Bits of Freedom zoekt office manager [vacature]

Datalek NEM: hoe komen al je gegevens precies op straat te liggen?

Goede voornemens voor 2011: wat kan beter?
DOSSIER / Zwartboek datalekken

Bits of Freedom heeft haar Zwartboek datalekken nog eens bijgewerkt. De gegevens van meer dan 63.000 klanten van de Nederlandse Energiemaatschappij waren tot een paar dagen terug toegankelijk via de website van het bedrijf. Maar hoe ziet zo een datalek in de praktijk er precies uit? In deze uitgebreide blog laten we met afbeeldingen zien hoe verbazingwekkend slecht deze gevoelige gegevens waren beveiligd.

Uit de gegevens die publiek toegangelijk waren kon de persoons-, login- en factuurgegevens van de klanten achterhaald worden. De anonieme bron kon de gegevens met minimale stappen achterhalen.

De ontdekker van het lek vond de gegevens door op zoek te gaan naar een zogenaamde “open directory”. Dit is een gebruikelijke term voor een directory die eigenlijk alleen bedoeld is voor het publiceren van bestanden als plaatjes. Het is dan niet de bedoeling dat de directory zelf ook toegankelijk is. Door een foutieve configuratie van de webserver is een gemakkelijk een overzicht te genereren van alle bestanden in de directory.

Bij de Nederlandse Energiemaatschappij was de directory “/repository” op de website Mijn Energie zo’n open directory.

Ook de onderliggende directory “/repository/tmp”, met daarin veel Excel bestanden, bleek onvoldoende beveiligd. Niet alleen is de inhoud onbedoeld zichtbaar, bovendien is die inhoud ook nog eens zonder een wachtwoord toegangelijk.

De Excel bestanden bevatten elk een lange lijst van klantnummers, e-mailadressen en wachtwoorden. De bestanden zelf en ook de wachtwoorden zijn niet versleuteld.

De meeste bestanden bevatten de gegevens van om en nabij de 63.000 klanten. Deze gegevens zijn op hun beurt weer te gebruiken om in te loggen in het deel van de website waarop klanten de eigen gegevens kunnen inzien. Ook Maurice de Hond, het gezicht in de reclamecampagne van het bedrijf, is klant bij het energiebedrijf (nota bene: dit is al bekendgemaakt door Tweakers, anders zouden we dit uiteraard niet hebben verteld):

En vervolgens konden via deze website de facturen van Maurice de Hond ingezien worden. Deze demonstratie laat zien hoe makkelijk het is om toegang te krijgen tot persoonsgegevens als die niet goed beveiligd zijn. Helaas is NEM niet een uitzondering, maar komt dit veel vaker voor. En als informatie eenmaal op internet gepubliceerd is, dan kan verspreiding niet worden tegengehouden. Het is daarom hoog tijd dat organisaties, groot en klein, hun informatiebeveiliging veel serieuzer nemen.

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML).

  1. Rick

    Naast het feit dat het belachelijk is dat dit soort bestanden in een web directory staan is het ook zeer triest dat bedrijven anno 2010 überhaupt nog wachtwoorden in klare tekst hebben…

  2. Tweets die vermelden Datalek NEM: hoe komen al je gegevens precies op straat te liggen? « Bits of Freedom -- Topsy.com

    […] Dit blogartikel was vermeld op Twitter door Bart Schuller, fadsandfancies.com en anderen. fadsandfancies.com heeft gezegd: Blogfeed: Datalek NEM: hoe komen al je gegevens precies op straat te liggen?: Bits of Freedom heeft haar Zwartbo… http://bit.ly/fU5V4c […]

  3. drt

    op de (1?)2345 na lijken het wel allemaal goede wachtwoorden.

  4. tifkap

    Jep, ongelovelijk

  5. Richard

    Zou mooi zijn als de regering hier iets aan deed. Bedrijven een boete opleggen van 100000 euro als hun website lek blijk te zijn EN de klantgevens met zoveel details zijn vermeld, dat er ook misbruik van te maken is.

    Bedrijven hoeven er dan alleen maar voor te zorgen, dat ze niet meteen je hele geboorte akte op internet kwakken op het moment, dat ze je dwingen (via http en niet eens via https) je facturen voortaan via internet in te zien.

    Kan nog wel 2 sites noemen, die of geen https gebruiken of mijn hele geboorte akte op een pagina tonen (dus als hin site gehacked wordt dan …)

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.