PCextreme.nl slordig met gegevens

Monique Verlind (DJMO)

Het ticketsysteem van de website PCextreme.nl is zo lek als een mandje. De website, die zowel particuliere als zakelijke webhostingdiensten aanbiedt, heeft een klantenbestand van circa 35.000 klanten, en het ticketsysteem bevat op dit moment ongeveer 13.000 tickets. Hier komen er dagelijks ongeveer 500 bij. Deze worden echter bewaard in afzonderlijke systemen, binnen het eigen ontwikkelde domeinbeheersysteem van de provider.

FOK!ker BBQSausage, die zelf klant is bij PCextreme, kwam er achter hoe hij in het ticketsysteem tickets van andere klanten kon inzien. Je kon pas in het ticketsysteem komen zodra je een klantnummer en wachtwoord hebt, maar daar is relatief makkelijk aan te komen. Je krijgt deze namelijk toegewezen op het moment dat je een (gratis) bestelling plaatst op de website en daarmee een account hebt aangemaakt.

De tickets en hun bijlagen bevatten veelal informatie met privcaygevoelige gegevens, zoals NAW-gegevens, scans van contracten en/of ID-bewijzen. Ook inloggegevens voor dedicated servers waren op deze manier vrij toegankelijk. Ook is in 99 procent van de gevallen het e-mailadres van de klant zichtbaar.

User BBQSausage zegt het volgende over zijn bevindingen: "Ik wil duidelijk maken dat veel hostingbedrijven (die meestal klein beginnen) denken dat ze alles netjes op orde hebben, en hun klanten van een veilige en betrouwbare service kunnen voorzien, terwijl het tegendeel waar is. Ook wil ik laten zien dat je als klant erg voorzichtig moet zijn met het verspreiden van gegevens online (Zelfs richting een -naar jouw weten- betrouwbaar bedrijf). In dit geval dus login-gegevens, codes, kopieën van ID-bewijzen. Het lijkt er op dat je in dit geval nog beter terug had kunnen grijpen naar de oude vertrouwde brief in envelop.”

Om te voorkomen dat er misbruik van het lek gemaakt zou worden, is besloten te wachten met het publiceren ervan om schade te voorkomen. FOK! heeft PCextreme benaderd en gevraagd om opheldering over het lek. In een reactie laat Jeroen van Brink van PCextreme weten dat de betreffende fout in de automatisering is gelokaliseerd en dat er een noodoplossing is toegepast waardoor de gegevens niet langer zichtbaar zijn. Ook laat hij nog weten dat het lek zich beperkte tot het ticketsysteem, dat strikt gescheiden zou zijn van andere onderdelen van de website.

screenshot pc extreme Ticketsysteem zo lek als een mandje

zondag 18 maart 2012, 21:46 uur #1

Devil010

Dance with the Devil

Triest.

Niets is sterker dan dat ene woord: Feyenoord.

zondag 18 maart 2012, 21:47 uur #2

CaptainObvious39

Hulde aan BBQSausage

zondag 18 maart 2012, 21:49 uur #4

Samsonneke

Moaaah Gertjuh!!! :')

Goed gevonden in ieder geval.

Nu maar hopen dat ze ervan leren.

De vliegende flipperkast wist ternauwernood te ontsnappen aan de vlijmscherpe wieken der ventilatoren.

zondag 18 maart 2012, 21:50 uur #5

sylvesterrr

quote:
Nadat FOK! PCextreme zelf benaderde en om opheldering vroeg over het lek, werd het ticketsysteem binnen tien minuten offline gehaald.

Dit is dus het voordeel van het niet hebben van een flinke managementlaag.

Bij grote organisaties moeten dit soort beslissingen door tig mensen goedgekeurd worden.

zondag 18 maart 2012, 21:51 uur #6

RuuddieBoy

Daar ben ik al lang klant man, accountnummer 714

zondag 18 maart 2012, 21:53 uur #7

Bill_E

vijf plus 98!

quote:
Op zondag 18 maart 2012 @ 21:49 schreef Het_Biertje het volgende:
fijn ook zo'n trap na voor zo'n bedrijf.

Want ? Anders dan blijft zulks achter de schermen.. Bedrijven moeten wakker gemaakt worden dat ze hun zooi goed in orde hebben.

zondag 18 maart 2012, 21:54 uur #8

marshall

Je kan het ook andersom zien: wellicht gaan bedrijven nu beter op zulke zaken letten. Tevens hebben ze het probleem toch opgelost? Mij lijkt het dat er van beide kanten goed werk verricht is om tot een oplossing te komen, ipv het moddergooien wat je soms ziet.

zondag 18 maart 2012, 21:55 uur #9

Papabear

Bona diagnosis, bona curatio

Jij had het liever verborgen willen houden? Het is niet de eerste keer.

Bona valetudo melior est quam maximae divitiae

zondag 18 maart 2012, 21:57 uur #10

#ANONIEM

Mooi stukje!

Forum Moderator

zondag 18 maart 2012, 22:09 uur #12

djkoelkast

www.xms.nl

PC Extreme is sowieso geen fijne partij om mee te werken. Trage servers, slechte support en nu dus ook nog een lek ticketsysteem.

Luister naar XPLIZIT op www.xms.nl
Voor alles retro bezoek je het Retroforum - www.retroforum.nl

zondag 18 maart 2012, 22:11 uur #14

Chinless

quote:
Op zondag 18 maart 2012 @ 22:01 schreef SpermaDonor het volgende:
[..]
Je moest eens weten langs hoeveel oren iets bij mijn werkgever moet eer dat het uitgevoerd danwel goed/afgekeurd word

Idem bij ons hoor, al heb ik wel de bevoegdheid om zelf deze beslissingen te nemen. Ik zit in rol onderaan in de boom, maar zolang ik kan verklaren wat mijn redenen zijn is alles goed.

Hee. Zeg nou zelf, ik ben toch gewoon een hartstikke lekker ding? TOch?

zondag 18 maart 2012, 22:12 uur #15

Palomar

quote:
Op zondag 18 maart 2012 @ 22:09 schreef djkoelkast het volgende:
PC Extreme is sowieso geen fijne partij om mee te werken. Trage servers, slechte support en nu dus ook nog een lek ticketsysteem.

Heb er ook 2 sites draaien, maar ben er wel tevreden over en heb andere ervaringen dan jij.
Had dit ook niet verwacht van PCextreme, maar aan de andere kant ga ik mijn hosting daar vanwege dit ook niet opzeggen. Zoiets gebeurt geen tweede keer neem ik aan

zondag 18 maart 2012, 22:13 uur #17

BBQSausage

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

quote:
Op zondag 18 maart 2012 @ 22:10 schreef SpermaDonor het volgende:
[..]
Maar het belangrijkste!
Ze doen er wat aan!

Veel te laat. Ze hadden het systeem eerst goed moeten testen voordat ze er met zulke informatie gebruik van maken.

zondag 18 maart 2012, 22:20 uur #18

TheFreshPrince

Meesterlijk gevonden.

zondag 18 maart 2012, 22:23 uur #19

PCextreme

Graag zou ik namens PCextreme nog e.e.a. toevoegen nadat ik zojuist telefonisch contact heb gehad met Iteejer. Het klopt uiteraard dat een fout/lek in de koppeling met ons ticketsysteem kwalijk is, daar is geen goed woord voor. Waar het echter bij het maken van een fout om draait is de wijze waarop je hiermee omspringt.

Aan het einde van deze zondagmiddag hebben wij een melding hieromtrent per mail ontvangen van een onze klanten. Hierop is door onze weekend dienst direct op gereageerd om meer informatie te achterhalen. Vervolgens zijn ons systeembeheer en development team ingeschakeld om het probleem te lokaliseren. Het resultaat was dat we zo spoedig dit lek gedicht hebben.

Voor je overigens misbruik van dit lek kon maken moest je een geregistreerd klant van PCextreme zijn. Niet iedere willekeurige internetgebruiker kon zich daarmee 'zomaar' toegang verschaffen tot deze informatie. Neemt wederom niet weg dat het een serieus probleem is waar we serieus mee omspringen: onze snelle actie na de eerste melding getuigt daar van.

