Posts

Veel bedrijven hebben tegenwoordig grote databases met gegevens over mensen. Soms gaat er wel eens iets fout en dan liggen de gegevens van een heleboel mensen op straat. Ik wil dat zodra gegevens lekken dat het bedrijf (of overheid!) verplicht is zonder onnodige vertraging alle betrokkenen in te lichten over de lek. Ik zal proberen een aantal redenen te geven waarom deze meldplicht nodig is. Schadebeperking Bij een datalek zijn vaak veel mensen een slachtoffer. Afhankelijk van wat er gelekt is kan het heel verstandig zijn om wachtwoorden te veranderen, apps te deinstalleren of in extreme gevallen zelfs identiteitsdiefstal verzekering af te sluiten. De realiteit is echter dat de bedrijven die lekken vaak helemaal niet willen toegeven dat er data gelekt is. Het is dan onmogelijk om zelf maatregelen te nemen. Ook als het bedrijf gegevens lekt door een inbraak en het bedrijf doet aangifte tegen de dader hebben de slachtoffers van de lek daar niets aan. Ze kunnen hun eigen data er niet door terugkrijgen en het zal ook niet helpen om ze te informeren over de lek. ...

Gisteren heb ik een heel goed gesprek gehad bij T-Mobile in Den Haag. Ik werd vriendelijk ontvangen door Ruud Huigsloot (Manager E-Services&Webcare Internet & New Media), iemand van pr en de juriste die o.a. verantwoordelijk is voor de privacybescherming van klanten. Het gesprek was informeel, ik vond het zelfs gezellig, maar wel inhoudelijk. Na een korte voorstelronde heb ik kort herhaald wat er gebeurd is vanuit mijn perspectief. Het punt wat voor mij het belangrijkste was, het ontkennen van de lek door T-Mobile, heb ik in perspectief kunnen plaatsen. Niet alleen was de situatie niet helemaal representatief omdat T-Mobile wist dat er een journalist bij betrokken was, emoties werden ook belangrijk in de reacties van T-Mobile omdat ze zich nogal in de maling genomen voelden. Juist het feit dat T-Mobile zich anders gaat gedragen onder druk is een kwetsbaarheid en het niet informeren van de klant is naar mijn mening altijd fout. Maar omdat T-Mobile zich dit ook heel goed lijkt te beseffen en omdat de situatie niet helemaal representatief is voor een echte identiteitsdiefstal heb ik wel begrip voor de afwijkende behandeling door T-Mobile. ...

Zoals elk modern bedrijf heeft ook T-Mobille een Twitter account om vragen van klanten te kunnen beantwoorden en mensen te informeren over storingen en onderhoud. Zoals elke brave klant volg ik dan ook @tmobile_webcare zodat ik van elke bui die een storing veroorzaakt op de hoogte blijf. Wat blijkt: Ik ben niet de enige. Een aantal van de mensen die ik volg op Twitter zijn ook T-Mobile klanten en maken af en toe ook gebruik van @tmobile_webcare waardoor ik het hele gesprek over en weer kan volgen. Meestal verzoekt @tmobile_webcare vrij snel om het gesprek over DM (Direct Message, oftwel berichten die niet publiek zijn) voort te zetten. Logisch, want je wilt niet zomaar je telefoonnummer of adres twitteren. Toch komt het wel eens voor dat er iets mis gaat en er toch gevoelige gegevens openbaar gemaakt worden. Een sterk voorbeeld daarvan is het publiceren van login naam en wachtwoord van een klant (Bron: Webwereld). Nadat ik zelf een aantal onhandige tweets van T-Mobile had opgemerkt besloot ik er wat over te zeggen. ...

This morning I got a phone call from a phone number in Isreal. It was Tal, an engineer from Plimus. Tal wanted to know about the issues I had found and what solutions I had in mind. Tal also explained their plans for fixing all issues and all the issues that are involved with changing their API. I’ll be keeping an eye on Plimus to see how they are doing, but now I’m confident that someone at Plimus understands their security issues and they are working on fixing them. ...

It’s been a while since my last post about Plimus. I have contacted Plimus multiple times since and still haven’t got any response from someone with even a basic knowledge of security. They did however visit my blog and that gave me enough information to figure out that their customer support system stores passwords in plaintext. But what I want to write about is worse. Let me start by saying that what I am going to write about is not a bug, not an unpatched piece of software and not a subtle design flaw. It’s a feature. ...

In de strijd tegen netneutraliteit heeft Afke Schaart van de VVD een wetsvoorstel ingediend die het toelaat dat een internetprovider de macht geeft om mensen extra te laten betalen op basis van de inhoud van het internetverkeer. Wil je msn gebruiken? Prima! Wil je Skype of WhatsApp gebruiken? Dan moet je bijbetalen. Hieronder probeer ik een lijstje van de gedachtenkronkels van de VVD bij te houden. De VVD kan ook gaan dreigen met kinderporno: ...

In my last blogpost about Plimus I talked about the lack of SSL based security. At some point in time Plimus must have realized this and started looking for a solution. Of course, Plimus is a serious business and can’t afford to break backwards compatibility for their customers and so devised their ingenious “MD5hex encryption” technology. Let’s think back about the lack of proper use of SSL and the problems that this brings: ...

Plimus Inc. is a company that handles online payments for websites. The websites don’t have to deal with all kinds of credit card companies and banks. Just create a account at Plimus and let them handle all your payments. This means Plimus has access to sensitive customer information and they should take extremely good care to protect this information. However, I will try to explain how a few mistakes from Plimus may harm the security of your webshop and the security of your customers. ...

After a few weeks of frustrating email exchange with the Plimus security people I have decided to write this blogpost to warn existing and potential customers of Plimus. The apparent lack of technical knowledge on the side of Plimus and my previous experience in their response to bug reports has given me no hope that these issues will be addressed soon. I will not give out any details yet, but will try to give some tips to reduce the risk of exposure if you’re a Plimus customer. ...

Het is een lang weekend geweest. Het was ontzettend gezellig, maar ook hard werken en weinig slapen.Kortom: De Jonge Democraten hadden weer een hackathon. Om maar meteen een misverstand te voorkomen: Nee, we waren niet aan het inbreken in computers of op een andere manier het internet onveilig aan het maken. Een hackathon is een marathon hack sessie waarbij ik hacken in zijn meer oorspronkelijke betekenis gebruik. We waren dus het hele weekend aan het programmeren. ...