Tendentieus, ongefundeerd & nodeloos kwetsend

Database NvJ lek. Alle journo's van NL op straat

internetaansluitingennvj.jpg INGEZONDEN TOPIC. Hallo journalisten van Nederland! Jullie gegevens liggen keihard op straat. De site met NAW-gegevens van de leden van de hobbyvereniging van het Neerlandsch journaille, ook wel bekend als de Nederlandse Verenigingen van Journalisten (NVJ), is zo lek als de beveiliging van de NOS-redactie. NAW-gegevens zijn supersimpel te onderscheppen en ook vertrouwelijke documenten zijn met een beetje googelen zo te vinden. Op zich kan dat de beste overkomen, ware het niet dat de NvJ zelf altijd roeptoetert over hoe belangrijk privacy en veiligheid is. Zo is de NvJ zelf een groot voorstander van het versturen van versleutelde e-mails ‘zodat overheden en kwaadwillenden berichten niet kunnen onderscheppen’, zeiden ze vorig jaar nog op de dag van de persvrijheid. Goed idee, dat versleutelen. Wij zijn voor! Maar wat blijkt: de webmail van de NvJ zelf is niet versleuteld. Blijkbaar zijn goede adviezen vooral voor een ander. Ook zijn er naast tientallen vertrouwelijke documenten complete notulen van besloten vergaderingen te lezen (ok, supersaai, maar toch) via een URL waar iedere dummy bij kan en waarvoor geen wachtwoord vereist is. Een aantal bekende journalisten doet daarin hun zegje over het poepbeleid van de NvJ. Dat wil je als pronkvereniging liever niet op straat. En omdat ons ethische hackers benne, hebben we de vergaderstukken maar even afgebalkt. Voor deze ene keer, maar laat het niet nog eens gebeuren! Reacties techmensen & NvJ na de breek. Tech-expert Henk van Ess was flabbergasted toen wij hem om een reactie vroegen. Henk kom er maar in: "Dit is een blunder van jewelste. De NVJ heeft door deze slordigheid de sociale plannen van vele Nederlandse uitgeverijen online geplaatst, net als vertrouwelijke correspondentie en stukken waarin nadrukkelijk staat dat ze niet verspreid mogen worden aan derden." En bedankt NVJ. Dus wij vóór publicatie even met die prutsers bellen. Thomas Bruning, algemeen secretaris NvJ: “De NvJ vindt de situatie ernstig en betreurt het. We zijn blij dat het lek door een goedwillende partij is ontdekt. (Hihi. Dankje.) En dat gegevens zo niet naar buiten kunnen komen. We werken eraan om het lek dicht te zetten en het probleem op te lossen. Risicovolle onderdelen van de site hebben wij dichtgezet.” Of we nog wel even met hun tech-mannetje wilden bellen om het lek uit te leggen zodat de beste man weet wat te doen. Want Thomas vond het maar wát ingewikkeld. Doen we wel hoor. Zo zijn we dan ook wel weer. Backdoornvjonveilig.png Van Ess wil nog even wat kwijt: “Het gaat niet om een gecompliceerd lek dat alleen hackers snappen. Integendeel. Veel stukken zijn knullig in een mapje 'Upload' en 'Documenten' gezet. Ook mediasite Villamedia had deze aanpak. Dit soort fouten waren in de jaren negentig gangbaar. Een verenging die ook de digitale veiligheid van journalisten predikt, moet dat niet alleen met de mond belijden, maar ook zelf in de praktijk weten te brengen." Poedels en pijprokers En dan nog voor de nerds: waarom is de NvJ zo lek als je ouwe tante Truus? Simpel: hun site werkt via http. Terwijl een s’je erachter al zoveel op zou lossen. Maar, moeilijk moeilijk. De verzender van de mail kan er dan zeker van zijn dat gegevens daadwerkelijk naar de juiste website verstuurd worden, en niet worden onderschept door types die door de NvJ bestempeld worden als ‘kwaadwillenden’. Maar al hadden ze https, dan was de boel nog steeds niet veilig. De NvJ loopt 15 jaar achter met software & websitetechniek en toen had je nog zoiets als een POODLE-aanval. Dat is een groot foutje in het SSLv3 protocol. Afgelopen oktober die exploit nog even nieuws omdat zo’n poedel, ondanks een HTTPS-verbinding, toch nog info kan stelen. Maar nu zijn ze op de hoogte van hun eigen lek. Geen dank, journaille van Nederland! Auteur: Laura Liebregt oepsergingwatmis.png

Reaguursels

Inloggen

Joop heeft ook geen ' s ' je

Handsomeboy | 04-02-15 | 23:46

Lekker boeiend... NVJ

Jahllo | 04-02-15 | 23:07

Tjs. Dat krijg je met goedkope pakketjes a 4,95 p/m die zonder enige kennis van zaken door de secretaresse worden geconfigureerd.
Voor een organisatie als de NvJ echt te triest voor woorden!

