Privacy - Wat niemand over je mag weten

Onbeveligd webformulier restitutie Wageningen 45 srvicekaart

11-05-2015, 00:08 door Anoniem, 19 reacties
Op Bevrijdingsdag lekker feest gevierd in Wageningen.
Daar bleek het aloude systeem van betalen-met-muntjes vervangen door een hypermoderne "servicekaart".

De restitutie van het bedrag wat nog op de kaart staat kan echter alleen via een onbeveiligde http verbinding:

http://www.wageningen45cashless.com/restitutie-aanvragen/

Is dit überhaupt nog legaal?
Het lijkt mij persoonlijk niet zo heel erg handig om je voornaam, achternaam, e-mail adres en IBAN via die manier aan de grote klok te hangen.
Reacties (19)
11-05-2015, 11:00 door Vandy
Onderaan de pagina staat ook een postbusnummer, dus je kunt het vast ook via de snail mail doen.
11-05-2015, 13:49 door Anoniem
Door Vandy: Onderaan de pagina staat ook een postbusnummer, dus je kunt het vast ook via de snail mail doen.
Ja, dan gaat waarschijnlijk de stagiaire op dat kantoortje via het zelfde onveilige webformulier mijn gegevens op die site invullen.
Daar schiet ik echt heel veel mee op, zo'n reactie...
11-05-2015, 14:34 door dhr. Wiggers - Bijgewerkt: 11-05-2015, 14:39
In feite kan dit niet meer in deze tijden. Hoewel volgens mij nergens in de wet staat dat je gegevens verplicht via HTTPS moet verzenden, maar er staat wel dat deze gegevens voldoende beveiligd moeten zijn.
Dit komt er in de praktijk neer dat er verplicht gebruik van HTTPS moet worden gemaakt, omdat persoonsgegevens volgens de wet bescherming persoonsgegevens, zorgvuldig moeten worden behandeld. Het NIET gebruik maken van HTTPS kan worden aangemerkt als onzorgvuldig handelen.

http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_12-01-2012
11-05-2015, 16:24 door Anoniem
Door dhr. Wiggers: In feite kan dit niet meer in deze tijden. Hoewel volgens mij nergens in de wet staat dat je gegevens verplicht via HTTPS moet verzenden, maar er staat wel dat deze gegevens voldoende beveiligd moeten zijn.
Dit komt er in de praktijk neer dat er verplicht gebruik van HTTPS moet worden gemaakt, omdat persoonsgegevens volgens de wet bescherming persoonsgegevens, zorgvuldig moeten worden behandeld. Het NIET gebruik maken van HTTPS kan worden aangemerkt als onzorgvuldig handelen.

http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_12-01-2012

Hartelijk dank voor de link. Artikel 13 lijkt mij duidelijk van toepassing.
11-05-2015, 17:08 door Anoniem
Het lijkt mij persoonlijk niet zo heel erg handig om je voornaam, achternaam, e-mail adres en IBAN via die manier aan de grote klok te hangen.
Die gegevens weet je internetprovider allemaal al... ;-)

Wat denk je precies welk groot risico je loopt, en wat jouw gaat overkomen als je toch http gebruikt?
Ik bedoel: de theorie kennen we nu wel, en die klopt. Geen speld tussen te krijgen dat https veiliger kan zijn dan http.
Maar wees eens realistisch: wat zal jou hoogst waarschijnlijk in de praktijk overkomen als je toch http zou gebruiken?

Had trouwens hetzelfde idee dat Art.13 hier van toepassing is.
12-05-2015, 01:20 door Erik van Straten
Naast het niet gebruiken van https ontbreekt een DNS-relatie met www.wageningen45.nl. Waarom zou www.wageningen45cashless.com geen ordinaire phishing site zijn? Wie kiest in hemelsnaam zo'n lange, voor typo's gevoelige, domainname eindigend op .com?

Daarnaast, als ik http://www.wageningen45cashless.com/restitutie-aanvragen/ bekijk krijg ik niet het gevoel dat ik er verstandig aan doe om daar mijn gegevens achter te laten.

Het niet gebruiken van https kan wel eens in lijn zijn met het overige beveiligingsniveau (server, achterliggende systemen, personen die toegang hebben etc). In dat geval is de enige meerwaarde van https dat de verbinding van browser naar server versleuteld is, wat in elk geval op dat traject voorkomt dat derden (public Wi-Fi, gemanipuleerde router instellingen) jouw gegevens bemachtigen.

