NetQ noemt beveiligingsfout 'een feature'

Door Spider.007 op maandag 28 november 2011 22:57 - Reacties (12)
Categorieën: code, hack, internet, Views: 4.198

Vrijdag kwam op T.net het artikel reviews: Een datalek: wat nu? voorbij. Het niveau van de gegeven tips is dusdanig basaal dat je zou denken dat elk persoon met enige ervaring op het internet hetzelfde allang bedacht heeft.

Toch vergaat het lachen je al snel als je bedenkt dat ook basale fouten door grote bedrijven worden gemaakt; en wel door bedrijven die omgaan met jouw informatie. Of dit nou persoonsgegevens zijn die je niet wilt laten lekken; of enquêtes op basis waarvan andere bedrijven beslissingen nemen; het blijft toch informatie waarvan je hoopt dat deze veilig verzameld, opgeslagen en ontsloten wordt.
Nadat ik mij eerder had verbaasd over de daadwerkelijke vragen in een enquête, ben ik afgelopen week bezig geweest om een bedrijf te overtuigen van een beveiligingslek.

Dit keer ging het om Oasen die via NetQ een enquête afneemt. NetQ is een bedrijf wat als primaire bezigheid het aanbieden van een online enquête-tool heeft. Je zou verwachten dat beveiliging hier een belangrijk onderdeel van de bedrijfsvoering is, maar de praktijk wijst anders uit.

De uitnodiging die ik ontving, leidde mij naar een website en bevatte een unieke identifier die mij identificeert. Deze bestond uit een UUID, die eigenlijk gegarandeerd uniek is.

Tot zo verre geen probleem, maar ik dacht; laat ik eens twee karakters aan het einde van mijn UUID weghalen. Tot mijn verbazing stuurde de applicatie mij terug naar het originele UUID. Natuurlijk probeerde ik direct hoeveel karakters ik dan kon weghalen. Hier kwam ik tot de conclusie dat het merendeel van de karakters kon worden verwijderd. Uiteindelijk had ik van de oorspronkelijke 32 karakters nog 4 karakters over; en dit bleek genoeg om een enquête op te halen, en in te vullen.

Van de oorspronkelijke 340.282.366.920.938.463.463.374.607.431.768.211.456 opties bleven er dus nog 65.536 over. Dit is een fout die zo evident is dat het weinig moeite zou moeten kosten om de ontwikkelaars hiervan te overtuigen. Grappig genoeg is dat me niet gelukt.

Uiteraard heb ik direct netjes contact opgenomen met NetQ, en na enkele malen telefonisch en per e-mail het probleem te hebben toegelicht kreeg ik uiteindelijk de volgende reactie:
[...]

Dit is destijds expres zo ontworpen omdat meerdere situaties denkbaar zijn waarin respondenten een incomplete link gebruiken.

[...]

omdat het niet bekend is welke persoon/persoonsgegevens bij deze unieke link horen, of bij welke enquête de link hoort, is het onmogelijk voor hackers om op een systematische manier de data te manipuleren.
Het bedrijf is dus volledig op de hoogte van de fout en biedt deze 'feature' dus willens en wetens aan. Nu zou ik denken dat het garanderen van 'echte' reacties bij een enquête één van belangrijkste eigenschappen van dergelijke software is, maar blijkbaar ben ik hierin abuis.

Met de hoop NetQ alsnog te overtuigen van hun fout, biedt ik hierbij dus de NetQ enquete-bot aan. Deze bot vult een enquête voor alle mogelijke respondenten automatisch in. Mocht je een enquête zoeken is een eenvoudige Google query voldoende. De bot geeft momenteel altijd dezelfde antwoorden, maar dit is natuurlijk eenvoudig te veranderen.

Update: inmiddels heb ik van NetQ de uitleg ontvangen dat de unieke link nooit als veilig is bedoeld en dat ze bekijken of ze het minimale aantal karakters in het unieke ID kunnen verhogen

Volgende: KPN Glasvezel zonder Experia box 03-'12 KPN Glasvezel zonder Experia box
Volgende: Enquête's maken, waarom zo moeilijk? 11-'11 Enquête's maken, waarom zo moeilijk?

Reacties


Door Tweakers user Mar2zz, maandag 28 november 2011 21:00

Haha lol. Hoe legaal is het om de bot gewoon 65.536 keer te runnen? Dan is de enquete snel klaar met een overweldigend succes...

Serieus, ik vraag me echt af hoe legaal dat is om dat te doen...

Door Tweakers user Spider.007, maandag 28 november 2011 21:17

Mar2zz schreef op maandag 28 november 2011 @ 21:00:
Haha lol. Hoe legaal is het om de bot gewoon 65.536 keer te runnen? Dan is de enquete snel klaar met een overweldigend succes...

Serieus, ik vraag me echt af hoe legaal dat is om dat te doen...
Tja, dat is dus precies wat deze bot dus al doet ;) Vandaar dat het ook nogal raar is om als bedrijf te zeggen dat dit geen fout is. Maargoed, dat is hun probleem :P

Door Tweakers user Mar2zz, maandag 28 november 2011 21:54

Ze snappen niet dat je met nog geen 100 regels code in eender welke taal die webpagina's kan lezen de hele enquete naar je hand kan zetten.

