Nieuws
image

Zuid-Afrikaanse site voor verkeersboetes lekt data 934.000 bestuurders

donderdag 24 mei 2018, 12:28 door Redactie, 3 reacties
Laatst bijgewerkt: 24-05-2018, 13:15

Een website waar Zuid-Afrikaanse automobilisten hun verkeersboetes kunnen betalen is getroffen door een datalek, waardoor de data van 934.000 bestuurders op straat is komen te liggen. Het gaat om de website ViewFines, waar bestuurders een account kunnen aanmaken om online hun boete te betalen.

De gelekte database van de website bevatte Zuid-Afrikaanse nationale identiteitsnummers, namen, telefoonnummers, uitstaande boetes, e-mailadressen en wachtwoorden in platte tekst. Het gaat om de identiteitsnummers van meer dan 900.000 Zuid-Afrikanen, zo meldt iAfrikan. De website werd getipt door een bron die de database op een openbare webserver aantrof, die eigendom is van een bedrijf dat elektronische betalingen van verkeersboetes in Zuid-Afrika regelt. Het bedrijf zou een back-up van de database hebben gemaakt die vervolgens voor iedereen toegankelijk was.

Image

Reacties (3)
24-05-2018, 12:56 door Anoniem
Dit kom je op veel sites tegen. De software herkent standaard bestandsextensies en weet wat daar mee moet gebeuren, en vaak in ieder geval niet naar de bezoeker sturen. Een backup heeft meestal een andere extensie en het enige dat de software daarmee weet te doen is die juist (ongewijzigd) naar de bezoeker sturen.

Het enige voordeel is dat die bestanden meestal niet gelinkt zijn en dus niet opduiken in (de meeste) zoekmachines.

Peter
24-05-2018, 13:09 door Anoniem
Onverhaspeld wachtwoord* is natuurlijk echt een absolute beginnersfout die al minstens dertig jaar niet meer mag voorkomen maar het toch nog steeds doet. En dat bij een betalingsdienst danwel een overheid.

Daarnaast de gebruikelijke fouten van veel te veel data ophopen en gewoon maar publiekelijk laten slingeren. Deels ingegeven door wettelijke eisen. Dat moet dus met een beter concept en ook vanuit de wet beter ingericht worden.

* "Versleuteld" betekent dat je met een sleutel het origineel terug moet vinden. "Verhaspeld" ("hashed") betekent dat je de waarde kan vergelijken met een op dezelfde wijze verhaspeld wachtwoord, maar dat je eigenlijk alleen door heel veel proberen het originele wachtwoord terug kan vinden.
24-05-2018, 21:22 door Anoniem
Door Anoniem: Dit kom je op veel sites tegen. De software herkent standaard bestandsextensies en weet wat daar mee moet gebeuren, en vaak in ieder geval niet naar de bezoeker sturen. Een backup heeft meestal een andere extensie en het enige dat de software daarmee weet te doen is die juist (ongewijzigd) naar de bezoeker sturen.
Ik neem aan dat je met "de software" de webserver bedoelt. Het probleem is niet dat die werkt zoals die geconfigureerd is, het probleem is dat die geconfigureerd is om een directory met backups voor de hele wereld open te zetten, inclusief directory listings:
Was once again a case of someone enabling directory listing/browsing where their "backups" were saved and this just so happened to be part of it," said an anonymous contact tipping off iAfrikan on the data leak.
https://www.iafrikan.com/2018/05/24/south-africas-viewfines-suffered-major-data-leak/
Die hele directory had niet voor het grote publiek beschikbaar moeten zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search