In de loop van morgenochtend vindt, naast de het contact van deze avond, een overleg plaats met betrokken afdelingen. Hierbij zullen we de toedracht (hoe kon deze fout in onze software sluipen) naar alle verwachting achterhalen.

zondag 18 maart 2012, 22:28 uur #20

humor_is-leuk

quote:
Op zondag 18 maart 2012 @ 22:23 schreef PCextreme het volgende:
Graag zou ik namens PCextreme nog e.e.a. toevoegen nadat ik zojuist telefonisch contact heb gehad met Iteejer. Het klopt uiteraard dat een fout/lek in de koppeling met ons ticketsysteem kwalijk is, daar is geen goed woord voor. Waar het echter bij het maken van een fout om draait is de wijze waarop je hiermee omspringt.

Aan het einde van deze zondagmiddag hebben wij een melding hieromtrent per mail ontvangen van een onze klanten. Hierop is door onze weekend dienst direct op gereageerd om meer informatie te achterhalen. Vervolgens zijn ons systeembeheer en development team ingeschakeld om het probleem te lokaliseren. Het resultaat was dat we zo spoedig dit lek gedicht hebben.

Voor je overigens misbruik van dit lek kon maken moest je een geregistreerd klant van PCextreme zijn. Niet iedere willekeurige internetgebruiker kon zich daarmee 'zomaar' toegang verschaffen tot deze informatie. Neemt wederom niet weg dat het een serieus probleem is waar we serieus mee omspringen: onze snelle actie na de eerste melding getuigt daar van.

In de loop van morgenochtend vindt, naast de het contact van deze avond, een overleg plaats met betrokken afdelingen. Hierbij zullen we de toedracht (hoe kon deze fout in onze software sluipen) naar alle verwachting achterhalen.

Slechte scripter wellicht ?

zondag 18 maart 2012, 22:30 uur #22

Klant worden bij jullie is anders vrij simpel, en net zo snel geregeld als hier op FOK! een account aanmaken. Ook is geen enkele betaling of verificatie vereist.

zondag 18 maart 2012, 22:33 uur #23

quote:
Op zondag 18 maart 2012 @ 22:30 schreef BBQSausage het volgende:
[..]
Klant worden bij jullie is anders vrij simpel, en net zo snel geregeld als hier op FOK! een account aanmaken. Ook is geen enkele betaling of verificatie vereist.

En dat is iets waar een hacker zeker geen moeite mee zal hebben.

zondag 18 maart 2012, 22:34 uur #24

ACT-F

Onmeunige gaspedoal emmer

Lees mijn reacties in dit topic eens door:

Lek gevonden op site webhostingprovider, wat te doen?

Bekijk de webcam via UStream. Luister naar Gutter FM

zondag 18 maart 2012, 22:35 uur #25

En het ticketsysteem heeft geen HTTPS ???

zondag 18 maart 2012, 22:42 uur #26

Lkw

²³³³²³²³²³²³²³²³²²³²²

Jammer dat bedrijven zich altijd geroepen voelen tot dit soort zalvend en irritant pr-gebabbel. Uit het nieuwsbericht hierboven blijkt toch al dat jullie snel gereageerd hebben, had het daarbij gelaten.

Nu wil je ook nog het braafste jongetje uit de klas uithangen, die een aai over zijn bol verlangt wegens goed gedrag. Terwijl je nog steeds een standje verdient, omdat de boel niet in orde was.

Kortom, jammer dat ook de marketingjongens bij PCextreme wakker zijn geworden, ze verpesten zoals gewoonlijk met hun gladde geleuter het snelle handelen van de technische mensen.

Stop the world, I want to get out.

zondag 18 maart 2012, 22:45 uur #27

@PCextreme

Ik heb trouwens zelf ook een mail naar jullie gestuurd met een tip.
Dit was rond de klok van 3 vanmiddag. Rond 9 uur vanavond kreeg ik een mailtje van jullie dat jullie mij bedankte.

zondag 18 maart 2012, 22:45 uur #28

Akziom

Prima reactie. Dat lek was inderdaad een blunder (ticket view niet gelimiteerd tot alleen IDs die aan de ingelogde user zijn gekoppeld?) maar in ieder geval goed om te zien dat jullie direct het probleem zelf aanpakken. En niet de boel ontkennen of bagatelliseren, en een of andere onkundige marketing clown er een lulverhaal omheen laten breien. Zoals veel andere bedrijven (en zelfs de kerk) wel doen.

Dit soort fouten komt helaas veel vaker voor dat menigeen denkt, PCExtreme heeft nu de pech dat het bij hun ontdekt en openbaar wordt, waar menig ander bedrijf er puur toevallig in slaagt om het uit de publiciteit te houden.

Nu ben ik geen klant bij PCExtreme, maar dit incident zal, juist dankzij de manier waarop ze ermee zijn omgegaan, mij er in ieder geval niet van weerhouden het wel te worden als ik nieuwe hosting nodig heb (verder nul ervaring met hoe het zit qua prijs/prestatie/service/etc dus die afweging zou ik dan nog steeds gewoon maken, zonder dit akkefietje mee te wegen).

zondag 18 maart 2012, 22:58 uur #29

Flurry

Het was een mooie tijd

Jij ben zeker van de concurrent? Ik ben al 6 jaar klant bij pc-extreme en herken dit totaal niet

We cross our bridges when we come to them and burn them behind us, with nothing to show for our progress except a memory of the smell of smoke, and a presumption that once our eyes watered.

maandag 19 maart 2012, 00:04 uur #30

quote:
Op zondag 18 maart 2012 @ 22:35 schreef humor_is-leuk het volgende:
En het ticketsysteem heeft geen HTTPS ???

Wat heeft dat er nu mee te maken. Geen drol.

Als je dan een ticket aanmaakt en je krijgt een link toegemaild die eruit ziet als
https://example.com/ticket?id=1234 is het niet echt rocket science om zelf die 1234 aan te passen he.

(geen idee of het een lek van deze vorm was, maar ter illustratie)

maandag 19 maart 2012, 01:54 uur #31

Flixer

dafuq. kzit daar ook. eikels.

maandag 19 maart 2012, 08:41 uur #32

quote:
Op maandag 19 maart 2012 @ 01:54 schreef Flixer het volgende:
dafuq. kzit daar ook. eikels.

Nou wees blij, jij hebt nu in ieder geval zéker een veilig ticketsysteem. Ik moet dat bij mijn provider nog maar afwachten

maandag 19 maart 2012, 09:15 uur #33

Revolution-NL

VOC Mentaliteit

quote:
Op zondag 18 maart 2012 @ 22:58 schreef Flurry het volgende:
[..]

Jij ben zeker van de concurrent? Ik ben al 6 jaar klant bij pc-extreme en herken dit totaal niet

Dit dus!

maandag 19 maart 2012, 12:02 uur #34

Nee, ik ben er klant geweest maar was totaal niet tevreden. Ik zit nu met mijn sites bij een wat kleinere partij waar ik wel tevreden over ben.
Service was om te huilen (toen in ieder geval), de snelheid ook. Maar blijkbaar ben je meteen "van de concurrent" als je ergens niet tevreden over bent.

maandag 19 maart 2012, 13:01 uur #35

Dalando

18, niet meer gefrustreerd

IK WIST DAT HET PCEXTREME WAS

Spel-, taal- en grammaticafouten voorbehouden.
994a040db3f025e25771e045468fc121

maandag 19 maart 2012, 13:16 uur #36

zuipuzuipu

pc extreme is bagger, tijd terug hadden ze ALLE mail verloren van een hoop klanten en niet kunnen repareren. De enorme schade wat ze toen hadden aangericht hebben ze ook nog eens lopen censureren.

maandag 19 maart 2012, 13:17 uur #37

quote:
Op maandag 19 maart 2012 @ 13:16 schreef zuipuzuipu het volgende:
pc extreme is bagger, tijd terug hadden ze ALLE mail verloren van een hoop klanten en niet kunnen repareren. De enorme schade wat ze toen hadden aangericht hebben ze ook nog eens lopen censureren.

En dat censureren doen ze nu ook weer volop, op verschillende sites.

dinsdag 20 maart 2012, 13:13 uur #38

einschtein

Toen ze nog Hosted Exchange hadden, had ik ook een fout ontdekt. Door gewoon te browsen in mijn eigen contactpersonen, zag ik ook opeens de knop staan om alle contactpersonen te bekijken.

Drukte ik op, plotseling zag ik allemaal contactpersonen (e-mail, 06, adres, werkadres) die toch écht niet van mij waren.

zaterdag 31 maart 2012, 16:00 uur #39

KeimpeHart

PC-extreme, hele slechte ervaringen mee.

donderdag 19 april 2012, 18:30 uur #40

Wisheh

Waardeloze hoster inderdaad. Amateurs.

Reageer zelf

Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken

PCextreme.nl slordig met gegevens

Lees ook

40 reacties