genormaliseerd zijn (gemiddeldes e.d.). Echt anoniem bestaat niet, maar dat mag je zelf ook beseffen zodra je op het internet zit.

De sensatiegedeeltes van de publicatie zijn echter iets overdreven, maar gezien het meerendeel van het publiek hier (relatief jong, ict professionals) niet onwaarschijnlijk.
het is maar net hoe je het bekijkt, je kan wel na 2 documentjes vluchtig ingekeken te hebben een conclusie trekken, maar als je er dan naast zit dan verspeel je ook je eigen goede naam en geloofwaardigheid als journalist/onderzoeker.

mijn mening moet je dit wat meer in de hoek van een klokkenluider zoeken, in feite kaart tweakers hier een overduidelijke misstand aan en om dat te onderbouwen zal je je er enigszins in moeten verdiepen, ja een klokkenluider kan de goede naam van een bedrijf schenden (in dit geval kasboek.nl) en bepaalde confronterende gegevens openbaar maken om dit te onderbouwen, maar dit is voornamelijk met een groter maatschappelijk doel, namelijk informeren en herhaling voorkomen.

verder zijn er geen persoonsgegevens bekendgemaakt en dus zie ik niet echt een probleem eigenlijk, de privacy van de kasboek.nl gebruikers zijn tot zover niet aangetast.
Geanonimiseerde statistieken, dus why not? ;) Wat het graven betreft neem ik voor het gemak maar even aan dat dat op een integere manier gebeurd is.
..en dat kan natuurlijk ook niet.. Dat je je nieuwsgierigheid niet kunt beheersen is tot daar aan toe, maar dat je de data gaat minen om je scoop smeuiig te maken... Over Blunder met een hoofdletter B gesproken.

[Reactie gewijzigd door pepijnb op 6 oktober 2010 20:15]

Dit vooval is weer een extra goede reden om zulke privacy gevoelige informatie niet in de cloud te stopppen, maar lekker offline te doen via bijvoorbeeld Penningmeester.net of orov
Zie ook niet echt de meerwaarde om zoiets in de cloud te stoppen ipv offline.
Inderdaad,
Daarom kun je beter geen online backups en geen online boekhouden gebruiken.
Op hoe minder plaatsen je privé gegevens staan hoe beter het is.

Er is al veel te veel vrij toegankelijk:
1) Ik was laatst bij een opticien. Die kon zo met mijn naam en adresgegevens achterhalen bij welke verzekering ik ben en wat voor verzekering ik heb.
2) Ooit eens de zeldzame naam van een collega ingetikt in een zoekmachine. Google kwam als eerste vermelding terug met zijn complete stamboom, inclusief geboortedata van zijn kinderen. Hij vond het niet leuk dat een ver familielid dit op internet had gezet.

Veel te veel data is onvoldoende beveiligd:
Banken die menen dat een wachtwoord genoeg beveiliging biedt voor prive gegevens. Ik kreeg vorige week nog een phising-mail, zogenaamd van een bank, met een link in de email via-een-malafide-website doorgelinkt naar de website van de bank..... Ik heb het wel even bij die bank gemeld.

En dan is er nog de overheid die gegevens beveiligd met alleen een digiD code, of zoals bij de belastingdienst met alleen maar een inlogcode en wachtwoord. Nu maar hopen dat niemand mijn digiD-code of wachtwoord achterhaald. Eigenlijk ook volstrekt onvoldoende beveiliging. Zouden ze bij de overheid wel eens van key-loggers gehoord hebben ?

Het is heel goed dat Tweakers.net dit in het nieuws brengt. Hopelijk gaan nu meer mensen serieus nadenken over data-veiligheid.
Inderdaad, ik zou dat ook niet vertrouwen. Om dezelfde reden gebruik ik ook geen online opslag diensten.

