Lek in gemeentenwebsites maakte afspraken tussen burgers en gemeenten zichtbaar
De websites van 20 tot 25% van alle Nederlandse gemeenten heeft een beveiligingslek bevat waardoor afspraken van burgers met de gemeenten konden worden ingezien. Ook persoonlijke gegevens van burgers waren zichtbaar. Het lek zat in een webapplicatie die wordt gebruikt voor het maken van afspraken.
De kwetsbaarheid is ontdekt door beveiligingsonderzoeker Guido Vranken, die tegenover Tweakers zijn verhaal doet. Inmiddels zijn maatregelen genomen om het beveiligingsgat te dichten. Het lek zat in de webapplicatie 'Afspraken en Reserveringen’, die is ontwikkeld door JCC Software. De Informatiebeveiligingsdienst voor gemeenten (IBD) geeft tegenover Vranken aan dat deze webapplicatie door 20 tot 25% van alle Nederlandse gemeenten wordt gebruikt.
Persoonlijke gegevens inzien
Door de kwetsbaarheid konden onbevoegden toekomstige afspraken van burgers met gemeenten inzien. Hierbij waren persoonlijke gegevens van betrokken burgers zichtbaar, waaronder de naam, adres, telefoonnummer en in sommige gevallen ook het burgerservicenummer (BSN). Ook konden aanvallers gemaakte afspraken uit het systeem verwijderen. Vranken benadrukt het lek uitsluitend te hebben getest bij afspraken die hij zelf bij gemeenten heeft gemaakt. Het testen van het lek bij afspraken van derden is in strijd met de responsible disclosure richtlijnen.
Het lek is veroorzaakt door een fout in de webapplicatie 'Afspraken en Reserveringen’. Zodra een afspraak wordt aangemaakt via deze applicatie wordt deze afspraak gekoppeld aan een ‘AppointmentID’ en een e-mailadres. Burgers krijgen vervolgens een link toegestuurd waarmee zij toegang krijgen tot hun afspraak. Door een fout werd echter de AppointmentID en het e-mailadres van gebruikers in platte tekst meegestuurd. Op basis van deze informatie wist Vranken te ontdekken dat het ID van afspraken een oplopend nummer was. Hierdoor kon hij eenvoudig de ID’s van andere afspraken achterhalen, wat het mogelijk maakt afspraken van derden in te zien.
Video
In de onderstaande video demonstreert Vranken het beveiligingslek.
Meer over
Lees ook
Jailbreak voor iPhone, iPad en iPod touch bevat een backdoor
Door een iPhone, iPad of iPod touch te jailbreaken kunnen gebruikers hun rechten op het apparaat vergroten. Dit stelt hen in staat via de jailbreak-appwinkel Cydia allerlei software op hun apparaten te installeren die niet zijn goedgekeurd voor Apple's App Store. Dit is echter niet zonder gevaar. Versie 1.0.3 van de jailbreak Evasi0n blijkt nameli1
Secure Pro Keyboard versleutelt draadloze verbinding met computer
Wie met gevoelige documenten werkt moet goed op zijn beveiliging letten. Alleen een virusscanner installeren is niet voldoende. Een keylogger, een oplossing die de toetsaanslagen op een machine registreert, is bijvoorbeeld beschikbaar in zowel een softwarematige als hardwarematige variant. De hardwarematige variant wordt door antivirussoftware nie1
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1