Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Alles over het Openbaar Vervoer in Overijssel en Gelderland en oostelijk Flevoland.
Plaats reactie
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers
Geplaatst op: dinsdag 18 mei 2010 11:12
Laatst bijgewerkt: dinsdag 18 mei 2010 11:14


Een bestelsite voor persoonlijke OV-chipkaarten blijkt lek. Hackers hadden langdurig toegang tot informatie van 168.000 reizigers. De SP wil de minister ter verantwoording roepen.

Het gaat om een website met promotiecampagnes van de provincies Gelderland, Flevoland en Overijssel om mensen in het openbaar vervoer te krijgen. Op Ervaar het OV kunnen mensen zich inschrijven om kortingsbonnen, een persoonlijke OV-chipkaart of een speciaal reisproduct voor hun OV-chipkaart te bestellen.
Door een fout in de website wordt er bij foute invoer teveel informatie terug gegeven. Daardoor is het mogelijk rechtstreeks met de database te communiceren. Zo kan er niet alleen de informatie doorzocht worden, maar is het ook mogelijk gegevens te verwijderen, toe te voegen of te veranderen. Deze zogeheten SQL-insertion aanval valt relatief eenvoudig te misbruiken en is eigenlijk een basale fout voor het maken van een site.
Lees verder
find_your_spot
Berichten: 3050
Lid geworden op: wo 18 mar 2009, 09:13

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door find_your_spot »

Ben ik even blij dat ik daar wel 7x mijn persoonlijke hebben en hou heb ingevuld in ruil voor kortingen en gratis chipkaarten...
For Your Railroad Adventures
Fles
Berichten: 16426
Lid geworden op: wo 12 mar 2008, 21:19

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Fles »

Nou, dan roepen ze de minister ter verantwoording. De minister die al demissionair is en bovendien de politiek de rug toegekeerd heeft. Wat denken ze dat die gaat zeggen dan? En wat is dat nog waard?

Die hele OV-chipkaart is gewoon één groot faalproject, van A tot Z. Er deugt werkelijk helemaal niets aan.
Karl
Berichten: 4136
Lid geworden op: do 13 mar 2008, 21:06

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Karl »

Het is een decentraal project, dus de minister heeft er niets over te zeggen. Net zo decentraal als een stop te Hgv.
Het is een spectrum.
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

Fles schreef:Nou, dan roepen ze de minister ter verantwoording. De minister die al demissionair is en bovendien de politiek de rug toegekeerd heeft. Wat denken ze dat die gaat zeggen dan? En wat is dat nog waard?

Die hele OV-chipkaart is gewoon één groot faalproject, van A tot Z. Er deugt werkelijk helemaal niets aan.
Nog los van het feit dat de provincie Gelderland heeft lopen blunderen, en dat het niet echt met de chipkaart zelf te maken heeft maar gewoon met een brakke beveiliging van een site (die toevallig chipkaarten verstrekt, maar het had ook iets anders kunnen zijn). Maar ja, alles om in het nieuws te komen he :roll: (wat overigens niet wegneemt dat dit soort lekken ernstig zijn en serieus genomen dienen te worden...)
Gebruikersavatar
fogeltje
Oud-beheerder OVNL
Berichten: 6230
Lid geworden op: zo 20 sep 2009, 14:15
Locatie: Fogeltown

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door fogeltje »

Ik las dit bericht al op een andere site met een iets andere titel. Ik was toen bang dat het om ov-chipkaart.nl ging. Bleek gelukkig niet zo te zijn. Desalniettemin is dit ernstig.
"Een touringcar is geen bus"
playertwo
Berichten: 1179
Lid geworden op: vr 14 mar 2008, 20:01

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door playertwo »

Internet Explorer en een goede beveiliging, het is en blijft een niet al te beste combinatie :twisted:
Lang leven de strippenkaart en het het papieren treinkaartje :mrgreen:
iljitsch
Berichten: 2970
Lid geworden op: za 16 jan 2010, 13:38
Locatie: Den Haag

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door iljitsch »

Dit had niks met internet explorer te maken, de applicatie op de server was niet goed in elkaar gezet.
playertwo
Berichten: 1179
Lid geworden op: vr 14 mar 2008, 20:01

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door playertwo »

En waar draait die applicatie uiteindelijk op, en is het gebruik primair voor ontworpen bij en door de overheid, via Internet Explorer. En van wie is dat programma, Micro$oft (en toen was de cirkel rond).
Gebruikersavatar
Suus
Berichten: 50852
Lid geworden op: ma 17 mar 2008, 17:42
Locatie: Delfshaven
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Suus »

Nee, de cirkel is helemaal niet rond.

In een oude cookie van die website vind ik de tekst "PHP5SESSID". De site is dus geschreven in PHP, een open-source programmeertaal. De maker van de website heeft de code niet goed genoeg geschreven. Het werkte wel foutloos, maar was niet veilig genoeg (gegoochel met aanhalingstekens of onvoldoende controle van ingevoerde gegevens). Het maakt dus helemaal niet uit welke browser de bezoeker gebruikte, de hacker kon door slecht geschreven code in zijn browser weer gegevens uit de database trekken. Daar heeft Microsoft (want dat schrijf je nog altijd met een s!) helemaal niets mee te maken.

