Pincodes van fietskluizen zichtbaar
Nieuws

Pincodes van fietskluizen zichtbaar

maandag 30 maart 2009 12:06

Persoonlijke gegevens van de 50 duizend abonnees van de OV-fietssite lagen op straat. Het lek is inmiddels gedicht.

Voor een uurtje konden 50.000 abonnees van de fietshuursite OV-fiets de profielen van andere gebruikers van de site inkijken, meldt Webwereld. De gegevens bevatten onder andere adresgegevens, bankrekeningnummers maar ook de pasnummers en pincodes om fietsen uit kluizen te halen waren zichtbaar. Ondertussen heeft de NS het lek gedicht.

Het lek werd ontdekt door beveiligingsexpert Mendel Mobach die een mail met een link naar zijn profiel op de site ontving. Toegang tot zijn profiel vergde echter geen wachtwoord en de link bevatte een volgnummer. Met dat volgnummer kon hij de profielen van andere gebruikers lezen. Na overleg met Mobach en Webwereld heeft de Nederlandse Spoorwegen het lek binnen een uur gedicht.

David schrijft al sinds jaar en dag voor Bright en heeft het voorrecht de meeste gadgets te reviewen voor de enige echte Uitpakparty. Van alle gadgets houdt David het meest van robotica en hij heeft een voorliefde voor wetenschap in al zijn facetten.

Reacties

<cite> > Voor een uurtje</cite>

Nou ja, tot een uur na de melding van deze Mendel Mobach. Zou hij de eerste zijn geweest die het in de gaten had...

Trouwens, interessante mening (van een Amerikaan...?) op <a href="http://stackoverflow.com/questions/694330/hacking-cracking-deontology">S... Overflow</a>:

<cite>> Let's say you recently discovered some major vulnerabilities
> [..]
> What would you do now?</cite>

<cite>Simply put:</cite>

<cite>Ignore it.</cite>

<cite>Your actions (however you've found it) almost always illegal. Therefore that company can take you the court and make your life miserable. Similar stuff happened before. Most of the time a lawyer can't help you.
[..]
Recently companies like Google / MS started to make public announcement about how to report security issues in their products.</cite>

 

Inderdaad. Ook in Nederland is het sinds een paar jaar verboden om urls op deze wijze te veranderen. Zelfs als elke beveiliging ontbreekt.

De beheerder op de hoogte stellen terwijl je maar niet zeker weet dat het een echt lek is zou niet iemand snel doen.

Daarom kun je dit inderdaad maar laten zitten en wachten tot echte criminelen het ontdekken en echte schade aanbrengen.

Ook deze flutwetgeving is mogelijk gemaakt door minister Donner.

 

0800-7000

meld misdaad anoniem?

 

Als je die mensen daar vetelt dat je met "hash-codes" en executables een lek hebt gevonden in iets. Denken ze meteen dat je een zware hash verslaafde bent die iemand geliquideerd heeft.

Geen goed idee...

 

Inderdaad. Ook in Nederland is het sinds een paar jaar verboden om urls op deze wijze te veranderen. Zelfs als elke beveiliging ontbreekt.

De beheerder op de hoogte stellen terwijl je maar niet zeker weet dat het een echt lek is zou niet iemand snel doen.

Daarom kun je dit inderdaad maar laten zitten en wachten tot echte criminelen het ontdekken en echte schade aanbrengen.

Ook deze flutwetgeving is mogelijk gemaakt door minister Donner.

 

Interresant! Leuk dat Bright aandacht besteed aan het onvermogen van site bouwers om de gegevens van hun klanten veilig te houden.

Jammer dat Bright over het volgende niet bericht:
http://webwereld.nl/nieuws/56635/bright-lekt-persoonsgegevens-abonnees.html

Maar ja, het lacht nu eenmaal beter om andere....

:-D

 

Nieuwsbrief