Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Corona site RIVM lek als een mandje.

06-06-2020, 16:08 door Anoniem, 9 reacties
De Corona site van het RIVM laat gegevens van gebruikers gemakkelijk lekken.

Zucht.

https://nos.nl/artikel/2336416-lek-in-rivm-coronasite-gegevens-van-gebruikers-makkelijk-in-te-zien.html
Reacties (9)
06-06-2020, 17:17 door Anoniem
En de eenvoud waarmee de data op te vragen was is nog het meest schokkende.
06-06-2020, 17:32 door Anoniem
Niet "is", maar was zo lek. Dat probleem werd dadelijk door het RIVM opgelost:

Infectieradar RIVM lekte vertrouwelijke gegevens deelnemers
zaterdag 6 juni 2020, 16:44 door Redactie

https://www.security.nl/posting/659951/Infectieradar+RIVM+lekte+vertrouwelijke+gegevens+deelnemers
06-06-2020, 17:38 door Anoniem
Ja hoor superschokkend. Gelukkig had men ook ruim de tijd om te besteden aan de ontwikkeling van, en het testen, van de website. Weinig verbazingwekkend eigenlijk, dat dit niet op orde was.
06-06-2020, 18:11 door Anoniem
Welk ICT bedrijf zou dat nu weer hebben gedaan?
06-06-2020, 18:37 door Anoniem
Hun ICT wordt gedaan door ssc-campus: https://www.ssc-campus.nl/over-ssc-campus
Ziet iemand er iets tussen staan van aandacht voor beveiliging/veiligheid/security o.i.d.?...
06-06-2020, 19:16 door Anoniem
Door Anoniem: Niet "is", maar was zo lek. Dat probleem werd dadelijk door het RIVM opgelost:

Infectieradar RIVM lekte vertrouwelijke gegevens deelnemers
zaterdag 6 juni 2020, 16:44 door Redactie

https://www.security.nl/posting/659951/Infectieradar+RIVM+lekte+vertrouwelijke+gegevens+deelnemers

TS was eerder met zijn melding dan het redactionele artikel.
06-06-2020, 21:11 door Anoniem
Door Anoniem: TS was eerder met zijn melding dan het redactionele artikel.

De redactie van NOS Tech lichtte het RIVM ruimschoots in voordat het artikel werd gepubliceerd.
07-06-2020, 13:27 door Anoniem
Schoenmaker hou je bij je leest, zouden we kunnen zeggen.
Maar ook de huidige leestenmakers laten nogal eens heel wat security-steken vallen.
Ligt dat aan de werkdruk of het gebrek aan tijd en aandacht voor website-security?

Je komt het wel veel te vaak tegen op de gehele website infrastructuur.
Website security om van te gaan huilen, vaak.

Voorbeeld: CSP (waar nodig op websites) vaker niet goed dan wel goed ingesteld.
Draai eens een CSP evaluatie extensie in je browser.
default-src 'self' https://themes.googleusercontent.com/;
script-src 'self' 'unsafe-inline' https://statistiek.rijksoverheid.nl https://cdn.datatables.net;
style-src 'self' 'unsafe-inline' https://cdn.datatables.net;
img-src 'self' https://rivm.nl/ https://*.rivm.nl/;
report-uri /report-csp-violation;
'unsafe-inline' allows the execution of unsafe in-page scripts and event handlers.
Can you restrict object-src to 'none'?
Waarvan akte,

J.O.
07-06-2020, 14:29 door Briolet
Door Anoniem: Niet "is", maar was zo lek. Dat probleem werd dadelijk door het RIVM opgelost:…

Of het direct werd opgelost, is een kwestie van semantiek. In de link die TS geeft, staat uit de mond van het RIVM: "We zijn het probleem nu aan het oplossen.".

Wat bij mij inhoud dat het niet opgelost is. De site is wel off-line gehaald voordat de NOS het artikel publiceerde. Verdere misbruik van het lek is dus wel voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.