Thursday, July 17, 2008

KBC & privacy

Vandaag in een newsletter van KBC Jongeren (en ik ben er dan niet eens klant, ik heb enkel afgelopen lente meegedaan met hun beursspel):

"Pas hier je gegevens aan"

Die tekst linkte naar hun webpagina waarop ik dan mijn gegevens kon aanpassen.

Omdat ik op mijn blackberry die mail las, en omdat de mail in HTML was verstuurd, kreeg ik de code ook te zien. Al snel viel me op dat er vertrouwelijke gegevens in die URL stonden. Mijn naam, voornaam en adres stonden hardgecodeerd:
https://www.kbc.be/newsletter?email=XXXXXXXXXXXXXXXXXX@XXXXXXXX.XXX&klnr=9999999&voornaam=XXXXXXX&naam=XXXXXXX&straat=XXXXXXXXXXXXXXXXXXXX&nr=999&bus=&postcode=9999&gemeente=XXXXX&telefoon=&gsm=

Security-gewijs is dit zowat het domste wat iemand ook maar kan doen. Gegevens uit de privé-sfeer worden bloot over het internet gestuurd (e-mails kunnen zomaar gelezen worden, bezochte URL's zijn ook makkelijk te sniffen).

Om te bewijzen dat het geen ezels zijn: de link die hoorde bij de tekst
klik hier als deze tekst onleesbaar is
bevatte een username en paswoord:
https://mm.kbc.be/618/newsletter.asp?abonneeid=9999&messageid=41&password=999999999

In bovenstaande URL vind je een username en een bijhorend paswoord terug. Oordeel zelf!

Nu, ik had geluk. Omdat ik geen klant ben, maar jaren geleden wel in contact ben gekomen met KBC Verzekeringen (via een schadegeval), sta ik hun database. Mijn geluk is dat het schadegeval gebeurd is vóór ik verhuisd ben, waardoor mijn huidig adres niet in hun database staat.

Hoe moet dit wel gebeuren? Op basis van een klantennummer ofzo (waar dus geen intrinsieke informatie in zit), mijn gegevens ophalen uit hun database, en die dan tonen op de webpagina. Dan kan een attacker de gegevens enkel lezen als hij toegang heeft tot het juiste onderdeel van het KBC-netwerk.

En de newsletter lezen? Een statische webpagina maken. En apart laten inloggen.

No comments: