Webshop Oxfam Novib geeft onbedoeld gegevens alle klanten vrij

De webshop van goed doel Oxfam Novib zette de deur open naar gegevens van iedereen die er ooit iets heeft besteld. Het lek zat in het adresboek, waarlangs mensen onbedoeld toegang kregen tot de adresgegevens van alle 46.000 klanten.

Het databasenummer van elke klant werd meegegeven in de url van het adresboek. Wie zijn eigen adres bekeek, kon door een cijfer te veranderen de adresgegevens van wildvreemden zien. Door een macro te bouwen die de url verandert en de formulieren uitleest, was het mogelijk om de database met adresgegevens in zijn geheel leeg te halen.

De gegevens die konden worden achterhaald zijn naam, adres, e-mailadres en telefoonnummer. Het bankrekeningnummer werd niet getoond, hoewel dat wel bij Oxfam Novib bekend is. Het lek kwam aan het licht nadat op GoT een ander lek werd ontdekt. Dat lek, waarbij mensen per ongeluk na een bestelling de verkeerde adresgegevens zagen, was dinsdag gerepareerd.

Een tipgever stuurde Tweakers.net ter bewijs een spreadsheet met de gegevens van duizend klanten, om te laten zien dat het gemakkelijk mogelijk was dit lek te misbruiken. Tweakers.net heeft het proces herhaald en kon eveneens de gegevens van klanten uitlezen.

Het probleem was nog niet bekend bij Oxfam Novib. "We hadden wel telefoontjes gekregen over het andere lek, waarbij mensen verkeerde adresgegevens zagen", zegt Fernando van der Brug van Oxfam Novib. "We hebben vorige week een kleine wijziging doorgevoerd, wellicht is het lek daaraan te wijten." Oxfam Novib heeft de webshop momenteel offline gehaald, totdat het lek is verholpen.

IT-banen

Reacties (57)

wankel 15 december 2010 15:01

Het klokkenluiden is wel in, zo tegen de kerst ;-)

Ik kwam een artikeltje tegen waarin gewaarschuwd werd tegen het geven van bewijs bij het melden van veiligheidslekken in systemen.

De schrijver van het artikel betoogt dat je als klokkenluider niet vaak geloofd wordt door de andere partij zonder bewijs, terwijl je voor het leveren van dat bewijs vaak een strafbaar feit begaat.

edit: dat artikel is Engelstalig, maar geldt volgens mij net zo hard onder het NL recht.

[Reactie gewijzigd door wankel op 22 juli 2024 15:10]

kimborntobewild @wankel • 15 december 2010 16:24

Als je telefonisch je bewijs levert, is er al een stuk minder kans dat dat problemen kan opleveren. Ten eerste kan de ander aan de andere kant van de lijn toestemming geven om wat gegevens telefonisch door te geven, ten tweede worden telefoongesprekken naar bedrijven meestal niet standaard opgenomen danwel is 't wat lastiger om dat bewijs tegen iemand te gebruiken.

En ik zie niet in waarom je niet telefonisch wat gegevens als bewijs kunt doorgeven.

Elmo_nl 15 december 2010 15:28

Fernando van der B(r)ug van Oxfam Novib

Het blijft mij verbazen hoeveel bedrijven de laatste tijd zulke grove fouten maken. Kun je straks als consument überhaupt nog wel verantwoordelijk worden gehouden voor fraude met jouw gegevens? De reclames over dat je veilig om moet gaan met je gegevens online zijn allemaal op de consument gericht, maar het blijkt steeds weer dat bedrijven die vervolgens 'open' of makkelijk benaderbaar op internet gooien. Gewoon een keurmerk instellen voor het 'veilig omgaan met klantdata'. Ga je als bedrijf x keer de fout in > op de zwarte lijst en ga maar lekker terug naar papier en pen met een ladekast die op slot kan.

kimborntobewild @Elmo_nl • 15 december 2010 16:25

Het blijft mij verbazen hoeveel bedrijven de laatste tijd zulke grove fouten maken.

Dat verbaast mij juist helemaal niks. Ik denk dat de meerderheid van de sites 'hackbaar' is.

donny007 15 december 2010 16:35

Het valt met op dat iedere 2 tot 3 weken er weer zo'n groot "datalek" is, gaan ontwikkelaars niet is nadenken van "er is weer een groot lek bij bedrijf X en dan weer bij Y morgen ben ik het misschien wel?, laat ik mijn webshop ook is testen en beter beveiligen....".

[Reactie gewijzigd door donny007 op 22 juli 2024 15:10]

increddibelly @donny007 • 15 december 2010 20:13

het gebeurt helaas te vaak dat er amper voldoende budget is voor het product, dan hoeft een developer al helemaal niet te beginnen over een ongeplande onderhoudsronde. "hoezo, het werkt toch"
en tja, het is nu eenmaal geen liefdadigheidswerk.
heeft niks met nadenken te maken; meer met verkooptechnieken. en een goede programmeur is niet per definitie een goeie salesman.

Haan 15 december 2010 14:41

Gaat lekker zo, iedere week een nieuwe site waar zomaar prive-gegevens uit kunnen lekken. Dat doet vermoeden dat er nog heel wat andere sites zijn waarbij dit ook kan gebeuren.

Verwijderd @Haan • 15 december 2010 15:16

Ja, zo zie je maar; Iedereen kan een leuk schilletje om een database heen bouwen.

1DMKIIN 15 december 2010 14:51

Verwijzend naar de screenshot krijgt 'Oxfam Novib pakt uit' wel een extra dimensie ...

Gelukkig is meteen de nodige stap gezet door het off-line halen van het zorgenkindje.

DamonTheron 15 december 2010 15:30

Allemaal weer goed geregeld zo. Je hoort tegenwoordig steeds vaker van bedrijven die de persoonsgegevens van haar klanten op straat smijt. Is het nou zo moeilijk om tegenwoordig een beetje een normale bescherming tegen hackers te voeren ofwat? Was er niemand die bij het programmeren van de pagina zoiets had van "goh, dit is makkelijk te misbruiken"? Beetje stom.

Verwijderd 15 december 2010 16:29

Allereerst bedankt voor het melden van dit probleem, we zijn blij dat we er op gewezen zijn zodat we het kunnen oplossen. We waarderen het zeer dat Arnoud het probleem eerst bij ons gemeld heeft, waardoor voorkomen is dat er naar aanleiding van zijn bericht misbruik van gemaakt kon worden.

De websitebeheerder is naar aanleiding van deze melding direct aan een oplossing gaan werken, de website is momenteel nog uit de lucht, we hopen deze zo snel mogelijk weer live te hebben.

Bas van Dijk
Oxfam Novib

Maestro @Verwijderd • 15 december 2010 19:47

De websitebeheerder is naar aanleiding van deze melding direct aan een oplossing gaan werken, de website is momenteel nog uit de lucht, we hopen deze zo snel veilig mogelijk weer live te hebben.

There, i fixed it for you.

Ik hoop dat jullie beseffen dat er nog vele duizenden, zelfs miljoenen personen zijn die de gegevens net zo makkelijk van jullie site konden plukken, dus er is geen enkele garantie dat het lekken van de persoonsgegevens voorkomen is.

Overigens zou ik zeer sterk overwegen als Oxfam Novib zijnde of 'de websitebeheerder' wel voldoende capabel is om jullie de garanties te geven dat de problemen nu afdoende zullen worden opgelost. Eigenlijk zijn dit soort fouten onacceptabel en getuigen van een tekort aan technische kennis die nodig is voor het opzetten van dit soort projecten.

Verwijderd @Maestro • 16 december 2010 10:34

Terecht punt! Uiteraard is het belangrijkste nu dat de site volledig veilig is. De hele Oxfam Novib Pakt Uit en Webwinkel sites worden hiervoor op dit moment van voor tot achter gecontroleerd.

Wij zijn ons zeker bewust van de ernst van deze situatie. Gelukkig zijn er geen signalen die er op wijzen dat hier eerder misbruik van is gemaakt, wat niet wegneemt dat het inderdaad een zeer kwalijke situatie was.

Op dit moment ligt de prioriteit bij het oplossen van de problemen, in een later stadium zal dit hele voorval uiteraard geëvalueerd worden.

hanksharp 15 december 2010 16:31

Apart dat men erkent in de privacy policy dat men verantwoordelijkheid neemt

"Wij erkennen onze verantwoordelijkheid om de gegevens die jij ons toevertrouwt te beveiligen. Oxfam Novib gebruikt verschillende veilige technieken om jouw gegevens te beschermen, waaronder veilige servers, firewalls, en versleuteling van financiële gegevens."

Ik ben dus benieuwd waar deze verantwoordelijkheid nemen uit bestaat op het moment dat het misgaat.

Aanfluiting richting een professionele partij als ISM eCompany of zou er een ketenverantwoordelijkheid zijn?

The Zep Man

Datalek
Privacy
Nederland
Beveiliging

15 december 2010 14:38

Oxfam Novib heeft de webshop momenteel offline gehaald, totdat het lek is verholpen.

Informeren zij meteen even iedereen in hun klantenbestand over dat de genoemde gegevens (naam, adres, e-mailadres en telefoonnummer) op straat liggen?

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:10]

Justice @The Zep Man • 15 december 2010 15:19

Er is geen bewijs dat de gegevens op straat liggen, alleen dat tijdelijk de mogelijkheid bestond om de gegevens 'op straat te leggen'? niet bekend dat het lek misbruikt is .

[Reactie gewijzigd door Justice op 22 juli 2024 15:10]

kimborntobewild @Justice • 15 december 2010 16:16

Het gaat erom dat iedereen er bij kon. Dan deugt er natuurlijk iets fundamenteels niet in de procedures / het management.

Borland @kimborntobewild • 15 december 2010 16:51

Uitspraak van de dag

Dan deugt er natuurlijk iets fundamenteels niet in de procedures / het management.

Waar mensen werken worden fouten gemaakt ook al is dit geen leuke.

kimborntobewild @Borland • 17 december 2010 06:16

Natuurlijk, waar mensen werken worden fouten gemaakt.
Daarom kunnen dat nog wel fundamentele fouten zijn.

Ikke_Niels @The Zep Man • 15 december 2010 14:40

Via een mailtje waarbij iedereen in het veld "aan" staat?

En dat er daarna iemand via reply all (ipv reply) erop gaat reageren xD

[Reactie gewijzigd door Ikke_Niels op 22 juli 2024 15:10]

Atmosfeer @Ikke_Niels • 15 december 2010 14:58

Dat is ooit eens op de HVA gebeurd. duizenden studenten begonnen zo een chat

BlackHawkDesign @Atmosfeer • 15 december 2010 16:32

hehe, jep ik keek ook raar op toen ik in eens op me HVA mail zag staan: u heeft 60 nieuwe berichten.

Ontopic, dit is eigenlijk een beetje standaard programmeerfout. De authorisatie van gebruikers bevind zich vaak over de hele website/applicatie en wordt dus snel vergeten.

@kimborntobewild: Hogeschool Van Amsterdam

alienfruit @BlackHawkDesign • 15 december 2010 18:44

Haha, op de HKU had je aliasen voor elke faculteit. Kan je dus iedereen van de faculteit mailen. Lachten yoh

MrAngry @Atmosfeer • 15 december 2010 15:03

Volledig offtopic, maar thuisbezorgd.nl heeft het ook een keertje gedaan in z'n beginperiode. Dat werd ook een leuke all-chat. Ik kan me ook vaag zoiets herinneren van de RUG.

kimborntobewild @Atmosfeer • 15 december 2010 16:15

Welke school is de HVA?

!null @kimborntobewild • 15 december 2010 16:30

Hogeschool van Amsterdam

tomski1992 @Atmosfeer • 15 december 2010 18:35

Op mijn middelbareschool is iets vergelijkbaars gebeurd, als je iets van Alle-Leerlingen(naamvanmiddelbareschool) intypte werd er naar iedere leerling een mailtje gestuurd. Moest ik bij de rector komen toen ik dat gedaan had

. Conclusie: Emailsystemen voor scholen/universiteiten zuigen.

Anthony 15 december 2010 14:40

Heel erg dat er nog degelijke fouten gemaakt worden bij het maken van een webshop. Getuigd dit van een "laag niveau" van webdevelopment van de makers??

Gelukkig hebben ze de Webshop nu offline gehaald en ik hoop dat ze nu alles gaan trippel-checken voor ze nog iets releasen.

Verwijderd @Anthony • 15 december 2010 14:45

Iedereen met ook maar een beetje verstand van zaken zal nooit een database ID van de gebruiker zonder encryptie tonen.

Daarnaast is het natuurlijk van de zotte dat er niet wordt gekeken of het opgegeven ID uberhaubt overeenkomt met die van de ingelogde gebruiker.

Spider.007 @Verwijderd • 15 december 2010 14:58

In plaats van een magisch encryptie-sausje zou ik eerst eens over access-control en rechten gaan nadenken

humbug @Spider.007 • 15 december 2010 15:30

mensen hebben de rechten om die pagina op te vragen voor hun eigen gegevens. Nu kun je heel specifiek gaan specificeren dat mensen enkel hun eigen pagina's mogen zien maar dat is bij role gebaseerde systemen niet altijd 1,2,3 mogelijk. In veel gevallen is het ook nog onwenselijk (mensen mogen wel bepaalde gegevens van een "vriend" zien)

Een simpele hash gebruiken in plaats van het ID in de URL lost al veel van die soort problemen op en is vaak gewoon voldoende. Voor een bank, ja dan is wat extra access controle wel handig. Voor sites die niet wezenlijk meer informatie tonen dan wat er in het telefoonboek staat in mijn ogen niet.

AtlonXP1800 @humbug • 15 december 2010 16:14

Erg moeilijk is het anders niet om een simpele check te doen of de ingelogde gebruiker eigenaar is van het adres, dit is prima fa te vangen. Werken met hashes is slechts symptoombestrijding,

mddd @Verwijderd • 15 december 2010 15:29

Er is altijd wel een of ander id, dus om dit te verbergen is leuk, maar lost geen werkelijk probleem op.

Het tweede wat je aangeeft lijkt mij een stuk nuttiger: zorgen dat informatie alleen voor de betreffende user in te zien is.

Verwijderd @Verwijderd • 15 december 2010 18:10

Ook het ID in de GET gegevens checken met het ID in de sessie is natuurlijk dubbelop, gewoon het ID uit de sessie trekken op de server en daarvan de data laten zien.

Verwijderd @Aetje • 15 december 2010 14:58

Deze stage-apen hebben de site "oxfam pakt uit" gemaakt: klik
Niet de minste, aangezien ze ook Selexyz, Heineken, Kruidvat, Levi's en TNT als klant hebben...
Goede reclame voor deze mensen dus

Naar aanleiding van de reactie hieronder (van weeraanmelden):

Frappant . Ism heeft alle info over Oxfam offline gehaald....

Gelukkig hebben we de google cache nog.

Overigens is het hele portfolio van de ISM site verdwenen (google).. Waarschijnlijk zijn ze daar dus nu aan het overwerken...

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:10]

ATS @Verwijderd • 15 december 2010 15:24

Dat zijn dus de volgende sites waarin lekken als deze tevoorschijn gaan komen? Goede kans dat dezelfde fout meer dan eens gemaakt wordt natuurlijk.

weeraanmelden @Verwijderd • 15 december 2010 18:58

Frappant . Ism heeft alle info over Oxfam offline gehaald....

bwerg @Aetje • 15 december 2010 16:39

Zelfs voor stage-apen vind ik dit wel een hele grove fout. Iedereen met een beetje kennis van internet weet dat mensen, als ze een getalletje in de url zien, die wel eens kunnen veranderen in een ander getalletje. Dat zit nog een niveau onder stage-ervaring.

Verwijderd @Aetje • 15 december 2010 15:14

Ik denk eerder door zo'n henk die zichzelf website developer durft te noemen na een beetje frontpagen en een boekje over PHP in 24 stappen.

Tuurlijk, dan ken je de tools, maar daar blijft het dan ook bij. (Net zoiets als een ratel oppakken en zeggen dat je een automonteur bent.)

marcop23 @Johnny • 15 december 2010 15:34

.aspx is ook gewoon te leren via het Internet, net zoals PHP. Om ASP (.NET) pagina's te schrijven hoef je geen ''gecertificeerde professionele enterprise software engineer'' te zijn, hoewel ik ASP.NET wel moeilijker dan PHP in elkaar zit. Ik ben echter iemand die maar een beetje programmeer in vrije tijd, iemand die ervaring heeft, heeft waarschijnlijk weinig moeite met ASP.NET

Er zijn overigens genoeg sites die wel met PHP werken hoor, zoals Facebook. Die ontwikkelaars zijn echt geen ''PHP Prutsers''!

boer Krelis @marcop23 • 16 december 2010 00:33

Whoosh ;-)

Ik denk dat Johnny een grapje maakte. Een prikje naar 'titels' en certificering.

kimborntobewild @marcop23 • 15 december 2010 16:20

Toch zijn het prutsers bij Facebook - anders zou die blacksheep-plugin bij FF om andere logons over te nemen, nooit kunnen. Maar of 't dan PHP-prutsers zijn, da's een tweede...

bvdbijl @kimborntobewild • 15 december 2010 16:40

Dat heeft helemaal niks te maken met PHP of welke andere programmeer taal dan ook, dat gaat over dat bij een onbeveiligd netwerk de cookies kunnen worden gestolen...

kimborntobewild @bvdbijl • 17 december 2010 06:20

Dat heeft helemaal niks te maken met PHP of welke andere programmeer taal dan ook

Dat heb ik ook niet beweerd. Alhoewel ik wel degelijk gelezen heb dat Facebook er wel iets aan kan doen, maar dat niet zal willen omdat hun site dan veel trager wordt.
Stel je site wordt er 5x zo traag door. Dan moet je dus wel ff 5x zoveel bandbreedte en/of servers aanschaffen!

dat gaat over dat bij een onbeveiligd netwerk de cookies kunnen worden gestolen...

Ja, en Facebook kan ervoor kiezen meer beveiliging in te bouwen waardoor dat niet meer kan.

Verwijderd @Johnny • 15 december 2010 15:31

moet je totaal geen certificatie hebben op aspx bestanden aan te maken. Die boekjes asp.net in 24 stappen liggen naast die van php.

Ravefiend @Aetje • 15 december 2010 14:56

Ook die zogenaamd stage-apen hebben recht op een praktijk ervaring, maar dat dient wel opgevolgd te worden door een begeleid(er)ing met kennis van zaken ...

Verwijderd @Ravefiend • 15 december 2010 15:18

Tuurlijk hebben stage-apen recht op ervaring.
Vaak maken dergelijke stage-apen dus proof of concept producten.
Geen weldenkende organisatie/bedrijf laat een productie project bouwen door stagiaires.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (57)

Sorteer op:

Weergave: