Duh, natuurlijk is iemands OV-saldo in kunnen zien een datalek

| AE 10101 | Privacy | 52 reacties

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart, las ik op de blog van Loran Kloeze. De saldochecker van Trans Link Systems blijkt te werken zonder ingelogd te zijn, enkel door invullen van een kaartnummer krijg je het huidige saldo op die kaart te zien. De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

De saldochecker is een simpel en op zich handig tooltje waarmee je je saldo kunt checken. Bij een anonieme kaart kan ik me voorstellen dat je dit als feature aanbiedt, maar bij een persoonsgebonden kaart klopt het volgens mij niet dat er buiten het account om persoonlijke informatie te achterhalen is.

En ja, het saldo op je persoonsgebonden kaart is een persoonsgegeven. Die kaart staat op naam en dus zijn alle gegevens die met de kaart samenhangen persoonsgegevens, geen twijfel over mogelijk. Dat het niet triviaal is om naam en adres van de kaarthouder te achterhalen, doet daarbij niet ter zake. Die link is er, dus zijn het persoonsgegevens.

Helemaal als je de update van Kloeze leest: ook je geboortedatum is te achterhalen zonder inlog, wanneer je via de webshop van de NS iets koopt, geeft TLS je geboortedatum door enkel op basis van een OV-chipkaartnummer.

TLS zegt hierover:

Goed gezien, geen authenticatie. Saldo inzichtelijk, dit is een grote wens van vele reizigers. Wekelijks meer dan 30.000 raadplegingen. Probeer het uit! ^MdeG

Ik denk niet dat ze bedoelen dat het een grote wens van veel reizigers is om elkaars saldo in te zien. Maar het is en blijft een datalek, je bent eenvoudigweg niet bevoegd om andermans saldo in te zien dus daar moet een authenticatiestap tussen.

Arnoud

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Beveiliging | 37 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel kleine ondernemers als klant die hier écht steken laten vallen en ik wil ze tegen zichzelf beschermen.

Ik denk dat dit in principe wel kan. Je kunt in je algemene voorwaarden opnemen dat je verlangt dat klanten hun websites en software goed beveiligen, en dat jij maatregelen mag nemen, zoals SSL/TLS beveiligde verbindingen, om dat af te dwingen.

Dit is wel een tikje ongebruikelijk (helaas) dus je moet de klant daar wel expliciet over informeren. Ik zou zelf dat heel proactief willen zien: stuur ze een mail dat er wat mis is, vraag of ze dat binnen 14 dagen willen herstellen en anders doe jij het. Aangenomen dat dit geen nadelige effecten heeft voor de site, zie ik dan het probleem niet.

Maak je dingen wél stuk, dan komt dat op jouw bordje te liggen. En natuurlijk heb je als hoster in je algemene voorwaarden je aansprakelijkheid beperkt, maar bij dit soort handelen gaat dat niet zomaar op. Voor opzettelijk handelen ben je altijd volledig aansprakelijk, en dit neigt daar toch wel een tikje naar. Een hoster zou er dan ook voor kunnen kiezen om te zeggen, binnen 14 dagen herstellen en anders de site in een sandbox of op zwart. (Ja, de wet vindt het erger dat je iets half doet dan wanneer je iemand op zwart zet.)

Arnoud

Waarom is je geslacht relevant bij een ov-chipkaartrestitutie?

| AE 7456 | Privacy | 32 reacties

ov-chipkaart-paal-inchecken-saldoEen lezer vroeg me:

Binnenkort verlopen de eerste OV chipkaarten omdat ze maar 5 jaar geldig zijn. Nu was ik aan het uitzoeken hoe je kan verlengen of je saldo terug kan krijgen? Je kan een formulier ‘Teruggave saldo ANONIEME OV-chipkaart’ downloaden, afdrukken en volledig ingevuld mét je verlopen anonieme OV kaart opsturen. En wat schets mijn verbazing? Ze eisen hierbij best wel veel gegevens van je. Mogen ze dat werkelijk allemaal vragen?

Inderdaad, dat is me nogal een waslijst die ze op dat restitutieformulier van je vragen:

  • Bankrekeningnummer
  • Volledige naam
  • Volledige adres
  • Geboortedatum
  • Geslacht
  • Telefoonnummer overdag

Oké, dat bankrekeningnummer slaat wel ergens op want hoe valt er te restitueren zonder bankrekening? Maar waar is al die andere informatie goed voor? Zelfs over je naam twijfel ik, is die echt nodig bij een bankoverschrijving? En hoezo moeten ze weten of ik de heer dan wel mevrouw Engelfriet ben die z’n geld terug wil, laat staan hoe oud ik ben of waar ik te bereiken ben?

Het voelt als een gevalletje “vraag maar want wie weet”, maar de Wet Chihuahua persoonsgegevens denkt daar toch echt anders over. Je mag alleen gegevens vrágen die daadwerkelijk nodig zijn voor het doel waarvoor je ze nodig hebt.

Onderaan staat dan de geruststellende tekst:

Privacybeleid
De op dit formulier verstrekte gegevens worden uitsluitend gebruikt om restitutie van het saldo uit te kunnen voeren. Uw gegevens worden door ons niet opgeslagen.

Maar eh, hóe dan? Wat doe je met dat geslacht als je het niet opvraagt en je het ook niet bij een bankafschrijving nodig hebt?

Arnoud

Wanneer is een API reverse engineeren computervredebreuk?

| AE 6374 | Hacken | 27 reacties

Een lezer vroeg me: Onlangs is de OV-Chipkaart app uitgekomen. Uit analyse blijkt dat de app per request een specifieke signature meestuurt, en zonder die signature komt er geen reactie vanuit de server van Trans Link Systems. De methode waarop de signature gemaakt wordt is te achterhalen met decompileren en daarna eenvoudig na te maken…. Lees verder