En dat je gaat twijfelen kon wel eens precies de bedoeling zijn - hoe minder mensen om restitutie vragen, hoe beter...
12-05-2015, 08:20 door Anoniem
Meld dit soort dingen ook vooral bij de organisatie zelf, dit jaar was voor het eerst dat de servicekaart werd gebruikt, er zijn dus nog wat kinderziektes, verborgen gebreken, noem het maar. Feedback van bezoekers is belangrijk om het festival te blijven verbeteren. Met een beetje geluk leren ze ervan en wordt er iets aan gedaan (of is dit de nagel in de doodskist van de servicekaart, zal ook door flink wat mensen gewaardeerd worden)
12-05-2015, 08:39 door Vandy
Door Anoniem:
Daar schiet ik echt heel veel mee op, zo'n reactie...
O sorry, ik had natuurlijk moeten schrijven: ZOMG! Panics! O noes! Call the FBI! Aluhoedjes naar stealthmode.
12-05-2015, 12:37 door Anoniem
Mogen ze wel om je IBAN vragen? Wat gaan ze daar mee doen?
12-05-2015, 15:05 door Anoniem
Door Anoniem: Meld dit soort dingen ook vooral bij de organisatie zelf, dit jaar was voor het eerst dat de servicekaart werd gebruikt, er zijn dus nog wat kinderziektes, verborgen gebreken, noem het maar. Feedback van bezoekers is belangrijk om het festival te blijven verbeteren. Met een beetje geluk leren ze ervan en wordt er iets aan gedaan (of is dit de nagel in de doodskist van de servicekaart, zal ook door flink wat mensen gewaardeerd worden)

Het niet gebruiken van een veilige infrastructuur als je mensen om hun rekeningnummer vraagt, dat was vijf of tien jaar geleden nog een "kinderziekte". Dat is in 2015 gewoon grove nalatigheid.
Ik heb ze een e-mail gestuurd met mijn klacht. Kreeg een keurig auto-responder berichtje dat ze binnen 24 uur contact opnemen. Dat is nu 48 uur geleden. Ik wacht af...
12-05-2015, 15:06 door Anoniem
Door Vandy:
Door Anoniem:
Daar schiet ik echt heel veel mee op, zo'n reactie...
O sorry, ik had natuurlijk moeten schrijven: ZOMG! Panics! O noes! Call the FBI! Aluhoedjes naar stealthmode.

https://nl.wikipedia.org/wiki/Trol_%28internet%29
12-05-2015, 15:29 door Anoniem
Door Anoniem: Mogen ze wel om je IBAN vragen? Wat gaan ze daar mee doen?

Geld van je rekening halen.... *zucht*
12-05-2015, 15:50 door Anoniem
Door Erik van Straten: Naast het niet gebruiken van https ontbreekt een DNS-relatie met www.wageningen45.nl. Waarom zou www.wageningen45cashless.com geen ordinaire phishing site zijn? Wie kiest in hemelsnaam zo'n lange, voor typo's gevoelige, domainname eindigend op .com?

Maar www.wageningen45cashless.com heeft wel een relatie met www.wageningen45.nl:
http://www.wageningen45.nl/action/news/item/100/verlenging-restitutie-termijn.html (zie onderaan).
En de website zal ook wel op de kaart vermeld staan. Daarom geloof ik niet dat het een fishingsite is.
Of in elk geval niet eentje met bijzonder kwaadaardige bedoelingen.

Verder zie ik: er hangt wel een certificaat achter https://www.wageningen45cashless.com, maar SSL is onbetrouwbaar.
Ook een name mismatch: hij is eigenlijk bedoeld voor *.cu4xs.com (uitspraak:see-you-for-access.kom) Leuke naam.
uppgr8.com heeft zo te zien ook iets met het evenement te maken. (daar heeft men zeker de financiën aan uitbesteed, en komen jouw bankgegevens terecht? Not sure)

Mogelijk heeft men door slechte planning of onkunde niet op tijd een fatsoenlijke beveiligde verbinding kunnen neerzetten?
En heeft men het zo goedkoop mogelijk willen doen, zodat geldteruggave tenminste nog mogelijk was.
Erg slordig en onwenselijk dat jouw gegevens daardoor tijdens het overzenden onverhuld het openbare internet op gaan,
terwijl ook de zekerheid of je wel met de echte, correcte website bent verbonden zo een stuk minder is.

