NetQ noemt beveiligingsfout 'een feature'

Door Spider.007 op maandag 28 november 2011 22:57 - Reacties (12)
Categorieën: code, hack, internet, Views: 4.199

Vrijdag kwam op T.net het artikel reviews: Een datalek: wat nu? voorbij. Het niveau van de gegeven tips is dusdanig basaal dat je zou denken dat elk persoon met enige ervaring op het internet hetzelfde allang bedacht heeft.

Toch vergaat het lachen je al snel als je bedenkt dat ook basale fouten door grote bedrijven worden gemaakt; en wel door bedrijven die omgaan met jouw informatie. Of dit nou persoonsgegevens zijn die je niet wilt laten lekken; of enquêtes op basis waarvan andere bedrijven beslissingen nemen; het blijft toch informatie waarvan je hoopt dat deze veilig verzameld, opgeslagen en ontsloten wordt.
Nadat ik mij eerder had verbaasd over de daadwerkelijke vragen in een enquête, ben ik afgelopen week bezig geweest om een bedrijf te overtuigen van een beveiligingslek.

Dit keer ging het om Oasen die via NetQ een enquête afneemt. NetQ is een bedrijf wat als primaire bezigheid het aanbieden van een online enquête-tool heeft. Je zou verwachten dat beveiliging hier een belangrijk onderdeel van de bedrijfsvoering is, maar de praktijk wijst anders uit.

De uitnodiging die ik ontving, leidde mij naar een website en bevatte een unieke identifier die mij identificeert. Deze bestond uit een UUID, die eigenlijk gegarandeerd uniek is.

Tot zo verre geen probleem, maar ik dacht; laat ik eens twee karakters aan het einde van mijn UUID weghalen. Tot mijn verbazing stuurde de applicatie mij terug naar het originele UUID. Natuurlijk probeerde ik direct hoeveel karakters ik dan kon weghalen. Hier kwam ik tot de conclusie dat het merendeel van de karakters kon worden verwijderd. Uiteindelijk had ik van de oorspronkelijke 32 karakters nog 4 karakters over; en dit bleek genoeg om een enquête op te halen, en in te vullen.

Van de oorspronkelijke 340.282.366.920.938.463.463.374.607.431.768.211.456 opties bleven er dus nog 65.536 over. Dit is een fout die zo evident is dat het weinig moeite zou moeten kosten om de ontwikkelaars hiervan te overtuigen. Grappig genoeg is dat me niet gelukt.

Uiteraard heb ik direct netjes contact opgenomen met NetQ, en na enkele malen telefonisch en per e-mail het probleem te hebben toegelicht kreeg ik uiteindelijk de volgende reactie:
[...]

Dit is destijds expres zo ontworpen omdat meerdere situaties denkbaar zijn waarin respondenten een incomplete link gebruiken.

[...]

omdat het niet bekend is welke persoon/persoonsgegevens bij deze unieke link horen, of bij welke enquête de link hoort, is het onmogelijk voor hackers om op een systematische manier de data te manipuleren.
Het bedrijf is dus volledig op de hoogte van de fout en biedt deze 'feature' dus willens en wetens aan. Nu zou ik denken dat het garanderen van 'echte' reacties bij een enquête één van belangrijkste eigenschappen van dergelijke software is, maar blijkbaar ben ik hierin abuis.

Met de hoop NetQ alsnog te overtuigen van hun fout, biedt ik hierbij dus de NetQ enquete-bot aan. Deze bot vult een enquête voor alle mogelijke respondenten automatisch in. Mocht je een enquête zoeken is een eenvoudige Google query voldoende. De bot geeft momenteel altijd dezelfde antwoorden, maar dit is natuurlijk eenvoudig te veranderen.

Update: inmiddels heb ik van NetQ de uitleg ontvangen dat de unieke link nooit als veilig is bedoeld en dat ze bekijken of ze het minimale aantal karakters in het unieke ID kunnen verhogen

Enquête's maken, waarom zo moeilijk?

Door Spider.007 op maandag 21 november 2011 09:35 - Reacties (16)
Categorie: -, Views: 5.174

Bedrijven willen graag feedback van hun klanten, en als dat in gestructureerde vorm kan is dat natuurlijk ideaal. Dat snap ik best, en toch kom ik zo vaak voorbeelden van enquête's (een goede manier om deze gestructureerde feedback te krijgen) tegen die mij al snel de zin tot invullen ontnemen. Als het niet de vormgeving of het gebrek daaraan is dan zijn het wel de vragen waar het goede antwoord niet bijzit, of die zo krom geformuleerd zijn dat je ze sowieso over wilt slaan.

Deze week heb een enquête van KPN ingevuld en daar was ik niet ontevreden over; deze bestond uit korte duidelijke vragen met een duidelijke doelstelling. Deze had ik dan ook binnen 2 minuten ingevuld.

Gister kreeg ik een herinnering binnen van een ander bedrijf (in dit geval Argeweb) dat mijn aandacht wilde, en hier haakte ik bij de eerste vraag al af.

Probeer je de context even voor te stellen, het uitnodigende bedrijf weet al behoorlijk veel van de klant (wat men afneemt, per jaar betaalt, evt. zelfs gevoerde mail-communicatie indien een zinnig CRM in gebruik is). De klant daarentegen, ziet het bedrijf als een van de tientallen service-verlenende entiteiten in zijn leven en heeft daarbij mogelijk een goed of minder goed gevoel.

Met dit in het achterhoofd kunnen jullie je vast mijn irritatie over onderstaande eerste vraag en bijbehorende antwoorden voorstellen (en nee, deze enquête was niet anoniem, ik werd automatisch ingelogd in mijn account):
Hoeveel jaar bent u klant van Argeweb?
* Minder dan een jaar
* 1-3 jaar
* 3-5 jaar
* ≥ 5 jaar
Dit kun je toch niet menen? Wie weet er nog wanneer hij voor het eerst in een Albert Heijn of Dynabyte kwam? Hoelang heeft u uw bankrekening al, en wanneer kocht u uw tweede fiets? Ga je je enquete serieus beginnen met een vraag waar je als bedrijf het antwoord zo uit je database kan trekken, maar je je klant zijn complete archief voor moet gaan doorspitten?

Moet ik nu mijn snailmail-archief gaan doorzoeken wanneer ik klant ben geworden? Moet ik mijn gmail gaan doorzoeken hoe lang ik al klant ben? En met welk doel? Als er één vraag is die Argeweb zijn klanten zou kunnen stellen, is het dan hoe lang ze al klant zijn?

En als je dan bij jezelf denkt, 'tjah, dat weet ik niet meer', dan denkt men bij Argeweb: 'Jammer joh! Dan ben je niet goed genoeg voor deze enquête'. Geen 'weet ik niet' optie, geen enkele mogelijkheid om deze vraag niet te beantwoorden, gewoon keihard het einde van je mogelijkheid om feedback te geven.

Ik kan er echt niet bij, je laat een enquête maken, regelt de techniek, zorgt ervoor dat mensen automatisch ingelogd worden bij het klikken op de enquête-link, koopt een paar cadeaubonnen en bereidt een mailing voor; kan er dan echt geen minuut vanaf om te kijken hoe snel je klanten door een enquête heen zullen lopen? Ik kan me namelijk niet voorstellen dat er meer dan 10% van de klanten weet hoe lang ze al klant zijn.

Het resultaat van deze knullige eerste vraag is dus ook dat ik mijn positieve gevoel niet kwijt kan; maar wel kwijt ben geraakt.


Nu denk ik stiekem wel te weten waarom deze vraag erin zit, namelijk om de betrouwbaarheid van de enquête te kunnen meten; als het antwoord wat de persoon geeft teveel afwijkt van wat je al weet, dan zijn de antwoorden op andere vragen ook niet betrouwbaar. Echter vindt ik dit verschrikkelijk slechte positionering en formulering voor een dergelijk type vraag dus dit doet weinig af aan mijn rant.

'Glasvezel, daar moet u een speciale router voor hebben'

Door Spider.007 op zaterdag 19 november 2011 10:00 - Reacties (21)
Categorieën: internet, service, Views: 7.202

Laatst ben ik het glasvezel-informatiepunt in het centrum binnengelopen voor wat informatie. De kwaliteit van dienstverlening werd snel geïllustreerd doordat niemand wist wat ik bedoelde met een FUP (ook de 'technische' man niet). Nadat ik alle drie de aanwezig personeelsleden aan het werk had gezet (eentje ging KPN bellen om te vragen of er een FUP was, de tweede ging opzoeken wanneer ik mijn glasvezelaansluiting kon gebruiken en de derde liet mij een voorbeeld-meterkast zien) werd helaas al snel bevestigt waar ik al bang voor was. Verkopen zullen ze wel kunnen, maar dit soort medewerkers even een uurtje wat basale technische kennis uitleggen is blijkbaar te moeilijk voor de bedrijven die ons glasvezel willen verkopen.

Volgens hen heb ik naast een andere modem ook een andere router nodig omdat glasvezel 'op een andere frequentie werkt'. Uiteraard vond ik dit interessant en wilde ik weten welke componenten in mijn netwerk ik volgens hem moest vervangen. Daarnaast was ik natuurlijk geïnteresseerd wat er dan precies op een andere frequentie zou werken. Mij werd verteld dat mijn bestaande switch niet meer gebruikt kon worden vanwege deze frequentie-verschillen. Na doorvragen kreeg ik uiteindelijk het bewijs van de stelling. De persoon in kwestie zocht de specificaties op van de router die in de voorbeeld-meterkast hing (en door hem altijd werd aangeraden als goede router voor glasvezel...). Trots toonde hij mij de door hem bedoelde frequenties: 2.4 en 5 GHz. Ziet u mijnheer, die heeft u nodig om glasvezel te kunnen gebruiken.