Website Burgernet heeft enorm privacylek
Nederland, nabije toekomst: Tim Kuik die met Fred Teevens downloadverbod in de hand komt eisen dat je op ontsleutelbevel van Ivo Opstelten de wachtwoorden voor toegang tot al je digitale data moet ophoesten omdat je geen aankoopbonnetjes kunt tonen bij de films die je ter download aanbiedt. Nee. Is geen satire. Kijk maar: downloadverbod, ontsleutelbevel, aankoopbonnetjes. Allemaal ideetjes van het Ministerie van Kafka, dat op volle toeren draait om het internet te behangen met bordjes 'hier geen fietsen plaatsen' en 'niet op het gras lopen' om te zorgen dat de burger met angst om wetten te overtreden online gaat, zodat de overheid zelf iets minder bang hoeft te zijn voor dat wrede, cynische internet met haar boze burgers en anarchistische vrijheden. Andersom kun je in de echte wereld de stay connected mentaliteit van demense juist weer goed gebruiken om een groot overheidsgestuurd klikspaannetwerk te bouwen: Burgernet. Volstrekt anoniem burgerpliesie spelen voor de overheid. Privacy gegarandeerd. Alleen dan toch niet. Want alle persoonlijk info die je op Burgernet.nl invult, wordt onversleuteld verstuurd. Precies zoals Opa Ivo het graag ziet. De site gebruikt namelijk geen https-beveiliging: er is alleen forced SSL op de inlogpagina, maar het aanmeldformulier is volkomen onbeveiligd en daarom gevoelig voor hackers. Technische duiding door een man op een donker zolderkamertje tussen de pizzadozen en lege Club Mate-flessen na de breek. Hallo overheid. Doe eens fixen. Of nog te druk met nieuw troetelkindje NL Alert geschikt te maken voor iPhones?
Kamervragen: Marcouch en Oosenbrug willen van de regering weten hoe het zit met dat lek (pdf).De website van Burgernet verstuurt alle aanmeldingen in plain-text. Dat zijn dus: Je persoonlijke gegevens, je gebruikersnaam en je wachtwoord. Dit gaat zo het hele formulier door, vanaf Stap 1 tot en met Stap 3. In hun broncode staat een referentie naar "http://burg..." in plaats van "https://burg...". Zelfs als je zelf https://www.burgernet.nl opent, is in het menu de link naar het aanmeld formulier een http ipv https link. (Zie screenshot 1, opklik voor groot)
Zelf claimen ze in hun FAQ dat alles beveiligd wordt verstuurd, dat geld
echter uitsluitend voor het inlog formulier. Die is forced SSL. Het aanmelden zelf? Die is automatisch onveilig... Screenshot 2 is de view van de page waar ik wat persoonlijke info heb ingevuld:
gebruikersnaam: veiligheidtest
Wachtwoord: SL3CHTh00r!
Zie screenshot 3 voor een wireshark trace... Zowel geen client side encryption als server side encryption. Wat wel kan, is als je zelf als je op het aanmeld formulier komt even in
je address bar het aanpassen van "http" naar "https" en voila je bent met SSL beveiligd. Zelf forceren ze dit dus niet. En er is geen hond die zelf in z'n adres balk het gaat wijzigen natuurlijk.
Zelf claimen ze in hun FAQ dat alles beveiligd wordt verstuurd, dat geld
echter uitsluitend voor het inlog formulier. Die is forced SSL. Het aanmelden zelf? Die is automatisch onveilig... Screenshot 2 is de view van de page waar ik wat persoonlijke info heb ingevuld:
gebruikersnaam: veiligheidtest
Wachtwoord: SL3CHTh00r!
Zie screenshot 3 voor een wireshark trace... Zowel geen client side encryption als server side encryption. Wat wel kan, is als je zelf als je op het aanmeld formulier komt even in
je address bar het aanpassen van "http" naar "https" en voila je bent met SSL beveiligd. Zelf forceren ze dit dus niet. En er is geen hond die zelf in z'n adres balk het gaat wijzigen natuurlijk.