Nieuws

MobielSchadeMelden-app uit de lucht gehaald wegens datalek

woensdag 2 augustus 2017, 14:46 door Redactie, 11 reacties

De stichting Efficiënte Processen Schadeverzekeraars (EPS) heeft de MobielSchadeMelden-app uit de lucht gehaald wegens een datalek. Via zoekopdrachten op Google was het mogelijk om een link te vinden naar schademeldingen en schademeldingen te bekijken, zo meldt het Verbond van Verzekeraars.

Wanneer iemand schade meldt via MobielSchadeMelden, ontvangt hij een e-mail met daarin een link naar de melding. Afgelopen maandag is geconstateerd dat links naar schademeldingen via zoekopdrachten op Google te vinden zijn. Volgens het Verbond van Verzekeraars zijn er geen aanwijzingen dat het lek daadwerkelijk is gebruikt. Het onderzoek naar het datalek loopt nog.

De app is voorlopig uit de lucht gehaald, waardoor het niet meer mogelijk is om op deze manier toegang te krijgen tot de schademeldingen. Indien daar aanleiding voor is worden gebruikers van de applicatie geïnformeerd over het datalek, zo laat de verzekeraar weten. De Autoriteit Persoonsgegevens is inmiddels ingelicht. MobielschadeMelden is een initiatief van het Verbond van Verzekeraars, ondergebracht in de stichting EPS.

Belgische overheid waarschuwt bedrijven voor ceo-fraude

StatCounter: Nederlandse Chrome-gebruikers naar Opera

Reacties (11)

02-08-2017, 15:03 door Anoniem

Het is alleen nog wel zo dat je de gegevens kunt vinden via Google cache.

02-08-2017, 15:21 door Anoniem

Ik kon nu net nog op de website komen. Alleen de link naar de app deed het niet.

02-08-2017, 15:39 door Anoniem

Tja, gevalletje OWASP TOP-10 A4 Insecure Direct Object References.
Kan me niet voorstellen dat het niet in een pen-test is opgevallen.

02-08-2017, 16:02 door Anoniem

Gevalletje security through obscurity? Of te wel, we genereren hele moeilijke urls... raad niemand. Behalve zoekmachines. Je zou toch verachten dat er zijn minst een authenticatie op de data staat.... is echt jammer dit.

En heel hard roepen dat niemand er bij is geweest. Zou ik ook als eerste doen.

Als consument moet je straks eerst voor elk nieuw mobiel product een data audit laten doen. Want nog steeds kan men geen veilige software maken. Is voor de consument niet te doen. Ik stel voor dat we weer terug gaan naar papier. Papier kan zoek raken / in verkeerde handen komen, maar dat kan maar 1 keer. Data kan meerdere keren in verkeerde handen komen...

TheYOSH

02-08-2017, 16:09 door Anoniem

Door Anoniem:
En heel hard roepen dat niemand er bij is geweest. Zou ik ook als eerste doen.
TheYOSH

Ja, helemaal mee eens. Er wordt naar mijn idee íets te snel geroepen dat er verder niets aan de hand is.

02-08-2017, 16:54 door Anoniem

Even de app laten verbinden via Fiddler, dan kom je vast wel meer tegen.
(zou niet de enige app zijn..)

02-08-2017, 20:13 door Anoniem

Door Anoniem: Even de app laten verbinden via Fiddler, dan kom je vast wel meer tegen.
(zou niet de enige app zijn..)

En hele goeie vraag natuurlijk: zijn er nog meer apps met dergelijke 'lekkage'?
Dat kan een interessant verhaal gaan worden...

02-08-2017, 20:46 door Anoniem

Door Anoniem:
En heel hard roepen dat niemand er bij is geweest. Zou ik ook als eerste doen.
TheYOSH

Ja, helemaal mee eens. Er wordt naar mijn idee íets te snel geroepen dat er verder niets aan de hand is.[/quote]Het lijkt me dat als bijvoorbeeld uit de logfiles blijkt dat iedere URL maar 1 of 2 keer geraadpleegd is en als het meerdere
keren zijn dan meestal vanaf hetzelfde apparaat, en er blijkt niet dat bijvoorbeeld 1 adres een groot aantal verschillende
URL's heeft opgevraagd, de conclusie dat het lek niet misbruikt is daarmee is gerechtvaardigd.

Door Anoniem: Of te wel, we genereren hele moeilijke urls... raad niemand. Behalve zoekmachines.

Zoekmachines ook niet. Als die URL's in zoekmachines terecht komen dan moet er ergens een handige overzichtpagina
zijn (bijvoorbeeld voor intern gebruik) waar ze allemaal op staan, en die de zoekmachine heeft gevonden en kunnen
downloaden zonder authenticatie als bevoegde lezer.

03-08-2017, 12:36 door Anoniem

Kijk, daar heb je 'n het. Hadden ze een .onion site gebouwd, was het simpel niet gebeurd

04-08-2017, 10:26 door Anoniem

Wat is er mis met het papieren schadeformulier?
Typisch geval van een nutteloze app gezien het feit dat je hoogstens enkele keren in je leven schade rijdt.

04-08-2017, 15:58 door Anoniem

Tja, ik wacht op het moment dat IT-managers doorhebben dat een GET met persoonsdata in de querystring NOOIT een slim idee is.

Random praktijk voorbeelden genoeg, eentje met wonderbaarlijk weinig resultaten:
https://www.google.nl/search?q=site:https://jouw.postnl.nl/

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer