image

MobielSchadeMelden-app uit de lucht gehaald wegens datalek

woensdag 2 augustus 2017, 14:46 door Redactie, 11 reacties

De stichting Efficiënte Processen Schadeverzekeraars (EPS) heeft de MobielSchadeMelden-app uit de lucht gehaald wegens een datalek. Via zoekopdrachten op Google was het mogelijk om een link te vinden naar schademeldingen en schademeldingen te bekijken, zo meldt het Verbond van Verzekeraars.

Wanneer iemand schade meldt via MobielSchadeMelden, ontvangt hij een e-mail met daarin een link naar de melding. Afgelopen maandag is geconstateerd dat links naar schademeldingen via zoekopdrachten op Google te vinden zijn. Volgens het Verbond van Verzekeraars zijn er geen aanwijzingen dat het lek daadwerkelijk is gebruikt. Het onderzoek naar het datalek loopt nog.

De app is voorlopig uit de lucht gehaald, waardoor het niet meer mogelijk is om op deze manier toegang te krijgen tot de schademeldingen. Indien daar aanleiding voor is worden gebruikers van de applicatie geïnformeerd over het datalek, zo laat de verzekeraar weten. De Autoriteit Persoonsgegevens is inmiddels ingelicht. MobielschadeMelden is een initiatief van het Verbond van Verzekeraars, ondergebracht in de stichting EPS.

Reacties (11)
02-08-2017, 15:03 door Anoniem
Het is alleen nog wel zo dat je de gegevens kunt vinden via Google cache.
02-08-2017, 15:21 door Anoniem
Ik kon nu net nog op de website komen. Alleen de link naar de app deed het niet.
02-08-2017, 15:39 door Anoniem
Tja, gevalletje OWASP TOP-10 A4 Insecure Direct Object References.
Kan me niet voorstellen dat het niet in een pen-test is opgevallen.
02-08-2017, 16:02 door Anoniem
Gevalletje security through obscurity? Of te wel, we genereren hele moeilijke urls... raad niemand. Behalve zoekmachines. Je zou toch verachten dat er zijn minst een authenticatie op de data staat.... is echt jammer dit.

En heel hard roepen dat niemand er bij is geweest. Zou ik ook als eerste doen.

Als consument moet je straks eerst voor elk nieuw mobiel product een data audit laten doen. Want nog steeds kan men geen veilige software maken. Is voor de consument niet te doen. Ik stel voor dat we weer terug gaan naar papier. Papier kan zoek raken / in verkeerde handen komen, maar dat kan maar 1 keer. Data kan meerdere keren in verkeerde handen komen...

TheYOSH
02-08-2017, 16:09 door Anoniem
Door Anoniem:
En heel hard roepen dat niemand er bij is geweest. Zou ik ook als eerste doen.
TheYOSH
Ja, helemaal mee eens. Er wordt naar mijn idee íets te snel geroepen dat er verder niets aan de hand is.
02-08-2017, 16:54 door Anoniem
Even de app laten verbinden via Fiddler, dan kom je vast wel meer tegen.
(zou niet de enige app zijn..)
02-08-2017, 20:13 door Anoniem
Door Anoniem: Even de app laten verbinden via Fiddler, dan kom je vast wel meer tegen.
(zou niet de enige app zijn..)
En hele goeie vraag natuurlijk: zijn er nog meer apps met dergelijke 'lekkage'?
Dat kan een interessant verhaal gaan worden...
02-08-2017, 20:46 door Anoniem
Door Anoniem:
En heel hard roepen dat niemand er bij is geweest. Zou ik ook als eerste doen.
TheYOSH
Ja, helemaal mee eens. Er wordt naar mijn idee íets te snel geroepen dat er verder niets aan de hand is.[/quote]Het lijkt me dat als bijvoorbeeld uit de logfiles blijkt dat iedere URL maar 1 of 2 keer geraadpleegd is en als het meerdere
keren zijn dan meestal vanaf hetzelfde apparaat, en er blijkt niet dat bijvoorbeeld 1 adres een groot aantal verschillende
URL's heeft opgevraagd, de conclusie dat het lek niet misbruikt is daarmee is gerechtvaardigd.
Door Anoniem: Of te wel, we genereren hele moeilijke urls... raad niemand. Behalve zoekmachines.
Zoekmachines ook niet. Als die URL's in zoekmachines terecht komen dan moet er ergens een handige overzichtpagina
zijn (bijvoorbeeld voor intern gebruik) waar ze allemaal op staan, en die de zoekmachine heeft gevonden en kunnen
downloaden zonder authenticatie als bevoegde lezer.
03-08-2017, 12:36 door Anoniem
Kijk, daar heb je 'n het. Hadden ze een .onion site gebouwd, was het simpel niet gebeurd
04-08-2017, 10:26 door Anoniem
Wat is er mis met het papieren schadeformulier?
Typisch geval van een nutteloze app gezien het feit dat je hoogstens enkele keren in je leven schade rijdt.
04-08-2017, 15:58 door Anoniem
Tja, ik wacht op het moment dat IT-managers doorhebben dat een GET met persoonsdata in de querystring NOOIT een slim idee is.

Random praktijk voorbeelden genoeg, eentje met wonderbaarlijk weinig resultaten:
https://www.google.nl/search?q=site:https://jouw.postnl.nl/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.