OV website gehacked

Toegevoegd door Bram Boos, 11 jaar geleden

OV website gehackedEen hacker heeft een enorm lek aangetoond in de website ervaarhetov.nl van de provincie Gelderland. Door een simpele SQL-injection via PHP uit te voeren. Door deze SQL-injection wist de hacker toegang te krijgen tot de database met persoonsgegevens van 168.000 mensen.

Een hacker die schuilgaat onder de naam ins3ct3d tipte Webwereld dat de site ervaarhetov.nl gevoelig was voor een simpele hackmethode. Via een zogenaamde sql-injection, waarbij in dit geval een sql-query aan een url werd vastgeplakt, kreeg de hacker toegang tot de complete database met persoonsgegevens van 168.000 reizigers. Naast naam en adresgegevens stonden ook de e-mailadressen en telefoonnummers van sommige gebruikers geregistreerd. Er zijn zelfs databasevelden gevonden voor het opslaan van nummers van legitimatiebewijzen. De provincie Gelderland heeft de website meteen nadat ze op de hoogte was gebracht offline gehaald.

De ontwikkeling van de website werd geleid door reclamebureau DMO, dat uit voorzorg alle door het bureau ontwikkelde sites die persoonsgegevens opslaan offline heeft gehaald. Volgens Frans Colthoff van DMO wordt de beveiliging van alle websites die het bureau ontwikkelt op verschillende manieren getest, maar is de sql-injection hack in het teststadium niet opgemerkt. Het bedrijf zegt nu hard te werken aan het vinden van de precieze oorzaak en het dichten van het lek. Wanneer de website weer online komt, is in handen van de provincie, aldus het bureau. Colthoff bevestigt dat in sommige gevallen ook nummers van identiteitsbewijzen in de database werden opgenomen, al zou het hier maar om een 'fractie' van de ongeveer 168.000 geregistreerde personen gaan.

Volgens ins3ct3d pleegde hij de hack om aan te tonen dat de overheid niet genoeg aandacht besteedt aan de beveiliging van online-diensten. "Zolang de overheid de burger onveilige systemen blijft opdringen, voel ik me gedwongen de veiligheid van mijn medeburgers te beschermen en hen te waarschuwen”, meldt hij tegen Webwereld.

De website ervaarhetov.nl is een initiatief van de provincie Gelderland en de verschillende vervoersbedrijven in de regio, bedoeld om het gebruik van het openbaar vervoer in de regio te stimuleren. Via de site, die al drie jaar in de lucht is, konden reizigers zich voor verschillende acties aanmelden en ook was het mogelijk een persoonlijke ov-chipkaart aan te vragen.

Bron: Tweakers.net

Gerelateerde nieuwsberichten

27/02/2017 MySQL-databases doelwit van ransomware-gijzelingen
05/01/2017 "Bijna 6.000 Wordpress installaties gehackt"
11/06/2013 NSA en FBI hebben directe toegang tot grote bedrijven

 

Er zijn 22 reacties op 'Ov website gehacked'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Chris -
Chris -
11 jaar geleden
 
Ondertussen alweer oud nieuws, was maandag op dinsdag-nacht al.

Desalniettemin laat dit wel weer zien dat de beveiliging van je website ongelooflijk belangrijk is. (Natuurlijk een mooi stukje reclame voor sommige bedrijven ;-))
FRizZL isMijnUsername
FRizZL isMijnUsername
11 jaar geleden
 
or 1 = 1

Vette shizzl. Was de website van een overheidinstelling, of een zelfstandige onderneming?
Karl Karl
Karl Karl
11 jaar geleden
 
FrizZl:
or 1 = 1

Vette shizzl. Was de website van een overheidinstelling, of een zelfstandige onderneming?

Misschien effe bericht lezen?
FRizZL isMijnUsername
FRizZL isMijnUsername
11 jaar geleden
 
Peter ndshomebrew
Peter ndshomebrew
11 jaar geleden
 
Stomme sukkels zijn het.. Zelfs mijn website is tegen SQL-Injectie beveiligd... Ik weet niet welke ICT-er zo kneuzig is geweest :P

Het toont ook maar weer aan hoe 'veilig' ze je persoonlijke gegevens opslaan waar ingeklokt en uitgeklokt word.

Met andere woorden: Vertrouw nooit de volgende woorden: 'De gegevens worden veilig opgeslagen'.

Wat een kneuzen bende zeg...
Jelmer -
Jelmer -
11 jaar geleden
 
En dan vraag ik me af: zou dit komen door het aanbestedingssysteem dat voor veel van die ICT projecten van de overheid vereist is? Veel beloven voor zo min mogelijk geld, zodat je de goedkoopste bent en gekozen (moet) wordt?

Ik kan me voorstellen dat je dan bedrijven krijgt die het niet zo nauw nemen met veiligheid, zolang de opdrachtgever het maar goed vindt. Dus het moet er goed uit zien, en het moet aardig werken. 'Veilig? Dat zit wel goed!' zegt het bedrijf tegen de opdrachtgever, en die vindt het wel OK.

Het zou fijn zijn als we een ministerie hadden dat al die ICT projecten controleert. En het zou fijn zijn als er in de regeltjes ergens staat beschreven wie er verantwoordelijk is voor dit soort lekken, wie de klappen krijgt. Want wie is er nu verantwoordelijk? En wat zijn de gevolgen?
Klaasjan Boven
Klaasjan Boven
11 jaar geleden
 
0 +1 -0 -1
Ja is weer jammer. Via de url een website hacken zou niet mogelijk moeten zijn al is het lastig om iets geheel dicht te krijgen.
Synaps Framework
Synaps Framework
11 jaar geleden
 
@Jelmer, dat probeert Ins3ct3d dus met zijn acties te realiseren. Ik vind dat hij goed bezig is.
Peter ndshomebrew
Peter ndshomebrew
11 jaar geleden
 
@synaps:
Hij is inderdaad goed bezig. Zoalang hij maar geen misbruik gaat maken van de gegevens vind ik het best ;)
Niek s
niek s
11 jaar geleden
 
Tijd om mijn SQL Injection door te lezen lijkt me, voor de OV site beheerders.
Write Down
Write Down
11 jaar geleden
 
Dit soort lekken, dat hoef je toch niet testen? Daar denk je al iets of wat PHP-programmeur toch altijd aan?
Synaps Framework
Synaps Framework
11 jaar geleden
 
@Write Down, wil jij dus beweren dat jij alle gaten dicht tijdens je scripting? Geen praktijk ervaring neem ik aan?
Karl Karl
Karl Karl
11 jaar geleden
 
Eigenlijk horen sql injections niet voor te kunnen komen op de productieserver.
Betekent toch dat iemand ergens slordig is geweest.
Afra ca
Afra ca
11 jaar geleden
 
0 +1 -0 -1
Bizar dat zoiets nog kan voorkomen. Het voorkomen van een dergelijk iets kost 1/10de van de tijd die je kwijt bent aan bijvoorbeeld het normaliseren van je database.
Bas Kreleger
Bas Kreleger
11 jaar geleden
 
0 +1 -0 -1
Waarschijnlijk slechts een mysql_real_escape_string vergeten.. Denk dat het niet een kwestie was van tijd, maar van slordigheid zoals Karl hierboven zegt.
Karl Karl
Karl Karl
11 jaar geleden
 
1 +1 -0 -1
Jij hebt alle ervaring hé Bas :-P ^^
Afra ca
Afra ca
11 jaar geleden
 
0 +1 -0 -1
Naar mijn idee was het wel een kwestie van tijd. Met de juiste procedure en goede testcases was dit er simpelweg niet doorgekomen.
John de Kroon
John de Kroon
11 jaar geleden
 
0 +1 -0 -1
Write:
Dit soort lekken, dat hoef je toch niet testen? Daar denk je al iets of wat PHP-programmeur toch altijd aan?

Misschien was dat wel juist het probleem ;)
Luc Zontrop
Luc Zontrop
11 jaar geleden
 
0 +1 -0 -1
Zoals de vorige versie van phphulp, wat ik maar triestig vind. Hopelijk niet meer mogelijk met deze versie
Dalando De Zuil
Dalando De Zuil
11 jaar geleden
 
0 +1 -0 -1
Best wel ouch zo te horen
PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Jan Kijlstra
Jan Kijlstra
11 jaar geleden
 
0 +1 -0 -1
Vorig jaar schreef een (ik meen) Nijmeegse hoogleraar nog een groot artikel waarin hij waarschuwde tegen deze SQL-injection hack.
Al weer een roepende in de woestijn....
En misschien heeft deze hacker dat artikel niet alleen (ook) gelezen, maar ook de informatie eens gebruikt.
En ver....., die prof had gelijk zeg!

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.