Dhr. de Wit | 04-02-15 | 22:01

Wat wel opgemerkt dient te worden is dat een verbinding kunnen leggen zonder SSL naar een (web)mail page niet per definitie inhoudt dat de e-mail communicatie ook onversleutelt loopt; en dan zijn er ook nog eens losstaande problemen.
1.) Bij een formulier kan de "submit" knop nog altijd zo ingesteld zijn dat het over SSL verstuurd wordt. Geen site-wide SSL betekent niet dat SSL totaal niet ondersteund wordt of er geen gebruik van wordt gemaakt. Wel is het chiquer om van begin af aan SSL te forceren, en dat is ook erg makkelijk te doen.
... Maar laten we er even van uitgaan dat dit niet zo is. En laten we dan ook hopen dat de mailclients op de kompjoeters van de NvJ *wel* netjes met TLS/SSL vebinden.

2.) Hoe leuk een beveiligde verbinding ook is, doet de NvJ wel aan encryptie van de e-mail zelf...? =)
Ik bedoel, roepen dat je e-mails moet beveiligen en dan enkel over een beveiligde verbinding gaan is natuurlijk hilariteit alom. Al geeft het andersom in principe meer beveiliging: wel de mail versleutelen maar toch een onveilige verbinding gebruiken. (Mits er een encrypted wachtwoord aan te pas komt, geen plain-text authenticatie.)
Beste natuurlijk zowel verbinding als mail versleuteld.

Enfin, verder: teeheeeheee. Lekkere domme vautjes. Snap niet hoe ze het voor elkaar krijgen. Is de NvJ van de overheid ofzo?
Ben wel benieuwd wanneer GeenStijl es overgaat op SSL voor de login & het commenten. Zou wel prettig zijn, nee? En 't kost jullie geen reet!

Liroy | 04-02-15 | 21:39

Vindt dat de ,Naïve Valse Jokers, best eens een keer aangepakt mogen worden. Over paar weken wordt er weer een wedstrijd, wie kan het beste liegen georganiseerd, en zijn ze dit vuiltje weer vergeten. Je kunt ze beter de Donald Duck laten samenstellen. Kunnen ze weinig kwaad mee doen.

Archy Bunker | 04-02-15 | 21:37

Ik denk dat de meeste journalisten nog werken met WP 4.2, Pc-Write of Notepad. Iets soortgelijks geldt voor hun actuele mindset, die is blijven hangen in de jaren 80tig toen de PvdA nog (net) een nette seculiure partij was en de BibleBelt tegen zich in het harnas joegen.

ad melkert | 04-02-15 | 21:22

-weggejorist-

mindless | 04-02-15 | 20:12

Een echte journalist vertikt het om bij de NvJ te gaan.

mindless | 04-02-15 | 20:12

Morgen of overmorgen in het nieuws: NVJ gaat gerechterlijke stappen ondernemen jegens GS.
.
Mark my words.

deluiegriek | 04-02-15 | 19:54

@analcharist ik zou dur niet doen. Ze rookt. Geen pijp, maar toch. Tijdens de daad blijf je dat ruiken. Dat stinkt nog erger dan vis.

Hoetheneukt | 04-02-15 | 19:25

"En dan nog voor de nerds"
Die nerds begrepen denk ik al genoeg bij het zien van het eerste screenshot..

Claude_Vieaul | 04-02-15 | 18:58

Hans Laroes vindt Annabel Nanninga meer cabaretier dan journaliste. En gooit dat zo op straat. Dan hoef je niets meer geheim te houden over hem. Gooi naw van die paardelul in de publiciteit. Miezerig mannetje.

Normpje | 04-02-15 | 18:49

Wat een enorm goed stuk. Dit is duidelijk niet op z'n Henk Krol's gegaan. Ook las ik dat ze er een maand mee bezig was (facts checken, legaal etc.). Pluim voor Brenno. Deze journaliste gaat nog eens heel groot worden. Die doet tijdens haar stage meer kritische journalistiek dan ooit op geheel Joop gevonden is. Toch zou ik er niet doen, maar heb ik het gevoel dat ze mij zou doen, en dat geen firewall daar tegenop kan.
.
Ik wordt erg enthausiast van deze responsible disclosure. Dat er maar veel interessante scoops mogen volgen!

Halsje Femkema | 04-02-15 | 18:46

@Russells Teapot | 04-02-15 | 18:19
Tx. ROFLOL

Lewis Lewinsky | 04-02-15 | 18:37

@Interpoolbal | 04-02-15 | 17:26
@Krantlezer | 04-02-15 | 18:07

*Dat over 'testaanval'... Is niet waar. #nvjgate @geenstijl @nvj Het is na goed researchen ontdekt*.
twitter.com/lauraliebregt/with_replie...

Dus de NVJ staat direct te liegen. Wie had dat gedacht van die politiek correcte slippendragers van de macht.

Lewis Lewinsky | 04-02-15 | 18:35

Op schrikbarend veel websites kun je dingen doen die eigenlijk niet de bedoeling zijn, en in sommige gevallen zelfs toegang krijgen tot gehele 'afgeschermde' gedeeltes. Met nota bene kinderlijk eenvoudige foefjes die al tientallen jaren bekend en uitvoerig beschreven zijn, ook hoe je ze moet patchen. Denk aan querystringetjes aanpassen, XSS en soms zelfs standaard admin usernames en passwords van dertien in een dozijn open source CMS`en (Drupal, Wordpress, Joomla).
.
Maar dat krijg je doordat men tegenwoordig voor een appel en een ei Wordpress websites laat maken door een handig neefje of een coachingmevrouw die ook 'iets' met websites doet. Elke fatsoenlijke en professionele web developer heeft een checklist/testlijst klaarliggen met aandachtspunten, en is op de hoogte van de meeste security issues (via OWASP o.i.d.).

Le Roi | 04-02-15 | 18:20

@Lewis Lewinsky | 04-02-15 | 17:47
Heel simpel.

Als mensen die de media níet volgen negatief denken over de islam, is dat omdat ze slecht op de hoogte zijn van de actualiteit, dus dan moeten ze aangemoedigd worden om de kranten wat vaker te lezen om zo hun wereldbeeld te verbreden.

Als mensen die de media wél volgen negatief denken over de islam, dan komt dat doordat de media een vertekend beeld geeft van de islam, en zijn er dus bewustwordingscampagnes nodig om zo hun wereldbeeld te verbreden.

Je ziet: de wereld is heel overzichtelijk als je een elitaire linkse islamofiel bent, en één ding is bij voorbaat zeker: je hebt altijd gelijk.

Russells Teapot | 04-02-15 | 18:19

En als google indexeert doet deze het ook.

web.archive.org/web/*/http://nvj.nl/*...

Overigens is die open docs wel heel dom. Die lijkt gelukkig niet gearchiveerd voor ze.

Han Jammer | 04-02-15 | 18:11

Database NvJ lek. Really who cares ?

lingo star | 04-02-15 | 18:09

"De NVJ is vandaag opgeschrikt door een testaanval van GeenStijl op de website van de NVJ. Hoewel de NVJ van een ernstige situatie spreekt en deze zeer betreurt is het veiligheidslek tijdig ontdekt, zodat geen persoonlijke gegevens van leden naar buiten zijn gekomen. De NVJ neemt onmiddellijk maatregelen om schade te voorkomen en sluit de website tijdelijk op risicovolle onderdelen."

Testaanval, ja, natuurlijk. Want dan klinkt het toch nog net even alsof GS de schuld kan krijgen. Stelletje sukkels daar bij het NVJ...

Krantlezer | 04-02-15 | 18:07

Do as I say, not as I do.

Piet Karbiet | 04-02-15 | 18:03

Ach ja, zo zijn linksmensen, altijd commentaar op anderen, maar zelf 10x fouter.

Henk de Vries2074 | 04-02-15 | 17:59

@Parel van het Zuiden | 04-02-15 | 17:43
Haha. Grandieaus. Daar doe je het voor als reaguurder. Dank voor het rolletje en ik bel wel als ik opgehaald wil worden.

Driewerf Hoezee | 04-02-15 | 17:56

@J.R. Thorbecke | 04-02-15 | 17:11
Vreemd. Omroep Gelderland ziet dat heel anders:

*veel ouderen hebben een vertekend beeld van de islam omdat zij veel thuis zitten en de media daardoor meer volgen dan anderen*.
www.omroepgelderland.nl/web/nieuws-1/2...

