Gegevens 200.000 gebruikers Vlaamse energieregulator lagen op straat

De Vlaamse energieregulator VREG heeft zijn database offline gehaald nadat dinsdagavond bleek dat ingelogde gebruikers de gegevens van alle 200.000 klanten konden aanpassen. Het probleem ontstond waarschijnlijk na een aanpassing aan de database.

VREG is de toezichthouder van de Vlaamse energiemarkt en controleert of leveranciers en netbeheerders zich aan de energiewetgeving houden. Ook moeten Vlaamse consumenten met zonnepanelen via een speciale site van de toezichthouder hun meterstanden doorgeven. Dinsdagavond bleek dat ingelogde gebruikers via deze site de gegevens van alle andere klanten konden inzien en aanpassen.

Het probleem ontstond dinsdag na 18 uur, vermoedelijk nadat er onderhoud aan de database was gepleegd. "We hebben gisteren de nieuwe release van de databank online gezet en daar kan iets fout gelopen zijn", zei André Pictoel, woordvoerder van de VREG, tegen VRT, schrijft Nieuwsblad.be. De zegsman sluit een hack niet uit overigens. "We zullen onderzoeken welke wijzigingen er recent gebeurd zijn. Als we verdachte rapporteringen waarnemen, zullen we natuurlijk maatregelen nemen."

VREG heeft de database na het ontdekken offline gehaald. De site is hierdoor niet meer bereikbaar. Het is onbekend wanneer deze weer online komt.

IT-banen

Reacties (22)

biglia 12 december 2012 10:27

Als er nu iemand vanalles heeft aangepast, zijn ze echt wel even bezig om alles te controleren. Prettige feestdagen nog.

bbc @biglia • 12 december 2012 10:56

Dat lijkt me niet zo moeilijk om na te gaan. Het is een kwestie van backups te vergelijken. Anderzijds kan je je afvragen of ze in die taak gaan slagen, gezien de stommiteit die ze eerst gemaakt hebbn.

Het leuke aspect lijkt me het resetten van de paswoorden voor alle gebruikers indien nodig. Ik doe de aangifte voor mijn ouders, omdat ze geen pc hebben thuis. Ik kijk er al naar uit. Ik ga alvast screenshotjes maken in de toekomst. Ik heb wat teveel vertrouwen gehad in de site.

In het slechtste geval gaan ze een mannetje moeten rondsturen om alle meterstanden na te kijken, iets wat toch al jaarlijks gedaan wordt door je energie leverancier.

Byte 12 december 2012 10:32

Even het verbruikte stroom omhoog zetten omdat je je buren zo 'aardig' vindt.

SD2000 @Byte • 12 december 2012 11:07

Het gaat hier om opgewekte stroom, door vooral zonnepanelen, niet over verbruikte stroom

? ? @SD2000 • 12 december 2012 15:53

Op zich is dat ook niet zo'n probleem: de meterstand wordt op eerlijk woord ingevuld.
Het systeem controleert aan de hand van de periode (zonstand), ligging en andere parameters of de meterstand 'normaal' is of afwijkt.
De schade die berokkent kan worden is het wijzigen van rekeningnummers.

Sinnergy 12 december 2012 10:39

Tja, migraties (indien hier van toepassing) gaan nu éénmaal niet altijd even vlot - je kan blijven testen maar op een bepaald moment moet je er toch 'door' (onlangs zelf zo'n moment 'mogen' meemaken) en dan kan je toch nog tegen problemen aanlopen.

Ze hadden wel even mogen testen na het online zetten van hun update of nog alles nog werkt...

biglia @Sinnergy • 12 december 2012 10:41

Waarschijnlijk zullen ze getest hebben met een "admin" accountje: een account die alle klanten kan zien en aanpassen. Wat ze toen zagen was dus normaal.

Verwijderd @biglia • 12 december 2012 11:22

Dan laat de code coverage toch te wensen over me dunkt!

biglia 12 december 2012 10:11

Het zal wel niet door een aanpassing van de database komen. Dat zou straf zijn. Gewoon een programmeerfoutje ergens.

NicoJuicy @biglia • 12 december 2012 13:14

Een update van de roles van de users, waarbij ze de filter vergeten hebben is altijd mogelijk

SacreBleu 12 december 2012 11:52

Desondanks toch hulde dat het bedrijf er snel wat aan heeft gedaan. De fout is binnen 24 uur opgepakt en ook aangegeven aan media. Dat vind ik netjes, ondanks dat er een blunder is begaan.

Finniemc @SacreBleu • 12 december 2012 12:55

Mmm toch wat relativeren: de fout is door gebruikers aan de VREG gemeld en toen hadden ook al verscheidene nieuwsinstanties (o.m. deredactie.be) klachten gekregen van klanten.

Het ontkennen zou dan ook een beetje dom geweest zijn. Ze hebben wel snel gehandeld toen ze het bericht kregen dat er iets fout zat en ze zijn er nu vrij open over.

Glodenox

12 december 2012 10:16

Als verschillende "gewone" gebruikers hier melding van maken, is er echt wel iets zwaar fout gegaan (zo werd het toch gerapporteerd op deredactie.be). Ik zie niet in hoe dit door een databankfout kan, behalve als in de databank geregeld wordt wie er toegang heeft tot bepaalde meters en er daar iets grondig fout is gegaan in een of andere SQL functie. In elk geval zijn dit zaken die sowieso boven water moeten komen bij het testen in een testomgeving...

EDIT: zoals biglia het zegt: het lijkt me eerder een programmeerfout.

EDIT2: naar het schijnt was het zelfs mogelijk om de rekeningnummers van andere klanten zo te bekijken en volgens sommige mensen was het zelfs mogelijk om deze te wijzigen! Dat is wel een groot probleem dan!

[Reactie gewijzigd door Glodenox op 23 juli 2024 00:12]

Verwijderd 12 december 2012 10:18

Echt een geval van "Foutje, bedankt".
Welke beheerder zet de gebruiker nou op 'root' status? Dat is echt een vreemde vergissing.

mxcreep @Verwijderd • 12 december 2012 16:19

Foutje, bedankt! noemen wij een Posdijkje

Interne humor gerelateerd aan programmeur met die naam...

Dr.SVM 12 december 2012 10:24

Wie bedenkt er nou een aanpassing of een 'knop/commando" om iedereen overal bij te laten?

Verwijderd 12 december 2012 10:36

Kan best wel een database issue zijn, als de roles van de gebruiker door 1 of andere reden allemaal op ADMIN is gezet ofzo.

Maar meest voor de hand liggende reden is idd iets anders !

Wulfklaue @Verwijderd • 12 december 2012 11:50

Ik vrees dat je mis bent met het idee dat de rolen van de gebruikers op admin staan, zo een invloed zou hebben. Ik neem aan dat je spreekt over DATABANK ROLLEN!

De rollen van de databank kunnen beperkt worden tot de tables, databases enz, en hun toegang hiertoe. Als men voor iedere gebruiker een databank of table zou aanmaken ( en dit zou linken aan een id via de script ), ok, dan kan ik dit argument volgen. Maar in praktijk zou geen enkel zinnige programmeur ( gewoon voor maar 200k mensen ), elk van hun een aparte table/schema/databank voorzien. Goed zot zou ik zeggen.

Waarschijnlijk was het probleem eerder van: Er werd een check gedaan via de script code, voor welke rechten welke persoon had. Mogelijk was men de table vergeten waar die rechten in stonden, of beschadigt. De script checked voor de rechten, volgens de id. Maar aangezien het geen informatie vond, was de "default" dat men gewoon aan alles kon.

Beeld je in:

<?php

$access = true;

if ( $this->checkAccess( $id ) === false ) $access = false;

// Whatever dat ze hier doen.

Return $access;

?>

Perfect voorbeeld van amateur programmeren. En hoe indien de databank table niet aanwezig is, of incorrect geconfigureerd, je standaard toegang geeft.

M.a.w, het probleem was niet zozeer de database, maar was gewoon slordige ontwikkelde code. En als je denk dat zo een code niet voorkomt bij de overheid, denk nogmaals na...

Als je de originele uitleg leest, zie je dat men niet enkel toegang had tot de energie cijfers, maar ook de data zoals rekening nummers enz

Het is zeldzaam dat een fout gelopen databank aanpassing, zo een probleem kan veroorzaken. Een van de basis lessen, dat iedere deftige programmeur kent is: Voorzie alle code, dat de resultaten STANDAARD een false returnen, en enkel een true, indien het ECHT true is.

In men jaren, al genoeg van deze toestanden gezien, waar programma's te omzeilen zijn omdat men gewoon geen deftige beveiligingen inbouwt. Laat staan hoeveel programmeurs nog altijd de fout maken, om SQL queries uit te voeren, met parameters in de query ( say hello to my little friend SQL INJECTION! ).

Je zou denken dat voor de overheid de websites volgens een "hogere" standaard geschreven worden, dan de "gewone" websites, maar in praktijk, ... Neem van mij aan, ik ken mensen dat bij de overheid werken, en de horror verhalen dat ik hoor. Als je denk dat het soms durft mislopen in de Privé, ... En vaak hoeveel geld dat er buiten gesmeten word.

Zoals oude analoge modem lijnen dat nog actief waren, omdat men ze "vergeten" waren ( maar dat wel iedere maand, 10.000€ koste! ). Aantal mensen dat ze nog gebruikte... een 10 tal man ( en dat was 2009! ). En de gast dat de moeite deed om die problemen op te lossen ( hij was in lijn voor een promotie ). Tja... ze hebben dan maar een externe binnen gehaald om de dienst te besturen. En die gast dat al het werk deed: Verliet de dienst met teleurstelling van de jaren dat hij er verspild had. Of boekhoudkundige projecten, dat 25M Euro gekost hebben, , waar de programmeurs van de externe firma, op de kantoren van de staat ( omdat ze ter plekken moesten ontwikkelen ), ook zaten te werken voor de andere klanten ( op de werkuren van de staat ), en waar uiteindelijk bijna niemand gebruik van maakte. Met als eind resultaat spaghetti code... maar waar ze de code niet van bezaten!!

Neem van mij aan, als je verhalen leest zoals de bovenste, denk niet in ingewikkelde zaken zoals databank rechten enz. Denk gewoon naar een amateuristische reden, en vaak zit je dichter bij de echte reden dan je zou verwachten.

dusti 12 december 2012 14:30

Update up de site van de vreg:

"We hebben onmiddellijk een onderzoek gestart naar de mogelijke oorzaak van het incident. Het is ondertussen duidelijk dat die ligt bij een aanpassing van de nieuwe software die gisterenavond iets voor 19u online werd gezet. Het gaat niet om hacking, maar om een fout in de programmeercode."

ze controleren nu dus de wijzigingen en gaan die gaan terugzetten,
ik vermoed dat mensen waarvan gegevens aangepast werden in de korte tijd online een brief of mailtje mogen ontvangen met daarin de vraag de aanpassingen te bevestigen of te annuleren.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (22)

Sorteer op:

Weergave: