Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 183 reacties
Submitter: GeneLipa

Banktransacties van klanten van online-boekhoudservice Kasboek.nl zijn toegankelijk geweest voor buitenstaanders. Een open directory op de server bood toegang tot csv-bestanden met daarin gegevens over betalingen en salarissen.

Door de gebrekkige beveiliging kon Tweakers.net de financiële gegevens inzien van duizenden klanten van Kasboek.nl. In totaal ging het om 8985 csv-bestanden die op de server stonden. De onversleutelde bestanden stonden op een server die zowel via http als https bereikbaar is.

Na een melding van Tweakers.net heeft Invers, het bedrijf achter Kasboek.nl, binnen drie kwartier de directory's voor de buitenwereld afgesloten. Er waren wel maatregelen genomen om te voorkomen dat de directory's door zoekmachines konden worden geïndexeerd.

De csv-bestanden met transactiegegevens waren vermoedelijk door gebruikers zelf geüpload: Kasboek.nl biedt klanten de mogelijkheid de bij hun bank gedownloade transactieoverzichten eenvoudig te importeren. In de beheeromgeving van het internetkasboekje kunnen transacties vervolgens worden ingedeeld in categorieën om beter inzicht in de financiën te krijgen.

Volgens Invers is er tijdens het maken van een nieuwe versie van de site een 'foutje' gemaakt. "Waardoor het precies komt, is ons nog onduidelijk. We wilden eerst het lek dichten", zegt Bob Jaspers Voecks van Invers. Het is onduidelijk hoe lang de pagina online stond.

De bestanden bevatten alle bankgegevens, waaronder van veel rekeninghouders naam, adres en rekeningnummer. In totaal gaat het om meer dan een miljoen transacties met een totale waarde van ongeveer 200 miljoen euro. De oudste transactie die Tweakers.net tijdens een snelle analyse van de bestanden kon terugvinden dateert uit april. De meeste transacties werden gedaan in mei na het ontvangen van het vakantiegeld. Ook in augustus waren er veel transacties.

In de bestanden komt het woord salaris 3362 keer voor, terwijl er in 5332 gevallen geld van of naar de Belastingdienst werd overgemaakt. Daarnaast keerden 147 mensen alimentatie uit aan een ex-partner. Ook staan er intieme transacties tussen, zoals iemand die 1459 euro uitgaf bij 'Erotica' en een ander die ogenschijnlijk een vriend 3,25 euro overmaakte 'voor porno te downloaden'.

De grootste transactie was 101.680 euro, naar een beleggingsrekening. Diezelfde persoon had ook de kleinste transactie: 1 cent, om zijn rekening te valideren. De gemiddelde afschrijving uit een representatieve selectie van de bestanden was 110,80 euro. De gemiddelde bijschrijving bedroeg 639,79 euro.

Kasboek.nl: screenshot directory Algemene Voorwaarden Kasboek.nl: er wordt niet ingebroken op de site Kasboek.nl: standaard inloggen via http
Moderatie-faq Wijzig weergave

Reacties (183)

1 2 3 ... 7
Een simpele md5- of sha-hash is voor de gemiddelde website een beter en vooral veiliger plan. Zelf een encryptie- of has-methode uitvinden, is voor de gemiddelde programmeur niet weggelegd, dit valt toch echt wel in de categorie "hogere wiskunde".

Wil je het veilig hebben, ga dan vooral niet zelf het wiel uitvinden. Zeker niet wanneer je niet in staat bent om wiskundig aan te tonen waarom jouw methode veilig is.
gewoon boekhouden op houtboeken, de enige worm waar je dan last van kan hebben zijn houtwormen ;)

het hele idee met alles online en in the cloud vind ik iig echt helemaal niets, stel dat je een (bv. financiële) onenigheid krijgt met degene waar je die gegevens gedeponeerd hebt, om maar even wat te noemen, word je hele administratie geblokkeerd en kan je maar naar de rechtbank om het weer terug te krijgen, vooral handig wanneer dat rond de tijd van de belastingaangifte gebeurd...
gaat er niet om dat ze weten of er veiligheidslekken zijn, gaat erom wat ze er mee doen...
zijn zat bedrijven die iets constateren en er dan maanden over doen voordat ze er wat mee gaan doen...
Die McAfee check stilt helemaal niks voor, die koop je gewoon..
Apache kan gewoon configs reloaden zonder herstart.
configs reloaden zonder herstart
Hoe doe je dat dan? Want bij mij wordt een config pas na een herstart (van de service, niet het hele systeem) herladen. Bewijsbaar en reproduceerbaar.

[Reactie gewijzigd door _Thanatos_ op 8 oktober 2010 21:11]

server:~# /etc/init.d/apache2 reload
Reloading web server config: apache2.
server:~#
Of dacht je dat een webhoster de webserver moet herstarten als hij een nieuwe vhost (domein) toevoegt?

[Reactie gewijzigd door thegve op 9 oktober 2010 15:58]

Daar heb je gelijk in, maar checken of hij bestaat en een datecheck doet hij wel.
Dat doet php ook voor ALLE files die hij bij ieder request nodig heeft, dus wat is nou precies je punt? Dat het "traag" is? Een pagina die in 10ms wordt geserveerd is even snel als een die in 10,003ms wordt geserveerd. Dat maakt echt geen ene bal uit.
De CSV's hoeven niet benaderbaar te zijn, die data word gewoon in een database geplaatst en die kun je dan vervolgens weer bewerken. Is gewoon een import.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*