Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

De webshop van goed doel Oxfam Novib zette de deur open naar gegevens van iedereen die er ooit iets heeft besteld. Het lek zat in het adresboek, waarlangs mensen onbedoeld toegang kregen tot de adresgegevens van alle 46.000 klanten.

Het databasenummer van elke klant werd meegegeven in de url van het adresboek. Wie zijn eigen adres bekeek, kon door een cijfer te veranderen de adresgegevens van wildvreemden zien. Door een macro te bouwen die de url verandert en de formulieren uitleest, was het mogelijk om de database met adresgegevens in zijn geheel leeg te halen.

De gegevens die konden worden achterhaald zijn naam, adres, e-mailadres en telefoonnummer. Het bankrekeningnummer werd niet getoond, hoewel dat wel bij Oxfam Novib bekend is. Het lek kwam aan het licht nadat op GoT een ander lek werd ontdekt. Dat lek, waarbij mensen per ongeluk na een bestelling de verkeerde adresgegevens zagen, was dinsdag gerepareerd.

Een tipgever stuurde Tweakers.net ter bewijs een spreadsheet met de gegevens van duizend klanten, om te laten zien dat het gemakkelijk mogelijk was dit lek te misbruiken. Tweakers.net heeft het proces herhaald en kon eveneens de gegevens van klanten uitlezen.

Het probleem was nog niet bekend bij Oxfam Novib. "We hadden wel telefoontjes gekregen over het andere lek, waarbij mensen verkeerde adresgegevens zagen", zegt Fernando van der Brug van Oxfam Novib. "We hebben vorige week een kleine wijziging doorgevoerd, wellicht is het lek daaraan te wijten." Oxfam Novib heeft de webshop momenteel offline gehaald, totdat het lek is verholpen.

Adresboek Oxfam Novib

Moderatie-faq Wijzig weergave

Reacties (57)

Het klokkenluiden is wel in, zo tegen de kerst ;-)

Ik kwam een artikeltje tegen waarin gewaarschuwd werd tegen het geven van bewijs bij het melden van veiligheidslekken in systemen.

De schrijver van het artikel betoogt dat je als klokkenluider niet vaak geloofd wordt door de andere partij zonder bewijs, terwijl je voor het leveren van dat bewijs vaak een strafbaar feit begaat.

edit: dat artikel is Engelstalig, maar geldt volgens mij net zo hard onder het NL recht.

[Reactie gewijzigd door wankel op 15 december 2010 15:01]

Als je telefonisch je bewijs levert, is er al een stuk minder kans dat dat problemen kan opleveren. Ten eerste kan de ander aan de andere kant van de lijn toestemming geven om wat gegevens telefonisch door te geven, ten tweede worden telefoongesprekken naar bedrijven meestal niet standaard opgenomen danwel is 't wat lastiger om dat bewijs tegen iemand te gebruiken.

En ik zie niet in waarom je niet telefonisch wat gegevens als bewijs kunt doorgeven.
Fernando van der B(r)ug van Oxfam Novib :D Het blijft mij verbazen hoeveel bedrijven de laatste tijd zulke grove fouten maken. Kun je straks als consument überhaupt nog wel verantwoordelijk worden gehouden voor fraude met jouw gegevens? De reclames over dat je veilig om moet gaan met je gegevens online zijn allemaal op de consument gericht, maar het blijkt steeds weer dat bedrijven die vervolgens 'open' of makkelijk benaderbaar op internet gooien. Gewoon een keurmerk instellen voor het 'veilig omgaan met klantdata'. Ga je als bedrijf x keer de fout in > op de zwarte lijst en ga maar lekker terug naar papier en pen met een ladekast die op slot kan.
Het blijft mij verbazen hoeveel bedrijven de laatste tijd zulke grove fouten maken.
Dat verbaast mij juist helemaal niks. Ik denk dat de meerderheid van de sites 'hackbaar' is.
Het valt met op dat iedere 2 tot 3 weken er weer zo'n groot "datalek" is, gaan ontwikkelaars niet is nadenken van "er is weer een groot lek bij bedrijf X en dan weer bij Y morgen ben ik het misschien wel?, laat ik mijn webshop ook is testen en beter beveiligen....".

