Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties

De site VakantieVeilingen.nl bevatte een groot beveiligingslek, waardoor privégegevens van hoogste bieders in de html-broncode zichtbaar waren. De bron bevatte onder meer e-mailadressen, telefoonnummers en bankgegevens.

Een lezer van Tweakers.net, die anoniem wil blijven, ontdekte het beveiligingsprobleem op VakantieVeilingen.nl toen hij de broncode van veilingpagina's bekeek. Daar ontdekte hij een json-object dat niet alleen informatie over de veiling bevatte, maar ook veel persoonsgegevens over de hoogste bieder. Onder andere naam, adres, telefoonnummers, e-mailadres en geboortedatum konden worden bekeken.

Bovendien was het bankrekeningnummer van de hoogste bieder zichtbaar. Gecombineerd met de andere persoonsgegevens kan dat voldoende zijn om geld af te schrijven van een rekening. Ook werd een md5-hash van het wachtwoord van de bieder meegestuurd. Hoewel het wachtwoord niet als platte tekst was weergegeven, is het in bepaalde gevallen mogelijk om md5-hashes door middel van rainbow tables aan wachtwoorden te koppelen. Waarschijnlijk werd in dit geval een salt gebruikt om dat te voorkomen.

Het json-object dat de privégegevens bevatte, was bovendien door iedereen met een ajax-request op te vragen, stelt de ontdekker van het lek. Daarvoor was alleen het unieke id van een veiling nodig, die in de broncode kan worden gevonden. Door regelmatig via een ajax-request de gegevens van de op dat moment hoogste bieder op te vragen, zou relatief eenvoudig een database met persoonsgegevens kunnen worden aangelegd.

De ontdekker van het beveiligingsprobleem zegt Emesa, het bedrijf achter de veilingwebsite, donderdagochtend op de hoogte te hebben gebracht. Emesa stelt zelf dat het pas donderdagavond op de hoogte is gebracht. Vrijdagmorgen rond een uur of 11 heeft het bedrijf het beveiligingsprobleem gedicht; het json-object bevat nu enkel nog informatie over de veiling.

André Buren, chief technical officer bij Emesa, typeert het lek als een 'klein foutje'. Volgens hem is het huidige systeem van VakantieVeilingen.nl vorige maand live gegaan; het is niet duidelijk hoe lang de persoonsgegevens in de broncode hebben gestaan. Toen zijn bedrijf op de hoogte werd gebracht van het lek, heeft het ervoor gekozen om de website niet offline te halen: "Dat was een zakelijke afweging", aldus Buren. "We hebben commerciële afspraken met aanbieders." Het is onduidelijk waardoor het beveiligingslek heeft kunnen ontstaan.

Op VakantieVeilingen.nl worden, zoals de naam doet vermoeden, vakanties geveild. De site werd in november nog verkozen tot website van het jaar in de categorie 'reizen'. Het bedrijf zegt de privacy van zijn klanten zeer serieus te nemen en gaat een audit van zijn code laten uitvoeren door een externe partij.

VakantieVeilingen lekje

Moderatie-faq Wijzig weergave

Reacties (95)

Schandalig, een bedrijf zoals dat moet gewoon zijn beveilig goed op orde hebben, de Website programmeur ontslaan dan maar :) ?
Is dat niet te makkelijk? Ik neem aan dat zo'n grote site niet wordt gemaakt door een individu en dat meerdere mensen er verantwoordelijk voor zijn. Ik zou dan eerder de eindverantwoordelijke ontslaan.
Ik vind dat op tweakers vrij snel geroepen wordt om iemand die een fout gemaakt heeft te ontslaan. Of het nu de eindverantwoordelijke of de programmeur is, doet er dan eigenlijk niet toe. Dat is denk ik wat kort door de bocht. Uiteindelijk wordt jij anno 2011 ook niet ontslagen bij de eerste fout die je beroepshalve maakt (en maar goed ook).

Dit soort problemen ontstaan omdat veel bedrijven alles zo goedkoop en snel mogelijk willen en dan is zo'n foutje snel gemaakt. Je kan als softwareleverancier natuurlijk zeggen dat je geen opdrachten aanneemt en je hele proces veel beter controleert, maar dan kan je je personeel waarschijnlijk naar huis sturen omdat je concurrent goedkoper is.

Wat eigenlijk nodig is, zijn afdwingbare eisen waaraan code die met privégegevens werkt aan moet voldoen waarbij door de leverancier aangetoond moet kunnen worden dat met die eisen rekening is gehouden en hoe dat is gedaan (een soort kwaliteitshandboek) en waarbij door de gebruiker moet aangetoond worden dat hij met de leverancier overeengekomen is om daar aan te voldoen.

Vergelijk het met de veiligheid in de bouw. Als je geen stellingen moet zetten en geen valbescherming gebruikt op daken, kan je goedkoper werken dan je concurrenten die wel veilig werken. Daarom stelt de overheid veiligheidseisen op en controleert die steekproefgewijs. Ongevallen kunnen gebeuren, maar zeker bij zware ongevallen moet de werkgever kunnen aantonen dat er voldoende rekening gehouden werd met de veiligheidseisen. Op die manier kan je cowboys die dat allemaal niet nodig vinden en die daardoor goedkoper kunnen werken toch al een beetje uit de markt houden.

We moeten een dergelijk systeem hebben om ook onbekwame softwareschrijvers of softwareschrijvers die met dergelijke zaken gewoon gemakshalve geen rekening houden uit de markt te kunnen halen. We zien hier op tweakers wekelijks zware beveiligingsproblemen door brak softwareontwerp, dus de markt zijn werk laten doen werkt niet, omdat de mensen die schade lijden niet de mensen zijn die door brak softwareontwerp geld uitsparen of winnen. En dat ligt mijns inziens vooral aan de klanten voor wie de website gewoon zo goedkoop mogelijk moet zijn, zonder verdere vragen.
Dat is er al, het College Bescherming Persoonsgegevens en de Wet Bescherming Persoonsgegevens. En daar is ook een meldingsplicht.
Inderdaad. Maar kan je ook maar één enkel voorbeeld geven waar die ook effectief iets gedaan hebben dat dergelijke voorvallen in de toekomst zou kunnen doen voorkomen? (Het kan dat ze dat doen, maar ik heb er nog nooit iets van gehoord, dus in dat geval moeten ze misschien wat meer publiciteit maken over hun acties, al is het zonder de bedrijven waarover het gaat bij naam te noemen)
Precies het gaat niet per se om de eisen, die zijn er, maar om de controle. Dit bedrijf moet een boete krijgen.

Verder ben ik persoonlijk voor het laten zweren van een eed voor informatici, zoals advocaten en medici dat ook doen, omdat informatici ook door hun werk te maken krijgen met privacy gevoelige informatie. Breek je de eed moet je uit het beroep gezet kunnen worden.

* OddesE is programmeur en wil best zo'n eed zweren.
De eindverantwoordelijke is nog altijd de gewone persoon die even in de broncode sneupt voor copy/paste werk voor zijn eigen site. Het is namelijk je eigen verantwoordelijkheid open kansen niet te misbruiken.

Deze anonieme melder verdient wel een pluimpje en iig een compliment voor het feit dat ie de boel niet is gaan misbruiken.

En inderdaad, je hebt wel gelijk natuurlijk, de makers zijn zelf ook verantwoordelijk.
Wat ik wil zeggen is dat de eindverantwoordelijke voor een reden is, hij moet ervoor zorgen dat het project op rolletjes loopt en hij moet controleren dat de site voor de oplevering goed werkt en geen ernstige fouten bevat.

Deze fout is blijkbaar niet opgemerkt door de eindverantwoordelijke en dat kan je hem best kwalijk nemen.
Nee, de eindverantwoordelijke is degene die verantwoordelijk is dat deze code goedkeurt om live te gaan, maar dat snap je zelf ook wel.
De eindverantwoordelijke is gewoon de eigenaar van het bedrijf dat achter de website zit.

Dat kan ook een groep aandeelhouders zijn. Zij nemen programmeurs / testers aan, stellen project teams samen, kiezen team leiders. Of bij een echt groot bedrijf hebben ze misschien alleen de directeur van de ontwikkel afdeling aangesteld maar hoe dan ook als je de ladder omhoog volgt kom je uit bij de directeur en aandeelhouders.

Die kun je het makkelijkst allemaal straffen door het bedrijf in kwestie gewoon een dikke boete te geven. Een eenzame programmeur de schuld geven is iets te makkelijk. Dan kan dit bedrijf gewoon een andere programmeur inhuren en weer verder gaan. En waarom is er geen tester geweest die dit heeft gevonden? Geen audit door een externe partij? Eindverantwoordelijkheid ligt gewoon bij de leiding en eigenaren van het bedrijf.
Dit is een behoorlijke fout, echter de intentie van niemand.
Emesa heeft iets uit te leggen en zal publiekelijk excuus moeten maken, maar om het nou meteen schandalig te noemen.
Beetje zuur.
Nou, als de gegevens van mensen die op die veilingen hebben lopen bieden compleet te achterhalen zijn, met naam, adres, telefoonnummers en blabalbal dan vind ik dat best schandalig te noemen ja :)
En je kan in al die gegevens waarschijnlijk ook zien wanneer die persoon op vakantie is. Erg handig voor de moderne inbreker, die in z'n PDA het adres en de datum opslaat.

Dat is dan indirect een voortvloeing uit de nalatigheid van Emesa!
Inderdaad, het is niet niks. Als je dat plaatje onder het artikel bekijkt waren er nogal wat gegevens zichtbaar:

email
voornaam
achternaam
geslacht
volledig huisadres
telefoonnummer(s)
bankrekeningnummer
geboortejaar/datum
wachtwoord


Klein foutje, grote gevolgen :/
Wat ik echt schandalig vind is dat men de fout bewust laat staan. Men kiest voor hun betalende klanten ten koste van de prive gegevens van hun gebruikers. Maar ze ruilen daarmee iets in wat niet van henzelf is en overtreden de Wet Bescherming Persoonsgegeven. Bewust. Langer dan nodig. Dat vind ik schandalig ja.
Nee, niet direct ontslaan. Waarschijnlijk is dit een onbewuste fout van een werknemer, geen bewuste fout.

Een werknemer die een keer een (kostbare) fout maakt zal in de toekomst nóg voorzichtiger zijn en daarmee zijn geld dubbel en dwars waard zijn. Als je hem ontslaat heb je én de kosten van de fout én je bent een stuk expertise kwijt. Hou je hem aan, dan zal hij/zij alleen maar loyaler worden aan het bedrijf en hou je er misschien een hele trouwe werknemer aan over.
Werknemers zijn slechts mannetjes die klusjes uitvoeren en kunnen (in the big picture) geen fouten maken. Het is de organisatie die de fout heeft gemaakt. Logisch zou dus zijn om de organisatie te straffen, bijvoorbeeld door middel van een boete.

Of die organisatie vervolgens zelf maatregelen neemt tegen de betrokkenen (door bijvoorbeeld mensen te ontslaan) dat moet ze zelf weten en interesseert mij verder niet.
Misschien geldt dat in jouw branche, maar bij mij op het werk (farmaceutische industrie) kan een klein foutje van een gewone werknemer tot miljoenenschade leiden of zelfs het stil leggen van de productie, wat nog veel meer kost.

Als er dan sprake is van een onbedoelde fout, dan wil je als bedrijf alleen maar dat de oorzaak zo snel mogelijk boven tafel komt. Wat denk je dat de verantwoordelijke werknemer doet als die weet dat het hem z'n baan kost als het bekend wordt? Die houdt het natuurlijk verborgen. Je wil dus als bedrijf een cultuur hebben waarin werknemers hun fouten durven te melden.

Het wordt natuurlijk een ander verhaal als dezelfde persoon keer op keer een kostbare fout maakt, of als er opzet in het spel is.
de Website programmeur ontslaan dan maar
Dat werkt alleen maar averechts. Als je weet dat je hard afgestraft wordt voor een fout, zul je eerder geneigd zijn fouten in de toekomst onder het tapijt te schuiven, in plaats van oplossen en anderen (zoals je collega's) te laten leren van je fouten.
In de categorie: wetgeving werkt alleen maar averechts :+
en: Van je fouten moet je leren, dus laten we ze vooral niet voorkomen.

Een fout verbergen is dubbel zo fout als een fout maken.
Onder andere naam, adres, telefoonnummers, e-mailadres en geboortedatum konden worden bekeken.Bovendien was het bankrekeningnummer van de hoogste bieder zichtbaar. Gecombineerd met de andere persoonsgegevens kan dat voldoende zijn om geld af te schrijven van een rekening.
Dit hoort natuurlijk echt niet zichtbaar te zijn, contactgegevens kunnen heel gevoelig zijn. Het zijn echter geen wachtwoorden of pincodes. Het stukje over geld afschrijven vindt ik dan ook stennis schopperij. Een bankrekeningnummer weten is niet genoeg om geld af te mogen schrijven. Dat bedrijven dat toch kunnen wordt geaccepteerd omdat je dit ongedaan kan laten maken (tenzij er een machtiging is). Het lek is al erg genoeg zonder dat er enge gevolgen bij te moeten verzinnen.
Het klopt dat je alleen aan een bankrekeningnummer niet genoeg hebt, maar met de gegevens die je hebt is het mogelijk om nieuwe pinpassen aan te vragen en ga zo maar verder. Als je kijkt hoever mensen kunnen komen met alleen het hengelen naar bankafschriften, neem ik aan dat je met deze gegevens ook een heel eind kunt komen.
Twee minuten op internet zoeken op termen die op C.V.'s voorkomen en je hebt dezelfde gegevens. Maar je hebt gelijk: hoe meer je weet, hoe makkelijker het is om vals spel te spelen. Uiteindelijk is onze maatschappij er op ingericht dat nagenoeg iedereen eerlijk (genoeg) is.
Maar een adres en een periode dat de bewoners van dat adres op vakantie zijn, kan voor bepaalde mensen wel interessante informatie zijn. Het kan natuurlijk altijd dat ze de reis kado willen geven, maar dat zal maar een klein percentage zijn en als je even langs het huis in kwestie wandelt, zie je dat meteen.
En die idioot heeft daar nog geld voor gekregen ook... waarom zijn er tegenwoordig steeds meer van die self-taught malloten die dit soort dingen doen? Ze geven de echte IT'ers een slechte naam
Een serieus bedrijf vraagt naar de referenties van een de programmeur (of firma). Maar er zijn er natuurlijk ook die die website zo goedkoop mogelijk moeten hebben dat hij min of meer werkt...
Dat zijn ze allemaal en dat is ook niet heel gek. Vraag is alleen, maken ze zich druk om kwaliteit? Want dan gaan die mensen op cursus en leren ze dit soort dingen niet te doen. Hoewel dat lastig is, want ik zou geen cursus weten waar je dit leert, dat je dat soort meuk niet online zet. Is denk ik ook wel beetje common sense! :)
Pff wel gelijk harde reacties en conclusies richting de ontwikkelaar(s) hier hoor. Het zou zomaar kunnen zijn dat de ontwikkelaar niet alleen verantwoordelijk is, denk aan tijdsdruk door slechte planningen, geen testtraject, testers die hun werk misschien niet hebben gedaan, klanten die geld wilde besparen en ontwerp overbodig vonden, opdrachtgever die de site kosten wat kost 1 feb online wil hebben enz enz.

Fouten worden gemaakt en ook in de IT. Ik vermoed zelfs dat het veel van de websites online fouten bevat die dit soort zaken mogelijk maakt op een of andere manier. Zoveel sites die je tegen komt die gevoelig zijn voor SQL injection of XSS... Beetje jammere fout dat wel en ik denk als je met persoonsgegevens werkt moet je alles op zijn minst dubbel checken maar dat geeft geen 100% zekerheid.

Wat ik wel kwalijk vind is dat een bedrijf zijn eigen gewin boven de mogelijke problemen van andere (de klanten) schaalt. Persoonlijk had ik site offline gehaald en (zoals hier boven ook al ergens stond) de ontwikkelaar(s) direct een fix laten maken.
Dat hele "eigen gewin" geeft dus al meteen aan hoe belangrijk ze het vinden dat er dingen goed gedaan worden. Die mannen 'developers' daar krijgen waarschijnlijk geen trainingen of niks om kennis op te doen.

Als je dit soort fouten maakt, weet je ook absoluut niet wat sql injection en xss is e.d. wat wel de meest basale dingen zijn die je hoort te weten als dev.
We moeten natuurlijk niet denken dat alle websites compleet dicht zijn, want fouten maken is menselijk.

Ik vind het wel echt bizar te noemen dat verantwoordelijken dit soort zaken altijd afdoen als "klein foutje". Hoezo klein foutje? Stél nou dat het niet ontdekt was door iemand die zo aardig was om het wel even te melden.

Buiten dat... Als ik die CTO zou zijn en ik hoorde 's avonds dat er privégegevens werden gepubliceerd op de site, dan had ik die ontwikkelaar uit z'n huis getrokken en geëist dat 'ie het per direct zou gaan fixen. Nu heeft men er eerst nog even een nachtje over geslapen, 's morgens eerst een kop koffie en dan maar eens rustig kijken hoe het lek kon worden gedicht.

Ik heb trouwens ook het idee dat klanten door dit gedrag ook "dom" worden gehouden. 9 van de 10 klanten hebben geen kaas gegeten van de grote boze computerwereld en ze vertrouwen dit soort websites. Alleen al daarom zou zo'n bedrijf zijn verantwoordelijkheid moeten nemen!
Programmeurs die je 's nachts uit hun huis mag trekken om per direct alle problemen op te lossen zijn natuurlijk wel duurder dan mensen die ook een beetje kunnen programmeren...
Dan onderschat je het belang dus ook. Zowel als CTO als programmeur.

Ik heb bij meerdere grote bedrijven gezeten en als er "stront aan de knikker" was, werden zaken gelijk opgepakt. Ook door leveranciers. Die paar extra honderd euro is dat wel waard.
Ik onderschat het belang helemaal niet. Ik ben het er absoluut mee eens dat bekwame programmeurs belangrijk zijn en dat je die graag een beetje meer betaalt om kritieke problemen zo snel mogelijk op te lossen.

Ik weet wel dat een heleboel bedrijven web- en andere toepassingen, hoe belangrijk ook, liefst zo goedkoop mogelijk laten uitvoeren. En daar past dan helaas geen ervaren programmeur bij en de onervaren programmeur die het mocht doen kan je helaas buiten de werkuren niet bereiken (je kan vaak al blij zijn als je hem tijdens de werkuren vlot kan bereiken). Dat is erg. Dat is de oorzaak van de helft van de beveiligingsproblemen die je hier leest, maar dat is de realiteit. Dat ik dat zeg impliceert absoluut niet dat ik dat ook maar enigszins toejuich, integendeel.
Ik wil niet weten wat bij hun een grote fout is :P

Schandalig dat die developers niet eens in hun eigen broncode gekeken hebben...
Ik maak soms websites, maar durf dat nooit zo goed te doen voor dingen met gevoelige gegevens. Uit de angst dat ik ergens zal lekken. Maar dit soort fouten heb ik nog nooit gemaakt, zelfs niet toen ik m'n eerste inlog websiteje maakte met PHP. Het is niet eens een beginnersfout in mijn ogen; gewoon totaal niet over veiligheid nagedacht dunkt mij.
Dit soort slordigheidjes (ook als het opgelost is), die dan ook nog in het nieuws komen, gaat potentiele klanten die dit gehoord hebben wel twee keer doen nadenken ook een bestelling/bod te plaatsen. aan de andere kant, als men het goed oplost en dit in de pers laat komen, kan het wel meer naamsbekendheid opleveren, en grotere bereikbaarheid.

Ik zou zeggen pak dit slim aan VakantieVeilingen.nl, maar door de sloridgeheid al meteen in de min.

[Reactie gewijzigd door Jumpman op 11 februari 2011 12:30]

Zeer kwalijke zaak dat de privé gegevens van personen te vinden zijn. Dan kan je wel reageren met dat het een foutje is en dat iedereen dat kan overkomen, maar ik denk niet dat er veel mensen vrolijk van worden als hun gegevens zo op internet te vinden zijn. Lijkt mij dat dit intern gecontroleerd moet worden?
Hmm.. Is dat misschien hoe iemand onder onze naam heeft geboden een tijd terug??
Dikke ellende gehad met VakantieVeilingen.

Er was onder onze naam geboden, maar van een IP adres ver uit de buurt....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True