Aan de andere kant, je kan het bijna niet voorkomen. Als je internet bankieren hebt (en wie heeft dat niet), dan is je hele bankrekening ook al in de cloud beschikbaar.
Ook leuk: als je een mail krijgt omdat je je wachtwoord vergeten bent, krijg je gewoon je originele wachtwoord --> ze staan niet geëncrypt in de database en credentials liggen op straat...
Je bedoelt hashed i.p.v. encrypted denk ik?

Ter vergelijking:

encrypted
we vervangen elke letter door de volgende letter in het alfabet...
hallo -> encoderen -> ibmmp -> decoderen -> hallo

hashed
we gebruiken de deelrest van een getal om deze te identificeren:
1023 -> %13 (deelrest van 1023/13) -> 9

De eerste kan teruggerekend worden, de tweede niet. Toch kan de tweede methode gebruikt worden om te herkennen of de invoer overeenstemt met het origineel zonder het origineel te weten.
Een simpele md5- of sha-hash is voor de gemiddelde website een beter en vooral veiliger plan. Zelf een encryptie- of has-methode uitvinden, is voor de gemiddelde programmeur niet weggelegd, dit valt toch echt wel in de categorie "hogere wiskunde".

Wil je het veilig hebben, ga dan vooral niet zelf het wiel uitvinden. Zeker niet wanneer je niet in staat bent om wiskundig aan te tonen waarom jouw methode veilig is.
En wederom een heel goede reden om zeer skeptisch te zijn naar het gehele concept van "alles online en in de cloud". Lokale opslag is een stuk beter te overzien en bij lange na niet zo interessant voor buitenstaanders om op rond te gaan speuren, in tegenstelling tot grotere websites waarbij je in één klap veel gegevens binnen kunt harken.
Met de diverse wormen die rondzwerven is lokale opslag ook lang niet altijd veilig...
Daar ben je nog altijd zelf bij. Als het een niet-ontdekte worm is dan is jouw systeem thuis net zo veilig als dat systeem online. In dit geval geef je alle verantwoordelijkheid uit handen en moet je er maar op vertrouwen dat de ontwikkelaars capabel en verantwoordelijk genoeg zijn om goed met jouw gegevens om te gaan. Wellicht zijn die lui capabeler dan de gemiddelde huisvrouw, maar als Tweaker zijnde bedenk ik me wel twee keer voordat ik over ga tot het uit handen geven van deze verantwoordelijkheid.
gewoon boekhouden op houtboeken, de enige worm waar je dan last van kan hebben zijn houtwormen ;)

het hele idee met alles online en in the cloud vind ik iig echt helemaal niets, stel dat je een (bv. financiële) onenigheid krijgt met degene waar je die gegevens gedeponeerd hebt, om maar even wat te noemen, word je hele administratie geblokkeerd en kan je maar naar de rechtbank om het weer terug te krijgen, vooral handig wanneer dat rond de tijd van de belastingaangifte gebeurd...
En toen waren er botnets.
Een centraal systeem kan je veel beter beveiligen en onderhouden dan 100'000 aparte systeempjes. Je hoeft niet zelden maar 1 systeempje over te nemen om toegang te krijgen tot "alles".
Ik heb een laptop van het werk, het is veel makkelijker om mijn laptop te stelen en zo op het bedrijfsnetwerk te gaan, dan om rechtstreeks in te breken bij het bedrijf waar ik voor werk. We hebben VPN met een token, dus veel succes, maar je snapt het idee wel.
Een ketting is maar zo sterk als de zwakste schakel, als uw ketting bestaat uit 100'000 schakels is het niet altijd evident om na te gaan of ze nog allemaal sterk genoeg zijn.