[Reactie gewijzigd door donny007 op 15 december 2010 16:35]

het gebeurt helaas te vaak dat er amper voldoende budget is voor het product, dan hoeft een developer al helemaal niet te beginnen over een ongeplande onderhoudsronde. "hoezo, het werkt toch"
en tja, het is nu eenmaal geen liefdadigheidswerk.
heeft niks met nadenken te maken; meer met verkooptechnieken. en een goede programmeur is niet per definitie een goeie salesman.
Gaat lekker zo, iedere week een nieuwe site waar zomaar prive-gegevens uit kunnen lekken. Dat doet vermoeden dat er nog heel wat andere sites zijn waarbij dit ook kan gebeuren.
Ja, zo zie je maar; Iedereen kan een leuk schilletje om een database heen bouwen.
Verwijzend naar de screenshot krijgt 'Oxfam Novib pakt uit' wel een extra dimensie ...

Gelukkig is meteen de nodige stap gezet door het off-line halen van het zorgenkindje.
Allemaal weer goed geregeld zo. Je hoort tegenwoordig steeds vaker van bedrijven die de persoonsgegevens van haar klanten op straat smijt. Is het nou zo moeilijk om tegenwoordig een beetje een normale bescherming tegen hackers te voeren ofwat? Was er niemand die bij het programmeren van de pagina zoiets had van "goh, dit is makkelijk te misbruiken"? Beetje stom.
Allereerst bedankt voor het melden van dit probleem, we zijn blij dat we er op gewezen zijn zodat we het kunnen oplossen. We waarderen het zeer dat Arnoud het probleem eerst bij ons gemeld heeft, waardoor voorkomen is dat er naar aanleiding van zijn bericht misbruik van gemaakt kon worden.

De websitebeheerder is naar aanleiding van deze melding direct aan een oplossing gaan werken, de website is momenteel nog uit de lucht, we hopen deze zo snel mogelijk weer live te hebben.

Bas van Dijk
Oxfam Novib
De websitebeheerder is naar aanleiding van deze melding direct aan een oplossing gaan werken, de website is momenteel nog uit de lucht, we hopen deze zo snel veilig mogelijk weer live te hebben.
There, i fixed it for you.

Ik hoop dat jullie beseffen dat er nog vele duizenden, zelfs miljoenen personen zijn die de gegevens net zo makkelijk van jullie site konden plukken, dus er is geen enkele garantie dat het lekken van de persoonsgegevens voorkomen is.

Overigens zou ik zeer sterk overwegen als Oxfam Novib zijnde of 'de websitebeheerder' wel voldoende capabel is om jullie de garanties te geven dat de problemen nu afdoende zullen worden opgelost. Eigenlijk zijn dit soort fouten onacceptabel en getuigen van een tekort aan technische kennis die nodig is voor het opzetten van dit soort projecten.
Terecht punt! Uiteraard is het belangrijkste nu dat de site volledig veilig is. De hele Oxfam Novib Pakt Uit en Webwinkel sites worden hiervoor op dit moment van voor tot achter gecontroleerd.

Wij zijn ons zeker bewust van de ernst van deze situatie. Gelukkig zijn er geen signalen die er op wijzen dat hier eerder misbruik van is gemaakt, wat niet wegneemt dat het inderdaad een zeer kwalijke situatie was.

Op dit moment ligt de prioriteit bij het oplossen van de problemen, in een later stadium zal dit hele voorval uiteraard geëvalueerd worden.
Apart dat men erkent in de privacy policy dat men verantwoordelijkheid neemt

"Wij erkennen onze verantwoordelijkheid om de gegevens die jij ons toevertrouwt te beveiligen. Oxfam Novib gebruikt verschillende veilige technieken om jouw gegevens te beschermen, waaronder veilige servers, firewalls, en versleuteling van financiële gegevens."

Ik ben dus benieuwd waar deze verantwoordelijkheid nemen uit bestaat op het moment dat het misgaat.

Aanfluiting richting een professionele partij als ISM eCompany of zou er een ketenverantwoordelijkheid zijn?
Oxfam Novib heeft de webshop momenteel offline gehaald, totdat het lek is verholpen.
Informeren zij meteen even iedereen in hun klantenbestand over dat de genoemde gegevens (naam, adres, e-mailadres en telefoonnummer) op straat liggen?