Meer informatie over de gebruikte hackmethode: http://nl.wikipedia.org/wiki/SQL-injectie
Raadpleeg de praktische modaliteiten staande op de achterzijde van dit bericht voor het indienen van een reactie.
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

playertwo schreef:En waar draait die applicatie uiteindelijk op, en is het gebruik primair voor ontworpen bij en door de overheid, via Internet Explorer. En van wie is dat programma, Micro$oft (en toen was de cirkel rond).
Lees je even in of zeg niets? :X

Internet Explorer is een browser. Het probleem op deze site was een fout in de programmacode van de website, en daarvoor maakt het echt niet uit of je Internet Explorer, Firefox, Opera of Lynx gebruikt. Internet Explorer gebruik je trouwens ook niet om websites te ontwerpen.
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

Zelfs in het buitenland is er aandacht voor deze hack: http://www.theregister.co.uk/2010/05/18 ... cy_breach/
Gebruikersavatar
fogeltje
Oud-beheerder OVNL
Berichten: 6230
Lid geworden op: zo 20 sep 2009, 14:15
Locatie: Fogeltown

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door fogeltje »

Hierdoor komt bij mij wel de vraag naar boven hoe het met de beveiliging van ov-chipkaart.nl zit. Die zal veel meer gebruikers hebben en daar staat nog veel meer informatie in, onder andere complete reisoverzichten waaruit mogelijk reispatronen van te identificeren individuen uit te halen zijn (handig om te weten dat Persoon A die op adres X woont op deze tijdstippen altijd weg van huis lijkt te zijn, misschien eens een bezoekje brengen aan dat lege huis).

Ik mag hopen dat ze daar nog eens kritisch naar de beveiliging kijken.
"Een touringcar is geen bus"
Fles
Berichten: 16426
Lid geworden op: wo 12 mar 2008, 21:19

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Fles »

fogeltje schreef:Hierdoor komt bij mij wel de vraag naar boven hoe het met de beveiliging van ov-chipkaart.nl zit. Die zal veel meer gebruikers hebben en daar staat nog veel meer informatie in, onder andere complete reisoverzichten waaruit mogelijk reispatronen van te identificeren individuen uit te halen zijn (handig om te weten dat Persoon A die op adres X woont op deze tijdstippen altijd weg van huis lijkt te zijn, misschien eens een bezoekje brengen aan dat lege huis).

Ik mag hopen dat ze daar nog eens kritisch naar de beveiliging kijken.
Precies. Ik ben nog niet "om". Uitleg lijkt me niet nodig :N
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

Het zou me ook niets verbazen als dat binnen nu en 5 jaar een keertje misgaat. TLS beweert enerzijds dat de data goed en veilig worden opgeslagen, maar anderzijds zijn de transacties van iedere persoonlijke kaart bereikbaar via een server die dag en nacht verbonden is met internet. De fysieke verbinding is er, het is gewoon wachten op het moment dat deze informatie achterhaald wordt. Om nog maar te zwijgen van mogelijkheden tot phishing. Het loginformulier van ov-chipkaart.nl staat niet eens op een SSL-beveiligde pagina, laat staan dat met EV-SSL gebruikt (zodat je een groene adresbalk krijgt) :N

Overigens beweerde Eurlings vanmiddag in de kamer dat de reisgegevens 7 jaar lang bewaard moeten worden van de Belastingdienst. Twee jaar geleden beweerde de Belastingdienst nog van niet. Sowieso hoeven reisgegevens van abonnementhouders niet 7 jaar lang bewaard te blijven, die reiskosten zijn immers altijd 0 euro en daar valt geen belasting over te heffen.
Bastiaan
Berichten: 620
Lid geworden op: do 13 mar 2008, 12:58
Locatie: Zwolle

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Bastiaan »

Bij de inlogpagina van OV-chipkaart.nl begint de URL wel met https. Dan is de pagina toch beveiligd, of niet? Kan iemand uitleggen hoe het zit?
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

Klopt, maar niet als je inlogt vanaf de homepage (blok rechts op de frontpage).
iljitsch
Berichten: 2970
Lid geworden op: za 16 jan 2010, 13:38
Locatie: Den Haag

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door iljitsch »

Als je rechts op de pagina je gegevens invult komt dat hier terecht:

<form class="login" method="post" action="https://www.ov-chipkaart.nl:443/account/login">

Ofwel: je gegevens worden wel degelijk versleuteld verstuurd.
Gebruikersavatar
Daniel
OVNL-bestuurslid
Berichten: 39115
Lid geworden op: zo 09 mar 2008, 16:29
Locatie: Amersfoort
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Daniel »

Nee, je gegevens worden verstuurd naar een SSL-beveiligde pagina. Het versturen gebeurd echter nog niet versleuteld :wink:
Schapekop in de Keistad
Dagelijks Amersfoort - Veenendaal-De Klomp en weer terug...

Mijn foto's: https://www.flickr.com/dbleumink/
Gebruikersavatar
Geert
OVNL-bestuurslid
Berichten: 12543
Lid geworden op: zo 09 mar 2008, 16:43
Locatie: Utrecht
Contacteer:

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door Geert »

Het versturen gebeurt wel degelijk versleuteld, die gaan immers naar een HTTPS pagina.

Punt is alleen dat dat formulier zelf niet op een beveiligde pagina staat. Je zou bijvoorbeeld relatief eenvoudig die voorpagina kunnen onderscheppen en het door laten sturen naar http://www.evilhacker.nl/account/login in plaats van naar https://www.ov-chipkaart.nl:443/account/login. Gebruikers zien dat niet, want je ziet niet naar welke URL een formulier wordt gepost. Als die voorpagina wel met SSL beveiligd was kon je zo'n onderschepping niet doen.

Moraal van dit verhaal: log altijd in op https://www.ov-chipkaart.nl/login. ;)
iljitsch
Berichten: 2970
Lid geworden op: za 16 jan 2010, 13:38
Locatie: Den Haag

Re: Ervaarhetov.nl lekt persoonlijke data 168.000 reizigers

Bericht door iljitsch »

Dat gebeurT wel degelijk versleuteld. Ik heb een tcpdump gemaakt en die laat alleen HTTPS pakketten zien, geen HTTP.
Plaats reactie

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 36 gasten