Dit lek is gewoon ongelooflijk slordig. Een boekhouder vernietigt zijn papieren ook en gebruikt niet de achterkant voor de kleine om op te kleuren of als kladpapier. Dit zijn vergelijkbare, compleet absurde fouten. Uit het bestaan van een robots kan je precies wel afleiden dat het een gewenste en gekende situatie is en geen "per ongelukje"...
Misschien moeten ze bij Kasboek.nl eens hier kijken. :)
Iedereen weg bij Kasboek.nl en inschrijven bij Yunoo.nl :+
zie inderdaar ook de bovenstaande link
http://www.yunoo.nl/veiligheid.html
Dagelijkse veiligheids check door McAfee®

De servers van Yunoo worden dagelijks getest door McAfee Secure. Tijdens deze scan worden de Yunoo servers elke dag onderzocht op de laatste veiligheidslekken

[Reactie gewijzigd door Havocnl op 6 oktober 2010 13:36]

Dat is in dit geval ook schijn veiligheid. Een scan kijkt naar mogelijkheden om scripts uit te voeren en dergelijke. Die zal niet kijken naar een open dir waar bestanden in staan.
De scan zal namelijk gewoon denken dat het de bedoeling is dat die open staat, want hij kan niet automatisch beoordelen wat voor bestanden er in staan en of die wel of niet gezien mogen worden!

In dit geval had het dus niet geholpen.
gaat er niet om dat ze weten of er veiligheidslekken zijn, gaat erom wat ze er mee doen...
zijn zat bedrijven die iets constateren en er dan maanden over doen voordat ze er wat mee gaan doen...
Die McAfee check stilt helemaal niks voor, die koop je gewoon..
Dat zegt volgens mij precies niets. "Onderzocht op de laatste veiligheidslekken" betekent dat ze kijken naar bekende exploits in de systeemsoftware. Een standaardsysteem kan niet zien of informatie per abuis beschikbaar wordt gemaakt. Dat is immers per website heel verschillend. Het is onzin om op basis van dit statement te zeggen dat Yunoo veiliger is.

[Reactie gewijzigd door mddd op 6 oktober 2010 14:06]

Auw... Dit is inderdaad een pijnlijk foutje.

En hoe simpel eigenlijk te voorkomen. Lijkt mij dat bij een bedrijf zoals dit toch echt beter getest moet gaan worden.
Foutje? Blunder! Er is werkelijk geen enkele reden om op een webserver dergelijke data te zetten.
ééntje, een temp directory waar de geuploade bestanden in geplaatst worden, om verwijderd te worden zodra ze in de interne database staan.

Misschien bewaarden ze toch een permanente kopie voor backupdoeleinden. Maar als je de server niet goed geconfigureerd hebt...
Waarom het uberhaupt in een temp-directory zetten? De geuploadde file houd je in RAM tot de boel in de interne database zit en als die transactie klaar en geverifieerd is gooi je dat blokje RAM weer leeg.
Iets 2 keer opslaan om vervolgens een van de 2 weg te gooien is gewoon slecht ontwerp.
Voor csv's is dat doenbaar. Echter kan een slime aanvaller dat gebruiken om een DOS aanval op te zetten. (open 10000 connecties die elk 1MB uploaden en je memory zal snel vol zitten).
Maar die temp moet wel beveiligt zijn natuurlijk en dat was in dit geval niet zo, en ik betwijfel of het wel een temp directory is als je er zo veel in hebt staan :|
Nou ja, die gegevens worden door de gebruikers zelf geüpload he. Dus zo gek is dat niet :)
Nou, upload die data dan minstens naar een directory die niet extern toegankelijk is en waaruit de data wordt verwijderd zodra deze geïmporteerd is.
Nou, upload die data dan minstens naar een directory die niet extern toegankelijk is
Dus jij wilt dat een extern persoon data upload naar een directory die niet extern toegankelijk is? Hoe moet die persoon dan aan die directory geraken? 8)7
waaruit de data wordt verwijderd zodra deze geïmporteerd is.
Dat is ook weer een vorm van schijnveiligheid. Op een bepaalde moment, al was het maar enkele seconden staat die data in die directory, dus op dat moment kan iemand er aan als je security niet goed staat.

