achtergrond

Geenstijl

login

word lid

nachtmodus

tip redactie

zoeken

Database NvJ lek. Alle journo's van NL op straat

internetaansluitingennvj.jpg INGEZONDEN TOPIC. Hallo journalisten van Nederland! Jullie gegevens liggen keihard op straat. De site met NAW-gegevens van de leden van de hobbyvereniging van het Neerlandsch journaille, ook wel bekend als de Nederlandse Verenigingen van Journalisten (NVJ), is zo lek als de beveiliging van de NOS-redactie. NAW-gegevens zijn supersimpel te onderscheppen en ook vertrouwelijke documenten zijn met een beetje googelen zo te vinden. Op zich kan dat de beste overkomen, ware het niet dat de NvJ zelf altijd roeptoetert over hoe belangrijk privacy en veiligheid is. Zo is de NvJ zelf een groot voorstander van het versturen van versleutelde e-mails ‘zodat overheden en kwaadwillenden berichten niet kunnen onderscheppen’, zeiden ze vorig jaar nog op de dag van de persvrijheid. Goed idee, dat versleutelen. Wij zijn voor! Maar wat blijkt: de webmail van de NvJ zelf is niet versleuteld. Blijkbaar zijn goede adviezen vooral voor een ander. Ook zijn er naast tientallen vertrouwelijke documenten complete notulen van besloten vergaderingen te lezen (ok, supersaai, maar toch) via een URL waar iedere dummy bij kan en waarvoor geen wachtwoord vereist is. Een aantal bekende journalisten doet daarin hun zegje over het poepbeleid van de NvJ. Dat wil je als pronkvereniging liever niet op straat. En omdat ons ethische hackers benne, hebben we de vergaderstukken maar even afgebalkt. Voor deze ene keer, maar laat het niet nog eens gebeuren! Reacties techmensen & NvJ na de breek.
Tech-expert Henk van Ess was flabbergasted toen wij hem om een reactie vroegen. Henk kom er maar in: "Dit is een blunder van jewelste. De NVJ heeft door deze slordigheid de sociale plannen van vele Nederlandse uitgeverijen online geplaatst, net als vertrouwelijke correspondentie en stukken waarin nadrukkelijk staat dat ze niet verspreid mogen worden aan derden." En bedankt NVJ. Dus wij vóór publicatie even met die prutsers bellen. Thomas Bruning, algemeen secretaris NvJ: “De NvJ vindt de situatie ernstig en betreurt het. We zijn blij dat het lek door een goedwillende partij is ontdekt. (Hihi. Dankje.) En dat gegevens zo niet naar buiten kunnen komen. We werken eraan om het lek dicht te zetten en het probleem op te lossen. Risicovolle onderdelen van de site hebben wij dichtgezet.” Of we nog wel even met hun tech-mannetje wilden bellen om het lek uit te leggen zodat de beste man weet wat te doen. Want Thomas vond het maar wát ingewikkeld. Doen we wel hoor. Zo zijn we dan ook wel weer. Backdoornvjonveilig.png Van Ess wil nog even wat kwijt: “Het gaat niet om een gecompliceerd lek dat alleen hackers snappen. Integendeel. Veel stukken zijn knullig in een mapje 'Upload' en 'Documenten' gezet. Ook mediasite Villamedia had deze aanpak. Dit soort fouten waren in de jaren negentig gangbaar. Een verenging die ook de digitale veiligheid van journalisten predikt, moet dat niet alleen met de mond belijden, maar ook zelf in de praktijk weten te brengen." Poedels en pijprokers En dan nog voor de nerds: waarom is de NvJ zo lek als je ouwe tante Truus? Simpel: hun site werkt via http. Terwijl een s’je erachter al zoveel op zou lossen. Maar, moeilijk moeilijk. De verzender van de mail kan er dan zeker van zijn dat gegevens daadwerkelijk naar de juiste website verstuurd worden, en niet worden onderschept door types die door de NvJ bestempeld worden als ‘kwaadwillenden’. Maar al hadden ze https, dan was de boel nog steeds niet veilig. De NvJ loopt 15 jaar achter met software & websitetechniek en toen had je nog zoiets als een POODLE-aanval. Dat is een groot foutje in het SSLv3 protocol. Afgelopen oktober die exploit nog even nieuws omdat zo’n poedel, ondanks een HTTPS-verbinding, toch nog info kan stelen. Maar nu zijn ze op de hoogte van hun eigen lek. Geen dank, journaille van Nederland! Auteur: Laura Liebregt oepsergingwatmis.png

Reaguursels

Tip de redactie

Wil je een document versturen? Stuur dan gewoon direct een mail naar redactie@geenstijl.nl
Hoef je ook geen robotcheck uit te voeren.