Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 183 reacties
Submitter: GeneLipa

Banktransacties van klanten van online-boekhoudservice Kasboek.nl zijn toegankelijk geweest voor buitenstaanders. Een open directory op de server bood toegang tot csv-bestanden met daarin gegevens over betalingen en salarissen.

Door de gebrekkige beveiliging kon Tweakers.net de financiële gegevens inzien van duizenden klanten van Kasboek.nl. In totaal ging het om 8985 csv-bestanden die op de server stonden. De onversleutelde bestanden stonden op een server die zowel via http als https bereikbaar is.

Na een melding van Tweakers.net heeft Invers, het bedrijf achter Kasboek.nl, binnen drie kwartier de directory's voor de buitenwereld afgesloten. Er waren wel maatregelen genomen om te voorkomen dat de directory's door zoekmachines konden worden geïndexeerd.

De csv-bestanden met transactiegegevens waren vermoedelijk door gebruikers zelf geüpload: Kasboek.nl biedt klanten de mogelijkheid de bij hun bank gedownloade transactieoverzichten eenvoudig te importeren. In de beheeromgeving van het internetkasboekje kunnen transacties vervolgens worden ingedeeld in categorieën om beter inzicht in de financiën te krijgen.

Volgens Invers is er tijdens het maken van een nieuwe versie van de site een 'foutje' gemaakt. "Waardoor het precies komt, is ons nog onduidelijk. We wilden eerst het lek dichten", zegt Bob Jaspers Voecks van Invers. Het is onduidelijk hoe lang de pagina online stond.

De bestanden bevatten alle bankgegevens, waaronder van veel rekeninghouders naam, adres en rekeningnummer. In totaal gaat het om meer dan een miljoen transacties met een totale waarde van ongeveer 200 miljoen euro. De oudste transactie die Tweakers.net tijdens een snelle analyse van de bestanden kon terugvinden dateert uit april. De meeste transacties werden gedaan in mei na het ontvangen van het vakantiegeld. Ook in augustus waren er veel transacties.

In de bestanden komt het woord salaris 3362 keer voor, terwijl er in 5332 gevallen geld van of naar de Belastingdienst werd overgemaakt. Daarnaast keerden 147 mensen alimentatie uit aan een ex-partner. Ook staan er intieme transacties tussen, zoals iemand die 1459 euro uitgaf bij 'Erotica' en een ander die ogenschijnlijk een vriend 3,25 euro overmaakte 'voor porno te downloaden'.

De grootste transactie was 101.680 euro, naar een beleggingsrekening. Diezelfde persoon had ook de kleinste transactie: 1 cent, om zijn rekening te valideren. De gemiddelde afschrijving uit een representatieve selectie van de bestanden was 110,80 euro. De gemiddelde bijschrijving bedroeg 639,79 euro.

Kasboek.nl: screenshot directory Algemene Voorwaarden Kasboek.nl: er wordt niet ingebroken op de site Kasboek.nl: standaard inloggen via http
Moderatie-faq Wijzig weergave

Reacties (183)

1 2 3 ... 7
Tja, voor mij is het een bevestiging dat je je boekhouding toch beter niet aan iemand anders zijn beheer kunt overlaten (boekhouders daargelaten). Dit is natuurlijk een flinke deuk in het vertrouwen van de klanten van deze site, maar ergens hadden ze het kunnen zien aankomen dat alle informatie die je aan het internet toevertrouwd weleens openbaar kan worden, hoe goed beveiligd/versleuteld dan ook. Het devies lijkt mij dan ook: wil je absoluut geen risico lopen dat dit soort essentiële privacygevoelige informatie naar buiten komt, bewaar je papierwinkel dan gewoon ouderwets in de kast/kluis/encrypted schijf.
Déjà vu. Ik heb enkele maanden terug ook contact gezocht met Invers over deze fout. Door een fout tijdens het inloggen kwam ik uit in deze open dir. Buiten de open dir was toegang, zonder authenticate, tot het admin panel ook mogelijk. Via het admin panel heb ik mijn eigen account direct verwijderd. Invers maakte zich niet heel druk om de fout en herstelde deze wel binnen een half uur. Ik heb toen besloten niet de media op te zoeken maar heb genoeg gevoelige informatie gezien.

Aanvullende informatie: voor wat ik heb gezien bewaren ze alle uploads tot een jaar terug.

[Reactie gewijzigd door qwertyuiop op 6 oktober 2010 14:56]

Is het nodig om in een Journaal-item over oorlog beelden van neergeschoten mensen te laten zien?

We wilden voor iedereen aantonen dat we zonder enige hindering de csv-bestanden konden downloaden en door konden spitten. We hebben met opzet geen gegevens gepubliceerd die te herleiden zijn naar een persoon, maar hieruit kun je wel opmaken wat voor info er in de bestanden staat: een voorbeeld zegt nu eenmaal meer dan een omschrijving.

Overigens zijn we hier secuur mee omgegaan, maar om de omvang van het lek te kunnen achterhalen heeft een van onze devvers - ACM - een deel van de csv-bestanden verwerkt in een database om er statistieken uit te kunnen halen als datum en totale som van overgemaakte bedragen.

Uiteraard wordt die database vernietigd, net als de csv-bestanden die we hadden gedownload :)

Over dit onderwerp kun je het best discussiëren in het topic dat erover gaat: Kasboek.nl artikel

[Reactie gewijzigd door arnoudwokke op 6 oktober 2010 12:57]

Onzin, dit soort vermeldingen was nog steeds niet nodig geweest, en is puur gebasseerd op sensatiezucht...
Nee, kasboek.nl wist misschien zelfs al dat deze saillante details in de gegevens stonden die op straat kwamen te liggen.