Mocht je zelf een directe internetverbinding (zonder WiFi) hebben bij een vertrouwde provider die je gegevens toch al heeft,
en je zit als enige op je eigen netwerkje waarop geen enkel apparaat is gehackt of besmet, dan is in dit geval het risico dat het heel erg mis gaat denk ik ook weer niet zo vreselijk groot. Wel slaan inlichtingendiensten het mogelijk stiekem op, en het is maar net hoe bang je daar voor bent. Mocht het nog "fouter" gaan, dan zou dat wel heel erg toevallig zijn. Maar hoe dan ook: misschien toch nog steeds een te groot risico voor misschien maar een klein bedrag dat je terug kan krijgen? Immers ook je bankgegevens komen ten slotte terecht bij een organisatie die jij niet kent. Aan jou om die te vertrouwen of niet. Het is misschien wel wat bedenkelijk, en ik zou het er zelf waarschijnlijk dan maar bij laten zitten
als het om een klein bedrag gaat. Een stille donatie aan het evenement zullen we maar zeggen.

Terugkoppelen aan de organisator is aan te bevelen, met een opgave van zaken die jouw niet bevallen en waarom.
Maar probeer je ook te realiseren dat er misschien geen erg veel beter goed werkbaar alternatief is te bedenken.
Ook bij werkende https blijft het nl. de vraag bij welke partij(en) jouw gegevens nu precies terechtkomen, en hoe veilig de server is waarop die gegevens worden opgeslagen. En hoe kwetsbaar maakt dat jou dan? Of valt het wel mee?
Ondertussen is het een beetje de vraag of je niet de meeste risico's loopt wanneer je naar het evenement toerijdt... ;-)

Mvg, cluc-cluc
13-05-2015, 00:17 door Anoniem
Het verbaasd mij ook hoeveel bedrijven bij formulieren nog steeds alleen HTTP verbindingen gebruiken. Moest er laatst ook een invullen omdat ik wilde solliciteren naar een baan ergens. Vroegen ze ook doodleuk een BSN nummer wat ze naar mijn idee niet eens mogen vragen volgens de wet en dan ook nog verwachten dat je het onbeveiligd verstuurd. Heb dus ook maar bedrijf gemaild dat ik daar 0000 heb ingevuld omdat ik dat niet doorgeef tenzij strikt noodzakelijk en al helemaal niet online via HTTP verbinding.
13-05-2015, 07:11 door Erik van Straten - Bijgewerkt: 13-05-2015, 09:42
Door Anoniem:
Door Erik van Straten: Naast het niet gebruiken van https ontbreekt een DNS-relatie met www.wageningen45.nl. Waarom zou www.wageningen45cashless.com geen ordinaire phishing site zijn? Wie kiest in hemelsnaam zo'n lange, voor typo's gevoelige, domainname eindigend op .com?

Maar www.wageningen45cashless.com heeft wel een relatie met www.wageningen45.nl:
http://www.wageningen45.nl/action/news/item/100/verlenging-restitutie-termijn.html (zie onderaan).
Wellicht, maar daar moet je naar zoeken. Als de site [www.] cashless.wageningen45.nl had geheten was de relatie impliciet geweest.

En de website zal ook wel op de kaart vermeld staan.
Ongetwijfeld, maar overtikken lijdt tot typo's (vooral op smartphones met kleine schermpjes), en er is een levendige handel in typosquatting domains (op het IP adres van mediamartk.nl stonden laatst meer dan 100.000 bewust foutgespelde domainnames geregistreerd en 1000 wijzigingen per dag is geen uitzondering, zie https://www.virustotal.com/en/ip-address/95.211.117.206/information/). Met *.wageningen45.nl beperk je de kans op typfouten een beetje. En als je mensen vaak genoeg uitlegt (doen we te weinig denk ik) dat *.naam.tld van "naam.tld" is, gaan ze dat hopelijk snappen en onthouden.

Daarom geloof ik niet dat het een fishingsite is.
Of in elk geval niet eentje met bijzonder kwaadaardige bedoelingen.
Eens, maar aan de domainname kun je dat niet zien. Als een crimineel nu wageningen45cashless.nl registreert en massaal spam verstuurt (of erger, als het de crimineel lukt om de de database van wageningen45cashless.com te plunderen en selectief te spammen) met "u heeft een prijs gewonnen!" (niet onverwacht, die worden toegezegd op de echte site) zullen er vast wel mensen zij die zich laten overhalen domme dingen te doen.

