De beveiliging blijkt zo lek als een mandje en daar plukt het geboefte de vruchten van.
Het Verzekeringsbureau Voertuigcriminaliteit (VbV) maakt zich grote zorgen over het feit dat gegevens van duizenden leaserijders in Nederland eenvoudig zijn te achterhalen in een database. De beveiliging bij zo’n 50 leasebedrijven was namelijk zo slecht, dat boeven deze informatie zonder al te veel moeite konden onderscheppen.
Daarbij gaat het niet enkel om namen, adressen, de typen auto’s en leasecontracten. Ook bekeuringen konden gewoon worden ingezien. Eventuele criminelen konden tot voor kort gewoon inzien waar welke auto voor de deur stond, om vervolgens hun slag te slaan. Inmiddels zouden de softwarefouten zijn hersteld en is het niet meer mogelijk om zo eenvoudig binnen te komen.
Een softwarebedrijf uit Sliedrecht ontdekte het lek bij toeval (IT-beveiliger ESET), toen men zelf op zoek ging naar een nieuwe leasemaatschappij. Het bleek doodsimpel om de gegevens van vele leasemaatschappijen te checken, omdat deze bedrijven allemaal gebruik maakten van één en dezelfde server (en dus hetzelfde softwarepakket). Weliswaar hadden de maatschappijen allemaal een eigen versie van het portaal, maar na onderzoek van ESET bleek dat ze één dataserver deelden. Hoewel elke maatschappij een eigen database op die server had, maakte elk portaal verbinding met hetzelfde account. Daardoor was het mogelijk om gegevens bij alle aangesloten leasemaatschappijen op te vragen. Het lukte een onderzoeker van ESET bijvoorbeeld om zonder problemen de eigen auto en zijn privégegevens op te vragen, terwijl de wagen bij een andere leasemaatschappij was ondergebracht. De expert kreeg eenvoudig toegang tot alle klantgegevens van maatschappijen die werkten met de bewuste software. De gegevens van in totaal 52 leasemaatschappijen waren zo in te zien, het gaat om gegevens van tussen de 180.000 en 250.000 leaserijders.
Foto: gestript interieur door @jeroentje2, via Autojunk
Misleidende titel. Het kón, maar nergens blijkt dat het ook daadwerkelijk gebeurd is.
@donvincenzo: eens. De vraag is of zij deze kennis wel hebben en daar aan hadden gedacht.
@730ld: het zijn vaak erg professionele bendes. Ik zou niet snel uitgaan van gebrek aan kennis op welk vlak dan ook.
@lekbak: ze hebben kennis van auto’s snel en geluidloos demonteren, in huizen inbreken, maar databases van een verzekeraar hacken is toch wel andere koek. Crimineel wordt je toch vooral als je in de gewone maatschappij niet kunt meekomen. Het zijn vaak niet de slimsten (gelukkig maar, dan is er nog een pakkans).
@mashell:
In het geval van een kruimeldiefje wel ja. Maar vergis je niet in het bestaan van goed georganiseerde bendes met de nodige kennis van zaken.
Het is “makkelijk” veel geld verdienen op zo’n manier
@mashell: Ben het niet echt met je eens. Natuurlijk heb je de draaideurcrimineel die keer op keer gesnapt wordt voor kruimeldiefpraktijken. Maar er zijn genoeg mensen bij wie criminaliteit voor hebben gekozen of simpelweg een uit de hand gelopen bijverdienste is. Neem bijvoorbeeld dit artikel. Als het een louche ICT-consultant was die dit lek had gevonden was relatief eenvoudig geweest om op het darkweb een advertentie te plaatsen. ”€1.000 voor adresgegevens eigenaren Audi (R)S-modellen.” Pakkans is nihil, geld is makkelijk verdient en grote kans dat hij verder gewoon een carrière, twee kinderen en een lease-auto heeft.
@mashell: ze kunnen bankpasjes skimmen, afstandsbediening kopiëren, boordcomputers hacken, etc.
Er zijn serieus professionele en kundige bendes die de criminaliteit in gaan omdat daar veel te halen valt met een laag risico. Niet omdat ze niks anders kunnen.
@lekbak: maar het trieste is, zulke dingen zijn ook helemaal niet moeilijk. Dat zulke dingen gedaan worden zegt niet dat die criminelen ze handig zijn, het zegt dat de beveiliging zo goedkoop opgelost wordt. Bovendien zijn het niet de bendes die deze kennis bezitten, ze kopen de middelen gewoon in. De ware crimineel die het allemaal mogelijk maakt zit ergens in een flat in Boekarest. Wordt de uitvoerende bende gepakt, geen probleem, verkoop dezelfde techniek gewoon aan de volgende bende. De enige oplossing is de beveiliging van de wagens veel inteligenter maken.
@donvincenzo: Deze ‘boeven’ weten vaak heel goed wat ze doen, helaas… Gaat ook lastig zijn om te bewijzen ‘of’ het gebeurd is, maar het is in ieder geval duidelijk dat het gebeurd kan zijn. We komen er snel genoeg achter of er gebruik van gemaakt werd als het aantal diefstallen afneemt omdat er nu minder efficiënt gestolen kan worden ;).
Goh dus mijn gegevens liggen op straat. Lekker dan. En er doet niemand aangifte van de leasemaatschappij? Autoriteit persoonsgegevens…. meldplicht datalekker?
@730ld: goed punt. Al vermoed ik dat dit ook wel is gemeld, want anders was het VbV er waarschijnlijk niet mee naar buiten gekomen. Maar prijs je gelukkig, het gat schijnt te zijn gedicht.
@RRRobert: Het schijnt… We zullen zien waar al onze persoonsgegevens de volgende keer weer te vinden zijn door een lek.
@horza: op Tweakers.net staat een artikel met veel meer technisch inhoudelijke informatie:
https://tweakers.net/nieuws/128045/berijdersgegevens-van-52-leasebedrijven-waren-toegankelijk-via-server.html
@rrrobert: Daar heb je nu niks meer aan. De databank hoeft maar door één fout persoon gekopieerd te zijn en hij heeft er nog minstens paar jaar plezier van. Wat is de gemiddelde contractduur van een leaseauto?
Eset, gewoon de beste virusscanner uit Sliedrecht.
@desjonnies: Er zijn er ook zoveel in de regio ;-)
Met een beetje moeite weet ik alles van je in een uurtje. Erg dat je zo moet oppassen en wordt bang gemaakt door dit soort berichten.
Ja het ‘schijnt’ opgelost te zijn.
Zolang er amper tot geen consequenties zitten aan belabberde beveiliging zal het ook niet beter worden.
Beveiliging van websites, databases en eigenlijk allerhande systemen is geen abracadabra, het kost alleen geld.
Als blijkt dat een bedrijf willens en wetens slecht omgaat met gevoelige gegevens moeten daar gewoon zware straffen op staan. Nu is het waarschijnlijk halfbakken gefixt (zoals meestal) en iedereen zijn gegevens liggen weer eens op straat. Iedereen slaapt verder en de lakse beheerders lopen weer ongeschonden door naar de volgende klus.
@timberleek:
Okee het is inderdaad het zoveelste bedrijf dat zelfs de meest basale fouten heeft gemaakt:
http://www.thenewfrontier.nl/hubfs/blog-posts/Leaseleaks/Portaal-A-Portaal-B.pdf
Uitleg over het lek (aardig simpel uitgelegd voor niet-ingewijden)
@timberleek: Vanaf midden volgend jaar treed de GDPR wetgeving in werking. Dit is een Europese wet die beschrijft hoe er met data van Europese inwoners moet worden om gegaan, ongeacht waar de data staat opgeslagen. Aan het niet voldoen zijn ook flinke boetes gekoppeld, waardoor bij dit soort praktijken er direct financiële consequenties voor bedrijven kunnen zijn. De wetgeving beschrijft behoorlijk strikt hoe er met privacy gevoelige informatie moet worden om gegaan (zowel van personen als bedrijven) en hierdoor is de verwachting dat maar 50% van de bedrijven hieraan kan voldoen vanaf de ingang van de wet. Hierdoor zal controle vanaf volgend jaar nog niet heel streng zijn, maar vanaf 2019 zou dit anders moeten zijn. Bedrijven zijn vanaf dan verantwoordelijk voor de beveiliging, ook al nemen zij de software(dienst) af bij een 3e partij. Het is beangstigend te zien hoeveel bedrijven zo makkelijk met privacy gevoelige informatie om gaan en niet nadenken over eventuele gevolgen die daaruit voort kunnen komen (zowel op de korte als lange termijn).
Waar in het artikel kan ik lezen dat dieven gegevens uit de database haalden? Ik zie die link nergens bevestigd worden, kan aan mij liggen dat het zo vroeg is en ik er compleet overheen lees…
@unknown234: Er staat ‘criminelen konden’. In dit geval moet je vooral lezen: Iedereen kan. 250.000 gebruikers, zeker in de doelgroep zit er ITers tussen die met name het URL aanpassen opvalt. Zeker als een website wat gebrekkig overkomt of rare foutmeldingen geeft dan gaat er bij ‘latente hackers’ toch wat kriebelen.
Ik doe het zelf ook wel eens website.nl/?klant=10238 verander je dan naar website.nl/?klant=10239, 1 op de 100 keer is het bingo. Bedrijven reageren dan niet, reageren onkundig, snappen het lek niet goed of zijn heel laks, de pers pikt het ook niet altijd op. Ik kan me voorstellen dat iemand kans ziet om een lijst gegevens te verpatsen. Zoals hier een lijst adressen met (dure en jonge) auto’s. Zelfs voor legale marketingdoeleinden is zoiets al interessant.
Gelukkig zijn ze nog niet wezen shoppen in mijn golf
Tja, is wel heel misleidende titel. Jammer. Neemt niet weg dat de beveiliging niet goed was. En natuurlijk ontdekte het IT bedrijf het lek niet bij toeval. Zij leven van deze business en zoeken constant naar dit soort lekken om mooie publiciteit te halen. Zeker een goed recht, maar zeg niet dat het ’toevallig’ is….