Vervalsing blijkt kinderspel, gegevens van duizenden mensen online
Vandaag om 11:35 door | Bron: Eigen berichtgeving - -
Foto: koen fasseur/rr
Zondag is het opnieuw ‘Antwerpen Autovrij’. Alleen voertuigen met een speciale accreditatie, die je moet aanvragen via een webformulier, mogen ’t Stad binnen. Enig probleem: wie dat webformulier invult, gooit al zijn gegevens (naam, gsm-nummer, nummerplaat) zomaar te grabbel. En ook een accreditatie vervalsen blijkt kinderspel, zo merkte een groep ethische hackers “per toeval” op.
Donderdagochtend om 9 uur hadden al 8.674 mensen een vergunning aangevraagd voor Antwerpen Autovrij. Het gaat om taxichauffeurs, medewerkers van nuts- en telecombedrijven, mensen met een winkel in Antwerpen, … Kortom: iedereen die vindt dat hij of zij zondag zijn wagen wel nodig heeft.
Als je een , moet je een enkele gegevens invullen: persoonlijke informatie (voor- en achternaam, e-mailadres en gsm-nummer) en informatie over je wagen (merk, model en nummerplaat). Zodra je op “bevestig” klikt, gebeuren er twee dingen, aldus de hackers die het lek opmerkten. “Er wordt een pdf-bestand van de vergunning aangemaakt en een ambtenaar van de stad wordt toegewezen om jouw aanvraag te behandelen. Akkoord of niet akkoord.”
Dat leidt tot twee problemen. Enerzijds komen alle pdf-bestanden op een openbare, niet-beveiligde server terecht en anderzijds krijg je als aanvrager na goedkeuring een mailtje met een internet-url die linkt naar dat bestand. Dat ontdekten de hackers per toeval, nadat een van hen zo’n mailtje in zijn inbox had ontvangen. “De url’s zijn allemaal identiek aan elkaar, alleen het volgnummer (de laatste vier cijfers, nvdr.) wordt aangepast. Van 0001 tot… Het volstaat om een ander nummer in te vullen en je krijgt meteen alle gegevens van iemand anders te zien. We hebben ze in geen tijd allemaal gevonden. Van de eerste tot de laatste. Een enorme blunder, zeker zo kort nadat de GDPR-wetgeving (over de bescherming van persoonsgegevens online, nvdr.) van kracht ging.”
Omdat het pdf-bestand automatisch gegenereerd wordt, heb je ook helemaal geen goedkeuring van de ambtenaar meer nodig om je vergunning te bemachtigen. “We hebben het zelf geprobeerd. Het maakt niet uit wat je invult: een valse naam, een onbestaand telefoonnummer, een nummerplaat die al lang uit het register geschrapt is, … Via de generieke link vind je jouw aanvraag makkelijk terug. Niet te onderscheiden van een echt exemplaar. Iemand met slechte bedoelingen kan zo zondag zomaar de stad binnenrijden.”
“Gehackt”
Bij de stad Antwerpen hebben ze het webformulier tijdelijk offline gehaald. “We vermoeden dat we het slachtoffer zijn geworden van hacking”, zegt woordvoerder Dirk Delechambre. “We hebben vorig jaar exact hetzelfde systeem gebruikt en toen waren er geen problemen.”
Door de site offline te halen, zijn er geen nieuwe lekken meer, maar rijst er wel een ander probleem. Mensen kunnen momenteel geen aanvraag indienen voor een vergunning. “Maar onze technische dienst werkt zo snel mogelijk aan een oplossing”, luidt het. “We gaan ook nog een verontschuldiging opsturen naar iedereen van wie de informatie online gestaan heeft.”
Autovrije Zondagen
Het seizoen van de Autovrije Zondagen startte al op 26 augustus. Toen vond in Leuven de eerste Autoloze Zondag plaats. Als laatste is Kontich aan de beurt, dat op zaterdag 29 september alle auto’s weert. In totaal zijn er dit jaar 48 Vlaamse steden en gemeenten die ervoor kiezen om voor één dag het gemotoriseerd verkeer te weren en de straat terug te geven aan voetgangers, fietsers en openbaar vervoer.
De meeste doen dat op zondag 16 september. Het gaat om Aalst, Antwerpen, Asse, Beveren-Waas, Bilzen, Brugge, De Pinte, Deinze, Dendermonde, Diksmuide, Gent, Gingelom, Grobbendonk, Haacht, Haaltert, Ham, Hamme, Hasselt, Herentals, Ichtegem, Ieper, Vorselaar, Kortrijk, Kruibeke, Mechelen, Melle, Merelbeke, Nijlen, Ninove, Oostende, Oud-Turnhout, Roeselare, Rotselaar, Sint-Niklaas, Tienen, Vilvoorde, Vorselaar, Wezembeek-Oppem, Wijnegem, Zedelgem en Zelzate.