Privacy - Wat niemand over je mag weten

Theaters en http (-S) : inloggen niet secure

31-01-2016, 20:03 door Anoniem, 12 reacties
Naar aanleiding van een bericht over een Firefox browser versie die waarschuwt voor onveilige verbindingen bij inloggen èn een culturele actualiteit (IFFR Rotterdam) als goede illustratie, het volgende. *

Online insecure
Naar de film en online kaartjes kopen of reserveren?
Daarvoor heb je steeds vaker een online profiel nodig bij een filmtheater.
Neem deze bijvoorbeeld.

Lantarenvenster Rotterdam
http://www.lantarenvenster.nl

http://www.lantarenvenster.nl/41-Profiel_aanmaken
http://www.lantarenvenster.nl/40-login
http://www.lantarenvenster.nl/40-login?error=login

Allemaal over http (-S!)
Bij dit theater verplicht invoeren bij aanmaak van een account:
E-mail* Wachtwoord* Voornaam* Achternaam* Geslacht* Telefoonnummer* Postcode*

Nog een voorbeeld:

Cineville
Biedt een filmpas abonnement waarmee je naar allerlei bioscopen kan.

Maar liefst "38 aangesloten filmtheaters in Alkmaar, Amersfoort, Amsterdam, Arnhem, Castricum, Den Haag, Dordrecht, Haarlem, Hilversum, Leiden, Maastricht, Nijmegen, Rotterdam, Schiedam, Utrecht, Wageningen en Zwolle."
Dat zijn een hoop (eenvoudig verkrijgbare?) specifieke gegevens!

Specifieke gegevens (als startpunt van je phishing campagne) van een interessante groep van hogeropgeleiden met navenante inkomens (!).

Wederom alleen http
http://cineville.nl/pas
Inloggen
http://cineville.nl/user
Registreren
http://cineville.nl/user/register
Gebruikersnaam: * E-mailadres: * Wachtwoord: * Pasnummer: Geboortedatum:

Ach wat maakt dat nou uit..
Die paar persoonsgegevens niet zulke belangrijke gegevens?
Fout gedacht!
Het is wèl belangrijk omdat Phishers data combineren en dat uitbuiten.
Je begint (als phisher) met een beetje data (dat makkelijk te bemachtigen is / zijn die theaters überhaubt wel secure of eenvoudig te hacken?), en met gebruik van dat beetje aan data kan je weer nieuwe gegevens bemachtigen.

Daarom is het belangrijk dat websites alle gegevens beschermen via secure httpS verbindingen!

Gegeven voorbeelden Lantarenvenster en Cineville zijn overigens niet de enige in Nederland die (belangrijke delen van) de website niet aanbieden over https en daarmee gegevens van haar klanten niet beschermt.
Onkunde, desinteresse of verkeerd bezuinigen (op een https certificaatje) ?
Misschien vooral het laatste (?).

Als zij hun online houding niet veranderen dan ..
Is het uiteindelijk zaak daar zelf bovenop te zitten!

Want wie browst er nou met een Developer Edition browser voor ontwikkelaars die jee waarschuwt bij een onveilige verbinding als je ergens moet inloggen (voor een ticket reservering) ?
Inderdaad, de gemiddelde klant in ieder geval niet.
Eigenlijk zou elke browser er voor moeten gaan waarschuwen.
Zover is het nog niet en diverse bedrijven en instellingen in de culturele sector ook niet.

Dus.. Let erop als je online kaartjes gaat kopen of reserveren!

Probleem is wel dat je eigenlijk geen ander alternatief hebt dan geen gebruik maken van betreffende service, voor wie gaat veiligheid boven gemak?
Daar zit hem de helaas ernstige en ongemakkelijke security-crux.
Die een theater of instelling minder treft dan jou als persoon, het jouw gegevens tenslotte (ongeacht of je nou wel of niet je gegevens zelf rondstrooit op social media etc., veel mensen willen wel bewust omgaan met de eigen gegevens maar hebben de technische inzichten niet en hebben zich bijvoorbeeld dit net gerealiseerd).


Het goede voorbeeld : (het) IFFR Rotterdam
Mocht je een filmpje gaan pakken op het Rotterdam Filmfestival dat nog de hele week duurt.
(Het) IFFR heeft haar httpS zaakjes wèl op orde zoals je zou mogen verwachten.

Kopen
https://tt.iffr.com/nl/account/login?success_url=https://iffr.com/nl/programma/2016/per-dag
Registreren
https://tt.iffr.com/nl/account/register?success_url=https%3A//iffr.com/nl/programma/2016/per-dag
Login via Facebook gaat ook over https.


* https://www.security.nl/posting/459255/Firefox+waarschuwt+ontwikkelaars+voor+wachtwoorden+over+http
Reacties (12)
01-02-2016, 13:02 door Anoniem
Mooi rapport man, zo willen we die hier zien :)
01-02-2016, 15:02 door Anoniem
Ik ben het met de topic starter eens. Als wij als security professionals hier niet bovenop zitten en zo af een toe een email versturen om website eigenaren op hun verantwoordelijkheden te wijzen gebeurd er niks.
Ik schijf gemiddeld 1 keer per week een partij aan en soms is dat met succes:

https://www.debosgroep.nl/240-2/
https://www.hansanders.nl/afspraak-oogmeting/
https://kinderopvangpurmerend.nl/inschrijfformulier-kinderdagverblijf.html
https://www.mricentrum.nl/verwijzers/aanvraag-mri-onderzoek/consult-aanvraag
https://www.babyopkomst.nl/tools/verloskundigenform/

En soms zonder:

http://www.gzc-diemennoord.nl/inschrijfformulier/
http://order.taxielectric.nl/nl/bestel-een-taxie
http://www.cide.nl/cursussen/Endo-seminar-III/84
http://www.fwg.nl/Gebruikers_FWG_3_0/Gebruikersprofiel/index.aspx
http://www.castricum.nl/wonen/meteen-melden_42680/
http://www.linmc.nl/pagina/webagenda/step/login
01-02-2016, 16:30 door Anoniem
Even een opmerking over www.lantarenvenster.nl:
https toegang is wel mogelijk, maar http wijst niet automatisch door naar https. Me dunkt toch een lompe security fout.
Het is niet handig om security maar aan de klant over te laten als je als bedrijf daar eenvoudig bij kan helpen.

Vervolgens is de beveiliging maar matig, want TLS1.2 wordt niet ondersteund, ze gebruiken nog tamelijk zwakke Diffie-Hellman parameters en SSL/TLS-compression staat aan... Maar goed, het is in elk geval iets.
01-02-2016, 18:19 door Anoniem
T.s. hier,

Aanvulling :

1) Met name bij de Cineville organisatie, die vele tienduizenden klanten moet hebben, realiseerde ik mij na het plaatsen van de forum post dat achter het inlogscherm mogelijk veel meer persoonsgegevens moeten staan omdat mensen een maandabonnement kunnen afsluiten en ook een pasfoto moeten uploaden voor hun pas.

De kans is dus groot dat daar extra gegevens zijn aan te treffen als naam, adres, bank/girorekeningnummer voor automatische afschrijving en een pasfoto voor de pas.

Met het inbreken op de niet beveiligde verbinding heb je dan de volgende persoonsgegevens.

• Wachtwoord om in te loggen

• Gebruikersnaam
• Pasfoto
• Geboortedatum
• Adres woonplaats
• Bank/giro rekeningnummer

• Pasnummer
• E-mailadres


Als dat zo is dan zijn dat een heleboel persoonsgegevens die niet veilig worden beheerd met het aanbieden van een verbinding over http.
Wat heb je nog meer nodig voor sterke fraude? Ja, het sofinummer staat er niet bij inderdaad.

Stelt de Autoriteit Persoonsgegevens (voormalig College Bescherming Persoonsgegevens) hier eigenlijk niet ergens concrete eisen aan het beheer en transport van gevoelige persoonsgegevens of heeft het daarvoor een gedragscode?


2) @ 15:02 door Anoniem

Ik schijf gemiddeld 1 keer per week een partij aan en soms is dat met succes

Nobel van je, die route neem ik (eigenlijk) niet (meer)
Expres niet omdat ..., vul maar in (geen gehoor of negatieve reactie).
Met een publieke discussie starten hoop ik meer bereik te hebben dan bij 1 persoon binnen 1 organisatie waarvan de grote kans is dat die het laat zitten.

Met de illustratie hier wil ik dus jullie (lezers) wakker maken en helpen meekijken.
Ik vermoed namelijk dat dit binnen de culturele sector breed aan de hand is en misschien wel daar security wat/nog lager op de agenda staat dan elders.
Jullie 'techns' gaan vast ook wel eens ergens iets cultureels doen (neem het mee en kijk ernaar).

Het staat je/jouw/jullie verder vrij te proberen die Cineville organisatie te overtuigen. Daarbij eventueel nog te attenderen op deze publieke discussie natuurlijk..
En anders in de hoop dat klanten zelf ook gaan vragen stellen/gaan klagen.

Want, let wel : die organisatie bestaat al jaren en is inmiddels zo groot dat het argument van https implementatie te zijn vergeten niet meer geloofwaardig overkomt, het is een aanname maar ik denk dat het een keuze is.
Een onterechte dan want met 38 aangesloten theaters over het hele land, dat gaan echt over essentiële persoonsgegevens van heel veel mensen.
Als eerder gesteld; een ideaal homogene groep om te targeten als je er misbruik van zou willen maken (en dat willen we nou juist niet!).


3) 16:30 door Anoniem

Even een opmerking over www.lantarenvenster.nl:
https toegang is wel mogelijk, maar http wijst niet automatisch door naar https. Me dunkt toch een lompe security fout.

Bij bezoek van de website had ik de addon "HTTPS Everywhere" geactiveerd en ging er daarmee voetstoots vanuit dat als er https zou zijn geïmplementeerd ik dan ook redirected zou worden naar de https versie.

Kennelijk staan zij nog niet op de lijst van "HTTPS Everywhere".
Beter was het geweest dat ze zelf dit verhelpen, in de tijd dat ze toch geen eigen programmering hebben in verband met het Rotterdamse Filmfestival waarvan ze de films nu vertonen.

Wederom, voel je vooral vrij om te mailen met een technische onderbouwing die ik er niet bij kan geven door gebrek aan kennis.
Een technische onderbouwing maakt wellicht wat meer indruk dan mijn "héhallo moet je horen.."


->> •) Vooralsnog kan ik alleen maar hopen dat deze post door veel mensen, die af en toe wat cultureels doen, gelezen wordt en dat zij als klanten individueel organisaties gaan attenderen en vragen om correcte omgang met de eigen persoonsgegevensL: het kwalitatief beschermen/afschermen van persoonsgegevens.

Groet

T.s.
02-02-2016, 08:17 door Anoniem

1) Met name bij de Cineville organisatie, die vele tienduizenden klanten moet hebben, realiseerde ik mij na het plaatsen van de forum post dat achter het inlogscherm mogelijk veel meer persoonsgegevens moeten staan omdat mensen een maandabonnement kunnen afsluiten en ook een pasfoto moeten uploaden voor hun pas.

De kans is dus groot dat daar extra gegevens zijn aan te treffen als naam, adres, bank/girorekeningnummer voor automatische afschrijving en een pasfoto voor de pas.

Met het inbreken op de niet beveiligde verbinding heb je dan de volgende persoonsgegevens.

• Wachtwoord om in te loggen

• Gebruikersnaam
• Pasfoto
• Geboortedatum
• Adres woonplaats
• Bank/giro rekeningnummer

• Pasnummer
• E-mailadres


Als dat zo is dan zijn dat een heleboel persoonsgegevens die niet veilig worden beheerd met het aanbieden van een verbinding over http.
Wat heb je nog meer nodig voor sterke fraude? Ja, het sofinummer staat er niet bij inderdaad.

Stelt de Autoriteit Persoonsgegevens (voormalig College Bescherming Persoonsgegevens) hier eigenlijk niet ergens concrete eisen aan het beheer en transport van gevoelige persoonsgegevens of heeft het daarvoor een gedragscode?


Er is sprake van een (vermoedelijk) datalek als de volgende twee vragen met “ja”, respectievelijk “nee” beantwoord worden:
1. Zijn er persoonsgegevens (vermoedelijk) blootgesteld aan verlies of aan onrechtmatige verwerking?
2. Kan ik redelijkerwijs uitsluiten dat er (daadwerkelijk) persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt?”

Met andere woorden: je hebt de PLICHT om dit te melden bij de Autoriteit Persoonsgegevens. Dat kan bij https://datalekken.autoriteitpersoonsgegevens.nl/

Voor meer achtergrondinformatie zie: https://www.autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
En ja, de plicht om te melden betekent dat je strafbaar bent als je dat niet doet...
02-02-2016, 09:14 door Anoniem
Allemaal leuk en aardig maar HTTPS is nog geen garantie. De veiligheid hangt af van de implementatie.

Een leuk voorbeeld: https://www.ssllabs.com/ssltest/analyze.html?d=kinderopvangpurmerend.nl

Deze site gebruikt een common DH prime (1024 bits) wat inhoud dat dit 1 van de 12 bekende priemgetallen is die default in apache webserver staan. Ze hebben dus geen random eigen getal gemaakt en hiermee is de SSL beveiliging al serieus verzwakt.

Persoonsgegevens via een niet secure verbinding is natuurlijk al helemaal uit den boze en voldoet zeker niet aan wat de WBP omschrijft als "passende beveiliging".
05-04-2016, 13:44 door Anoniem
HTTPS geïmplementeerd! (halfje niet)

Cineville.nl heeft sinds kort (zoals dat hoort) eindelijk HTTPS geïmplementeerd op het deel van haar website dat daarom vraagt, namelijk op het inschrijvingsdeel.
Het deel dat vraagt om een adequate bescherming van vertrouwelijke persoonsgegevens.
https://kassa.cineville.nl/subscription/edit/

Helaas heeft zij dat niet consequent gedaan, een andere belangrijke oude gegevenslink onder HTTP is ook nog steeds actief!
http://cineville.nl/user/register

Bij Lantaarnvenster Rotterdam is helaas nog geen verbetering zichtbaar.

HTTPS implementatie, het is vallen en opstaan.
Of blijven liggen.
05-04-2016, 15:24 door Anoniem
Door Anoniem:
Bij Lantaarnvenster Rotterdam is helaas nog geen verbetering zichtbaar.

HTTPS implementatie, het is vallen en opstaan.
Of blijven liggen.

HTTPS werkt gewoon hoor zie

https://www.lantarenvenster.nl/41-Profiel_aanmaken
https://www.lantarenvenster.nl/40-login
https://www.lantarenvenster.nl/40-login?error=login

Wat ze niet gedaan hebben is een auto redirect van http naar https.
05-04-2016, 15:34 door Anoniem


Het goede voorbeeld : (het) IFFR Rotterdam
Mocht je een filmpje gaan pakken op het Rotterdam Filmfestival dat nog de hele week duurt.
(Het) IFFR heeft haar httpS zaakjes wèl op orde zoals je zou mogen verwachten.

Kopen
https://tt.iffr.com/nl/account/login?success_url=https://iffr.com/nl/programma/2016/per-dag
Registreren
https://tt.iffr.com/nl/account/register?success_url=https%3A//iffr.com/nl/programma/2016/per-dag
Login via Facebook gaat ook over https.

Nou, niet echt volgens SSLLabs:
This server supports weak Diffie-Hellman (DH) key exchange parameters.
This server accepts RC4 cipher, but only with older protocol versions.
05-04-2016, 15:41 door [Account Verwijderd] - Bijgewerkt: 05-04-2016, 15:42
Gewoon blijven mailen. Als je aangeeft dat ze inkomsten mislopen omdat mensen weigeren zich onveilig te registreren komt toch het Nederlandse instinct naar voren !

Weet wel: Dit soort bedrijven heeft heel vaak de "ICT" gewoon uitbesteedt (neem uitgevers als voorbeeld) en zijn zich vaak totaal niet bewust van dit soort zaken. Bellen heeft vaak geen zin omdat je dan een jonge juffrouw/jongeheer aan de telefoon krijgt die alleen maar weet hoe je kaartjes verkoopt. Escaleren vanaf daar is ondoenlijk.
05-04-2016, 16:43 door Anoniem
Door Anoniem:
Door Anoniem:
Bij Lantaarnvenster Rotterdam is helaas nog geen verbetering zichtbaar.

HTTPS implementatie, het is vallen en opstaan.
Of blijven liggen.

HTTPS werkt gewoon hoor zie

https://www.lantarenvenster.nl/41-Profiel_aanmaken
https://www.lantarenvenster.nl/40-login
https://www.lantarenvenster.nl/40-login?error=login

Wat ze niet gedaan hebben is een auto redirect van http naar https.

Ja, dat zei 01-02-2016, 16:30 door Anoniem dus ook al...
Aan deze mankementen is nog niets veranderd.
Iemand met ATS, iOS 9 krijgt hierdoor zelfs geen verbinding.
05-04-2016, 17:44 door Anoniem
Door Anoniem:
Door Anoniem:
Bij Lantaarnvenster Rotterdam is helaas nog geen verbetering zichtbaar.

HTTPS implementatie, het is vallen en opstaan.
Of blijven liggen.

HTTPS werkt gewoon hoor zie

https://www.lantarenvenster.nl/41-Profiel_aanmaken
https://www.lantarenvenster.nl/40-login
https://www.lantarenvenster.nl/40-login?error=login

Wat ze niet gedaan hebben is een auto redirect van http naar https.

En...Dus werk het niet!

urlbarinvoer : lantarenvenster.nl
geeft : http://www.lantarenvenster.nl/
klik op link "Inloggen" : http://www.lantarenvenster.nl/40-login
"Geen login? Maak een profiel aan" : http://www.lantarenvenster.nl/41-Profiel_aanmaken

Je punt is dus technisch wel juist maar in de securitypraktijk van weinig waarde omdat mensen over het algemeen zelf geen " https:// " invoeren maar de naam + .nl en dan dus altijd op httP uitkomen!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.