image

OV-site lekt privégegevens 168.000 reizigers

dinsdag 18 mei 2010, 09:52 door Redactie, 29 reacties

Een website die mensen aanmoedigt tot het nemen van een OV-chipkaart, blijkt de gegevens van 168.000 reizigers te lekken. Hacker 'ins3ct3d' ontdekte dat het mogelijk was om SQL-injectie op ErvaarhetOV.nl uit te voeren en tipte Webwereld. Via de aanval was het mogelijk om toegang tot gegevens zoals naam, adres, geboortedatum, e-mailadres en telefoonnummer te krijgen. Ook zijn er databasevelden voor het opslaan van nummers van legitimatiebewijzen en duiden sommige tabellen op een akkoord voor betaling.

"Zo lang de overheid de burger onveilige systemen blijft opdringen voel ik me gedwongen voor de veiligheid van mijn medeburgers te beschermen en te waarschuwen”, verklaart ins3ct3d. De website is inmiddels offline gehaald en de SP wil tijdens het vragenuurtje verkeersminister Camiel Eurlings naar de kamer roepen. Ins3ct3d maakte tevens deze video van zijn hack.

Reacties (29)
18-05-2010, 10:23 door Preddie
Dit is geen verrassing, ik denk dat de meeste van de ons dit wel verwacht zouden hebben.

De overheid brand zijn vingers keer op keer aan dit soort dingen doordat ze totaal geen verstand hebben waar ze over praten.....
18-05-2010, 10:25 door MrBil
Het werd tijd.. Hoewel het dit keer wel lang heeft geduurd.
18-05-2010, 10:30 door [Account Verwijderd]
[Verwijderd]
18-05-2010, 10:38 door Anoniem
Burgers ga rustig slapen het elektronisch patiënten dossier is veilig...
18-05-2010, 10:42 door Anoniem
En terecht => ben hier wel blij om. Laat ze maar ff zweten :D
18-05-2010, 11:01 door Anoniem
De OV-shit kaart !!
18-05-2010, 11:23 door Anoniem
Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.

De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
18-05-2010, 11:31 door Bert de Beveiliger
Door Predjuh: Dit is geen verrassing, ik denk dat de meeste van de ons dit wel verwacht zouden hebben.

De overheid brand zijn vingers keer op keer aan dit soort dingen doordat ze totaal geen verstand hebben waar ze over praten.....

Te verwachten was het zeker wel, ja. Het verstand van onze overheid komt vooral tekort in 'wie wat bewaart, die heeft wat':
http://www.bof.nl/nieuwsbrief/nieuwsbrief_2005_12.html
http://www.justitie.nl/images/aanbieding%20rapport%20Erasmus%20Universiteit_4147_tcm34-14299.pdf

Hoewel dit onderzoek internet-verkeersgegevens betreft is het netto resultaat hetzelfde. Goed spul, zo'n database.
Superrrrrr-veilig!
18-05-2010, 12:10 door ekim
Door Anoniem: Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.

De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?

Maar de overheid heeft deze wél in beheer. Ook zijn zij verantwoordelijk voor het aanbesteden van dit project, of niet?
18-05-2010, 12:14 door Bert de Beveiliger
Door ekim:
Door Anoniem: Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.

De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?

Maar de overheid heeft deze wél in beheer. Ook zijn zij verantwoordelijk voor het aanbesteden van dit project, of niet?

Absoluut. Wel eens een, zeg, tweedehands auto gekocht en die vervolgens niet gecontroleerd? Kilometerstand? Ach, wat zou dat. Gaten in het dak? Nou en. En dan de weg opgaan en het gek vinden als je weggesleept wordt. Huh!

In dit specifieke geval is de provincie Gelderland verantwoordelijk.

Oh ja, @Anoniem: klagen over de overheid is altijd leuk, maar als het nog gefundeerd is ook is het natuurlijk dubbel pret :-D
18-05-2010, 13:36 door Anoniem
http://www.flowresulting.nl/nieuws.html

Flow resulting heeft de Europese aanbesteding gewonnen voor de campagne Ervaar het OV 2009-
2011. Doel: verleid niet-OV-reizigers om het openbaar vervoer te gebruiken. De omvang van de
campagne is in meerdere opzichten uniek. Een aanpak voor een gebied met 3,5 miljoen inwoners,
drie provincies, twee stadsregio’s en zeven trein- en busvervoerders. Flow resulting is verantwoordelijk
voor de marketingstrategie, de ontwikkeling van proposities, het opstellen van business
cases en briefing van reclamebureaus. Meer informatie op www.ervaarhetov.nl
18-05-2010, 14:32 door Berserk
Door Anoniem: http://www.flowresulting.nl/nieuws.html

Even gekeken naar "Campagne Ervaar het OV". Verantwoordelijk hiervoor is Ed Ram. Volgens de site http://www.flowresulting.nl/EdRam.html;

Geboortejaar: 1966
Functie: Adviseur en oprichter Flow resulting
Achtergrond: Geografie (Utrecht), kaasboer in Nederland

Flow ervaring: Ik kan in flow raken als ik met een gereserveerde groep mensen door de barri?res van 'het kan niet en we willen niet' breek. Heldere doelen, een duidelijke meetlat en creativiteit zijn standaardingredi?nten. De energie die er in gaat komt er dubbel en dwars uit.

Persoonlijk motto: 'Altijd apekooien'


Dus een kaasboer die graag door barri?res gaat, heeft die site laten maken (door reclamebureau DMO)?
Het kan aan mij liggen maar...
18-05-2010, 15:19 door Anoniem
fake fake fake video. die onnozele 'hacker') ahum.. ik bedoel Script Kiddy wist gegevens al inte voeren en te laten zien via sql map. het is niks nieuws dan wat hij zelf invoeren wel te verstaan: Brenno@blabla.nl.. en zo kunje zien dat ook hier alleen maar mensen zitten die zeuren en zeuren en zeuren, maar verder niks weten, nog kunnen. dit noemen we Noobs.


Mensen ga toch naar Google.nl en typ er: "Zoek Leven"

jullie horen je zelf erg graag praten. (Sorry voor de Security.nl Webmasters en Mods. Dikke respect voor jullie.)
18-05-2010, 16:06 door Anoniem
ins3ct3d als je dit leest, bedankt. De overheid is zooooo onnozel de laatste tijd wat betreft privacy en het is idd tijd dat iemand ze laat zien hoe noob ze zijn ty
18-05-2010, 16:15 door Anoniem
SELECT column_name FROM information_schema.COLUMNS WHERE table_name='kaartaanvraag' AND table_schema='ervaarov';

ID,code,annuleringscode,ID_actie,ID_persoon,status,tijdstip_aanvraag,tijdstip_bevestiging,tijdstip_printen,
identificatiecode,aanhef,naam,gebdatum,postcode,huisnr,adres,plaats,legitimatie,foto,telnr,emailadres,
reisdatum,medereizigers,nieuwsbrief,tijdstip_email1,tijdstip_email2,tijdstip_email3,opgave_antwoord,
kenteken,extra1,extra2,coupon,didocid,ID_vmr1,ID_vmr2,ID_vmr3,ID_vmr4,
idcode_vmr1,idcode_vmr2,idcode_vmr3,idcode_vmr4,email_vmr1,email_vmr2,email_vmr3,
email_vmr4,postcode_opstap,prijs,aantalkaarten,prijsperstuk,hotspotreisdatum1,hotspotreisdatum2,
hotspotreisdatum3,hotspotreisdatum4,hotspotreisdatum5,ovwweeknr,ovchipkaartcode,metidealbetalen,
ID_infobijeenkomst

SELECT COUNT(*) FROM ervaarov.kaartaanvraag : 169062

ins3ct3d
18-05-2010, 16:52 door Anoniem
Zo zie je maar,wat er allemaal zo maar op straat komt te liggen,een zeer ernstige zaak.
Ik hoop dat deze hacker het kabinet heeft wakker geschut dat ze maar eens met het big brother effect moeten stoppen.
Althans het volgende kabinet.
Er zijn al teveel databases,ik Heb gelezen dat ze in Duitsland geen verkeersgegevens meer mogen bewaren van telefonie en internet wegens de privacyaantasting van de burger.
Hopen maar dat het in de rest van Europa ook zo gaat zegevieren dat,het in ieder geval in Nederland ook niet meer mag.
18-05-2010, 16:57 door Anoniem
SELECT column_name FROM information_schema.COLUMNS WHERE table_name='payment' AND table_schema='ervaarov' ;

ID,ID_payer,status,processed,date,statusupdate,executiondate,kenmerk,provider_property1,provider_property2,currency,amount,netto_amount,description

ins3ct3d
18-05-2010, 17:08 door [Account Verwijderd]
[Verwijderd]
18-05-2010, 17:22 door Anoniem
Goh, dat hier niemand over valt zeg. Toen een Nederlands weekblad aantoonde dat de mails van bewindslieden te kraken waren, werd er moord en brand geschreeuwd. Nu Webwereld de overheid kraakt, hoor je daar niemand over. Beetje selectief allemaal. En hypocriet natuurlijk!
18-05-2010, 17:32 door [Account Verwijderd]
[Verwijderd]
18-05-2010, 17:33 door [Account Verwijderd]
[Verwijderd]
18-05-2010, 18:01 door SirDice
Door Anoniem: Nu Webwereld de overheid kraakt, hoor je daar niemand over.
Webwereld kraakt helemaal niets. Ze werden alleen als eerste ingelicht.
18-05-2010, 18:27 door Anoniem
En het tijdschrift in kwestie kraakte ook niet zelf...
18-05-2010, 18:46 door Bert de Beveiliger
Door unaniem: OV is toch reisbedrijf? Wat heeft de regering hier mee te maken? De regering is toch nog volop in gevecht met de OV * ze snoepen van twee walletjes.

Nee, de OV-chipkaart wordt gevoerd door Translink Systems, een samenwerkingsverband tussen de meeste OV-bedrijven zoals bijvoorbeeld Connexxion. De OV-chipkaart is uitdrukkelijk beleid van de huidige regering - met welk doel, dat is een ander verhaal....
18-05-2010, 21:03 door Anoniem
@berserk: gatenkaasboer zeker :)
19-05-2010, 08:08 door Anoniem
Door Anoniem: Volgens mij is het niet speciaal de overheid hoor. Gewone bedrijven hebben ook lekke websites. Maar ja, klagen over de regering, dat is leuk. Klagen over gewone bedrijven, minder.

De regering heeft de website vast niet zelf gebouwd. Misschien kunnen wij klagen over de makers van de site?
Sorry hoor, maar de opdrachtgever is verantwoordelijk. De makers zijn maar uitvoerders. En de opdrachtgever is uiteindelijk de overheid. Als een bedrijf ons niet bevalt ga ik naar een ander bedrijf. Maar wat kan ik doen als de overheid me niet bevalt? Juist. klagen. vandaar dus.
19-05-2010, 16:59 door Anoniem
WTF!?!? 168.000 Fotos? 168.000 identiteidskaarten? 168.000 betalingsgegevens? reis datum? postcode opstap?

't lijkt er op dat er ook reisgegevens in de database zitten?

Ik zet hier zeer grote vraagtekens bij
20-05-2010, 12:05 door Anoniem
nee het gaat puur om gegevens van mensen die aan acties via die site meededen, dus geen gegevens die OP die ov chipkaart staan. Het feit dat de site gehackt is, heeft dus weinig met de ov-chipkaart te maken lijkt me.... had net zo goed een actie site van een winkel kunnen zijn, waar mensen zich hebben opgegeven voor een gratis tv
21-05-2010, 15:19 door Anoniem
okay, waar zijn de kolom reis_datum en postcode_opstap dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.