OV-site lekt privégegevens 168.000 reizigers
Een website die mensen aanmoedigt tot het nemen van een OV-chipkaart, blijkt de gegevens van 168.000 reizigers te lekken. Hacker 'ins3ct3d' ontdekte dat het mogelijk was om SQL-injectie op ErvaarhetOV.nl uit te voeren en tipte Webwereld. Via de aanval was het mogelijk om toegang tot gegevens zoals naam, adres, geboortedatum, e-mailadres en telefoonnummer te krijgen. Ook zijn er databasevelden voor het opslaan van nummers van legitimatiebewijzen en duiden sommige tabellen op een akkoord voor betaling.
"Zo lang de overheid de burger onveilige systemen blijft opdringen voel ik me gedwongen voor de veiligheid van mijn medeburgers te beschermen en te waarschuwen”, verklaart ins3ct3d. De website is inmiddels offline gehaald en de SP wil tijdens het vragenuurtje verkeersminister Camiel Eurlings naar de kamer roepen. Ins3ct3d maakte tevens deze video van zijn hack.
Reacties (29)
18-05-2010, 10:23 door
Preddie
Dit is geen verrassing, ik denk dat de meeste van de ons dit wel verwacht zouden hebben.
De overheid brand zijn vingers keer op keer aan dit soort dingen doordat ze totaal geen verstand hebben waar ze over praten.....
De overheid brand zijn vingers keer op keer aan dit soort dingen doordat ze totaal geen verstand hebben waar ze over praten.....
18-05-2010, 10:25 door
MrBil
Het werd tijd.. Hoewel het dit keer wel lang heeft geduurd.
18-05-2010, 10:30 door
[Account Verwijderd]
[Verwijderd]
Burgers ga rustig slapen het elektronisch patiënten dossier is veilig...
Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
18-05-2010, 11:31 door
Bert de Beveiliger
Door Predjuh: Dit is geen verrassing, ik denk dat de meeste van de ons dit wel verwacht zouden hebben.
De overheid brand zijn vingers keer op keer aan dit soort dingen doordat ze totaal geen verstand hebben waar ze over praten.....
De overheid brand zijn vingers keer op keer aan dit soort dingen doordat ze totaal geen verstand hebben waar ze over praten.....
Te verwachten was het zeker wel, ja. Het verstand van onze overheid komt vooral tekort in 'wie wat bewaart, die heeft wat':
http://www.bof.nl/nieuwsbrief/nieuwsbrief_2005_12.html
http://www.justitie.nl/images/aanbieding%20rapport%20Erasmus%20Universiteit_4147_tcm34-14299.pdf
Hoewel dit onderzoek internet-verkeersgegevens betreft is het netto resultaat hetzelfde. Goed spul, zo'n database.
Superrrrrr-veilig!
18-05-2010, 12:10 door
ekim
Door Anoniem: Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
Maar de overheid heeft deze wél in beheer. Ook zijn zij verantwoordelijk voor het aanbesteden van dit project, of niet?
18-05-2010, 12:14 door
Bert de Beveiliger
Door ekim:
Maar de overheid heeft deze wél in beheer. Ook zijn zij verantwoordelijk voor het aanbesteden van dit project, of niet?
Door Anoniem: Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
Maar de overheid heeft deze wél in beheer. Ook zijn zij verantwoordelijk voor het aanbesteden van dit project, of niet?
Absoluut. Wel eens een, zeg, tweedehands auto gekocht en die vervolgens niet gecontroleerd? Kilometerstand? Ach, wat zou dat. Gaten in het dak? Nou en. En dan de weg opgaan en het gek vinden als je weggesleept wordt. Huh!
In dit specifieke geval is de provincie Gelderland verantwoordelijk.