Mijn punt is dat er bij het bedenken van domainnames vaak niet wordt nagedacht over mogelijke consequenties en er geen gebruik gemaakt wordt van de impliciete bescherming (ook zeker niet perfect, maar > 0) van het hiërarchische DNS.

Aanvulling 07:36: VT link toegevoegd; 09:42: typo gecorrigeerd
14-05-2015, 00:05 door Anoniem
Vandaag, 07:11 door Erik van Straten - Bijgewerkt: Vandaag, 09:42 :
Als de site [www.] cashless.wageningen45.nl had geheten was de relatie impliciet geweest.
Mijn punt is dat er bij het bedenken van domainnames vaak niet wordt nagedacht over mogelijke consequenties en er geen gebruik gemaakt wordt van de impliciete bescherming (ook zeker niet perfect, maar > 0) van het hiërarchische DNS.
Bedoel je soms dat bijv. "[www.] cashless.wageningen45.nl" absoluut door niemand anders dan door de houder van "wageningen45.nl" geregistreerd kan zijn, en dus nooit door een fraudeur? En dat zulke hiërarchische DNS daarom zoveel beter is? Volgens mij heb ik in een ver verleden wel eens een geval meegemaakt waar dit niet zo was.
Of waarin zit dan precies dat stukje extra impliciete bescherming van hiërarchische DNS waar je werkelijk iets aan hebt?
Ik zie het even niet. Please help.

Mvg, cluc-cluc
14-05-2015, 09:49 door Erik van Straten - Bijgewerkt: 14-05-2015, 09:53
Door Anoniem: Bedoel je soms dat bijv. "[www.] cashless.wageningen45.nl" absoluut door niemand anders dan door de houder van "wageningen45.nl" geregistreerd kan zijn, en dus nooit door een fraudeur? En dat zulke hiërarchische DNS daarom zoveel beter is?
Ja, dat bedoel ik. Althans, zo zou het moeten werken.

Als dat niet zo zou zijn, zou ik bijv. bankieren.ing.nl kunnen laten registreren en naar een IP adres van mijn keuze laten wijzen (inclusief MX records voor mail). Vervolgens maak ik een e-mail account administrator@bankieren.ing.nl aan en zal daarmee probleemloos een DV (domain validated) https server certificaat kunnen kopen. Als ik vervolgens de pagina https://bankieren.ing.nl/ er net zo uit zou laten zien als https://mijn.ing.nl/ (waar nodig de tekst "mijn." vervangen door "bankieren.") zou ik een nagenoeg perfecte phishing site in m'n bezit hebben.

Begrijp me niet verkeerd: dat webbrowsers geen verschil tonen tussen DV certs en duurdere non-EV certificaten (waarbij de certificaatverstrekker wel meer of minder grondig heeft gecontroleerd of de aanvrager geautoriseerd is die aanvraag te doen namens de betreffende organisatie), is heel jammer. Maar DV certificaten zouden totaal waardeloos zijn als DNS geen hiërarchisch systeem zou zijn qua eigenaar.

Volgens mij heb ik in een ver verleden wel eens een geval meegemaakt waar dit niet zo was.
Dat kun je nooit helemaal uitsluiten.

In https://en.wikipedia.org/wiki/Domain_Name_System#Structure zie je in het plaatje "lussen" die weergeven "zone of authority, managed by a nameserver". Die nameserver wordt de authoritative nameserver voor het specifieke domain en alle subdomains genoemd. Daarop zijn uitzonderingen mogelijk middels delegation, maar dat moet je dan wel op die (parent) nameserver configureren.

Als de beheerder van een organisatie een zwak wachtwoord gebruikt bij de domain registrar (waar dergelijke nameservers meestal staan), kan een aanvaller (die het wachtwoord raadt) ervoor kiezen om niet een primaire server over te nemen, maar (minder opvallend) een vals subdomain aan te maken. Ook kunnen mensen met schrijftoegang tot DNS records soms op het verkeerde been gezet worden of zelf "bijverdienen".

Daarnaast zul je elke DNS server "onderweg" moeten vertrouwen, om te beginnen diegene(n) die jouw PC gebruikt (zie bijv. de discussie in https://www.security.nl/posting/404547/OpenDNS+geeft+certificaatfout+op+Internet_). Als jouw PC die instellingen via DHCP uit jouw thuisrouter krijgt en die is gehacked, ben je volledig aan de aanvallers overgeleverd v.w.b. DNS. Nog een scenario: malware met adminrechten op jouw PC kan regels aan jouw hosts file toevoegen. Ten slotte gebruikt DNS meestal UDP pakketjes, en die zijn eenvoudig te spoofen (afzenderadres vervalsen).

Ik kan zo snel geen andere scenario's bedenken, graag word ik aangevuld of gecorrigeerd!
14-05-2015, 23:22 door Anoniem
Vandaag, 09:49 door Erik van Straten - Bijgewerkt: Vandaag, 09:53 :................etc.
Ha, fijn! Dank je Erik. Dan is dat tenminste weer duidelijk. :-)

Maar het kan natuurlijk nog zijn dat het wageningen'45 commitée deze "servicekaart financiën" heeft uitbesteed aan een derde partij, die hier dan zelf een aparte website voor moest opzetten. Door ervoor te zorgen dat de url begint met "www." en eindigt op ".com" zal de autofixup waar de meeste browsers gebruik van maken als de site niet op tijd antwoordt in dit geval niet kunnen leiden naar fishingsites eindigend op .com (of beginnend met www.), omdat "www." en ".com" al aan begin en eind in de URL zitten, nietwaar? Dus in dat geval misschien nog niet eens zo "schandalig slecht" bedacht? ;-)
(even afgezien natuurlijk van het gebrek aan https...)

Mvg, cluc-cluc
15-05-2015, 06:56 door Erik van Straten - Bijgewerkt: 15-05-2015, 12:42
Door Anoniem: Ha, fijn! Dank je Erik.
Graag gedaan, en "zegt het voort" :)

Maar het kan natuurlijk nog zijn dat het wageningen'45 commitée deze "servicekaart financiën" heeft uitbesteed aan een derde partij, die hier dan zelf een aparte website voor moest opzetten.
Tuurlijk. M.i. is het dan ook de ondoordachtheid van die derde partij dat zij niet aan Wageningen45 hebben gevraagd een DNS record voor cashless.wageningen45.nl aan te maken (met een IP adres naar keuze van die derde partij). Dat is namelijk iets dat een fraudeur niet eenvoudig kan doen (mits de medewerkers van Wageningen45 zich niet laten foppen).

Zowel uit eigenbelang, als om opvoedkundige redenen (helaas is dit schering en inslag), is telkens een nieuwe naam.tld aanmaken buitengewoon onverstandig. Enkele redenen: voor elke naam.tld die je bedenkt en registreert kunnen phishers weer allerlei variaties bedenken (naast op de naam ook tld: nl, com, eu, bank, lol etc.). En letterlijk last but not least: zodra de eigenaar stopt met een domain (bewust of vergeten te verlengen), staan phishers in de rij om dat op hun naam te laten zetten (zie bijv. https://www.security.nl/posting/417132/Politie+laat+geregistreerde+domeinnamen+verlopen). En het (aanvulling 12:42 - ik bedoel een subdomain aan (laten) maken) is vermoedelijk goedkoper.

Toegegeven, een nadeel voor die derde partij is dat zij bij Wageningen45 moeten aankloppen als ze een IP adres willen wijzigen. Een alternatief voor die derde partij is dat zij zelf bekendheid en vertrouwen met een eigen domainname opbouwt, bijv. www.cashlessbv.nl - dan was wageningen45.cashlessbv.nl beter geweest dan de huidige domainname. Met een *.cashlessbv.nl certificaat (bruikbaar voor alle subdomains) blijven de kosten laag en had de TS niet geklaagd...

Door ervoor te zorgen dat de url begint met "www." en eindigt op ".com" zal de autofixup waar de meeste browsers gebruik van maken als de site niet op tijd antwoordt in dit geval niet kunnen leiden naar fishingsites eindigend op .com (of beginnend met www.), omdat "www." en ".com" al aan begin en eind in de URL zitten, nietwaar? Dus in dat geval misschien nog niet eens zo "schandalig slecht" bedacht? ;-)
Eens, maar ik kan me ook voorstellen dat iemand van z'n kaart "wageningen45cashless" afleest en gokt dat hij daar ".nl" achter moet typen...

Kortom, ik hoop dat mensen die domainnames aanvragen wat beter gaan nadenken. En dat surfers wat beter begrijpen hoe DNS werkt en daardoor minder snel in de vele vallen trappen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.