Het zijn de klanten die zich bewust moeten zijn van gevolgen van het weggeven van deze gegevens aan een willekeurig bedrijf. Ik zou er ook niet bij stil gestaan hebben dat wanneer een vriend van mij zijn gegevens bij kasboek.nl gaat beheren dat vervolgens duidelijk wordt dat ik 3.25 heb ontvangen voor zoiets als pron.

Het gaat erom dat mensen (de maatschappij) zich bewust wordt van deze gevaren voor de privacy zodat hier iets tegen gedaan kan worden. Passende maatregelen genomen kunnen worden.

Als tweakers alleen maar had vermeld dat er rekeninggegevens op straat hebben gelegen hadden er veel meer mensen hun schouders opgehaald en gezegd: "ik heb toch niks te verbergen", "lekker belangrijk, mijn gegevens staan toch niet bij kasboek.nl"

Maar door dit voorbeeld wordt duidelijk dat de gevolgen er ook zijn als een vriend, kennis of bedrijf waar jij geld aan heb betaald klant is bij kasboek.nl
Hier is door Arnoud Engelfriet (gallery: Arnoud Engelfriet) op het forum iets over geschreven.

Ik citeer:
Heel formeel is er denk ik wel sprake van een 'verwerking' van persoonsgegevens in de zin van de Wbp door Tweakers.net. Niet alleen publiceren maar ook doorspitten, compileren, extraheren van gegevens valt daar namelijk onder. T.net mag dat echter als zij een eigen aantoonbare noodzaak heeft om dit te doen (art. 8 sub f Wbp). En die is er: zij moet haar artikel kunnen onderbouwen en daarvoor feitelijke conclusies kunnen trekken.
Tweakers.net mag het dus kennelijk wel, omdat er een aantoonbare noodzaak is.
Volledige post: http://gathering.tweakers...message/34806372#34806372
Inderdaad,
Daarom kun je beter geen online backups en geen online boekhouden gebruiken.
Op hoe minder plaatsen je privé gegevens staan hoe beter het is.

Er is al veel te veel vrij toegankelijk:
1) Ik was laatst bij een opticien. Die kon zo met mijn naam en adresgegevens achterhalen bij welke verzekering ik ben en wat voor verzekering ik heb.
2) Ooit eens de zeldzame naam van een collega ingetikt in een zoekmachine. Google kwam als eerste vermelding terug met zijn complete stamboom, inclusief geboortedata van zijn kinderen. Hij vond het niet leuk dat een ver familielid dit op internet had gezet.

Veel te veel data is onvoldoende beveiligd:
Banken die menen dat een wachtwoord genoeg beveiliging biedt voor prive gegevens. Ik kreeg vorige week nog een phising-mail, zogenaamd van een bank, met een link in de email via-een-malafide-website doorgelinkt naar de website van de bank..... Ik heb het wel even bij die bank gemeld.

En dan is er nog de overheid die gegevens beveiligd met alleen een digiD code, of zoals bij de belastingdienst met alleen maar een inlogcode en wachtwoord. Nu maar hopen dat niemand mijn digiD-code of wachtwoord achterhaald. Eigenlijk ook volstrekt onvoldoende beveiliging. Zouden ze bij de overheid wel eens van key-loggers gehoord hebben ?

Het is heel goed dat Tweakers.net dit in het nieuws brengt. Hopelijk gaan nu meer mensen serieus nadenken over data-veiligheid.
Je bedoelt hashed i.p.v. encrypted denk ik?

Ter vergelijking:

encrypted
we vervangen elke letter door de volgende letter in het alfabet...
hallo -> encoderen -> ibmmp -> decoderen -> hallo

hashed
we gebruiken de deelrest van een getal om deze te identificeren:
1023 -> %13 (deelrest van 1023/13) -> 9

De eerste kan teruggerekend worden, de tweede niet. Toch kan de tweede methode gebruikt worden om te herkennen of de invoer overeenstemt met het origineel zonder het origineel te weten.
Daar ben je nog altijd zelf bij. Als het een niet-ontdekte worm is dan is jouw systeem thuis net zo veilig als dat systeem online. In dit geval geef je alle verantwoordelijkheid uit handen en moet je er maar op vertrouwen dat de ontwikkelaars capabel en verantwoordelijk genoeg zijn om goed met jouw gegevens om te gaan. Wellicht zijn die lui capabeler dan de gemiddelde huisvrouw, maar als Tweaker zijnde bedenk ik me wel twee keer voordat ik over ga tot het uit handen geven van deze verantwoordelijkheid.
Dat is in dit geval ook schijn veiligheid. Een scan kijkt naar mogelijkheden om scripts uit te voeren en dergelijke. Die zal niet kijken naar een open dir waar bestanden in staan.
De scan zal namelijk gewoon denken dat het de bedoeling is dat die open staat, want hij kan niet automatisch beoordelen wat voor bestanden er in staan en of die wel of niet gezien mogen worden!

In dit geval had het dus niet geholpen.
Waarom het uberhaupt in een temp-directory zetten? De geuploadde file houd je in RAM tot de boel in de interne database zit en als die transactie klaar en geverifieerd is gooi je dat blokje RAM weer leeg.
Iets 2 keer opslaan om vervolgens een van de 2 weg te gooien is gewoon slecht ontwerp.
Dus jij wilt dat een extern persoon data upload naar een directory die niet extern toegankelijk is? Hoe moet die persoon dan aan die directory geraken?
Een bestand wordt eerst in een temp-directory geupload. Deze wordt na uploaden verplaatst naar de opgegeven map.

Deze map kan best buiten de webstructuur vallen (dus niet via HTTP te benaderen zijn).
De gebruiker (of andere bezoekers) kunnen dan niet direct bij het bestand, maar de scripts op de website kunnen deze bestanden wel benaderen/uitlezen.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*