OV in Nederland

Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers
Geplaatst op: dinsdag 18 mei 2010 11:12
Laatst bijgewerkt: dinsdag 18 mei 2010 11:14

Een bestelsite voor persoonlijke OV-chipkaarten blijkt lek. Hackers hadden langdurig toegang tot informatie van 168.000 reizigers. De SP wil de minister ter verantwoording roepen.

Het gaat om een website met promotiecampagnes van de provincies Gelderland, Flevoland en Overijssel om mensen in het openbaar vervoer te krijgen. Op Ervaar het OV kunnen mensen zich inschrijven om kortingsbonnen, een persoonlijke OV-chipkaart of een speciaal reisproduct voor hun OV-chipkaart te bestellen.
Door een fout in de website wordt er bij foute invoer teveel informatie terug gegeven. Daardoor is het mogelijk rechtstreeks met de database te communiceren. Zo kan er niet alleen de informatie doorzocht worden, maar is het ook mogelijk gegevens te verwijderen, toe te voegen of te veranderen. Deze zogeheten SQL-insertion aanval valt relatief eenvoudig te misbruiken en is eigenlijk een basale fout voor het maken van een site.
Lees verder

Ben ik even blij dat ik daar wel 7x mijn persoonlijke hebben en hou heb ingevuld in ruil voor kortingen en gratis chipkaarten...

Nou, dan roepen ze de minister ter verantwoording. De minister die al demissionair is en bovendien de politiek de rug toegekeerd heeft. Wat denken ze dat die gaat zeggen dan? En wat is dat nog waard?

Die hele OV-chipkaart is gewoon één groot faalproject, van A tot Z. Er deugt werkelijk helemaal niets aan.

Het is een decentraal project, dus de minister heeft er niets over te zeggen. Net zo decentraal als een stop te Hgv.

Fles schreef:Nou, dan roepen ze de minister ter verantwoording. De minister die al demissionair is en bovendien de politiek de rug toegekeerd heeft. Wat denken ze dat die gaat zeggen dan? En wat is dat nog waard?

Die hele OV-chipkaart is gewoon één groot faalproject, van A tot Z. Er deugt werkelijk helemaal niets aan.

Nog los van het feit dat de provincie Gelderland heeft lopen blunderen, en dat het niet echt met de chipkaart zelf te maken heeft maar gewoon met een brakke beveiliging van een site (die toevallig chipkaarten verstrekt, maar het had ook iets anders kunnen zijn). Maar ja, alles om in het nieuws te komen he (wat overigens niet wegneemt dat dit soort lekken ernstig zijn en serieus genomen dienen te worden...)

Ik las dit bericht al op een andere site met een iets andere titel. Ik was toen bang dat het om ov-chipkaart.nl ging. Bleek gelukkig niet zo te zijn. Desalniettemin is dit ernstig.

Internet Explorer en een goede beveiliging, het is en blijft een niet al te beste combinatie
Lang leven de strippenkaart en het het papieren treinkaartje

Dit had niks met internet explorer te maken, de applicatie op de server was niet goed in elkaar gezet.

En waar draait die applicatie uiteindelijk op, en is het gebruik primair voor ontworpen bij en door de overheid, via Internet Explorer. En van wie is dat programma, Micro$oft (en toen was de cirkel rond).

Nee, de cirkel is helemaal niet rond.

In een oude cookie van die website vind ik de tekst "PHP5SESSID". De site is dus geschreven in PHP, een open-source programmeertaal. De maker van de website heeft de code niet goed genoeg geschreven. Het werkte wel foutloos, maar was niet veilig genoeg (gegoochel met aanhalingstekens of onvoldoende controle van ingevoerde gegevens). Het maakt dus helemaal niet uit welke browser de bezoeker gebruikte, de hacker kon door slecht geschreven code in zijn browser weer gegevens uit de database trekken. Daar heeft Microsoft (want dat schrijf je nog altijd met een s!) helemaal niets mee te maken.

Meer informatie over de gebruikte hackmethode: http://nl.wikipedia.org/wiki/SQL-injectie

playertwo schreef:En waar draait die applicatie uiteindelijk op, en is het gebruik primair voor ontworpen bij en door de overheid, via Internet Explorer. En van wie is dat programma, Micro$oft (en toen was de cirkel rond).

Lees je even in of zeg niets? :X

Internet Explorer is een browser. Het probleem op deze site was een fout in de programmacode van de website, en daarvoor maakt het echt niet uit of je Internet Explorer, Firefox, Opera of Lynx gebruikt. Internet Explorer gebruik je trouwens ook niet om websites te ontwerpen.

Zelfs in het buitenland is er aandacht voor deze hack: http://www.theregister.co.uk/2010/05/18 ... cy_breach/

Hierdoor komt bij mij wel de vraag naar boven hoe het met de beveiliging van ov-chipkaart.nl zit. Die zal veel meer gebruikers hebben en daar staat nog veel meer informatie in, onder andere complete reisoverzichten waaruit mogelijk reispatronen van te identificeren individuen uit te halen zijn (handig om te weten dat Persoon A die op adres X woont op deze tijdstippen altijd weg van huis lijkt te zijn, misschien eens een bezoekje brengen aan dat lege huis).

Ik mag hopen dat ze daar nog eens kritisch naar de beveiliging kijken.

fogeltje schreef:Hierdoor komt bij mij wel de vraag naar boven hoe het met de beveiliging van ov-chipkaart.nl zit. Die zal veel meer gebruikers hebben en daar staat nog veel meer informatie in, onder andere complete reisoverzichten waaruit mogelijk reispatronen van te identificeren individuen uit te halen zijn (handig om te weten dat Persoon A die op adres X woont op deze tijdstippen altijd weg van huis lijkt te zijn, misschien eens een bezoekje brengen aan dat lege huis).

Ik mag hopen dat ze daar nog eens kritisch naar de beveiliging kijken.

Precies. Ik ben nog niet "om". Uitleg lijkt me niet nodig :N

Het zou me ook niets verbazen als dat binnen nu en 5 jaar een keertje misgaat. TLS beweert enerzijds dat de data goed en veilig worden opgeslagen, maar anderzijds zijn de transacties van iedere persoonlijke kaart bereikbaar via een server die dag en nacht verbonden is met internet. De fysieke verbinding is er, het is gewoon wachten op het moment dat deze informatie achterhaald wordt. Om nog maar te zwijgen van mogelijkheden tot phishing. Het loginformulier van ov-chipkaart.nl staat niet eens op een SSL-beveiligde pagina, laat staan dat met EV-SSL gebruikt (zodat je een groene adresbalk krijgt) :N

Overigens beweerde Eurlings vanmiddag in de kamer dat de reisgegevens 7 jaar lang bewaard moeten worden van de Belastingdienst. Twee jaar geleden beweerde de Belastingdienst nog van niet. Sowieso hoeven reisgegevens van abonnementhouders niet 7 jaar lang bewaard te blijven, die reiskosten zijn immers altijd 0 euro en daar valt geen belasting over te heffen.

Bij de inlogpagina van OV-chipkaart.nl begint de URL wel met https. Dan is de pagina toch beveiligd, of niet? Kan iemand uitleggen hoe het zit?

Klopt, maar niet als je inlogt vanaf de homepage (blok rechts op de frontpage).

Als je rechts op de pagina je gegevens invult komt dat hier terecht:

<form class="login" method="post" action="https://www.ov-chipkaart.nl:443/account/login">

Ofwel: je gegevens worden wel degelijk versleuteld verstuurd.

Nee, je gegevens worden verstuurd naar een SSL-beveiligde pagina. Het versturen gebeurd echter nog niet versleuteld

Het versturen gebeurt wel degelijk versleuteld, die gaan immers naar een HTTPS pagina.

Punt is alleen dat dat formulier zelf niet op een beveiligde pagina staat. Je zou bijvoorbeeld relatief eenvoudig die voorpagina kunnen onderscheppen en het door laten sturen naar http://www.evilhacker.nl/account/login in plaats van naar https://www.ov-chipkaart.nl:443/account/login. Gebruikers zien dat niet, want je ziet niet naar welke URL een formulier wordt gepost. Als die voorpagina wel met SSL beveiligd was kon je zo'n onderschepping niet doen.

Moraal van dit verhaal: log altijd in op https://www.ov-chipkaart.nl/login. ;)

Dat gebeurT wel degelijk versleuteld. Ik heb een tcpdump gemaakt en die laat alleen HTTPS pakketten zien, geen HTTP.