Datalek Belastingsamenwerking West-Brabant door IDOR-kwetsbaarheid
Belastingsamenwerking West-Brabant (BWB) heeft door een IDOR-kwetsbaarheid de gegevens van een onbekend aantal belastingplichtigen in de regio gelekt. Het aanpassen van een getal in een url was voldoende om namen, adressen en WOZ-beschikkingen van andere belastingbetalers in te zien. Ook gerechtelijke vonnissen in schuldhulpsaneringszaken waarin personen met naam en toenaam worden genoemd, konden door derden worden ingezien, zo meldt BN DeStem. Volgens BWB was er wel "enige ict-kennis" vereist om misbruik van het lek te maken.
Het datalek kwam aan het licht dankzij een inwoner van Zevenbergen. Die verstuurde een e-mail naar Belastingsamenwerking West-Brabant waarin hij om informatie vroeg over zijn WOZ-aanslag. De e-mail die hij als antwoord ontving bevatte een url naar zijn gegevens. Het aanpassen van een getal in deze url was voldoende om de gegevens van andere belastingplichtigen in te zien.
Het gaat hier om een Insecure direct object references (IDOR)-kwetsbaarheid. Deze beveiligingslekken doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor.
Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren. De webwinkel van Blokker lekte op deze manier klantgegevens en bij een Weens bedrijf zorgde een IDOR-kwetsbaarheid ervoor dat de uitslagen van 136.000 coronatests lekte.
"Dit lek is veroorzaakt door een contactformulier dat we nog niet zo lang geleden aan onze website hebben toegevoegd. Met dat formulier zijn zo’n 400 documenten geüpload. Maar dat zijn we nu aan het uitzoeken", laat directeur Peter Stoffelen weten, die tevens van een enorme fout spreekt.
Belastingsamenwerking West-Brabant heeft inmiddels op de eigen website meer uitleg over het datalek gegeven en stelt dat de kans heel klein is dat onbevoegden de gegevens hebben ingezien. "Maar we kunnen het niet uitsluiten. Het datalek heeft een kort tijd op de website gestaan en is inmiddels gedicht. Het lek was ook niet zomaar voor iedereen te zien; daarvoor was wel enige ict-kennis voor nodig."
"Wij zullen in de toekomst nog waakzamer zijn en ook zullen we maatregelen nemen om intern nog alerter te zijn op signalen van datalekken. In feite weet men nooit helemaal weet wat er de toekomst kan gebeuren, maar we zullen alles in het werk stellen om te zorgen dat dit nooit meer gebeurt", zo laat BWB verder weten.
Niets aan de hand.
...
Het aanpassen van een getal in deze url was voldoende om de gegevens van andere belastingplichtigen in te zien.
Zucht!
Zo zijn er naar verwachting meerdere sites die door kwaadwillende derden helemaal leeg getrokken kunnen worden.
(in bash kan dit in één regel code met wget)
https://www.geeksforgeeks.org/insecure-direct-object-reference-idor-vulnerability/
Ontwerpers moeten voorkomen dat verwijzingen zoals sleutels of bestandnamen in te zien zijn
Validatie van Parameters dient op de juiste wijze te zijn geimplementeerd..
Verificatie van alle de objecten waar naar verwezen wordt is nodig.
Tokens moeten op zo'n manier worden gegenereerd,
dat ze alleen voor de gebuiker beschikbaar komen,
en niet voor het publiek in het algemeen toegankelijk kunnen zijn.
bron: GeekstoGo.
luntrus
- Ik vermoed dat er een gebrek aan praktische know-how is als het gaat om veilige website code. Die know-how is schaars en dus duur.
- Ik vermoed dat beveiliging te weinig shift-left is, oftewel ver naar voren in het ontwikkelingsproces.
- Ik heb concrete aanwijzingen dat beveiligingsproblemen te veel als 'geïsoleerd' incident worden afgehandeld en te weinig als symptomen van een gemeenschappelijk structureel probleem.
- En ik vermoed dat beveiliging te veel sluitpost op de begroting, zowel in financieel opzicht als ook in doorlooptijd (dan maar een beetje langer voor het draait, als het maar veilig is).
Als je dat al leest, dan vallen niet alleen de vullingen uit je kiezen, maar kun je terecht afvragen hoe het gesteld is met de ICT-kennis van bovengenoemde instantie.
Wat vroeger nog wel eens gebeurde dat de directeur een handig neefje aan het werk zette, breekt sommigen nu op.
Zelfs bij het gebruik van een CMS is het opletten geblazen.
Bij het lek bij het Hof van Twente liep het als volgt:
Als je dat al leest, dan vallen niet alleen de vullingen uit je kiezen, maar kun je terecht afvragen hoe het gesteld is met de ICT-kennis van bovengenoemde instantie.
DAAR SLA JE DE NAGEL MOP DE KOP!!!!!!!
1. De overheid kan niet de passende salarissen bieden
2. De hogere leiding wenst niet de consequenties te nemen als een goede beveiligingsdeskundige (die om principiële reden toch nog bij de overheid werkt) de consequenties van te lage (of ontkende) beveiliging benoemt.
O ja. dit is generalisatie. Geldt niet overal en altijd.
Maar toch.
1. De overheid kan niet de passende salarissen bieden
2. De hogere leiding wenst niet de consequenties te nemen als een goede beveiligingsdeskundige (die om principiële reden toch nog bij de overheid werkt) de consequenties van te lage (of ontkende) beveiliging benoemt.
O ja. dit is generalisatie. Geldt niet overal en altijd.
Maar toch.
Dat beeld heb ik ook. Experts lopen daarom ook weg!
Het meest pijnlijke (naast volstrekte onachtzaamheid voor dit soort eenvoudige dingen) is wel dat ik eerst per e-mail meermalen heb gewezen op dit probleem met absoluut NUL reactie.
Vervolgens heb ik DRIE keer gebeld naar deze instantie waarbij ik DRIE keer een thuiswerkende medewerker aan de lijn kreeg die claimde niet te kunnen doorverbinden (Moet VOIP nog worden uitgevonden???) en niet op het briljante idee kwam om naam en telefoonnummer te noteren om terug te laten bellen.
BWB is slechts een voorbeeld, domheid is naast corona een sluipende aandoening in Nederland helaas
J.O.
Nou ja, om een getal in de URL te wijzigen, ja, dan moet je echt "enige ICT-kennis" hebben hoor.
Als je dat al leest, dan vallen niet alleen de vullingen uit je kiezen, maar kun je terecht afvragen hoe het gesteld is met de ICT-kennis van bovengenoemde instantie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
