Beveiligingslek in openbaar vervoerswebsite (11/10/21)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

TLS.

Betrokkenen

Reizigers met een account op www.ov-chipkaart.nl.

Soort (persoons)gegevens

"Wie een lopende sessie overneemt krijgt inzage in het reisgedrag van mensen, welke ov-kaarten er in gebruik zijn en een overzicht van producten op de verschillende kaarten. Ook kunnen persoonsgegevens worden ingezien en dus gestolen. Minstens zo pijnlijk is dat accounts van mensen kunnen worden afgesloten en gegevens worden gewijzigd. Ook is het bijvoorbeeld mogelijk automatisch opladen via een bankincasso kunnen aanzetten of juist uitzetten. Verder kunnen kaarten als gestolen worden aangemeld, waardoor de echte eigenaar niet meer kan reizen." (WebWereld, 11/10/21)

Type incident

Inbreuk op de beveiliging en potentieel op de beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. [...] De cookies worden gebruikt voor het aanmelden bij de website en het voortzetten van de sessie. Nog niet iedere webbrowser is beschermd tegen het stelen van cookies via bijvoorbeeld een XSS-aanval, waardoor de cookie te stelen is en de sessie overgenomen kan worden. Hetzelfde geldt bij herzenden van de cookies na bijvoorbeeld het afsluiten van de website en het opnieuw openen. [...] Een ander probleem is dat de cookie ook niet een zogenaamd secure-cookie is. Hierdoor wordt misbruik van het cookie ook niet voorkomen op het moment dat de informatie wordt gestolen. Dit risico is met een standaard instelling te flink in te perken. Voorwaarde is dan wel dat de sessie via een versleutelde verbinding verloopt en dat de site dus bij het openen meteen de sessie versleuteld. Dat is in het geval van de OV-chipkaartwebsite nu niet het geval. Zou dat wel gebeuren dan is ook bij het terugkomen op de website (voor mensen die niet uitloggen) het verzenden van het cookie geen risico meer." (WebWereld, 11/10/21)

Respons van de organisatie

"Zegsvrouw [...] van Trans Link Systems laat in een reactie aan Webwereld weten dat de kwetsbaarheid geen bug is maar een feature. Het is een bewuste keuze. Volgens haar hadden vooral roamende gebruikers vroeger teveel last, dus worden meerdere ip-adressen toegestaan. TLS gaat er niet vanuit dat cookies worden gestolen. De woordvoerster laat weten open te staan voor verbeteringen, mocht dat noodzakelijk blijken. Het bedrijf staat open voor de suggestie alsnog te gaan werken met secure cookies. Ook zegt het bedrijf het bewaken van sessies aan de serverkant te doen. Wie een half uur geen verkeer genereert zal automatisch worden uitgelogd, belooft [de zegsvrouw]." (WebWereld, 11/10/21)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek17 - accounts ov-chipkaart.nl volledig te kapen (11/10/21)

Zie verder:
Off-site link, opens in new window PrivacyNieuws: Account ov-chipkaart.nl volledig te kapen (11/10/21)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.