Oh ja, @Anoniem: klagen over de overheid is altijd leuk, maar als het nog gefundeerd is ook is het natuurlijk dubbel pret :-D
http://www.flowresulting.nl/nieuws.html
Flow resulting heeft de Europese aanbesteding gewonnen voor de campagne Ervaar het OV 2009-
2011. Doel: verleid niet-OV-reizigers om het openbaar vervoer te gebruiken. De omvang van de
campagne is in meerdere opzichten uniek. Een aanpak voor een gebied met 3,5 miljoen inwoners,
drie provincies, twee stadsregio’s en zeven trein- en busvervoerders. Flow resulting is verantwoordelijk
voor de marketingstrategie, de ontwikkeling van proposities, het opstellen van business
cases en briefing van reclamebureaus. Meer informatie op www.ervaarhetov.nl
Flow resulting heeft de Europese aanbesteding gewonnen voor de campagne Ervaar het OV 2009-
2011. Doel: verleid niet-OV-reizigers om het openbaar vervoer te gebruiken. De omvang van de
campagne is in meerdere opzichten uniek. Een aanpak voor een gebied met 3,5 miljoen inwoners,
drie provincies, twee stadsregio’s en zeven trein- en busvervoerders. Flow resulting is verantwoordelijk
voor de marketingstrategie, de ontwikkeling van proposities, het opstellen van business
cases en briefing van reclamebureaus. Meer informatie op www.ervaarhetov.nl
18-05-2010, 14:32 door
Berserk
Door Anoniem: http://www.flowresulting.nl/nieuws.html
Even gekeken naar "Campagne Ervaar het OV". Verantwoordelijk hiervoor is Ed Ram. Volgens de site http://www.flowresulting.nl/EdRam.html;
Geboortejaar: 1966
Functie: Adviseur en oprichter Flow resulting
Achtergrond: Geografie (Utrecht), kaasboer in Nederland
Flow ervaring: Ik kan in flow raken als ik met een gereserveerde groep mensen door de barri?res van 'het kan niet en we willen niet' breek. Heldere doelen, een duidelijke meetlat en creativiteit zijn standaardingredi?nten. De energie die er in gaat komt er dubbel en dwars uit.
Persoonlijk motto: 'Altijd apekooien'
Dus een kaasboer die graag door barri?res gaat, heeft die site laten maken (door reclamebureau DMO)?
Het kan aan mij liggen maar...
fake fake fake video. die onnozele 'hacker') ahum.. ik bedoel Script Kiddy wist gegevens al inte voeren en te laten zien via sql map. het is niks nieuws dan wat hij zelf invoeren wel te verstaan: Brenno@blabla.nl.. en zo kunje zien dat ook hier alleen maar mensen zitten die zeuren en zeuren en zeuren, maar verder niks weten, nog kunnen. dit noemen we Noobs.
Mensen ga toch naar Google.nl en typ er: "Zoek Leven"
jullie horen je zelf erg graag praten. (Sorry voor de Security.nl Webmasters en Mods. Dikke respect voor jullie.)
Mensen ga toch naar Google.nl en typ er: "Zoek Leven"
jullie horen je zelf erg graag praten. (Sorry voor de Security.nl Webmasters en Mods. Dikke respect voor jullie.)
ins3ct3d als je dit leest, bedankt. De overheid is zooooo onnozel de laatste tijd wat betreft privacy en het is idd tijd dat iemand ze laat zien hoe noob ze zijn ty
SELECT column_name FROM information_schema.COLUMNS WHERE table_name='kaartaanvraag' AND table_schema='ervaarov';
ID,code,annuleringscode,ID_actie,ID_persoon,status,tijdstip_aanvraag,tijdstip_bevestiging,tijdstip_printen,
identificatiecode,aanhef,naam,gebdatum,postcode,huisnr,adres,plaats,legitimatie,foto,telnr,emailadres,
reisdatum,medereizigers,nieuwsbrief,tijdstip_email1,tijdstip_email2,tijdstip_email3,opgave_antwoord,
kenteken,extra1,extra2,coupon,didocid,ID_vmr1,ID_vmr2,ID_vmr3,ID_vmr4,
idcode_vmr1,idcode_vmr2,idcode_vmr3,idcode_vmr4,email_vmr1,email_vmr2,email_vmr3,
email_vmr4,postcode_opstap,prijs,aantalkaarten,prijsperstuk,hotspotreisdatum1,hotspotreisdatum2,
hotspotreisdatum3,hotspotreisdatum4,hotspotreisdatum5,ovwweeknr,ovchipkaartcode,metidealbetalen,
ID_infobijeenkomst
SELECT COUNT(*) FROM ervaarov.kaartaanvraag : 169062
ins3ct3d
ID,code,annuleringscode,ID_actie,ID_persoon,status,tijdstip_aanvraag,tijdstip_bevestiging,tijdstip_printen,
identificatiecode,aanhef,naam,gebdatum,postcode,huisnr,adres,plaats,legitimatie,foto,telnr,emailadres,
reisdatum,medereizigers,nieuwsbrief,tijdstip_email1,tijdstip_email2,tijdstip_email3,opgave_antwoord,
kenteken,extra1,extra2,coupon,didocid,ID_vmr1,ID_vmr2,ID_vmr3,ID_vmr4,
idcode_vmr1,idcode_vmr2,idcode_vmr3,idcode_vmr4,email_vmr1,email_vmr2,email_vmr3,
email_vmr4,postcode_opstap,prijs,aantalkaarten,prijsperstuk,hotspotreisdatum1,hotspotreisdatum2,
hotspotreisdatum3,hotspotreisdatum4,hotspotreisdatum5,ovwweeknr,ovchipkaartcode,metidealbetalen,
ID_infobijeenkomst
SELECT COUNT(*) FROM ervaarov.kaartaanvraag : 169062
ins3ct3d
Zo zie je maar,wat er allemaal zo maar op straat komt te liggen,een zeer ernstige zaak.
Ik hoop dat deze hacker het kabinet heeft wakker geschut dat ze maar eens met het big brother effect moeten stoppen.
Althans het volgende kabinet.
Er zijn al teveel databases,ik Heb gelezen dat ze in Duitsland geen verkeersgegevens meer mogen bewaren van telefonie en internet wegens de privacyaantasting van de burger.
Hopen maar dat het in de rest van Europa ook zo gaat zegevieren dat,het in ieder geval in Nederland ook niet meer mag.
Ik hoop dat deze hacker het kabinet heeft wakker geschut dat ze maar eens met het big brother effect moeten stoppen.
Althans het volgende kabinet.
Er zijn al teveel databases,ik Heb gelezen dat ze in Duitsland geen verkeersgegevens meer mogen bewaren van telefonie en internet wegens de privacyaantasting van de burger.
Hopen maar dat het in de rest van Europa ook zo gaat zegevieren dat,het in ieder geval in Nederland ook niet meer mag.
SELECT column_name FROM information_schema.COLUMNS WHERE table_name='payment' AND table_schema='ervaarov' ;
ID,ID_payer,status,processed,date,statusupdate,executiondate,kenmerk,provider_property1,provider_property2,currency,amount,netto_amount,description
ins3ct3d
ID,ID_payer,status,processed,date,statusupdate,executiondate,kenmerk,provider_property1,provider_property2,currency,amount,netto_amount,description
ins3ct3d
18-05-2010, 17:08 door
[Account Verwijderd]
[Verwijderd]
Goh, dat hier niemand over valt zeg. Toen een Nederlands weekblad aantoonde dat de mails van bewindslieden te kraken waren, werd er moord en brand geschreeuwd. Nu Webwereld de overheid kraakt, hoor je daar niemand over. Beetje selectief allemaal. En hypocriet natuurlijk!
18-05-2010, 17:32 door
[Account Verwijderd]
[Verwijderd]
18-05-2010, 17:33 door
[Account Verwijderd]
[Verwijderd]
18-05-2010, 18:01 door
SirDice
Door Anoniem: Nu Webwereld de overheid kraakt, hoor je daar niemand over.
Webwereld kraakt helemaal niets. Ze werden alleen als eerste ingelicht.
18-05-2010, 18:46 door
Bert de Beveiliger
Door unaniem: OV is toch reisbedrijf? Wat heeft de regering hier mee te maken? De regering is toch nog volop in gevecht met de OV * ze snoepen van twee walletjes.
Nee, de OV-chipkaart wordt gevoerd door Translink Systems, een samenwerkingsverband tussen de meeste OV-bedrijven zoals bijvoorbeeld Connexxion. De OV-chipkaart is uitdrukkelijk beleid van de huidige regering - met welk doel, dat is een ander verhaal....
Door Anoniem: Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.
De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
Sorry hoor, maar de opdrachtgever is verantwoordelijk. De makers zijn maar uitvoerders. En de opdrachtgever is uiteindelijk de overheid. Als een bedrijf ons niet bevalt ga ik naar een ander bedrijf. Maar wat kan ik doen als de overheid me niet bevalt? Juist. klagen. vandaar dus.De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
WTF!?!? 168.000 Fotos? 168.000 identiteidskaarten? 168.000 betalingsgegevens? reis datum? postcode opstap?
't lijkt er op dat er ook reisgegevens in de database zitten?
Ik zet hier zeer grote vraagtekens bij
't lijkt er op dat er ook reisgegevens in de database zitten?
Ik zet hier zeer grote vraagtekens bij
nee het gaat puur om gegevens van mensen die aan acties via die site meededen, dus geen gegevens die OP die ov chipkaart staan. Het feit dat de site gehackt is, heeft dus weinig met de ov-chipkaart te maken lijkt me.... had net zo goed een actie site van een winkel kunnen zijn, waar mensen zich hebben opgegeven voor een gratis tv
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