[Reactie gewijzigd door The Zep Man op 15 december 2010 14:40]

Er is geen bewijs dat de gegevens op straat liggen, alleen dat tijdelijk de mogelijkheid bestond om de gegevens 'op straat te leggen'? niet bekend dat het lek misbruikt is .

[Reactie gewijzigd door Justice op 15 december 2010 15:20]

Het gaat erom dat iedereen er bij kon. Dan deugt er natuurlijk iets fundamenteels niet in de procedures / het management.
Uitspraak van de dag
Dan deugt er natuurlijk iets fundamenteels niet in de procedures / het management.
Waar mensen werken worden fouten gemaakt ook al is dit geen leuke.
Natuurlijk, waar mensen werken worden fouten gemaakt.
Daarom kunnen dat nog wel fundamentele fouten zijn.
Via een mailtje waarbij iedereen in het veld "aan" staat? :P

En dat er daarna iemand via reply all (ipv reply) erop gaat reageren xD

[Reactie gewijzigd door Ikke_Niels op 15 december 2010 14:41]

Dat is ooit eens op de HVA gebeurd. duizenden studenten begonnen zo een chat :')
hehe, jep ik keek ook raar op toen ik in eens op me HVA mail zag staan: u heeft 60 nieuwe berichten.

Ontopic, dit is eigenlijk een beetje standaard programmeerfout. De authorisatie van gebruikers bevind zich vaak over de hele website/applicatie en wordt dus snel vergeten.

@kimborntobewild: Hogeschool Van Amsterdam
Haha, op de HKU had je aliasen voor elke faculteit. Kan je dus iedereen van de faculteit mailen. Lachten yoh :)
Volledig offtopic, maar thuisbezorgd.nl heeft het ook een keertje gedaan in z'n beginperiode. Dat werd ook een leuke all-chat. Ik kan me ook vaag zoiets herinneren van de RUG.
Welke school is de HVA?
Hogeschool van Amsterdam
Op mijn middelbareschool is iets vergelijkbaars gebeurd, als je iets van Alle-Leerlingen(naamvanmiddelbareschool) intypte werd er naar iedere leerling een mailtje gestuurd. Moest ik bij de rector komen toen ik dat gedaan had :P. Conclusie: Emailsystemen voor scholen/universiteiten zuigen.
Heel erg dat er nog degelijke fouten gemaakt worden bij het maken van een webshop. Getuigd dit van een "laag niveau" van webdevelopment van de makers??

Gelukkig hebben ze de Webshop nu offline gehaald en ik hoop dat ze nu alles gaan trippel-checken voor ze nog iets releasen.
Iedereen met ook maar een beetje verstand van zaken zal nooit een database ID van de gebruiker zonder encryptie tonen.

Daarnaast is het natuurlijk van de zotte dat er niet wordt gekeken of het opgegeven ID uberhaubt overeenkomt met die van de ingelogde gebruiker.
In plaats van een magisch encryptie-sausje zou ik eerst eens over access-control en rechten gaan nadenken
mensen hebben de rechten om die pagina op te vragen voor hun eigen gegevens. Nu kun je heel specifiek gaan specificeren dat mensen enkel hun eigen pagina's mogen zien maar dat is bij role gebaseerde systemen niet altijd 1,2,3 mogelijk. In veel gevallen is het ook nog onwenselijk (mensen mogen wel bepaalde gegevens van een "vriend" zien)

Een simpele hash gebruiken in plaats van het ID in de URL lost al veel van die soort problemen op en is vaak gewoon voldoende. Voor een bank, ja dan is wat extra access controle wel handig. Voor sites die niet wezenlijk meer informatie tonen dan wat er in het telefoonboek staat in mijn ogen niet.
Erg moeilijk is het anders niet om een simpele check te doen of de ingelogde gebruiker eigenaar is van het adres, dit is prima fa te vangen. Werken met hashes is slechts symptoombestrijding,
Er is altijd wel een of ander id, dus om dit te verbergen is leuk, maar lost geen werkelijk probleem op.