Ff onthouden voor de volgende verkiezingswijzer of zoiets kan, dan kan je met je bot NL politiek kleuren ;)

Door Tweakers user thaan, dinsdag 29 november 2011 14:25

i-chat schreef op dinsdag 29 november 2011 @ 09:59:
[...]


dan stem ik de hele enquete vol met (partij die mij niet zint) in de hoop dat er nu eindelijk iemand opstaat om hem (de leider van deze partij) uit de weg te ruimen.

hopelijk is het dan snel afgelopen met het gedemoniseer, en kunnen we elke turk marrokaan nederlander belg en chinees even hardvochtig, streng en discriminatieloos straffen (als ze over de streep gaan) zonder nog langer eindeloze en nutteloze discussies te moeten voeren.
Waarom moet je een mooi security feature als deze nou naar je hand zetten voor een politiek debat? Laat dat er nou buiten.

Prachtig dit, mag toch hopen voor NetQ dat ze het nu wel serieus nemen, en het niet nog steeds tot feature benoemen.
Triest eigelijk dat bedrijven dit zelf niet kunnen inzien, na normaal contact.

Door Tweakers user Voutloos, dinsdag 29 november 2011 20:55

edit:
-dit ging over de onzinreacties-


@Spider.007 Proper gespot hoor, ben benieuwd hoeveel karakters ze minimaal gaan vereisen. :)

[Reactie gewijzigd op dinsdag 29 november 2011 22:11]


Door Tweakers user Spider.007, dinsdag 29 november 2011 21:34

@Voutloos, heb de reactie van I-chat en de reactie daarop verwijderd. Ik begrijp ook niet helemaal hoe een technisch blog ineens een platform voor politieke idee is geworden....

Door Tweakers user Mental, woensdag 30 november 2011 15:43

Goed gespot maar niet netjes dat je het naar buiten brengt voordat het opgelost is.
Redelijke fail/etisch onverantwoord van jouw kant imho.
Gek dat het imago van hackers zo ruk is.

Door Tweakers user Spider.007, woensdag 30 november 2011 15:49

Mental schreef op woensdag 30 november 2011 @ 15:43:
Goed gespot maar niet netjes dat je het naar buiten brengt voordat het opgelost is.
Redelijke fail/etisch onverantwoord van jouw kant imho.
Gek dat het imago van hackers zo ruk is.
Misschien moet je even de tijd nemen om het artikel goed door te lezen :)

Door Tweakers user Mental, woensdag 30 november 2011 15:51

Spider.007 schreef op woensdag 30 november 2011 @ 15:49:
[...]
Misschien moet je even de tijd nemen om het artikel goed door te lezen :)
Leg mij even uit waar je op doelt dan, gezien de tijdspanne heb je het bedrijf niet de tijd gegeven om te reageren en heb je de boel online gegooid.
Na plaatsing reageren ze.

Wat mis ik hier?

Door Tweakers user Spider.007, woensdag 30 november 2011 15:57

Mental schreef op woensdag 30 november 2011 @ 15:51:
[...]


Leg mij even uit waar je op doelt dan, gezien de tijdspanne heb je het bedrijf niet de tijd gegeven om te reageren en heb je de boel online gegooid.
Na plaatsing reageren ze.

Wat mis ik hier?
Ik heb meerdere malen met het bedrijf overlegd tot zij tot de conclusie kwamen dat dit geen fout was. Omdat ik hen niet kon overtuigen van het tegendeel heb ik mijn (reeds aan hen gestuurde) logica hier ook neergezet, met daarnaast een tool die dit probleem exploiteert. Pas nadat ik deze posting heb neergezet hebben ze her-overwogen om dit probleem alsnog op te lossen. Daarnaast heb ik deze publicatie van te voren aangekondigd; en weet ik dat ze dit gelezen hebben.

Wat is hier volgens jou niet netjes aan?

Door Tweakers user Mental, woensdag 30 november 2011 16:06

Spider.007 schreef op woensdag 30 november 2011 @ 15:57:
[...]
Ik heb meerdere malen met het bedrijf overlegd tot zij tot de conclusie kwamen dat dit geen fout was. Omdat ik hen niet kon overtuigen van het tegendeel heb ik mijn (reeds aan hen gestuurde) logica hier ook neergezet, met daarnaast een tool die dit probleem exploiteert. Pas nadat ik deze posting heb neergezet hebben ze her-overwogen om dit probleem alsnog op te lossen. Daarnaast heb ik deze publicatie van te voren aangekondigd; en weet ik dat ze dit gelezen hebben.

Wat is hier volgens jou niet netjes aan?
Misschien moet je even de tijd nemen om mijn post goed door te lezen

Door Tweakers user Spider.007, woensdag 30 november 2011 16:12

Mental schreef op woensdag 30 november 2011 @ 16:06:
[...]

Misschien moet je even de tijd nemen om mijn post goed door te lezen
Dus jij beweert dat over een bekend veiligheidslek wat evenwel niet wordt opgelost niet gepubliceerd mag worden?

Interessant, maar ik ben het daar niet mee eens.

[Reactie gewijzigd op woensdag 30 november 2011 16:13]


Reageren is niet meer mogelijk