Lewis Lewinsky | 04-02-15 | 17:47

@Parel van het Zuiden | 04-02-15 | 17:32
Ook hier vertellen ze de waarheid niet.
Ze haten GeenStijl tot op het bot.

Jackanders | 04-02-15 | 17:46

Tsja,
Dat krijg je als je fossielen zonder verstand van ICT voor een appel en een ei systeembeheerders en webmasters aan laat nemen...
"If you pay peanuts, you'll get monkey's. If you pay bananas, you'll get gorilla's..."

Wijze uit het Oosten | 04-02-15 | 17:44

@Driewerf Hoezee | 04-02-15 | 17:32

U heb sjans... Zie Laura's twitter.
.
* Rolletje mentos voor de rook toewerpt *

Parel van het Zuiden | 04-02-15 | 17:43

@me
familiepak dus.

natte krant | 04-02-15 | 17:39

@J.R. Thorbecke

Zo is het en niet anders.

von Amsberg | 04-02-15 | 17:38

Ach, en anders loopt Marcel van Dam gewoon leeg in het plaatselijke etablissement.

Piet Karbiet | 04-02-15 | 17:37

Famiepak Tena dan maar.

natte krant | 04-02-15 | 17:37

Nu even wachten welke hakbars dat ook hebben, die gegevens. Want online.

LeakyLeak | 04-02-15 | 17:37

Ik zou dur doen!

analcharist | 04-02-15 | 17:35

Goed speurwerk van mevrouw Liebregt. Ik dacht dat computerhackmensen altijd vettige kerels waren met teveel te weinig tijd.

Driewerf Hoezee | 04-02-15 | 17:32

“De NvJ vindt de situatie ernstig en betreurt het. We zijn blij dat het lek door een goedwillende partij is ontdekt....."
.
En dat na jaren van GeenStijl en reaguurders wegzetten als het Stormfront.

Parel van het Zuiden | 04-02-15 | 17:32

zo heb ik een keer een bizar lek bij Essent ontdekt, vrijwel alle klantgegevens lagen open en bloot op internet.. ik heb ze er op geattendeerd en Brenno ook even ingelicht en wat bewijs materiaal gegeven.. dat was ca 1,5 jaar terug.. als je even niks te doen hebt en goed zoekt (zoek vooral ook inclusief termen van bekende CMS systemen) dan vind je ongetwijfeld nog veel meer waar je mond van open valt..

Interpoolbal | 04-02-15 | 17:30

Heette dat vroegah niet opendir protocol boj GS? Goeie ouwe tijd was.

postmodernismisdead | 04-02-15 | 17:29

@Parel van het Zuiden | 04-02-15 | 17:24
De meesten doen niet meer dan ANP berichtjes overschrijven en voorzien van extra spelfouten.

Lewis Lewinsky | 04-02-15 | 17:28

Tendentieus? Nee.
Ongefundeerd? Nee.
Nodeloos kwetsend? Nauwelijks.

Next.

Igor Putkin | 04-02-15 | 17:27

Ontstelde NVJ-baas: *Dus het is niet iets dat met een paperclip te repareren is, in die website?*

Lewis Lewinsky | 04-02-15 | 17:27

haha, ook ff googlen maar ze zijn er snel bij.. ik probeerde een PDF te openen via google en kreeg dit op mn scherm:

Testaanval op NVJ-website

De NVJ is vandaag opgeschrikt door een testaanval van GeenStijl op de website van de NVJ. Hoewel de NVJ van een ernstige situatie spreekt en deze zeer betreurt is het veiligheidslek tijdig ontdekt, zodat geen persoonlijke gegevens van leden naar buiten zijn gekomen. De NVJ neemt onmiddellijk maatregelen om schade te voorkomen en sluit de website tijdelijk op risicovolle onderdelen.

Interpoolbal | 04-02-15 | 17:26

Er zijn geen journalisten in Nederland. Wat meningenmensjes, wat stukjestyperts, wat ge-outplacete woordvoeders van politieke partijen, en dan hebben we het wel gehad....

Parel van het Zuiden | 04-02-15 | 17:24

@J.R. Thorbecke | 04-02-15 | 17:11
Ook grappig hoe ze hun eigen constante ideologische verdraaiing van de realiteit zien als "nuance."

Nog hilarischer is de stelling dat een "objectieve pers" nodig is om mensen bij Wilders weg te houden, want dat is wat objectieve mensen doen: Wilders bestrijden. Dat is namelijk objectief gedrag: mensen proberen weg te houden bij bepaalde politieke stromingen. Anders ben je niet objectief.

De ironie hiervan kunnen ze helaas niet inzien, want daarvoor zouden ze in staat moeten zijn tot zelfkritiek, iets waar geen linkse journalist in dit land toe in staat is. Mensen die Groot Gelijk hebben en geregeld journalistieke prijzen in ontvangst nemen uit de handen van gelijkgestemden hebben dat immers nergens voor nodig, zelfkritiek.

Als kranten mensen indoctrineren in plaats van informeren dan is dat geen propaganda, maar dan is het "mensen helpen om de zaken In Perspectief te kunnen plaatsen."

Dat dit perspectief ook maar hun eigen subjectieve mening is beseffen ze uiteraard niet, want ze zijn links en correct, er bestaat niet zoiets als een links persoon met een mening; als een links persoon iets vindt is dat geen mening maar een Vaststaand Feit, en als iemand er tegenin gaat is die persoon gewoon niet goed geinformeerd, en heeft die persoon gewoon wat meer informatie (lees: propaganda) nodig.

Het is immers in Algemeen Belang dat iedereen precies zo denkt als de linkse elite het liefste ziet.

Russells Teapot | 04-02-15 | 17:24

Ff het bmovl filter omlussen lijkt mij.

neemjemoederindemali | 04-02-15 | 17:24

@Russells Teapot | 04-02-15 | 17:04
Voor verkopers van pijpbenodigdheden zoals pijpenkoppen, pijpetuis en pijpenragers zou de NVJ-database een buitenkansje zijn, en voor verkopers van pantoffels en fauteuils eveneens.
*kalender op 1950 zet*

Lewis Lewinsky | 04-02-15 | 17:23

Of de inhoud van de gelekte NvJ krabbels iemand werkelijk zal intereseren is natuurlijk weer van een geheel andere orde

Tobi | 04-02-15 | 17:19

Tja, journalisten zijn nu eenmaal generalisten, en weten zodoende nergens voldoende van. laat staan ICT.

Abject | 04-02-15 | 17:17

Gooi de inhoud ff in pastebin.

postmodernismisdead | 04-02-15 | 17:13

Dat willen we toch allemaal, openheid.
:) Zoals je al dan niet gewapend de NOS studio binnen kan lopen, zo kun je hier zonder wapen naar binnen, precies wat men wil, een open vrije samenleving, alles zullen we eerlijk delen!

Dibe | 04-02-15 | 17:13

Ook mooi van dit geweldig NVJ: "De overheid moet de pers helpen, want heeft er zelf baat bij dat we in dit land beschikken over een pluriforme, en vooral ook objectieve pers. Niet-krantenlezers worden als vanzelf in de armen van politici zoals Geert Wilders gedreven, vanwege het ontbreken van elke nuance in de berichtgeving die die kiezers bereikt."

Best eng eigenlijk, zo'n NVJ.

Rest In Privacy | 04-02-15 | 17:11

Dodebomenmensen moeten zich ook ver houden van al die moderne elektrische, elektronische en digitale apparaten. Ze hadden zich gewoon op hun stencilmachine moeten verlaten.

Guido | 04-02-15 | 17:08

Of het nou een kalashnikov verwarde groep is die tijdschrift uitroeit, een verwarde man die zonder slag of stoot de studio binnenloopt of een beroepsvereniging die alle persoonsgegevens openbaar maakt, de boodschap is duidelijk: Journaille, hou je bek. Iedereen weet waar je huis woont, en na de ophef komt de zelfcensuur.

adminitor | 04-02-15 | 17:08

Overigens staan die notulen nog gewoon in de google webcache. Ies ienternet jongens.

Rest In Privacy | 04-02-15 | 17:07

Alles op wikileaks a.u.b. er horen geen geheimen te zijn zeker niet bij de NVJ die dit zo toejubelt.

Ommie de HaatMoker | 04-02-15 | 17:06

Ach, wie is er vandaag de dag buiten de grachtengordel nog geinteresseerd in NvJ-journalisten?

Als kwaadwillenden mensen willen bedreigen, dan zoeken ze doorgaans slachtoffers uit die maatschappelijk relevant zijn.

Russells Teapot | 04-02-15 | 17:04

Mooie scoop :)

yamahaha | 04-02-15 | 17:03

REAGEER OOK

bespaartips: Energie vergelijken | Autoverzekering vergelijken | Zorgverzekering vergelijken