Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Alles over het Openbaar Vervoer in Flevoland, Overijssel en Gelderland.
Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Di 18 Mei 2010, 11:14

Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers
Geplaatst op: dinsdag 18 mei 2010 11:12
Laatst bijgewerkt: dinsdag 18 mei 2010 11:14


Een bestelsite voor persoonlijke OV-chipkaarten blijkt lek. Hackers hadden langdurig toegang tot informatie van 168.000 reizigers. De SP wil de minister ter verantwoording roepen.

Het gaat om een website met promotiecampagnes van de provincies Gelderland, Flevoland en Overijssel om mensen in het openbaar vervoer te krijgen. Op Ervaar het OV kunnen mensen zich inschrijven om kortingsbonnen, een persoonlijke OV-chipkaart of een speciaal reisproduct voor hun OV-chipkaart te bestellen.
Door een fout in de website wordt er bij foute invoer teveel informatie terug gegeven. Daardoor is het mogelijk rechtstreeks met de database te communiceren. Zo kan er niet alleen de informatie doorzocht worden, maar is het ook mogelijk gegevens te verwijderen, toe te voegen of te veranderen. Deze zogeheten SQL-insertion aanval valt relatief eenvoudig te misbruiken en is eigenlijk een basale fout voor het maken van een site.
Lees verder

find_your_spot
Berichten: 3046
Lid geworden op: Wo 18 Mar 2009, 09:13

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor find_your_spot » Di 18 Mei 2010, 12:26

Ben ik even blij dat ik daar wel 7x mijn persoonlijke hebben en hou heb ingevuld in ruil voor kortingen en gratis chipkaarten...
For Your Railroad Adventures

Gebruikersavatar
Fles
Berichten: 16287
Lid geworden op: Wo 12 Mar 2008, 21:19

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Fles » Di 18 Mei 2010, 15:33

Nou, dan roepen ze de minister ter verantwoording. De minister die al demissionair is en bovendien de politiek de rug toegekeerd heeft. Wat denken ze dat die gaat zeggen dan? En wat is dat nog waard?

Die hele OV-chipkaart is gewoon één groot faalproject, van A tot Z. Er deugt werkelijk helemaal niets aan.

Karl
Berichten: 3646
Lid geworden op: Do 13 Mar 2008, 21:06

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Karl » Di 18 Mei 2010, 15:35

Het is een decentraal project, dus de minister heeft er niets over te zeggen. Net zo decentraal als een stop te Hgv.
Sowieso en sinaasappelsap.
Stop de ver-s-bahn-isering van Nederland.

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Di 18 Mei 2010, 16:30

Fles schreef:Nou, dan roepen ze de minister ter verantwoording. De minister die al demissionair is en bovendien de politiek de rug toegekeerd heeft. Wat denken ze dat die gaat zeggen dan? En wat is dat nog waard?

Die hele OV-chipkaart is gewoon één groot faalproject, van A tot Z. Er deugt werkelijk helemaal niets aan.

Nog los van het feit dat de provincie Gelderland heeft lopen blunderen, en dat het niet echt met de chipkaart zelf te maken heeft maar gewoon met een brakke beveiliging van een site (die toevallig chipkaarten verstrekt, maar het had ook iets anders kunnen zijn). Maar ja, alles om in het nieuws te komen he :roll: (wat overigens niet wegneemt dat dit soort lekken ernstig zijn en serieus genomen dienen te worden...)

Gebruikersavatar
fogeltje
OVNL-beheerder
Berichten: 5692
Lid geworden op: Zo 20 Sep 2009, 14:15
Locatie: Fogeltown

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor fogeltje » Di 18 Mei 2010, 18:47

Ik las dit bericht al op een andere site met een iets andere titel. Ik was toen bang dat het om ov-chipkaart.nl ging. Bleek gelukkig niet zo te zijn. Desalniettemin is dit ernstig.
Wikibeheerder (Overleg gebruiker:Fogeltje)
"Een touringcar is geen bus"

playertwo
Berichten: 979
Lid geworden op: Vr 14 Mar 2008, 20:01

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor playertwo » Di 18 Mei 2010, 19:16

