' fill='%23cc3344'%3E%3C/rect%3E%3Cdefs id='SvgjsDefs1020'%3E%3C/defs%3E%3Cg id='SvgjsG1021' transform='matrix(0.76,0,0,0.76,34.56007507324219,34.46596069335938)'%3E%3Csvg xmlns='http://www.w3.org/2000/svg' xmlns:svgjs='http://svgjs.com/svgjs' xmlns:xlink='http://www.w3.org/1999/xlink' width='288' height='288'%3E%3Csvg xmlns='http://www.w3.org/2000/svg' width='288' height='288' viewBox='0 0 130 147'%3E%3Cpath fill='%23ffffff' fill-rule='evenodd' d='M 83.4 144.4 L 23.4 144.4 Q 10.8 144.4 3.2 146.6 Q 0 141.2 0 140.8 L 89 15 L 49.4 15 Q 33 15 27.8 20 Q 24.013 23.246 21.202 36.898 A 142.712 142.712 0 0 0 20.6 40 L 10 40.4 Q 8.2 31.2 8.2 19.5 A 94.37 94.37 0 0 1 8.531 11.353 Q 9.091 4.905 10.6 0 Q 18.8 2.4 27.8 2.4 L 108.2 2.4 Q 117.4 2.4 125.8 0 Q 128.4 5 128.4 6 A 5611.954 5611.954 0 0 0 91.109 58.073 Q 74.218 81.962 59.427 103.501 A 3201.989 3201.989 0 0 0 49.8 117.6 A 588.119 588.119 0 0 0 47.447 121.226 Q 42.775 128.488 41.8 130.6 L 100.6 130.6 Q 108.2 130.6 111.9 124.5 A 24.133 24.133 0 0 0 113.831 120.381 Q 116.106 114.238 117.4 103.6 L 128.8 102.2 A 230.301 230.301 0 0 1 129.958 120.847 A 205.854 205.854 0 0 1 130 125 A 105.533 105.533 0 0 1 129.367 136.805 A 83.52 83.52 0 0 1 128 145.2 Q 108 144.4 83.4 144.4 Z' class='color100000 svgShape color00b0f0' vector-effect='non-scaling-stroke'%3E%3C/path%3E%3C/svg%3E%3C/svg%3E%3C/g%3E%3C/svg%3E "zaplog")
<< error >> (our Markdown requires valid webpage links, not image links, see manual)
OV-site lekt persoonlijke data 168.000 reizigers
Een website om reizigers te verleiden om een op naam gestelde OV-chipkaart te kopen, blijkt open te staan. Aanvallers hebben de persoonlijke gegevens van ruim 168.000 reizigers in handen gekregen.
Het gaat om een website met promotiecampagnes van de provincies Gelderland, Flevoland en Overijssel om mensen in het openbaar vervoer te krijgen. Op Ervaar het OV kunnen mensen zich inschrijven om kortingsbonnen, een persoonlijke OV-chipkaart of een speciaal reisproduct voor hun OV-chipkaart te bestellen.
Lek in websiteDoor een fout in de website wordt er bij foute invoer teveel informatie terug gegeven. Daardoor is het mogelijk rechtstreeks met de database te communiceren. Zo kan er niet alleen de informatie doorzocht worden, maar is het ook mogelijk gegevens te verwijderen, toe te voegen of te veranderen. Deze zogeheten SQL-insertion aanval valt relatief eenvoudig te misbruiken en is eigenlijk een basale fout voor het maken van een site.
In de database staan op verschillende plaatsen persoonlijke gegevens van mensen, die bijvoorbeeld een op naam gestelde OV-chipkaart hebben aangevraagd. In totaal gaat dat om ruim 168.000 mensen, waarvan in ieder geval naam, adres, geboortedatum, e-mailadres en telefoonnummer zijn op te vragen. Ook zijn er databasevelden voor het opslaan van nummers van legitimatiebewijzen en duiden sommige tabellen op een akkoord voor betaling.
Hacker ins3ct3dHet lek is ontdekt door hacker ins3ct3d. Hij wil anoniem blijven, maar heeft Webwereld bewijs geleverd met een video. Daarin is te zien hoe de persoonlijke gegevens van uw verslaggever, die vorig jaar een persoonlijke OV-chipkaart heeft besteld, uit de database worden gelepeld. Opvallend is dat na verwerking de informatie ook niet uit de database verwijderd blijkt. Op uitdrukkelijk verzoek van Webwereld heeft de hacker geen verdere gegevens opgehaald.
"Zo lang de overheid de burger onveilige systemen blijft opdringen voel ik me gedwongen voor de veiligheid van mijn medeburgers te beschermen en te waarschuwen”, verklaart ins3ct3d zijn beweegredenen voor deze hack.
Hij stelt dat beveiliging een ondergeschoven kindje blijft. Het is voor hem onbegrijpelijk dat het met zoiets simpels misgaat. “Zou de overheid zijn taak enigszins uitvoeren dan hoef ik deze enorme risico's niet te nemen. Deze keer zijn het gevoelige persoonsgegevens, volgende keer vingerafdrukken of je EPD."
Minister op het matjeDe SP zegt verbijsterd te zijn over "alweer een schandaal rondom de OV-Chipkaart" en wil tijdens het vragenuurtje verkeersminister Camiel Eurlings naar de kamer roepen. "Dit is het zoveelste incident waarbij de reiziger de dupe is van de slechte organisatie achter de OV-Chipkaart. En vanaf 3 juni wil de minister (net als in Rotterdam) in de hele vervoersregio Amsterdam deze slechte en onveilige kaart gaan verplichten. Dat is onverantwoordelijk en gewoonweg dom", briest SP-Kamerlid Manja Smits tegenover Webwereld. De SP zal deze week nog een motie indienen om dit tegen te houden.
De provincie Gelderland is gistermiddag door Webwereld van de problemen op de hoogte gebracht en heeft besloten de website uit de lucht te halen tot de problemen zijn verholpen. “Eerder komt de site niet terug”, verzekert een woordvoerder. “We zijn blij dat jullie een nacht wachten met het naar buiten brengen.” Ook Govcert is door Webwereld op de hoogte gebracht, waardoor de provincie geholpen kan worden met het dichten van de gaten in de OV-chipkaartsite.
De Wet bescherming persoonsgegevens vereist dat er bij het verwerken van persoonlijke gegevens “afdoende” beveiligingsmaatregelen zijn getroffen. Eerder deze maand was er ook al twijfel over deze reissite, omdat die lokt met promotie-acties die mogelijk strijdig zijn met privacywetgeving.
Een video met het opvragen van de gegevens uit de database is beschikbaar:
Verkeerd standpunt, beveiligingsmaatregelen worden niet achteraf 'getroffen', dan is de code namelijk al zo lek als een zeef.
De bouwer van de site is http://www.dmo.nl. Een SQL Injection in een website die gemaakt is door een professioneel bedrijf, daar hield je als beetje zolderkamer bijklusser tien jaar geleden al rekening mee...
Wat een raar excuus.
Zoiets gaat alleen maar fout als je onbekwame programmeurs hebt. Bah, ik hoop dat dit soort halve oplichters toch eens door de mand valt. Maar ik ben bang dat de volgende opdracht van de provincie Gelderland voor een website toch echt weer bij dat stelletje nitwits komt te liggen.
Broodje aap?
:lol: