OV website gehacked
Een hacker heeft een enorm lek aangetoond in de website ervaarhetov.nl van de provincie Gelderland. Door een simpele SQL-injection via PHP uit te voeren. Door deze SQL-injection wist de hacker toegang te krijgen tot de database met persoonsgegevens van 168.000 mensen.
Een hacker die schuilgaat onder de naam ins3ct3d tipte Webwereld dat de site ervaarhetov.nl gevoelig was voor een simpele hackmethode. Via een zogenaamde sql-injection, waarbij in dit geval een sql-query aan een url werd vastgeplakt, kreeg de hacker toegang tot de complete database met persoonsgegevens van 168.000 reizigers. Naast naam en adresgegevens stonden ook de e-mailadressen en telefoonnummers van sommige gebruikers geregistreerd. Er zijn zelfs databasevelden gevonden voor het opslaan van nummers van legitimatiebewijzen. De provincie Gelderland heeft de website meteen nadat ze op de hoogte was gebracht offline gehaald.
De ontwikkeling van de website werd geleid door reclamebureau DMO, dat uit voorzorg alle door het bureau ontwikkelde sites die persoonsgegevens opslaan offline heeft gehaald. Volgens Frans Colthoff van DMO wordt de beveiliging van alle websites die het bureau ontwikkelt op verschillende manieren getest, maar is de sql-injection hack in het teststadium niet opgemerkt. Het bedrijf zegt nu hard te werken aan het vinden van de precieze oorzaak en het dichten van het lek. Wanneer de website weer online komt, is in handen van de provincie, aldus het bureau. Colthoff bevestigt dat in sommige gevallen ook nummers van identiteitsbewijzen in de database werden opgenomen, al zou het hier maar om een 'fractie' van de ongeveer 168.000 geregistreerde personen gaan.
Volgens ins3ct3d pleegde hij de hack om aan te tonen dat de overheid niet genoeg aandacht besteedt aan de beveiliging van online-diensten. "Zolang de overheid de burger onveilige systemen blijft opdringen, voel ik me gedwongen de veiligheid van mijn medeburgers te beschermen en hen te waarschuwen”, meldt hij tegen Webwereld.
De website ervaarhetov.nl is een initiatief van de provincie Gelderland en de verschillende vervoersbedrijven in de regio, bedoeld om het gebruik van het openbaar vervoer in de regio te stimuleren. Via de site, die al drie jaar in de lucht is, konden reizigers zich voor verschillende acties aanmelden en ook was het mogelijk een persoonlijke ov-chipkaart aan te vragen.
Bron: Tweakers.net
Gerelateerde nieuwsberichten
28/12/2011 SMS en telefoongesprekken gemakkelijk af te luisteren
13/12/2011 Apple aast op Anobit
25/11/2011 Hacker had toegang tot sites Publieke Omroep
03/11/2011 Student ontdekt groot beveiligingslek
10/10/2011 Beveiligingslekken gemeentewebsites
12/01/2011 Hackers maken gebruik van bug in Internet Explorer
22 reacties op 'OV website gehacked'
-4 
Het toont ook maar weer aan hoe 'veilig' ze je persoonlijke gegevens opslaan waar ingeklokt en uitgeklokt word.
Met andere woorden: Vertrouw nooit de volgende woorden: 'De gegevens worden veilig opgeslagen'.
Wat een kneuzen bende zeg...
-2 Ik kan me voorstellen dat je dan bedrijven krijgt die het niet zo nauw nemen met veiligheid, zolang de opdrachtgever het maar goed vindt. Dus het moet er goed uit zien, en het moet aardig werken. 'Veilig? Dat zit wel goed!' zegt het bedrijf tegen de opdrachtgever, en die vindt het wel OK.
Het zou fijn zijn als we een ministerie hadden dat al die ICT projecten controleert. En het zou fijn zijn als er in de regeltjes ergens staat beschreven wie er verantwoordelijk is voor dit soort lekken, wie de klappen krijgt. Want wie is er nu verantwoordelijk? En wat zijn de gevolgen?
-0 
-0 Al weer een roepende in de woestijn....
En misschien heeft deze hacker dat artikel niet alleen (ook) gelezen, maar ook de informatie eens gebruikt.
En ver....., die prof had gelijk zeg!
Om te reageren heb je een account nodig en je moet ingelogd zijn.
- Details
- 2 jaar geleden
- 2.324 x bekeken
- PHP nieuws opties
- PHP algemeen
- Nieuwste PHP nieuws
- PHP nieuws toevoegen
PHP hulp
0 seconden vanaf nu