Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Submitter: Nijn

Een website van de Nationale Postcodeloterij liet gebruikers eenvoudig persoonsgegevens van anderen inzien, doordat die aan een 'gelukscode' waren gekoppeld. De Postcodeloterij heeft de ontwerpfout inmiddels hersteld.

De site Gelukscode.nl is een marketingactie van de Postcodeloterij, waarbij deelnemers aan de loterij een 'gelukscode' kunnen invoeren om te kijken of ze een cadeau hebben gewonnen. Martin Ackermans ontdekte dat gegevens van anderen relatief eenvoudig konden worden bekeken door een andere code in te voeren.

De codes bleken weinig willekeurig en hoewel er in theorie 100 miljoen mogelijke 'gelukscodes' zijn, was het ophogen van de eigen code met een paar cijfers vaak voldoende om andermans persoonsgegevens te zien. Informatie als naam, adres, e-mailadres en telefoonnummer was zichtbaar.

De Volkskrant meldde maandagmorgen in zijn papieren editie dat het lek nog niet was gedicht, maar inmiddels is de ontwerpfout hersteld, zegt Postcodeloterij-woordvoerster Selma Hetharia. "Mensen moeten nu zelf hun privégegevens invullen", aldus Hetharia. De loterij geeft aan het probleem 'heel erg vervelend' te vinden. Overigens had de privacykwestie eenvoudig kunnen worden voorkomen. Zo had de loterij gebruikers kunnen vragen hun rekeningnummer ter validatie in te voeren.

Update, 12:51: In dit artikel werd vermeld dat het rekeningnummer van gebruikers zichtbaar was. Dat was niet zo, heeft de Postcodeloterij laten weten.

Gelukscode.nl

Moderatie-faq Wijzig weergave

Reacties (59)

Loterijen :/ Gooi elke maand 20euro in een fruitmachine en je wint meer (en dat is al bezeikerij).

[Reactie gewijzigd door AiChan op 21 februari 2011 16:20]

Wordt er de laatste tijd zoveel actiever gezocht naar identiteits lekken, of komen ze gewoon veel en veel vaker voor dan eerst?

Ik zie de laatste tijd zoveel meldingen hierover verschijnen...
Vraag ik me inderdaad ook af.. Volgens mij is iedereen er ook wel gevoeliger voor geworden, zeker na al het nieuws over Wikileaks etc.
Ik denk dat er niet zozeer actiever gezocht wordt, maar wel actiever gepubliceerd. Hoewel ik het niet kan beargumenteren met cijfers, vermoed ik dat het komt door Bits of Freedom die sinds 2009 weer actief zijn. Als zij er lucht van krijgen, komt het in de publiciteit.

https://www.bof.nl/
http://nl.wikipedia.org/wiki/Bits_of_freedom
In Amerika is het verplicht om data breaches van persoonlijk data te publiceren, ik weet dat er een Europese variant in de maak was/is.

Dus het kan zijn dat deze wet is doorgevoerd en ze het dus nu verplicht zijn van dit te melden.
Lijkt me meer dat er een probleem is met hoe bedrijven met hun gegevens omspringen.

Vraag me trouwens af of er een waakhond die hier geen boetes voor kan uitdelen. Dit is toch een kwalijke zaak wat niet met een simpel tik op de vingers zou moeten aflopen.
Inderdaad, het is hoe bedrijven hier mee omspringen. De woordvoerder van de postcodeloterij reageerde: "We wisten dat het zo mogelijk was om gegevens van anderen te zien, maar iedereen vult in principe toch zijn eigen code in?" (bron)

Dit is geen beveiligingsfout, maar het is een doelbewuste keuze van de postcodeloterij geweest om de privegegevens van honderdduizenden, misschien wel miljoenen klanten gewoon open en bloot neer te gooien.

Waarom komen ze hier zo makkelijk mee weg? Even de site aanpassen, geen eens een sorry, en ze kunnen verder met de volgende schending van de privacy.
Zeker als ze dit wisten dan vind ik dat ze gewoon aangepakt moeten worden. Het CBP mag hier best een flinke boete voor neerleggen vind ik. Een argument dat de meeste gegevens ook wel in de telefoongids te vinden zijn is ontzettend lame en slaat natuurlijk nergens op, dat maakt het niet dat zij ineens gegevens open en bloot neer mogen gooien.
Ik denk dat het vroeger juist vaker fout ging (in verhouding tot de hoeveelheid gevallen waar het fout kan gaan), er werd vroeger alleen minder aandacht aan besteed. Nu gaan steeds meer bedrijven online die dan interactief met klanten gaan werken, waardoor er privacy gevoelige gegevens kunnen uitlekken. Ik denk dat er nu wel iets meer aandacht aan wordt besteed, maar dat het aanbod gewoon veel groter is geworden en overal waar het mis gaat direct overal aan de klok wordt gehangen.

Je zal nog steeds bedrijven hebben die er niet zoveel aandacht aan besteden of het budget er niet voor (over) hebben.
Ik denk dat het wel een beetje van beide zal zijn. Enerzijds heb je meer en meer site's waar prive gegevens geregistreerd staan en langs de andere kant heb je meer mensen die proberen om te zien of ze geen foutje vinden. Want eerlijk gezegd wie heeft nu nog nooit geprobeerd om te zien of een bepaalde code niet gewoon +1 kan gedaan worden om bij de bolgende uit tekomen.
Wat ik altijd moeilijk kan begrijpen is dat zo'n ontwerpfout door niemand wordt ontdekt. Je hebt een team van ontwerpers, ontwikkelaars en testers (hoop ik) en daar moet toch bij iemand wel een keer een lichtje gaan branden?
Vooral het stukje testers is ondergeschikt. En mochten ze wel aanwezig zijn, zie je toch nog vaak dat zij na de bouwfase worden ingezet.

Testers zouden vanaf de business tot de oplevering naar de business een rol moeten blijven spelen.

Maar goed het blijft een keuze tussen kosten, baten en tijd. Business Driven zullen we maar zeggen ;)
De meeste testteams die ik ken zijn vooral bezig met functioneel testen. Met een beetje geluk wordt er ook tijd en budget vrijgemaakt om operations te testen, dus hoe het zich straks onder belasting in productie gaat gedragen. Dat is duur, want dan moet je een omgeving hebben waarin je belasting kun simuleren, dus dat kost geld. Tja, en testen op security holes... Dat kost nog meer geld, zal ik maar zeggen.

En bovendien, het wordt toch al getest als het in productie gaat? En als er dan gaten inzitten, dichten we die toch alsnog? </cynisme>

Het echte cynisme zit natuurlijk in de afweging: hoeveel geld moet ik uitgeven aan goed (secure) ontwerpen, bouwen en testen, en hoeveel schade kan ik daarmee voorkomen? Als ik drie ton moet uitgeven aan security en ik bespaar daarmee twee ton imagoschade, kan ik die ene overgebleven ton beter uitgeven aan een beter product of aan marketing, dat heeft meer rendement.
Mijn ervaring is dat zoiets genoeg aangekaart wordt, maar van het management moet het systeem gisteren al af zijn en live gezet worden. Je ziet dat werkgevers die zelf ook begonnen zijn op de werkvloer als developer nog het beste begrijpen hoe testers e.d. denken, i.t.t. managers die voor een bepaalde klus even naar binnen gereden worden.

[Reactie gewijzigd door Sfynx op 21 februari 2011 12:49]

Apart dat ze het opeens 'heel vervelend vinden', een paar uur geleden zagen ze het probleem nog niet
De Postcodeloterij ziet het probleem niet. "Vorige week belden heel veel mensen ons omdat ze hun gelukscode niet konden invullen", zegt een woordvoerder. Daarom werd de site aangepast. "We wisten dat het zo mogelijk was om gegevens van anderen te zien, maar iedereen vult in principe toch zijn eigen code in? Wij hebben verder geen klachten gehad. En de meeste gegevens zijn ook te vinden in de telefoongids."
Heel apart inderdaad. Misschien kan de woordvoerder het bedrag van zijn loon samen met zijn NAW-gegevens vermelden op het internet, de meeste gegevens zijn toch gewoon te vinden in de telefoongids 8)7

Hoog tijd dat er consequenties aan komen vast te hangen! Zeker in zo'n duidelijk geval van nalatigheid.
De codes bleken weinig willekeurig en hoewel er in theorie 100 miljoen mogelijke 'gelukscodes' zijn, was het ophogen van de eigen code met een paar cijfers vaak voldoende om andermans persoonsgegevens te zien.
Afhankelijk van het aantal mensen in de database lijkt dat me dus ook zeer logisch, stel er zijn 5 miljoen leden dan zouden 1 op de 20 nummers bezet zijn, dus als je gem met ongeveer 20 getallen moet verhogen dan klopt dat gewoon, en is dat wel willekeurig :)
Je kan heel simpel een tweede code (of een timestamp van registratie oid) meegeven, waarbij de combinatie van beide codes moet kloppen alvorens gegevens weer te geven. Amper enkele minuten extra werk. Veel geluk dan met het "gokken". Of nog beter : in combinatie met een tijdelijke block na x foute pogingen... een lek dat er geen had mogen zijn in ieder geval!
Dit doet overigens ook denken aan staaltje lichte oplichting.
Die code stelt niks voor. Je voert 'm in en krijgt een tabelletje te zien waar op het eerste gezicht lijkt dat bij jouw code een portemonnee van 2000 euro hoort. Maar het tabelletje wil alleen maar zeggen dat je kans maakt op 1 van die mogelijke prijzen.
Trieste club, die postcodeloterij
Dat gevoel krijg ik ook sterk.
Voor je het weet heb je er weer een lot bij maar geen prijs (uiteraard)
Offtopic:
Ik vraag me sterk af hoe je te weten komt wanneer je wat gewonnen hebt.
Om mij heen hoor ik altijd: Fiets gewonnen, ijs gewonnen, kaartje voor dit of dat gewonnen. Ik speel al vanaf het begin mee en heb nog nooit wat gewonnen :-((.
Opzeggen die loterij en je geld op een spaarrekening zetten. Ik garandeer je dat je minimaal je inzet weer terugwint!
Dat wilde ik er nog bijzetten, stoppen lag in de planning :-)
Maar stel dat volgende keer de straatprijs in jouw straat valt, dan zijn je buren rijk en jij niet!!11
[/bangmaakmodus]
Hahaha, de kracht van de Postcodeloterij in een notedop
't nare is ook nog eens dat stoppen meestal niet zo heel eenvoudig is... daar moet je meestal weer tig formulier voor invullen...
Behalve de postcodeloterij kwam vandaag ook het NRC met een dergelijke blunder in het nieuws. Ik vind dat wel frappant, zeker nu er zulke grote discussies lopen over betaalkanalen, privacy. Zal ik eens een paar stellingen op tafel gooien?


- De kwaliteit van "eigen" betaalsystemen is per definitie een zorgenkindje. Iedere uitgever, iedere loterij, iedere webshop wil zo min mogelijk uitgeven aan zaken die niet rechtstreeks de omzet/winst bevorderen. Zaken zoals security en bewaken van privacy. Daar zullen ze zoeken naar het laagste kostenniveau waar ze mee weg denken te kunnen komen.

- Daarentegen willen ze allemaal zoveel mogelijk weten over ons, de consument, hun klanten. Want dat is informatie waarmee ze (meer) kunnen verdienen. Hou dat in je achterhoofd, de volgende keer dat een site vraagt of je mee wil doen aan een enquete...

- Welke keus hebben wij als consument?

- Welke partijen zitten op het vinkentouw om hier een rol in te nemen? Google, Apple sowieso. MS? Paypal? Of blijft die laatste in zijn niche zitten, alleen de betalingen?
Ach...toen Eneco vele jaren geleden het internet ontdekte om meterstanden in te voeren, namen ze het ook niet zo nauw. Op de tellerkaart stond een code om in te loggen. Code+1 was buurman, code+2 was 2 huizen verderop.
Kon kiezen tussen een avond lang de buren een oor aannaaien, de krant bellen, Eneco mailen of de schouders ophalen. Gekozen voor het laatste en een goed boek gepakt. Leuk om te zien dat ruim 10 jaar na dato dezelfde programmeur nog interactieve websites mag maken.
Wel originele prijs voor een loterij. Normaal win je geld of een auto maar nu een heel nieuw leven inclusief identiteit :)
Normaal win je niks bij een loterij. Sterker nog, de enige die wint is de Nederlandse staat die er lekker veel belasting op heft.
Goed beschouwd is de loterij dan ook een soort vrijwillige belasting waar veel mensen aan mee wensen te doen.
Lomp beschouwd is het een belasting op domheid, want als je even nadenkt dan weet je dat je spaarrekening meer zal opleveren, want een significante prijs zal je doorgaans nooit winnen.
Ik denk dat veel mensen meedoen aan de loterij omdat de kans aanwezig is. Statistisch gezien is het helemaal niet rendabel gezien om mee te doen aan de loterij. Maar het idee 'stel dat ik 5 miljoen win!' is te verleidelijk. Ik geef mijn geld echter ook liever aan andere zaken uit :)

In plaats van meespelen kun je ook maandelijks 10,50 wegzetten met de huidige (?) rente van 2 (?) %. Doe dat twintig jaar en je heb zo'n 3.100€ erop staan. Kun je ook een leuke vakantie van houden dacht ik zo :)
Hmmm met de inflatie van >2% kan je beter NU op vakantie gaan...
uiteraard erg slordig, je zou verwachten dat zo'n team ontwikkelaars hier wel over na denkt..


offtopic:
Volgens mij doen de meeste mensen mee aan de postcode loterij omdat mocht hij vallen ze het de buren niet gunnen om de prijs alleen te winnen :+

ik heb eens pas een nu we er toch zijn gezien daar gingen ze naar een winnende straat, kan je vertellen dat de mensen die niet meespeelden weinig gastvriendelijk waren

http://www.youtube.com/watch?v=hbkNmLsIu58


ik doe overigens niet mee..
Nou ik wil best vrijwillig 1 miljoen aan kansspelbelasting betalen :o
(Moet ik uiteraard het bedrag ook krijgen wat hieraan gekoppeld is O-) )

Moet zeggen dat ik tot nu toe meer gewonnen heb op mijn ene lot dan ik ooit ervoor heb betaald (speel nu 7 jaar mee en heb al 2x 1000 euries gewonnen). Dus voor die ongeveer 100 euries per jaar ben ik best tevreden met deze loterij (spreek dan voor mijzelf) Wacht uiteraard ook op de mega klapper ;)

[Reactie gewijzigd door Mister.Ed640 op 21 februari 2011 12:32]

Nou ik wil best vrijwillig 1 miljoen aan kansspelbelasting betalen
Of welke belasting dan ook ;) zolang als dat je het bijbehorende salaris/winstbedrag/erfenis/etc. er ook maar bij krijgt.

Zelf heb ik mij de taak gegeven om zoveel mogelijk belasting te betalen in mijn leven. Daarmee help ik heel veel mensen die het niet te breed hebben.

[Reactie gewijzigd door HerrPino op 21 februari 2011 14:12]

Moet zeggen dat ik tot nu toe meer gewonnen heb op mijn ene lot dan ik ooit ervoor heb betaald
Tot nog toe won ik drie rookworsten en wat soep. Ter oefening vorr de tijd dat mijn identiteit door een ander wordt ingenomen en ik nergens terecht kan.
"Normaal win je niks bij een loterij."

Eind vorig jaar nog 3750 euro gewonnen (straatprijs viel hier weer in de wijk).
Daar ging inderdaad 29% van naar de staat. Maar mij hoor je dus niet klagen.
En dat je er ook nog goede doelen mee steunt is ook niet verkeerd.
Wat wordt uw cadeau? Identiteitsfraude!
Zelfs als je niet meedoet, je kunt immers een ander zijn code activeren. Alleen als je helemaal niet bekent bent bij ze, kunnen ze niets.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True