Het tweede wat je aangeeft lijkt mij een stuk nuttiger: zorgen dat informatie alleen voor de betreffende user in te zien is.
Ook het ID in de GET gegevens checken met het ID in de sessie is natuurlijk dubbelop, gewoon het ID uit de sessie trekken op de server en daarvan de data laten zien.
Deze stage-apen hebben de site "oxfam pakt uit" gemaakt: klik
Niet de minste, aangezien ze ook Selexyz, Heineken, Kruidvat, Levi's en TNT als klant hebben...
Goede reclame voor deze mensen dus :)

Naar aanleiding van de reactie hieronder (van weeraanmelden):
Frappant . Ism heeft alle info over Oxfam offline gehaald....
Gelukkig hebben we de google cache nog.

Overigens is het hele portfolio van de ISM site verdwenen (google).. Waarschijnlijk zijn ze daar dus nu aan het overwerken...

[Reactie gewijzigd door octabit op 15 december 2010 20:41]

Dat zijn dus de volgende sites waarin lekken als deze tevoorschijn gaan komen? Goede kans dat dezelfde fout meer dan eens gemaakt wordt natuurlijk.
Frappant . Ism heeft alle info over Oxfam offline gehaald....
Zelfs voor stage-apen vind ik dit wel een hele grove fout. Iedereen met een beetje kennis van internet weet dat mensen, als ze een getalletje in de url zien, die wel eens kunnen veranderen in een ander getalletje. Dat zit nog een niveau onder stage-ervaring.
Ik denk eerder door zo'n henk die zichzelf website developer durft te noemen na een beetje frontpagen en een boekje over PHP in 24 stappen.

Tuurlijk, dan ken je de tools, maar daar blijft het dan ook bij. (Net zoiets als een ratel oppakken en zeggen dat je een automonteur bent.)
.aspx is ook gewoon te leren via het Internet, net zoals PHP. Om ASP (.NET) pagina's te schrijven hoef je geen ''gecertificeerde professionele enterprise software engineer'' te zijn, hoewel ik ASP.NET wel moeilijker dan PHP in elkaar zit. Ik ben echter iemand die maar een beetje programmeer in vrije tijd, iemand die ervaring heeft, heeft waarschijnlijk weinig moeite met ASP.NET

Er zijn overigens genoeg sites die wel met PHP werken hoor, zoals Facebook. Die ontwikkelaars zijn echt geen ''PHP Prutsers''!
Whoosh ;-)

Ik denk dat Johnny een grapje maakte. Een prikje naar 'titels' en certificering.
Toch zijn het prutsers bij Facebook - anders zou die blacksheep-plugin bij FF om andere logons over te nemen, nooit kunnen. Maar of 't dan PHP-prutsers zijn, da's een tweede...
Dat heeft helemaal niks te maken met PHP of welke andere programmeer taal dan ook, dat gaat over dat bij een onbeveiligd netwerk de cookies kunnen worden gestolen...
Dat heeft helemaal niks te maken met PHP of welke andere programmeer taal dan ook
Dat heb ik ook niet beweerd. Alhoewel ik wel degelijk gelezen heb dat Facebook er wel iets aan kan doen, maar dat niet zal willen omdat hun site dan veel trager wordt.
Stel je site wordt er 5x zo traag door. Dan moet je dus wel ff 5x zoveel bandbreedte en/of servers aanschaffen!
dat gaat over dat bij een onbeveiligd netwerk de cookies kunnen worden gestolen...
Ja, en Facebook kan ervoor kiezen meer beveiliging in te bouwen waardoor dat niet meer kan.
moet je totaal geen certificatie hebben op aspx bestanden aan te maken. Die boekjes asp.net in 24 stappen liggen naast die van php.
Ook die zogenaamd stage-apen hebben recht op een praktijk ervaring, maar dat dient wel opgevolgd te worden door een begeleid(er)ing met kennis van zaken ... ;)
Tuurlijk hebben stage-apen recht op ervaring.
Vaak maken dergelijke stage-apen dus proof of concept producten.
Geen weldenkende organisatie/bedrijf laat een productie project bouwen door stagiaires.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True