Alhoewel het beter is dat niemand aan de data kan, hoeft het niet noodzakelijk een probleem te zijn als er wel iemand aan kan. Als de data geëncrypteerd is kun je er bjivoorbeeld weinig mee aanvangen. Dit soort (en waarom niet alle) data zou dan ook nooit zonder publiek/private encryptie getransporteerd mogen worden.
Dus jij wilt dat een extern persoon data upload naar een directory die niet extern toegankelijk is? Hoe moet die persoon dan aan die directory geraken?
Een bestand wordt eerst in een temp-directory geupload. Deze wordt na uploaden verplaatst naar de opgegeven map.

Deze map kan best buiten de webstructuur vallen (dus niet via HTTP te benaderen zijn).
De gebruiker (of andere bezoekers) kunnen dan niet direct bij het bestand, maar de scripts op de website kunnen deze bestanden wel benaderen/uitlezen.
Laat ik als ICT-er zeggen dat het wel degelijk een blunder betreft . Iedereen die anders beweert heeft het vak niet begrepen ;) Het is niet moeilijk het zo te bouwen dat je een bestand ontvangt die niet op een plek hoeft te staan die extern toegankelijk is.
In java bijvoorbeeld een file-upload servlet die het bestand plaatst in een folder die niet zichtbaar is voor webserver!

Als dezelfde gebruiker het bestand ook moet kunnen opvragen? Dan kan dat ook simpel met een servlet oid(wel eentje die eerst authorisatie goed checkt!)

Kortom er is geen reden dat deze bestanden op de webserver terecht komen en dus mogelijk extern toegankelijk worden(permissies op folders van de webserver zijn per definitie afdoende geschikt om dit soort gegevens te beveiligen)
Natuurlijk is het serieuze fout. Maar het had zonder 'ernstige' gevolgen kunnen zijn als de data versleuteld was.
permissies op folders van de webserver zijn per definitie afdoende geschikt om dit soort gegevens te beveiligen
Tja, zo kun je stellen dat een slot op je voordeur per definitie afdoende geschikt is om dieven buiten te houden. Waarom installeren zoveel mensen dan nog een alarmsysteem?

Folderpermissies kunnen trouwens veel te gemakkelijk per ongeluk foutief geconfigureerd worden. Even ergens iets veranderen en voor je het weet hebben alle kinderen het overgeërfd.

Zaken zoals financiële gegevens zouden nooit of te nimmer ergens onversleuteld mogen staan. Zelfs niet op je eigen machine die niet aan een netwerk hangt.
Sterker nog volgens mij zijn er ook wetten die voorschrijven hoe je met dit soort gevoelige privé data om moet gaan...

Staat daar ook niet iets bij over versleuteld opslaan?
Of is dat alleen met wachtwoorden ;-)
Het wordt eigenlijk hoogtijd dat op dit soort fouten simpelweg straffen komen. Dit is niet een unicum, bedrijven maar nog erger, de overheid gaat veelste gemakzuchtig met privacy gevoelige gegevens om en als men een usb stick vergeet of een laptopje gebeurd er verder niets. Zolang er geen straffen staan op het mis-managen van data ongeacht door wie zal er ook geen druk op staan om daadwerklijk dit soort fouten te voorkomen. Natuurlijk op ICT gebied zijn er talloze oplossingen maar uiteindelijk is dit voor de gebruiker geen relevante informatie die heeft maar 1 gegeven feit, veilig of niet. En maar wat vaak is het niet veilig.
Als je niet weet hoe een upload werkt, zeg dan niets.
dan nog hoeft het daar niet te blijven staan... na het uploaden moet dit bestand worden verplaatst en van die webserver worden verwijderd! 8)7
Who needs .htaccess? Weg er mee! :+
Iedere niet amateur? Zoiets configureer je gewoon in je serverconfiguratie zelf. Door het accepteren van .htaccess zal Apache bij het benaderen van een pagina steeds gaan controleren of er een .htaccess bestand in de directory staat, en deze zonodig parsen, dit is onnodige overhead (hoe klein ook door de cache die er meestal wel op je filesystem zit).
Ja handig, voor iedere wijziging in de config je apache-service herstarten.
Apache kan gewoon configs reloaden zonder herstart.
configs reloaden zonder herstart
Hoe doe je dat dan? Want bij mij wordt een config pas na een herstart (van de service, niet het hele systeem) herladen. Bewijsbaar en reproduceerbaar.

[Reactie gewijzigd door _Thanatos_ op 8 oktober 2010 21:11]

server:~# /etc/init.d/apache2 reload
Reloading web server config: apache2.
server:~#
Of dacht je dat een webhoster de webserver moet herstarten als hij een nieuwe vhost (domein) toevoegt?

[Reactie gewijzigd door thegve op 9 oktober 2010 15:58]

Ik mag hopen dat Apache slim genoeg is om eerst een datecheck te doen op de file alvorens deze opnieuw te parsen.
Daar heb je gelijk in, maar checken of hij bestaat en een datecheck doet hij wel.
Dat doet php ook voor ALLE files die hij bij ieder request nodig heeft, dus wat is nou precies je punt? Dat het "traag" is? Een pagina die in 10ms wordt geserveerd is even snel als een die in 10,003ms wordt geserveerd. Dat maakt echt geen ene bal uit.
als er geenreden is om die data op een webserver te plaatsen..waarom is dan die site niet gemaakt in javascript?? ...lekker geheel in javascript...hoeft verder geen server meer aan te pas te komen...

waarschijnlijk om het kasboekje ook online te kunnen bewaren...
De CSV's hoeven niet benaderbaar te zijn, die data word gewoon in een database geplaatst en die kun je dan vervolgens weer bewerken. Is gewoon een import.
euh.... blijkbaar is dier er wel wasnt de klanten hebben het er zelf opgezet
voor de privacy roepers:
Welke privacy wordt er hier geschonden dan?
Dit zijn willekeurige nummers en beschrijvingen.
Alleen de mensen die het betreft weten waarschijnlijk dat zij dit zijn.

Nergens kan je dit herleiden naar een persoon of instelling.
Goede zaak om te laten zien dat dit soort fouten gemaakt worden om de mensen bewust te maken van dit soort gevaren en welke data en gegevens er beschikbaar zijn voor mensen.

[Reactie gewijzigd door 238498 op 6 oktober 2010 12:48]

Deze het niet gepubliceerd hebben wil niet zeggen dat er al minstens 1 iemand op het kantoor door andermans privigegevens gespit heeft.. Wat wel degelijk een schending van privacy is..

Dat de mogelijkheid er was wil niet meteen zeggen dat er op in gegaan moet worden..
Je hebt gelijk dat wij niet weten wat er precies is gebeurd op het Tweakers kantoor. Aan de andere kant mogen wij van serieuze journalistiek ook wel wat verwachten.

Van privacy-schending door T.net is geen sprake want ze hebben niets bekend gemaakt wat zodanig gevoelig is.

Natuurlijk hebben ze wel in die documenten gekeken. Hoe kan een journalist anders verslag doen van het gebeurde. Het zou wat raar zijn als het bericht zou luiden 'Er zijn ergens bestanden gevonden op een onbeveiligde server. Hoe erg dit is weten we niet, we willen er namelijk niet in kijken'.
Je was een stuk gelukkiger geweest als tweakers.net deze gegevens wel had bestudeerd maar dit niet kenbaar had gemaakt? Want het wel of niet publiceren van deze feitjes geeft natuurlijk geen garantie dat ze bij tweakers de gegevens niet bekijken.
Door voor publicatie eerst kasboek.nl de mogelijkheid te geven het lek te dichten zorgen ze er wel voor dat er na publicatie geen anderen meer bij de gegevens kunnen. Weet jij veel hoeveel mensen tweakers.net al voor zijn geweest. Misschien wist mijn buurman al een maand van het lek en lacht hij zich een ongeluk om mijn transactie van €3.25
Ik zou gelukkiger geweest zijn als men zich gehouden had bij het publiceren van algemene feiten, en niet van hele specifieke.
Deze het niet gepubliceerd hebben wil niet zeggen dat er al minstens 1 iemand op het kantoor door andermans privigegevens gespit heeft.. Wat wel degelijk een schending van privacy is..
Nee, je draait de zaken om. Dat de gegevens publiek beschikbaar waren, DAT is de privacyschending. IEDEREEN had de gegevens kunnen downloaden en in alle rust door kunnen spitten.
Natuurlijk kan je dit herleiden naar personen, er staan immers rekeningnummers bij de transacties.
voor de heren boven mij:
Nee Tweakers heeft deze informatie in handen gekregen door een fout van dit bedrijf.
Door het melden van onpersoonlijke gegevens is dit geen privacy schending.
Dat Tweakers deze data wel kan inzien heeft dus niks met privacy schending te maken vanuit Tweakers en het berichten hierover.
Daar ben ik het echt niet mee eens, tweakers had aan een of twee regels kunnen zien dat het om bank info ging.. Dus als het doel echt puur nobel geweest was hadden ze toen genoeg gezien om de melding te kunnen doen.

ECHTER, ze hebben er gezien de omschrijvingen die ze naar boven halen uitgebreid lopen spitten in de data ZONDER dat daar een goede of verklaarbare reden voor is behalve sensatielust.. En JA dan is het in mijn ogen wel degelijk een schending van privacy, ongeacht de bron..

In iemands vuilnis spitten is ondanks dat hij / zij het zelf aan de straat gezet heeft immers ook gewoon privacy schending.. Dus de bron maakt in deze niet uit..

De data die hier in het nieuwsbericht staat is inderdaad nietszeggend qua privacy, daar is niets mis mee, maar mij gaat het er dus om dat de redactie zelf in de gegevens heeft lopen spitten (uit sensatielust dus).
Kan je naast je ongenoegen over de sensatielust nou duidelijk maken welke privacy er is geschonden?
Want je doet op een aanname dat Tweakers intern de koppelingen aan het maken zijn op basis van namen en gegevens en dit voor eigen gewin gebruikt.
En imho is het bedrijf verantwoordelijk voor de mogelijkheid tot schending van privacy en Tweakers een melder van de mogelijkheid, die geboden is door het bedrijf.

En je opmerking over het vuilnis: Op het moment dat je de vuilniszak op straat neerzet is dit geen eigendom meer en is het niet strafbaar om hier informatie uit te halen.
Doe maar is googlen :) Er zijn zat roddelbladen die hiervoor zijn vrijgesproken.

Toevoeging:
http://www.nu.nl/internet...ar-via-lek-kasboeknl.html
dus ook privacy schending?

[Reactie gewijzigd door 238498 op 6 oktober 2010 13:19]

Fijn dat je dat vind, maar volgens de regels is wat T.net hier gedaan heeft prima in orde.

Ze hebben zich niet zitten verlekkeren op de redactie, maar gewoon automatisch de boel in een database gemikt om wat queries te kunnen doen. Ik durf je op een briefje te geven dat ze in een oogopslag misschien een kleine 0,01% van de data hebben gezien.

In het kader van journalistiek onderzoek mag dat trouwens gewoon.

Een beetje vertrouwen in de redactie hier mag best.
In het kader van journalistiek onderzoek mag dat trouwens gewoon.
Bron? In hoeverre is dumpster-diving en dit soort akties goed te praten door regels? Regels van wie? NVJ? De Nederlandse wet?
Tweakers.net is een technische nieuwssite, je wilt -naast nobel zijn- je lezers ook inhoudelijk wat bieden. Door het bericht te illustreren met enkele voorbeelden geef je juist meerwaarde aan het artikel. Dat een redactie de gegevens analyseert en er enkele geanonimiseerde highlights uitlicht is journalistiek gezien alleen maar te prijzen.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True