Kasboek.nl: lek stond enkele dagen open

Het lek bij Kasboek.nl heeft slechts enkele dagen opengestaan, claimt de eigenaar. Bovendien beweert het bedrijf dat de namen van klanten niet op straat zijn beland. Tweakers.net heeft echter ontdekt dat dit wel degelijk het geval is.

Boekhoudwebsite Kasboek.nl gelooft dat het lek geen nadelige gevolgen zal hebben voor klanten, meldt eigenaar Invers in een verklaring. Volgens Invers hebben twee personen bestanden gedownload uit de openstaande map. Wie er naast Tweakers.net eerder deze week bestanden uit de directory heeft gedownload, is onduidelijk. De directory heeft volgens Invers slechts enkele dagen opengestaan. Tweakers.net publiceerde woensdag over het lek: de publicatie volgde nadat Invers het lek had gedicht.

Invers verklaart dat namen en adressen van klanten niet op straat zijn komen te liggen: "Dat is pertinent niet het geval". Tweakers.net kwam echter achter nog meer beveiligingslekken: uit de cache van Google was een tekstbestand op te vragen met namen, gebruikersnamen en e-mailadressen van 1858 klanten van Kasboek.nl. Dit bestand blijkt op internet rond te slingeren, wat Tweakers.net Invers woensdag al liet weten. Daarnaast gaf Invers door een fout de inlognaam en het wachtwoord van de database met transacties vrij in de broncode van een pagina. De database is echter niet van buitenaf te benaderen, waardoor dat geen nadelige gevolgen heeft gehad.

De oorzaak lag in een upgrade van de site: daarbij is een beveiligingsinstelling overschreven. Om een dergelijk lek in de toekomst te voorkomen, heeft Invers naar eigen zeggen software geïnstalleerd die dit soort beveiligingsfouten moet opsporen. Ook is de dienst tijdelijk offline gehaald om alles na te lopen. Invers heeft zijn klanten naar eigen zeggen excuses aangeboden in een persoonlijke mail.

Algemene Voorwaarden Kasboek.nl: er wordt niet ingebroken op de site

IT-banen

Reacties (108)

Anoniem: 19076 7 oktober 2010 17:14

Kennelijk waren ze al eerder slordig bezig, op hun prikbord meldde iemand ('marc') op 10 september al problemen. De pagina is weg en niet meer in de google cache. Zie hier. http://www.google.com/sea...at+men+honderden+mail+%22

privacy. marc - 10 september 2010. mag ik er op attent maken dat men honderden mail adressen kan vinden als ook tientellen csv files

NMe 7 oktober 2010 16:33

Een beetje suggestief geschreven, dit artikel. Invers gaat in op het in de media gebrachte lek en zegt dat bij dit specifieke lek geen gebruikersnamen en mailadressen beschikbaar zijn geweest en dat naast Tweakers slechts één iemand actief heeft lopen downloaden. Het andere lek hebben ze hooguit stil willen houden (begrijpelijk), maar ze ontkennen dus nergens dat dit lek er is geweest.

Begint een beetje op een kruistocht vanuit Tweakers te lijken, en dat vind ik een beetje jammer eigenlijk.

Auteur

arnoudwokke Redacteur Tweakers @NMe • 7 oktober 2010 16:47

Nee hoor. Dit statement is openbaar gemaakt na bij ons vanmiddag telefonisch bij ons inlichtingen te hebben ingewonnen. Een melding met link van het adressenbestand heb ik gistermiddag om 14:43u naar Den Hollander opgestuurd. Het bestand is inmiddels wel van hun server verdwenen, maar het was al vorige maand gezien door enkele - voor mij - onvertaalbare websites met allemaal links naar adressenbestanden in plain text.

Ik heb gewacht met publiceren tot er een officiële reactie zou komen, om hen uitgebreid te tijd te geven ook hier iets aan te doen. Vervolgens begaan ze 's avonds nóg een blunder door username en password van hun database offline te trekken.

Het publiceren van hun reactie zonder beide andere lekken te benoemen zou een bericht opleveren waarin ze beweren dat het lek gedicht is en privacy nooit in gevaar is geweest: dat zou een feitelijk onjuiste weergave van de feiten zijn. Bovendien zouden we daarmee tweakers - en wellicht ook klanten van Kasboek.nl - misleiden.

Daarom hebben we ervoor gekozen deze details erbij te zetten

moozzuzz @NMe • 7 oktober 2010 16:37

Ook mijn gedacht. T.net heeft iets ontdekt en wil er nu fijn mee lopen pronken. Eigenlof stinkt zeggen ze hier wel es...

Bolk @moozzuzz • 8 oktober 2010 02:00

Toen ik 8 jaar geleden samen met nog iemand een gare versie van het forum vond op een van de servers van T.net en inzage had in de crewfora werd er direct gedreigd met verdere juridische stappen terwijl we de fout keurig ter attentie hadden aangeboden.

Nu publiceren ze doodleuk dit soort berichten met inhoudelijke details. Onpassend, als je het mij vraagt. In plaats van dat kasboek de kans krijgt om de schade te beperken, ligt er nu erg veel informatie op straat. Inclusief wachtwoorden. Iets dat zonder deze berichtgeving mogelijk voorkomen had kunnen worden.

SuperDre @moozzuzz • 7 oktober 2010 20:00

Tja, ik vraag me ook af hoe goed de beveiliging van T.net is als je eens goed gaat zitten zoeken...

ameesters @NMe • 7 oktober 2010 16:38

hmmm, misschien is dat ook wel nodig tegen dit soort bedrijven, die blijkbaar dus gewoon schijt hebben aan je privacy en gewoon niet bang zijn om een arrogante houding tegenover hun klanten aan te nemen, er kon niet eens een excuses vanaf!

Als dit een kruistocht is, dan ga ik alvast mijn spijkerbroek aan trekken, en doe ik gezellig mee! dit soort bedrijven hebben geen bestaansrecht meer, in mijn optiek!

KillaZ 7 oktober 2010 16:52

2 personen: Tweakers en de bron van tweakers?

GeneLipa @KillaZ • 7 oktober 2010 17:16

Ik neem aan dat ik dat ben geweest ja

. Natuurlijk verder niks mee gedaan of van plan geweest.

Overigens was het vinden van deze open directory kinderlijk eenvoudig. Ik was op google aan het zoeken naar een email adres en kwam terecht op de text file met alle gebruikersdata (gebruikersnaam, naam, emailadres). Dit stond ook gewoon op het 'secure' gedeelte van de site. Natuurlijk ben ik toen meteen verder gaan kijken en kwam na een paar keer doorklikken al op die enorme lijst met CVS bestanden.

Geen gehack of zoeken naar bepaalde strings of iets dergelijks. Gewoon gezocht naar een emailadres op google.

Exirion 7 oktober 2010 16:28

Toen ik reclame voor deze site dacht ik: right... iedereen gaat z'n financiele huishouding ff bij een commercieel bedrijf online zetten. Nu, nog geen 3 weken later, blijkt de site dus nog gehacked te zijn ook, met alle gevolgen van dien. Maar goed, je bent ook niet wijs als je dit soort dingen bij een bedrijf laat rondslingeren. Gebruik dan gewoon offline software.

Anoniem: 135756 @Exirion • 7 oktober 2010 16:44

iedereen gaat z'n financiele huishouding ff bij een commercieel bedrijf online zetten.
..
Maar goed, je bent ook niet wijs als je dit soort dingen bij een bedrijf laat rondslingeren.

No offense, maar jij snapt volgens mij niet hoe de ICT service markt in elkaar steekt.
Dit is compleet normaal hoor.

Even voor de record: Jouw OVERHEIDS gegevens, (belasting gegevens, UWV, etc) liggen bij bedrijven als ATOS, Getronics, Cap Gemini, IBM, EDS....etc..etc.
Outsourcing is the name of the game en alles moet online beschikbaar zijn, via web apps, Citrix Gateway´s noem maar op.

Als jij dit (een online kasboekje, SaaS dus) shocking gaat vinden dan moet je nog eens goed om je heen kijken.

ebia @Anoniem: 135756 • 7 oktober 2010 19:38

Dit is zeker niet compleet normaal. Veel overheden gebruiken/misbruiken dergelijke partijen voor tijdelijke expertise in een project, maar hosten veelal zelf het staal waar alles op draait. Overheden hebben zorg te nemen over de afscherming van die data (met bijbehorende eisen mbt tot de beveiliging ervan), maar ook over de integriteit van die data.

Alhoewel ik via mijn digid veel kan 'inzien' is muteren vaak alleen weggelegd voor de daarvoor bevoegde ambtenaren die alleen via bepaalde ingangen (en niet via de cloud!) zijn te benaderen. Met projecten als de EPD gaat het de verkeerd richting op, en wat blijkt, daar wordt dan ook door de politiek een stokje voor gestoken.

YopY @Exirion • 7 oktober 2010 16:38

Offline software is niet hetzelfde als veiliger software. Het is gedecentraliseerd, maar dat betekent niet dat die gegevens alsnog op straat kunnen komen te liggen. Denk bijvoorbeeld aan een virus dat specifiek kasboekbestanden verzamelt.

Ik zie het nog wel gebeuren dat er van dat soort spyware komt, dat ipv je browsegedrag ook allerlei persoonlijke informatie opzoekt en in een grote database pleurt.

J.J.J. Bokma @YopY • 7 oktober 2010 22:53

dat soort software is er al heel lang (o.a. ftp passwords opsporen, email addressen, enz.).

i-chat @Exirion • 7 oktober 2010 16:47

data in een cloud heeft echt wel zo z'n voordelen als je de cloud tenminste kunt vertrouwen,

vertrouwen is zowiso een bizar noodzakelijk iets in de informatie-wereld.

een bank die je username en password naar een gsm nummer sms't zodat je online internet bankieren ' kunt' gebruiken. - jat de telefoon en je hebt al z'n geld erbij...

een online dienst die je data laat slingeren.

en zo zijn er zo veel voorbeelden te noemen de tweakers.net argieven staan er zo'n beetje vol mee...

SuperDre @Exirion • 7 oktober 2010 19:58

uhhh.. dit concept van kasboek.nl is niets nieuws hoor, veel bedrijven maken inmiddels gebruik van online financiele pakketten.. Alle grote financiele pakketten hebben zulke diensten..

ameesters 7 oktober 2010 16:24

geen excuus ook nog eens, waar halen ze dat soort arrogantie vandaan? of is het misschien dat ze anders toegeven aan hun fout en daardoor makkelijker schade claims aan hun broek kunnen krijgen?

DFyNt2U @ameesters • 7 oktober 2010 16:35

De fout hebben ze in feite al toegegeven. Eventuele excuses verminderd de kans dat klanten ze aanklagen.
Als ik zelf gebruik maakte van de site dan had ik al een klacht ingediend bij het Cbp. En de site geëist alle persoonlijke gegevens van mij onmiddellijk te verwijderen.
De manier dat ze omgaan met persoonlijke gegevens is vrijwel zeker niet volgens Wbp (Wet bescherming persoonsgegevens).

Persoonlijk vind ik dat dit soort lekken serieus bestraft moeten worden, je hoort het te vaak. De Wbp beschrijft sancties ook al lijkt dat een langdurig proces.
Een lijstje met email adressen of zoiets, okok daar maak ik me niet druk over, maar het gaat hier om financiële gegevens.

i-chat @ameesters • 7 oktober 2010 16:39

toegeven of niet, voor de bijl gaan ze toch wel, ofwel omdat een rechter ze te grazen neemt ofwel omdat de gebruikers het niet pikken - tenminste zo zou het moeten zijn,

dit soort fouten kun je maken daar is behalve beter opletten niets aan te doen, maar normaal gesproken erken je dan hoe stom je bent, gaat op je blote knietjes om vergeving vragen introduceerd met spoed een nieuw veiligheidsplan en gaat harder dan ooit te voren aan de slag om 'weer' een goede dienst te leveren

roy-t @ameesters • 7 oktober 2010 16:46

Dat staat slecht in het artikel. Er staat onder dat ze hun excuses hebben aangeboden in een persoonlijke mail, het stond alleen niet op hun site. Wel netjes imho, beetje gek stukje in het artikel.

Seditiar 7 oktober 2010 16:23

Wel een beetje raar, nog geeneens klanten waarschuwen of je excuses aanbieden, terwijl je zomaar gegevens op straat gooit.

BastiaanCM @Seditiar • 7 oktober 2010 16:37

Sterker nog, ontkennen !

Mega-Druif @Seditiar • 7 oktober 2010 17:24

Invers heeft zijn klanten naar eigen zeggen excuses aangeboden in een persoonlijke mail.

Staat toch echt gewoon in het artikel...

Seditiar @Mega-Druif • 7 oktober 2010 18:13

Dit stond eerst in het artikel: "Invers heeft zijn klanten in de verklaring geen excuses aangeboden voor de beveiligingsfouten, zoals bij veel bedrijven gebruikelijk is.", blijkbaar is het artikel nog aangepast. Daar kan ik natuurlijk geen rekening mee houden, gezien ik (helaas) nog niet in de toekomst kan kijken.

MissileHugger 7 oktober 2010 16:24

Upgrade? Ooit gehoord van testomgeving?
Het is natuurlijk te triest voor woorden dat door een upgrade een beveiligingsinstelling kan worden overschreven.
En jammer dat ze het er dan weer afbrengen met "SLECHTS enkele dagen". Elke minuut lijkt me teveel voor privacygevoelige informatie...

airell @MissileHugger • 7 oktober 2010 16:27

Of geen testomgeving, of waarschijnlijk in test ook lek geweest en niet opgevallen... een testomgeving wil niet zeggen dat je test 100% van de fouten eruit haalt, dat is afhankelijk van je procedure en je tests zelf uiteraard.

[Reactie gewijzigd door airell op 22 juli 2024 19:36]

YopY @MissileHugger • 7 oktober 2010 16:35

Upgrade? Ooit gehoord van testomgeving?

Een goed testproces ontwikkelen kost veel tijd en geld, en de directeur van zo'n bedrijf moet er het nu van inzien. Tot nu toe is het waarschijnlijk niet zo vaak misgegaan, vandaar.

Anoniem: 83450 7 oktober 2010 16:28

Heeft NL iets equivalents aan de Data Protection Act? Het zou mooi zijn als een bedrijf gewoon een boete krijgt voor het niet in orde hebben van z'n data. Nu reageren ze allemaal zo lekker makkelijk lakoniek met 'niets aan de hand'.

http://www.bbc.co.uk/news/technology-11418970
"We'll be asking about the adequacy of encryption, the firewall, the training of staff and why that information was so public facing.

"The Information Commissioner has significant power to take action and I can levy fine of up to half a million pounds on companies that flout the [Data Protection Act]," he added.

DFyNt2U @Anoniem: 83450 • 7 oktober 2010 16:45

Ja, dat is de Wet bescherming persoonsgegevens.

zie rijksoverheid.nl met nadruk op:
"moet passende technische en organisatorische maatregelen treffen om de gegevens te beschermen;"

Het controleren orgaan, het College Bescherming Persoonsgegevens, kan in bepaalde situaties ook sancties uitdelen.
Verder kan je vrijwel zeker een persoonlijke aanklacht doen.

mddd @DFyNt2U • 7 oktober 2010 17:19

Dus? Het feit dat er een fout gemaakt is, hoeft nog niet per se in strijd te zijn met de stelling dat er passende maatregelen zijn genomen. Uiteindelijk kan een fout overal gebeuren, hoe goed je voorbereiding ook is.

Een gedupeerde kan inderdaad een klacht indienen. Maar het is de vraag hoe steekhoudend die is. Er zal dan aangetoond moeten worden dat de gegevens naar buiten zijn gekomen als gevolg van slecht beleid van het bedrijf. En dat moet fundamenteel zijn. Nogmaals: een eenmalige fout van een programmeur / beheerder is heel naar, maar hoeft nog niet te betekenen dat er structureel slecht gewerkt wordt.

DFyNt2U @mddd • 7 oktober 2010 17:49

Dat is dan ook aan het Cbp om te bepalen.
Men kan stellen dat oude csv bestanden in een directory verwijderd hadden moeten worden. Dat zou de omvang van een eventueel lek zou reduceren. Mag ik dat structureel noemen? De vraag die ik stel: hebben ze nagedacht over de bescherming van de gegevens?

Ook zal er rekening gehouden worden met het lek zelf. Voor zover ik begrepen heb kon men uit het server log bestand herleiden dat er naast tweakers.net slechts een enkele ander iemand toegang heeft gehad tot de inhoud. Ik ben het dan ook met je eens dat het onwaarschijnlijk is dat er een sanctie, of zelfs onderzoek zal komen.

Persoonlijk vind ik dat er niet voldoende 'passende' maatregelen genomen zijn. Voor financiële gegevens, tenminste.
Om terug te komen op die csv bestanden. Als ze na gebruikt verwijderd waren, dan waren alleen de op die dagen nieuw ingevoerde gegevens mogelijk op straat gekomen. De organisatie had het lek gedicht, en excuses aangeboden aan die specifieke klanten.
Wat dat voldoende geweest uit je oogpunt van 'foutje kan'? Redelijk zou ik zeggen.

Hetzelfde met de lijst met namen (niet zo ernstig imo), en database wachtwoord (mogelijk wel ernstig). Door het aantal verschillende fouten noem ik het toch 'structureel'.

Anoniem: 83450 @DFyNt2U • 7 oktober 2010 18:15

Noem me cynisch, maar waarom zou ik kasboek geloven op hun woord als er 'maar 1 ander iemand toegang heeft gehad'..

en waarom is dat 'maar?'. Die ene andere hoeft de zooi alleen maar verder te verspreiden / verkopen. Nadeel van digitaal.. kopietje is zo gemaakt.

Anoniem: 190996 7 oktober 2010 16:59

De beste stuurlui staan aan wal. Natuurlijk is het niet handig wat hier is gebeurd.

Maar het is ook een geval van alle waar naar zijn geld. Kasboek.nl is een gratis service. Daar kun je prima gebruik van maken. Alleen mag je dan niet zoveel verwachten.

En laten we wel weten: veel mensen gaan hier echt niet van wakker liggen. De hoogte van je salaris, een aankoopje bij een erotica-shop.... waar gaat het nou uiteindelijk over? Zit tweakers op de Veluwe of zo? Hoe bekrompen moet je zijn. Mensen gebruiken ook gmail accounts en hebben air miles pasjes - evenmin bevorderlijk voor je privacy, maar ze vinden het niet erg.

En dan al die populaire oplossingen zonder erbij na te denken. Wat weten we het weer goed. Ik zou wel eens willen weten hoeveel ICT-ers van bedrijven met een zeer bedenkelijke reputatie op customer service hier zitten te typen.

Meer wetgeving - ja dat zal helpen. Ga zo door en de hele industrie vertrekt naar India en de Baltische staten.

Er heeft gewoon een directory op een web server opengestaan. That's all. Daartegen helpen geen https verbindingen, geen certificaten en geen encryptie in een database.

Ik kan me tweakers nog herinneren in de donkere PHP dagen. Met een behoorlijk aantal crashes. Als er een site groot is geworden vanuit hobbyisme: tweakers. En dan nu zeuren dat er excuses moeten komen.

Die excuses zijn waarschijnlijk niet nodig. Want in hun algemene voorwaarden staat vast dat ze niet verder gaan dan een inspanningsverplichting. Geen garanties dus. Wil je wel garanties -> ander prijskaartje.

Ik geloof in de beste intenties van de aanbieder, die daarnaast vooral reclame zal willen slijten. Ik denk dat het soms verstandig is om een paar stuivers te betalen voor een dienst die je wilt gebruiken.

[Reactie gewijzigd door Anoniem: 190996 op 22 juli 2024 19:36]

HAL 9000 @Anoniem: 190996 • 7 oktober 2010 17:43

Flauwekul, het is misschien wel een gratis service, maar dat betekent niet dat ze zich niet aan de wet dienen te houden. En die wet zegt dat als je vertrouwelijke informatie over klanten bijhoudt (wat hier het geval is), dat je deze dan voldoende moet beschermen. Als ze hierin niet slagen omdat een gratis service niet voldoende opbrengt om dit te bekostigen, dan moeten ze de service niet aanbieden. Heel simpel dus.

Anoniem: 190996 @HAL 9000 • 7 oktober 2010 18:05

Ik denk niet dat ze een Nederlandse wettelijke regel of richtlijn van het CPB hebben overtreden.

BastiaanN 7 oktober 2010 16:27

Daarnaast gaf Invers door een fout de inlognaam en het wachtwoord van de database met transacties vrij in de broncode van een pagina. De database is echter niet van buitenaf te benaderen, waardoor dat geen nadelige gevolgen heeft gehad.

Ze zijn klant bij NXS en phpmyadmin is gewoon vanaf https://phpmyadmin.nxs.nl/ te benaderen

[Reactie gewijzigd door BastiaanN op 22 juli 2024 19:36]

eM. @BastiaanN • 7 oktober 2010 17:07

Klopt dit viel mij ook op. Hier een screenshot http://cl.ly/2iEs
DIt was zeker een paar uur het geval. Gezien het feit dat de database gewoon met phpMyAdmin te bedaderen was, is het goed mogelijk dat de schade nog veel groter is.

Op dit item kan niet meer gereageerd worden.

Kasboek.nl: lek stond enkele dagen open

Lees meer

IT-banen

Reacties (108)

Sorteer op:

Weergave: