image

Parkeerbedrijf bij Schiphol lekte persoonsgegevens parkeerders

maandag 16 januari 2017, 09:43 door Redactie, 13 reacties

Een parkeerbedrijf bij Schiphol heeft de persoonsgegevens van tienduizenden parkeerders gelekt. Dat liet het televisieprogramma Kassa dit weekend weten. Een kwetsbaarheid in het reserveringssysteem van de parkeerbedrijven van Airport Parking Solutions maakte het mogelijk om het reserveringsnummer in de url te veranderen en zo andere reserveringen te zien. Op deze manier waren de persoonsgegevens van tienduizenden parkeerders toegankelijk.

Bij één van de parkeerbedrijven bleek dat het ook mogelijk was om de auto's van andere personen mee te nemen. Via het beveiligingslek konden de reserveringen van andere parkeerders worden geprint. Deze geprinte reserveringen bleken vervolgens voldoende om een auto op te halen, aangezien er niet om een legitimatiebewijs werd gevraagd. Airport Parking Solutions heeft de kwetsbaarheid inmiddels verholpen. Parkeerders krijgen voortaan een e-mail met hun gegevens toegestuurd en de reserveringen zijn niet meer online zichtbaar. Daarnaast is het personeel ingelicht om verplicht op identiteitsbewijzen te controleren.

Reacties (13)
16-01-2017, 10:25 door Anoniem
Epic fail !
16-01-2017, 10:55 door Anoniem
Want identiteitsbewijzen lossen alles op. Zo handig. Hoef je niet meer na te denken. Identiteitsbewijs? Prima!

Hoe was het ookalweer met die ene jihadist die maar niet te vinden was? Blijkt veertien van die dingen op zak te hebben gehad. Minstens. Dan kan je ze ook wel op bestelling laten maken met jouw foto en een handige naam. Dus. Identiteitsbewijzen lossen alles op. Handig!
16-01-2017, 11:19 door Reinder
Door Anoniem: Want identiteitsbewijzen lossen alles op. Zo handig. Hoef je niet meer na te denken. Identiteitsbewijs? Prima!

Hoe was het ookalweer met die ene jihadist die maar niet te vinden was? Blijkt veertien van die dingen op zak te hebben gehad. Minstens. Dan kan je ze ook wel op bestelling laten maken met jouw foto en een handige naam. Dus. Identiteitsbewijzen lossen alles op. Handig!

Nee natuurlijk lost het niet alles op, maar in dit geval is het waarschijnlijk afdoende. Je moet bij beveiliging altijd ergens kiezen tussen "zo veel mogelijk veiligheid" en "zo veel mogelijk werkbaarheid en gemak". Als het gaat om een auto kan je het gekozen punt veel dichter bij "gemak" leggen dan wanneer je het hebt over toegang tot je kernbommen. Een identiteitsbewijs controleren zal in dit geval dus "afdoende" zijn. jihadisten met terroristische plannen en op bestelling gemaakte ID-bewijzen houd je er niet mee tegen, maar dat hoeft ook niet want die kunnen overal een auto stelen of huren. Wat je er redelijk mee tegenhoud zijn gelegenheidsdieven met korte-termijn winstoogmerk, en dat is voor een geparkeerde auto voldoende.
16-01-2017, 12:16 door Anoniem
Door Reinder:
Door Anoniem: Want identiteitsbewijzen lossen alles op. Zo handig. Hoef je niet meer na te denken. Identiteitsbewijs? Prima!

Hoe was het ookalweer met die ene jihadist die maar niet te vinden was? Blijkt veertien van die dingen op zak te hebben gehad. Minstens. Dan kan je ze ook wel op bestelling laten maken met jouw foto en een handige naam. Dus. Identiteitsbewijzen lossen alles op. Handig!

Nee natuurlijk lost het niet alles op, maar in dit geval is het waarschijnlijk afdoende.
Nee. Het is afschuiven. "Oh onze site goed bouwen is te moeilijk, nou, dan maar weer de klant dwingen met z'n burgerhaatkaart te zwaaien, die heeft'ie toch wel bij zich." En hee, de overheid geeft het goede voorbeeld, door "legitimasie" te eisen voor allerlei dingen waar dat helemaal niet nodig zou moeten hoeven zijn.

Je moet bij beveiliging altijd ergens kiezen tussen "zo veel mogelijk veiligheid" en "zo veel mogelijk werkbaarheid en gemak".

"Gemak" voor wie? In dit geval: De werknemers en vooral ook de luie systeemontwerpers. "Net doen wat alle anderen doen, ook al is het meer schijn dan substantie, en zouden we dat onmiddelijk zien als we onze hersenen eens aanzwengelden. Maar het is veel gemakkelijker te doen alsof en niet werkelijk na te denken."

Als het gaat om een auto kan je het gekozen punt veel dichter bij "gemak" leggen dan wanneer je het hebt over toegang tot je kernbommen. Een identiteitsbewijs controleren zal in dit geval dus "afdoende" zijn. jihadisten met terroristische plannen en op bestelling gemaakte ID-bewijzen houd je er niet mee tegen, maar dat hoeft ook niet want die kunnen overal een auto stelen of huren. Wat je er redelijk mee tegenhoud zijn gelegenheidsdieven met korte-termijn winstoogmerk, en dat is voor een geparkeerde auto voldoende.

Het blijft afschuiven, en is daarmee per definitie niet afdoende. Het is afschuiven op twee manieren: Ten eerste, extra werk voor de klant. Ten tweede, gaat er iets mis dan zegt het bedrijf "Oh ja heel vervelend natuurlijk maar wij hebben togegwel om legitimasie gevraagd. Stomme schuld van de stomme klant. Dus."

Ziedaar de kern van het continue falen van beveiliging: Er wordt gewoon niet over nagedacht. Er wordt slechts uit gemakszucht de schijn nagejaagd. En liefst zoveel mogelijk afgeschoven. "De rotzooi die ik ervan gemaakt heb is niet mijn probleem."
16-01-2017, 13:28 door Anoniem
Wat is er precies fout gegaan?

In de beveiligingswereld wordt geleerd dat een beveiligingsmaatregel altijd in overeenstemming moet zijn met wat het personeel wil. Doe je dat niet, (dus druk je de maatregel zonder overleg dóór), dan is er een behoorlijke kans dat het personeel de maatregel 'niet ziet zitten'. Daardoor ontstaat een lacune in de beveiliging (het personeel voert stiekem immers de opdracht van de baas niet uit). Als er bijvoorbeeld sprake is van de aanschaf van dure beveiligingsmiddelen, dan kan een boycot door het personeel de ondernemer heel veel geld kosten. En dat nog los van de veiligheidsincidenten en het verlies van een goede naam die dan kunnen plaatsvinden.

Hoewel ik niet weet of dit ook geldt voor het bovengenoemde genoemde bedrijf, zou dat wel 1 van de oorzaken kunnen zijn waarom er niet gecontroleerd werd op de identiteit van de autobezitter.

Het is daarom noodzakelijk om beveiligingsmaatregelen vooraf met het personeel en de OR te bespreken. Dit voorkomt veel narigheid achteraf.
16-01-2017, 15:25 door Briolet
Door Anoniem: In de beveiligingswereld wordt geleerd dat een beveiligingsmaatregel altijd in overeenstemming moet zijn met wat het personeel wil. Doe je dat niet, (dus druk je de maatregel zonder overleg dóór), dan is er een behoorlijke kans dat het personeel de maatregel 'niet ziet zitten'.…

Hoewel ik niet weet of dit ook geldt voor het bovengenoemde genoemde bedrijf, zou dat wel 1 van de oorzaken kunnen zijn waarom er niet gecontroleerd werd op de identiteit van de autobezitter.

Ik denk eerder dat het hier personeel betreft zonder veel opleiding en geen motivatie. Ik kan me nml. niet voorstellen dat dit een goed betaald baantje is.

Mij lijkt het ook logisch dat als de vermeende eigenaar zijn originele reçuutje kwijt is, het personeel uitdrukkelijk de identiteit controleert. Als eigenaar van zo'n auto zou ik zelfs willen dat dat gebeurd, anders zou ik hen nooit meer een auto toevertrouwen.

Maar het ging hier altijd goed en dan wordt je nonchalant met de controle.
16-01-2017, 15:34 door johanw
Welke bedrijven gaat het om? Dat wordt weer eens niet geschreven, om de kneuzen uit de wind te houden.
16-01-2017, 16:37 door Anoniem
Door johanw: Welke bedrijven gaat het om? Dat wordt weer eens niet geschreven, om de kneuzen uit de wind te houden.
Dat staat in de tekst. Of volg de link.
16-01-2017, 16:40 door Anoniem
Door johanw: Welke bedrijven gaat het om? Dat wordt weer eens niet geschreven, om de kneuzen uit de wind te houden.

In het artikel staat Airport Parking Solutions.

De namen van de onderliggende BV's zijn niet interessant. Die zijn snel genoeg opnieuw aangemaakt en nog sneller van een andere naam voorzien.

Peter
16-01-2017, 17:57 door Anoniem
Dit werd bekend via VARA Kassa. Er zijn kennelijk in overleg met Brenno de Winter (of andere niet genoemde beveiligingspecialisten) nog wat andere problemen opgelost en de procedures zijn veiliger gemaakt. Het bedrijf compleet zwartmaken alleen op grond van beveiligingsproblemen lijkt mij niet nodig als ze het probleem voortvarend aanpakken.

Het is voor andere bedrijven een goede les. Beveiliging niet op orde staat gelijk aan negatieve publiciteit.

Overigens is het hebben van meerdere bedrijven met dezelfde activiteiten wel een reden om eens goed te kijken wat er aan de hand is, vooral als er geen reden voor lijkt te zijn.
16-01-2017, 19:00 door Anoniem
Parkeerders krijgen voortaan een e-mail met hun gegevens toegestuurd en de reserveringen zijn niet meer online zichtbaar. Daarnaast is het personeel ingelicht om verplicht op identiteitsbewijzen te controleren.

Hoe zit dat? Moeten ID's weer gescand worden, zogenaamd "op echtheid"
en worden die ID-scans bewaard in een (mogelijk lekke) database waaruit later criminelen weer kunnen putten?

Mijn stelling: Het moet zonder ID-bewijs kunnen. Zo'n systeem moet worden bedacht.
En werkt het normale systeem (zonder ID) bij uitzondering eens een keertje niet, dán pas geeft ID uitsluitsel.
Anders verhoog je het risico op misbruik van (en gesodemieter met) ID's en ben je nog verder van huis.
16-01-2017, 21:15 door karma4
Door Anoniem: ....
Mijn stelling: Het moet zonder ID-bewijs kunnen. Zo'n systeem moet worden bedacht.
......
Dat is al bedacht bij de principes van security. Je onderscheid 2 stappen.
Stap 1 identificatie dat is de bewering wie je bent.
Stap 2 authenticatie het bewijs leveren dat die bewering klopt.
Je identiteitsbewijs dat originele ding dient nu net voor dat authenticeren. Ja daarvoor is het bedoeld waarom daarover moeilijk dien?
Dat er instanties personen zijn die het noemen van een bsn of kopie paspoort als bewijs / autentixatie zien dat is de kolder. Zoiets zou gewoon gestopt moeten worden. Kopietje paspoort bsn ... ja en nu graag het echte bewijs. De fout zit bij degene die zo'n kopietje accepteren.

Auto ophalen met afgegeven sleutels graag die id controle. Volstaat in dat geval zoals Reinder aangeeft. What else...

Overigens ook op de site een url met reserveringsnummer. Daar zit iets mis als cross_ref code injection post/get verwisseling.
Dat er op de auto gefocussed is wat eenzijdig. Het woonhuis met een verhuizing verblijden had ook gekund. Maar ja dat is al op facebook te zien of ... of ...
17-01-2017, 00:43 door Briolet
Door Anoniem: Hoe zit dat? Moeten ID's weer gescand worden, zogenaamd "op echtheid"
en worden die ID-scans bewaard in een (mogelijk lekke) database waaruit later criminelen weer kunnen putten?.

Waar haal jij dat idee vandaan? Ik kan het noch uit de tekst halen, noch uit de uitzending zelf. Gewoon lezen wat er staat en er verder niets bij verzinnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.