OV website gehacked
Een hacker heeft een enorm lek aangetoond in de website ervaarhetov.nl van de provincie Gelderland. Door een simpele SQL-injection via PHP uit te voeren. Door deze SQL-injection wist de hacker toegang te krijgen tot de database met persoonsgegevens van 168.000 mensen.
Een hacker die schuilgaat onder de naam ins3ct3d tipte Webwereld dat de site ervaarhetov.nl gevoelig was voor een simpele hackmethode. Via een zogenaamde sql-injection, waarbij in dit geval een sql-query aan een url werd vastgeplakt, kreeg de hacker toegang tot de complete database met persoonsgegevens van 168.000 reizigers. Naast naam en adresgegevens stonden ook de e-mailadressen en telefoonnummers van sommige gebruikers geregistreerd. Er zijn zelfs databasevelden gevonden voor het opslaan van nummers van legitimatiebewijzen. De provincie Gelderland heeft de website meteen nadat ze op de hoogte was gebracht offline gehaald.
De ontwikkeling van de website werd geleid door reclamebureau DMO, dat uit voorzorg alle door het bureau ontwikkelde sites die persoonsgegevens opslaan offline heeft gehaald. Volgens Frans Colthoff van DMO wordt de beveiliging van alle websites die het bureau ontwikkelt op verschillende manieren getest, maar is de sql-injection hack in het teststadium niet opgemerkt. Het bedrijf zegt nu hard te werken aan het vinden van de precieze oorzaak en het dichten van het lek. Wanneer de website weer online komt, is in handen van de provincie, aldus het bureau. Colthoff bevestigt dat in sommige gevallen ook nummers van identiteitsbewijzen in de database werden opgenomen, al zou het hier maar om een 'fractie' van de ongeveer 168.000 geregistreerde personen gaan.
Volgens ins3ct3d pleegde hij de hack om aan te tonen dat de overheid niet genoeg aandacht besteedt aan de beveiliging van online-diensten. "Zolang de overheid de burger onveilige systemen blijft opdringen, voel ik me gedwongen de veiligheid van mijn medeburgers te beschermen en hen te waarschuwen”, meldt hij tegen Webwereld.
De website ervaarhetov.nl is een initiatief van de provincie Gelderland en de verschillende vervoersbedrijven in de regio, bedoeld om het gebruik van het openbaar vervoer in de regio te stimuleren. Via de site, die al drie jaar in de lucht is, konden reizigers zich voor verschillende acties aanmelden en ook was het mogelijk een persoonlijke ov-chipkaart aan te vragen.
Bron: Tweakers.net
Gerelateerde nieuwsberichten
23/01/2024 Sloveense universiteit verbiedt SQL-gerelateerde woorden in wachtwoorden
30/06/2023 Overheid wil onderzoek naar gebruik .NLD-extensie voor overheidssites
16/04/2021 Hackers maken gegevens 3,6 mln klanten buit bij Allekabels.nl
Er zijn 22 reacties op 'Ov website gehacked'
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu