Nieuws
image

Data honderdduizenden leaserijders was slecht beveiligd

maandag 7 augustus 2017, 09:24 door Redactie, 9 reacties
Laatst bijgewerkt: 07-08-2017, 11:47

De persoonlijke gegevens van honderdduizenden leaserijders waren slecht beveiligd, waardoor onbevoegden er toegang toe hadden kunnen krijgen. Het ging om de gegevens van klanten van tenminste 52 leasemaatschappijen, zo laat anti-virusbedrijf ESET in een persbericht weten.

De toegang tot de gegevens van leaserijders was in de meeste gevallen mogelijk door beveiligingslekken in het softwarepakket dat het merendeel van de Nederlandse leasemaatschappijen voor hun portaal gebruikt. In een rapport stelt ESET dat het om Session Prediction en Insecure Direct Object References ging (pdf). De maatschappijen hadden allemaal een eigen versie van het portaal, dat op één server draaide. Voor elk portaal was er wel een aparte database, maar elk portaal maakte verbinding met hetzelfde account. Daardoor was het mogelijk om gegevens bij alle aangesloten leasemaatschappijen op te vragen.

Het lukte een onderzoeker om de eigen auto en zijn privégegevens op te vragen, terwijl de wagen bij een andere leasemaatschappij was ondergebracht. "Neem van mij aan dat het terugvinden van je eigen privégegevens een extra dimensie geeft aan de impact van een datalek", aldus Donny Maasland van ESET. De expert kreeg eenvoudig toegang tot alle klantgegevens van maatschappijen die met de bewuste software werkten. Na te zijn ingelicht heeft de leverancier de kwetsbaarheden verholpen.

Image

Reacties (9)
07-08-2017, 10:44 door Anoniem
Uh...Bron?
07-08-2017, 11:22 door Anoniem
Via een z.g. session prediction attack kon Eset toegang krijgen tot andere leasegebruikers.
https://tweakers.net/nieuws/128045/berijdersgegevens-van-52-leasebedrijven-waren-toegankelijk-via-server.html
07-08-2017, 11:30 door Anoniem
Wat klopt er niet in dit plaatje.
Eset = anti virusbedrijf
Anti virus bedrijf toont lek bij "potentiële" klanten.

Een simpele melding naar de getroffen bedrijven was voldoende.
07-08-2017, 11:32 door Anoniem
Door Anoniem: Uh...Bron?
zo laat anti-virusbedrijf ESET in een persbericht weten
07-08-2017, 12:40 door karma4
Door Anoniem: ....
Anti virus bedrijf toont lek bij "potentiële" klanten..
Eset was als nieuwe potentiële klant op zoek naar een autoleasebedrijf. Als specialist in ict security gaan ze natuurlijk even de site van een potentiële leverancier af.
Dat de fouten binnen een dag te herstellen zijn duidt op gangbare coding problemen.
07-08-2017, 13:06 door Anoniem
Door karma4:
Door Anoniem: ....
Anti virus bedrijf toont lek bij "potentiële" klanten..
Eset was als nieuwe potentiële klant op zoek naar een autoleasebedrijf. Als specialist in ict security gaan ze natuurlijk even de site van een potentiële leverancier af.
Dat de fouten binnen een dag te herstellen zijn duidt op gangbare coding problemen.
Maar wat bleek: autoleasebedrijven maken niet zelf hun site maar kopen dat ergens in. Want je kunt het beter door
de experts laten doen dan dat zelf regelen, weet een manager.
07-08-2017, 13:47 door Anoniem
En wat krijg je dan? Allerlei vreemde autobedrijven die je post sturen omdat ze graag je auto die vroeger een leasebak was willen opkopen of zo? Daar heb ik wel eens van gehoord nl.
07-08-2017, 18:33 door karma4
Door Anoniem: .....
Maar wat bleek: autoleasebedrijven maken niet zelf hun site maar kopen dat ergens in. Want je kunt het beter door
de experts laten doen dan dat zelf regelen, weet een manager.
Dank je. Je hebt daar gelijk in. Glad vergeten deze gangbare oorzaak van een ict faal. Het zijn ook experts .met auto's niet met informatieverwerking. Hebben ze nu een gratis pentest gehad. Wat zou zoiets gekost hebben als ze het op de juiste manier gedaan hadden.
07-08-2017, 19:01 door Anoniem
.aspx... dan weten de meeste pen-testers genoeg ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search