Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties
Submitter: MT08

Huawei Nederland heeft gegevens van klanten, waaronder namen, adressen, rekeningnummers en imei-nummers, onbeschermd online gezet in een open dir. De fabrikant heeft de site na een tip van Tweakers dichtgezet.

De site van de cashback-actie is niet alleen opengelaten, maar de facturen van klanten werden ook geïndexeerd via Google, waardoor ze voor iedereen vindbaar waren. Daaronder waren veel klanten die een Huawei Ascend G525 via iBood hadden gekocht.

De open dir toonde van alle klanten een factuur en een foto van de doos met daarop het imei-nummer. Het is onduidelijk of kwaadwillenden de gegevens hebben opgeslagen. Omdat de gegevens in afbeeldingen en pdf-bestanden staan met willekeurige karakters als naam, is het vinden van bepaalde gegevens in de dataset niet eenvoudig.

Huawei heeft de site inmiddels dichtgezet. Woordvoerder Maurice Ouderland zegt dat iemand bij een extern bureau 'een vinkje was vergeten'. "Het was heel stom en het waren ook maar de gegevens van enkele toestellen. Van veel andere toestellen, zoals van de Ascend P6, hebben er geen gegevens online gestaan."

De fabrikant heeft het lek binnen enkele uren na de melding gedicht, maar Tweakers heeft met deze publicatie gewacht totdat de vermeldingen ook uit Google waren verwijderd. Huawei bedankt tweaker MT08 voor het onder de aandacht brengen van het lek. "Zonder hem had dit nog langer online gestaan. We beloven dat het niet meer zal gebeuren."

Opendir Huawei cashback-actie

Moderatie-faq Wijzig weergave

Reacties (79)

Jeetje, je zou er tussen zitten.. lekker dan al je gegevens op straat.

Er zit wel een luchtje aan, volgens mij zit de concurrentie met Huawei te klooien :P
De zoveelste keer dat Huawei negatief in het nieuws komt, er is altijd wel iets met dat bedrijf. Ik zou er ver vandaan blijven.
Kijk eens naar de URL: http://huawei-cashbacks.odcbenelux.com/uploads/
Het is niet Huawei zelf die in de fout is gegaan, maar een partner van Huawei
Uiteraard is Huawei (mede)verantwoordelijk en blijkt uit het nieuwsbericht dat ze ook de verantwoordelijkheid nemen voor iets wat een partner heeft gedaan.
Blijkt ook uit het artikel:
Woordvoerder Maurice Ouderland zegt dat iemand bij een extern bureau 'een vinkje was vergeten'

Doe je een Whois op: odcbenelux.com dan had je kunnen zien dat het een Nederlands bedrijf in Barendrecht is dat deze fout heeft gemaakt.
owner-organization: Online Distribution Concepts bv
owner-fname: Dirk-Jan
owner-lname: van Heteren
owner-street: Oslo 16
owner-city: Barendrecht
owner-zip: 2993 LD
https://maps.google.com/m...L5kg-g&cbp=12,197.77,,0,0 <= Hier zitten de echte Mega prutsers !

Edit:
Ga je naar hun website: http://huawei-cashbacks.odcbenelux.com
Staat onderaan: "kijk ook op: https://www.3x3smartdeal.nl/ "
Als je daarop klikt krijg je gelijk een SSL foutmelding.
De fouten vliegen je om de oren, wat een prutsbedrijf !

Om nog maar te zwijgen over de website zelf: Het menu [Contact] zit op een verkeerde plek (IE 10), waar alleen maar verwezen wordt naar een emailadres met een "mailto:" erin.

[Reactie gewijzigd door GoT op 12 november 2013 13:12]

De telefoons zijn zeer goed hoor en wat maakt het uit dat china mee kijkt? als je eens denkt dan weet je dat iedereen mee kijkt dat maakt ook niet uit.

De prijs kwaliteit van dit merk vind ik zelf echt heerlijk super! want dit is teminsten een merk waar ik toen der tijd niet voor het merk hebt betaalt voor mijn gevoel. Daarom zou ik het juist aan iedereen aanbevelen. en btw. dit kan mij ook overkomen en jou ook.
Inderdaad, de telefoons zijn over het algemeen welk qua hardware / prijsverhouding scherp. Maar daarmee is ook alles van de Huawei gezegd. Ik heb 1,5 jaar geleden (september vorig jaar) een telefoon gekocht. Ideos X5 U8800. Prima telefoon in begin. Daarna behoorlijke drama begonnen. Heb mijn telefoon 3 keer teruggestuurd (en tot op heden) nog altijd niet goed. Eerste keer GPS probleem, daarop bluetooth dat niet meer werkte. Toen nieuwe inhoud gekregen, en nog altijd zonder resultaat is de bluetooth niet gefixed.

Wat mij verder verbaasd is dat de telefoon tot op heden nog geen enkele android upgrade heeft gehad.
De android updates erger ik me aan dood dat is het enige wat ik van huawei slecht vind, ik wil gewooon mijn android 4.4 kitkat :( achja dan maar wachten tot hij komt op mijn nexus 7.

Maar de updates van Android kunnen wel verbetert worden! ik weet het het is offtopic maar het is nu even belangrijk om aantekaarten om hierop te reageren. maar geef toe android moet met een beter update systeem komen. ;(
De android updates erger ik me aan dood dat is het enige wat ik van huawei slecht vind, ik wil gewooon mijn android 4.4 kitkat :( achja dan maar wachten tot hij komt op mijn nexus 7.

Maar de updates van Android kunnen wel verbetert worden! ik weet het het is offtopic maar het is nu even belangrijk om aantekaarten om hierop te reageren. maar geef toe android moet met een beter update systeem komen. ;(
Man wat klets je toch, we hebben in 1 jaar all 2x een Android Update gehad met Huawei Honor 2 / Ascend G615.

Hij komt standaard uit met Android 4.0.4, niet lang daarna 4 a 5 maanden later Android 4.1.2 en nu all weer ruim een maand Android 4.2.2, dat vind ik erg netjes van Huawei, en ze zijn nog steeds bezig, want er komt nog steeds beta updates uit.

LG is een stuk slechter, de LG Optimus 4X HD heeft nog maar een update gehad Android 4.1.2 (April 2013), en dat was ruim 11 maanden na dat de telefoon uit kwam, en dat is wat ik lees ook de laatste.

[Reactie gewijzigd door AmigaWolf op 11 november 2013 22:50]

Oke sorry hoor dan licht het bij mij want ik heb deze 5 maanden niks gehad. maar ik heb een net wat ander type.
pricewatch: Huawei Ascend G510 Zwart

Maar loop me wel af te vragen of ik er ook daadwerkelijk tussen stond, maar dat maakt nu niet veel meer uit.
Ja ik zie het jij zit nog op Android 4.1.

http://cn.ui.vmall.com/emotiondownload.php?type=G510

Maar de Huawei Ascend G510 was ook de goedkope low end versie van hun telefoons, en dat is ook denk ik de reden dat je nog steeds bij Android 4.1.2 zit en niet 4.2.2.

De Huawei Honor 2 / Ascend G615 behoren tot the high end telefoons van Huawei, en daarom hebben wij al meerdere keren een update gehad.

Maar je kan altijd CyanogenMod 10.1 (Android 4.2.2) proberen voor je mobiel:

http://www.modaco.com/topic/365091-rom-cyanogenmod-101-daytona-projekt-build-20131104/

Of MIUI V5 3.9.27:

http://www.modaco.com/topic/365182-rom-miui-v5-3927-nfc-support-screen-state-scaler-multilanguage/

Veel suk6.
Optimus 4x HD hier maar ik heb nog geen update gehad. Versie 4.0.3 (nov 2012) staat erop en als ik "Check for update" kies in de settings krijg ik de melding dat ik reeds de laatste versie heb.
hèhè je moet de programma LG Mobile Support Tool gebruiken, dat kan je allemaal duidelijk op internet vinden, het gaat niet meer via je telefoon maar via je computer naar je telefoon met een USB kabel.

Hier zie je een filmpje hoe het moet (is alleen een andere taal):

http://www.youtube.com/watch?v=C8YaT4Ko-pQ

En hier kan je in het Engels lezen hoe het moet:

http://androidromupdate.com/2013/04/14/manual-upgrade-lg-optimus-4x-hd-p880-to-v20a-official-android-4-1-2-jelly-bean/
Bedankt voor de info. :)
Ik ga daar later nog even naar kijken als ik een zooi andere werkzaamheden uit de weg heb.

Opmerkelijk dat de mogelijkheid in de settings staat maar dus totaal nutteloos is.
Ja maar dat is typisch LG, ik koop ook door hun slechte software support ook geen LG meer, dit probleem was al met de LG Optimus 2x speed en ook met de LG Optimus 4x HD.

Goede telefoons maar erg slechte software updates support.
Dus dan aan de CM.
Ja dat kan je doen, maar als LG al geen Bal geeft om de mensen die hun telefoons kopen, geef ik geen bal om hem, en koop ik gewoon simpel geen telefoons van hun meer.
Sinds kort heb ik op mijn mijn huawei cyanogenmod draaien versie 7.2 dacht ik en die is een stuk stabieler dan de originele firmware :-).
Dit nieuwsbericht zie ik anders als positief, een bedrijf wat op deze manier omgaat met meldingen over fouten krijgt voor mij een +1!

Fouten maken doen alle bedrijven, fouten erkennen doet nog niet de helft,en daar weer de helft van zal nooit de melder bedanken!
Inderdaad ik zou er ver vandaan blijven
Heb de Huawei Ascend G500 of 510 geloof ik.
De bootloader is gelockt dus ik heb al 8 keer een unlock code aangevraagd en de gegevens zoals s/n en imei gecheckt.
Elke keer zeggen ze dat ik foute gegevens opgegeven heb en geen unlock kan krijgen.

Ga je naar de NLse helpdesk via twitter.. nee we kunnen je niet helpen dat is zaak van verderop.

Leuk bedrijf.. (niet dus)..
haha, ik sta er dus bij :P
Heel erg bedankt tweaker MT08 ! _/-\o_
Alles kan nog wel weer worden terug gevonden hoor.

http://www.bing.com/searc...elux.com&sc=0-38&sp=-1&sk=
http://www.bing.com/searc...=-1&sk=&first=1&FORM=PERE

[Reactie gewijzigd door NotSoSteady op 11 november 2013 17:00]

Programmeer foutje, lijkt me niet iets wat men bewust doen terwijl ze hier een marktdeel willen winnen. Kan ieder bedrijf/de beste overkomen.
Goede bezig Huawei!

Een vinkje vergeten aan te zetten? Lijkt me vreemd voor zo'n algemene "uploads" map. Eerder iemand die geen verstand heeft van permissies die een site heeft opgezet.

Kunnen kwaadwillige iets met de IMEI nummers?
Permissies zijn vaak ook maar vinkjes, en public read chmod is snel geregeld.
Ik doelde er meer op dat de directories standaard open staan, beetje knullig. Beter standaard afgesloten en dan dat er iemand een keer niet bij kan dan standaard open en dat er dan een keer iedereen bij kan.

Maar dat is al lang en breed behandeld in comments hieronder :)
Een kwaadwillende kan zelfs iets met de eerste letter van je bijnaam. Met een IMEI-nummer... laten we het houden op heel veel vervelende dingen.
Nou wow ze kunnen je provider achterhalen en of er een simlock op zit. Veel meer niet want dat zou betekenen dat je provider een groot lek heeft. IMEI codes zijn slechts leuk om te controleren op diefstal en simlocks. Voor de rest kan je er vrij weinig mee.
Helaas staat de Indexes optie van Apache standaard nog steeds aan, natuurlijk geen excuus maar toch wordt deze vaak vergeten aan te passen wat leidt tot dit soort geneuzel.

En zeg nu zelf ... wie wil er nu WEL graag een opendir ?!
Ik zelf niet maar ben er wel blij mee dat andere open staan hoor :D

Niet om persoonlijke gegevens te krijgen natuurlijk, maar ik zoek nogal vaak een font wat niet geconverteerd mag worden naar een webversie van dat font, en door de open dirs vind je die vaak alsnog :D

Dus ja beetje een gemengd gevoel...

[Reactie gewijzigd door watercoolertje op 11 november 2013 17:15]

Ik bedoelde ook meer vanuit het oogpunt van een beheerder/bedrijf ;)

Maar ik snap dat derden, waaronder ik ook O-) , weleens blij mee zijn dat er iets open staat.
Beveiligingsprocedures (-afspraken, architectuur) dienen er juist voor dat als 'een externe' 'een vinkje vergeet', er geen impact is. Knulligheid van de bovenste plank.

Jammer dat het artikel niet vermeldt om hoe veel gebruikers het gaat, of wat Huawei gaat doen voor de slachtoffers.
Off topic: Ben benieuwd of ik er dan ook tussen sta? Ben in bezit van een Huawei Y300 en heb gebruik gemaakt van de 20 euro cashback actie.

On topic: Dit is echt heel dom. Dom dom dom. Ik ben benieuwd hoe tweaker MT08 hier achter is gekomen. Waarom is er uberhaupt een mogelijkheid de map /uploads online te zetten? :s beetje vreemd?
Als je de mappenstructuur/website opbouwt en je hebt verstand van zaken is een van eerste zaken waar je aan denkt hoe je de rechten instelt van mappen (vooral met zo'n algemene naam!).

Leuk, dus ik kan er ook bij zitten mocht iemand anders hebben lopen vissen 8)7
Solliciteer bij Huawei. Ze kunnen daar wel iemand gebruiken die nooit fouten maakt.
:P Ik zou een dergelijke map niet eens in de "public_html" gooien.
Omdat de gegevens in afbeeldingen en pdf-bestanden staan met willekeurige karakters als naam, is het vinden van bepaalde gegevens in de dataset niet eenvoudig.
Waarom zou dit lastig zijn? Alles downloaden en vervolgens via de zoekfunctie een naam erbij pakken? Weet niet of Windows onderhand zo ver is om snel content van een bestand te indexeren maar met de Mac Spotlight is het een eitje (en ongetwijfeld in Linux systemen ook).

Lijkt er op dat ze de hele map hebben verwijderd/verplaatst een directe bestand aanroeping werkt ook niet meer

[Reactie gewijzigd door ultimasnake op 11 november 2013 16:49]

Feit dat dit onversleuteld opgeslagen stond is al erg genoeg. Dat het open was voor het publiek is lang niet het ergste.
Een vinkje... belachelijk!

Hmm basis .htacces bestand heeft men zeker nooit van gehoord. Een multinational zou op server configuratie dit probleem kunnen oplossen. Men legt dit soort security aspecten niet neer met een administratie persoon die alleen datasets in het systeem voert. Vanuit security aspect zou bij een nieuwe dir dit voor niemand toegankelijk moeten zijn en alleen wanneer een beheerder de rechten toevoegt aan de map om uberhaubt toegankelijk te zijn.

Hierna zou men beveiliging kunnen invoeren wat wss dit vinkje is om alleen toegankelijk te maken voor bepaalde ip ranges of een bepaalde in-house administratie software app waarin weer verschillende rechten zijn toegediend.

In conclusie, amateuristisch opgezet en duidelijk uit eigen gemak opgebouwd.

Waar staat ook alweer welke wettelijk vastgelegd minimale beveiligingen een bedrijf moet hebben op IT gebied? ow ja... nergens 8)7
Dat vinkje schreef waarschijnlijk weg naar .htaccess, slimmerik ;) Of in geval van bepaalde guis of cp's mogelijk zelfs naar een httpd.conf of iets dergelijks.
Van die achterlijke Windows GUI's en bepaalde control panels voor Linux servers overschrijven alles wat ze op hun pad tegenkomen dat conflicteert als je bepaalde opties in of uitschakeld... Als de medewerker in kwestie voldoende rechten had is t snel gebeurd in dit soort situaties.

Dus een vinkje is absoluut niet vreemd en je "oplossing" zegt nogal weinig... Zeker omdat je niet weet op welke manier hun setup is ingedeeld...
Een echte IT-er roept niet zomaar wat zonder kennis van de front en backend configuratie van het bedrijf en zonder idee wat de bedoeling was... Dat is puur interessant doen.
Kan iedereen gebeuren, misschien was de request niet goed doorgekomen.
Misschien hadden ze wel hele lange dagen en drukke werkweek en een overdruk social live.

Een fout maken is iets compleet anders dan iets doelbewust doen.

We kunnen natuurlijk hard 'BOE' roepen maar kom op wie heeft er nog nooit eens een vergelijkbaar domme fout gemaakt?
ehm. dit lijkt mij eigenlijk wel het ergste.. overdrijf je niet een beetje?
"een vinkje vergeten" ... Zo een groot lek ontstaat niet door het vergeten van een vinkje. Ik blijf het bedrijf gevaarlijk vinden niet alleen om alle spionage beschuldigingen, maar ook door de grote invloed van de Chinese overheid op het bedrijf.
Het is wel degelijk een kwestie van een vinkje zo simpel kan open dir aan/uit zetten wel zijn :)

Het lek is helemaal niet groot, de gevolgen kunnen eventueel groot zijn, maar het lek ansich niet echt. Als je al van een lek kan spreken en niet gewoon een domme actie :)

[Reactie gewijzigd door watercoolertje op 11 november 2013 17:16]

Een gsm toestel was wel op zijn plaats geweest ipv een simpel bedankje is mijn mening.
Damage Control had je meer gekost.
Aan iedereen een nieuwe mobiel geven?
Het is een menselijke domme fout maar om nou aan iedereen een compleet nieuwe mobiel te geven gaat wel erg ver. Het minste wat ze zouden kunnen doen is misschien 1 jaar extra garantie.
Even mijn bericht herlezen :)
Ik heb het over een simpel bedankje voor tweaker MT08.
Niet over iedereen die er in stond.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True