Internet Explorer en een goede beveiliging, het is en blijft een niet al te beste combinatie :twisted:
Lang leven de strippenkaart en het het papieren treinkaartje :mrgreen:

iljitsch
Berichten: 2970
Lid geworden op: Za 16 Jan 2010, 13:38
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor iljitsch » Di 18 Mei 2010, 20:45

Dit had niks met internet explorer te maken, de applicatie op de server was niet goed in elkaar gezet.

playertwo
Berichten: 979
Lid geworden op: Vr 14 Mar 2008, 20:01

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor playertwo » Di 18 Mei 2010, 23:31

En waar draait die applicatie uiteindelijk op, en is het gebruik primair voor ontworpen bij en door de overheid, via Internet Explorer. En van wie is dat programma, Micro$oft (en toen was de cirkel rond).

Gebruikersavatar
Suus
Berichten: 31534
Lid geworden op: Ma 17 Mar 2008, 17:42
Locatie: Delfshaven

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Suus » Di 18 Mei 2010, 23:48

Nee, de cirkel is helemaal niet rond.

In een oude cookie van die website vind ik de tekst "PHP5SESSID". De site is dus geschreven in PHP, een open-source programmeertaal. De maker van de website heeft de code niet goed genoeg geschreven. Het werkte wel foutloos, maar was niet veilig genoeg (gegoochel met aanhalingstekens of onvoldoende controle van ingevoerde gegevens). Het maakt dus helemaal niet uit welke browser de bezoeker gebruikte, de hacker kon door slecht geschreven code in zijn browser weer gegevens uit de database trekken. Daar heeft Microsoft (want dat schrijf je nog altijd met een s!) helemaal niets mee te maken.

Meer informatie over de gebruikte hackmethode: http://nl.wikipedia.org/wiki/SQL-injectie
Rame à l'approche

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Wo 19 Mei 2010, 00:10

playertwo schreef:En waar draait die applicatie uiteindelijk op, en is het gebruik primair voor ontworpen bij en door de overheid, via Internet Explorer. En van wie is dat programma, Micro$oft (en toen was de cirkel rond).

Lees je even in of zeg niets? :X

Internet Explorer is een browser. Het probleem op deze site was een fout in de programmacode van de website, en daarvoor maakt het echt niet uit of je Internet Explorer, Firefox, Opera of Lynx gebruikt. Internet Explorer gebruik je trouwens ook niet om websites te ontwerpen.

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Wo 19 Mei 2010, 00:15

Zelfs in het buitenland is er aandacht voor deze hack: http://www.theregister.co.uk/2010/05/18 ... cy_breach/

Gebruikersavatar
fogeltje
OVNL-beheerder
Berichten: 5692
Lid geworden op: Zo 20 Sep 2009, 14:15
Locatie: Fogeltown

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor fogeltje » Wo 19 Mei 2010, 14:48

Hierdoor komt bij mij wel de vraag naar boven hoe het met de beveiliging van ov-chipkaart.nl zit. Die zal veel meer gebruikers hebben en daar staat nog veel meer informatie in, onder andere complete reisoverzichten waaruit mogelijk reispatronen van te identificeren individuen uit te halen zijn (handig om te weten dat Persoon A die op adres X woont op deze tijdstippen altijd weg van huis lijkt te zijn, misschien eens een bezoekje brengen aan dat lege huis).

Ik mag hopen dat ze daar nog eens kritisch naar de beveiliging kijken.
Wikibeheerder (Overleg gebruiker:Fogeltje)
"Een touringcar is geen bus"

Gebruikersavatar
Fles
Berichten: 16287
Lid geworden op: Wo 12 Mar 2008, 21:19

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Fles » Wo 19 Mei 2010, 20:55

fogeltje schreef:Hierdoor komt bij mij wel de vraag naar boven hoe het met de beveiliging van ov-chipkaart.nl zit. Die zal veel meer gebruikers hebben en daar staat nog veel meer informatie in, onder andere complete reisoverzichten waaruit mogelijk reispatronen van te identificeren individuen uit te halen zijn (handig om te weten dat Persoon A die op adres X woont op deze tijdstippen altijd weg van huis lijkt te zijn, misschien eens een bezoekje brengen aan dat lege huis).

Ik mag hopen dat ze daar nog eens kritisch naar de beveiliging kijken.


Precies. Ik ben nog niet "om". Uitleg lijkt me niet nodig :N

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Wo 19 Mei 2010, 21:14

Het zou me ook niets verbazen als dat binnen nu en 5 jaar een keertje misgaat. TLS beweert enerzijds dat de data goed en veilig worden opgeslagen, maar anderzijds zijn de transacties van iedere persoonlijke kaart bereikbaar via een server die dag en nacht verbonden is met internet. De fysieke verbinding is er, het is gewoon wachten op het moment dat deze informatie achterhaald wordt. Om nog maar te zwijgen van mogelijkheden tot phishing. Het loginformulier van ov-chipkaart.nl staat niet eens op een SSL-beveiligde pagina, laat staan dat met EV-SSL gebruikt (zodat je een groene adresbalk krijgt) :N

Overigens beweerde Eurlings vanmiddag in de kamer dat de reisgegevens 7 jaar lang bewaard moeten worden van de Belastingdienst. Twee jaar geleden beweerde de Belastingdienst nog van niet. Sowieso hoeven reisgegevens van abonnementhouders niet 7 jaar lang bewaard te blijven, die reiskosten zijn immers altijd 0 euro en daar valt geen belasting over te heffen.

Gebruikersavatar
Bastiaan
Berichten: 603
Lid geworden op: Do 13 Mar 2008, 12:58
Locatie: Zwolle
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Bastiaan » Do 20 Mei 2010, 11:52

Bij de inlogpagina van OV-chipkaart.nl begint de URL wel met https. Dan is de pagina toch beveiligd, of niet? Kan iemand uitleggen hoe het zit?

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Do 20 Mei 2010, 12:02

Klopt, maar niet als je inlogt vanaf de homepage (blok rechts op de frontpage).

iljitsch
Berichten: 2970
Lid geworden op: Za 16 Jan 2010, 13:38
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor iljitsch » Do 20 Mei 2010, 12:31

Als je rechts op de pagina je gegevens invult komt dat hier terecht:

<form class="login" method="post" action="https://www.ov-chipkaart.nl:443/account/login">

Ofwel: je gegevens worden wel degelijk versleuteld verstuurd.

Gebruikersavatar
Daniel
OVNL-beheerder
Berichten: 25127
Lid geworden op: Zo 09 Mar 2008, 16:29
Locatie: Amersfoort
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Daniel » Do 20 Mei 2010, 13:13

Nee, je gegevens worden verstuurd naar een SSL-beveiligde pagina. Het versturen gebeurd echter nog niet versleuteld :wink:
Een echte trein was een ICK-trein (2002-2009)
Dagelijks Amersfoort - Utrecht en weer terug...

Mijn foto's: http://www.dbleumink.nl/ovfoto

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor Geert » Do 20 Mei 2010, 13:21

Het versturen gebeurt wel degelijk versleuteld, die gaan immers naar een HTTPS pagina.

Punt is alleen dat dat formulier zelf niet op een beveiligde pagina staat. Je zou bijvoorbeeld relatief eenvoudig die voorpagina kunnen onderscheppen en het door laten sturen naar http://www.evilhacker.nl/account/login in plaats van naar https://www.ov-chipkaart.nl:443/account/login. Gebruikers zien dat niet, want je ziet niet naar welke URL een formulier wordt gepost. Als die voorpagina wel met SSL beveiligd was kon je zo'n onderschepping niet doen.

Moraal van dit verhaal: log altijd in op https://www.ov-chipkaart.nl/login. ;)

iljitsch
Berichten: 2970
Lid geworden op: Za 16 Jan 2010, 13:38
Locatie: Den Haag
Contact:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Berichtdoor iljitsch » Do 20 Mei 2010, 13:27

Dat gebeurT wel degelijk versleuteld. Ik heb een tcpdump gemaakt en die laat alleen HTTPS pakketten zien, geen HTTP.


Terug naar “OV in Oost-Nederland”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast