Het Zuid-Hollandse waterbedrijf Oasen kampte met een beveiligingsprobleem op zijn website, waardoor klanten gegevens van anderen konden inzien. De sessie-id in de url bleek alleen te zijn gecodeerd via base64, dat geen encryptie biedt.
Volgens Oasen is de beveiliging inmiddels 'verscherpt', nadat vier weken geleden een hacker via het Nationaal Cyber Security Centrum een melding maakte van het beveiligingsprobleem. Het waterbedrijf, dat rond de 750.000 klanten heeft, noemt de kwetsbaarheid moeilijk te misbruiken. Security.nl schrijft dat het probleem in de iDeal-betalingspagina bij Oasen zat.
De sessie-id van acht tekens op de betalingspagina was niet versleuteld, maar gecodeerd met base64. Die codering wordt onder meer gebruikt om bijlagen te versturen via e-mail, door binaire objecten te converteren naar ascii-code. Base64 biedt echter geen enkele vorm van encryptie en dus kon de beveiligingsonderzoeker die het probleem ontdekte, de sessie-id decoderen en manipuleren, waardoor betalingsverzoeken van andere gebruikers konden worden opgevraagd.
Daarbij waren de adresgegevens zichtbaar, en door de iDeal-betaling te starten en direct weer af te breken kon ook het accountnummer van de klant worden bemachtigd, meldt Security.nl. Die gegevens waren genoeg om de 'wachtwoord vergeten'-functionaliteit van Oasen te misbruiken en daardoor in te loggen als een andere klant. Daarbij waren ook e-mailadres en telefoonnummer zichtbaar, en konden meterstanden en verhuizingen worden doorgegeven. Meterstanden doorgeven kan overigens enkel als de desbetreffende klant een oproep heeft gehad.
Volgens woordvoerder Joost van Luijk van Oasen is er in de praktijk geen misbruik gemaakt van het beveiligingsprobleem. "Het is echt heel erg lastig om er wat uit te krijgen", aldus Van Luijk. Volgens hem was de sessie-id niet oplopend, zodat een brute force-aanval noodzakelijk was om de gegevens te pakken te krijgen. Inmiddels wordt 256bits-encryptie gebruikt voor de beveiliging van de sleutel-id's.