Het is erg simpel sessies van anderen op ov-chipkaart.nl over te nemen. Wie kwaad wil kan het account opheffen, persoonlijke gegevens aanpassen of reisgedrag van reizigers zien. Een beginnersfout.
Na het aanmelden wordt er een cookie op de computer van een gebruiker geplaatst met de naam JSESSIONID. De informatie kan zo op een andere computer worden ingevuld en daarmee wordt de sessie overgenomen. Zolang niet wordt uitgelogd verloopt het cookie niet. Dat ontdekte Sander Akkerman, die Webwereld tipte.
De cookies worden gebruikt voor het aanmelden bij de website en het voortzetten van de sessie. Nog niet iedere webbrowser is beschermd tegen het stelen van cookies via bijvoorbeeld een XSS-aanval, waardoor de cookie te stelen is en de sessie overgenomen kan worden. Hetzelfde geldt bij herzenden van de cookies na bijvoorbeeld het afsluiten van de website en het opnieuw openen.
Privacygevoelige informatie
Trans Link Systems, het bedrijf achter de OV-chipkaart, is een financiële dienstverlener. Wie een lopende sessie overneemt krijgt inzage in het reisgedrag van mensen, welke ov-kaarten er in gebruik zijn en een overzicht van producten op de verschillende kaarten. Ook kunnen persoonsgegevens worden ingezien en dus gestolen.
Minstens zo pijnlijk is dat accounts van mensen kunnen worden afgesloten en gegevens worden gewijzigd. Ook is het bijvoorbeeld mogelijk automatisch opladen via een bankincasso kunnen aanzetten of juist uitzetten. Verder kunnen kaarten als gestolen worden aangemeld, waardoor de echte eigenaar niet meer kan reizen.
Beginnersfout
"Omdat het ook werkt vanaf een andere computer, vanuit een ander netwerk, kun je dus concluderen dat er niet op ip-adres wordt gecontroleerd", vertelt Akkerman tegenover Webwereld. Dat betekent dan ook dat na een succesvolle aanval op een persoon met bijvoorbeeld malware of na een bezoek aan een kwaadaardige website, de informatie herbruikbaar is.
"Het wordt op deze manier erg eenvoudig om de sessie over te nemen, en zo alle gegevens in te zien als reisgeschiedenis enzovoorts." Het voorkomen van dit soort fouten is technisch erg eenvoudig. Akkerman stelt dan ook: "Dit is in mijn ogen een beginnersfout."
Een ander probleem is dat de cookie ook niet een zogenaamd secure-cookie is. Hierdoor wordt misbruik van het cookie ook niet voorkomen op het moment dat de informatie wordt gestolen. Dit risico is met een standaard instelling te flink in te perken. Voorwaarde is dan wel dat de sessie via een versleutelde verbinding verloopt en dat de site dus bij het openen meteen de sessie versleuteld. Dat is in het geval van de OV-chipkaartwebsite nu niet het geval. Zou dat wel gebeuren dan is ook bij het terugkomen op de website (voor mensen die niet uitloggen) het verzenden van het cookie geen risico meer.
Niet de eerste keer
Het is niet voor het eerst dat het bedrijf achter de OV-chipkaart worstelt met een lek in de website. Na het bekend worden dat het wel erg eenvoudig is om de kaart te kraken, verschenen er diverse voorbeelden van een cross site scripting-lek op de website van Trans Link Systems. Zo werden links via Twitter verspreid, waarbij afbeeldingen ogenschijnlijk op de website stonden die er niet thuis horen.
Eerder deze maand was gelijkend voorval met cookies ook al een probleem. Het eerste lek uit Lektober met DigiD maakt het ook mogelijk om een sessie te blijven gebruiken. Dat lek was te misbruiken via een cross site scripting aanval, waarvan Webwereld op de eerste werkdag liet zien dat het bij zeven gemeenten voor is gekomen. Later volgden nog tientallen gemeenten met dit probleem
'Gebruikersgemak'
Zegsvrouw Anita Hilhorst van Trans Link Systems laat in een reactie aan Webwereld weten dat de kwetsbaarheid geen bug is maar een feature. Het is een bewuste keuze. Volgens haar hadden vooral roamende gebruikers vroeger teveel last, dus worden meerdere ip-adressen toegestaan.
TLS gaat er niet vanuit dat cookies worden gestolen. De woordvoerster laat weten open te staan voor verbeteringen, mocht dat noodzakelijk blijken. Het bedrijf staat open voor de suggestie alsnog te gaan werken met secure cookies. Ook zegt het bedrijf het bewaken van sessies aan de serverkant te doen. Wie een half uur geen verkeer genereert zal automatisch worden uitgelogd, belooft Hilhorst.
Bron: Webwereld.nl