donderdag 3 januari 2013

Not only sncb - nmbs is leaking

Go to this site : http://www.bda-online.be
You will see e.g.: the list of "Bulletin der Aanbestedingen Nr 3 van 3 januari 2013"

The site is already funny for the fact that you can see what the Belgium goverment is going to buy etc.....
eg: You can see that the government is going to enhance the defense of military property of Kleine Brogel.
But if you click on it to see the details, you will need to login.

Here it comes:
Make a google search on : ".mil.be" <number recorded at the bottom of each item> e.g: ".mil.be" 500013 
Tadaaaa..... login and password security bypassed and from there you can start harvesting information.

UPDATE1: 3 januari 2013 15:06
DG-HR intranet of Belgium Defence free accessible ? 

UPDATE2: 3 januari 2013 21:06
DG-HR site of Belgium Defence is not reachable anymore. 

UPDATE3:  
"Na de NMBS, het ministerie van Defensie. Alleen een telefoonlijst, geen privé-gegevens, beweren ze. Maar wij zagen lijsten met o.a. weddeschalen, datums van promotie, Powerpoint-documenten met titels als "Audit Interne Défense (IAD)",... Meer dan 300 documenten (pdf) publiek zichtbaar en geïndexeerd door Google."
source: www.facebook.com/pirateparty.be

12 opmerkingen:

  1. Sensitive data is defined as information that is protected against unwarranted disclosure. Access to sensitive data should be safeguarded. Protection of sensitive data may be required for legal or ethical reasons, for issues pertaining to personal privacy, or for proprietary considerations.

    BeantwoordenVerwijderen
  2. Or try this:
    Browse to http://dghr.mil.be
    You can see it's a secure HR site of the Belgium Defense.

    Then perform google search -> site:http://dghr.mil.be
    And see what I found: http://dghr.mil.be/info_defensie/telrep/telrep.pdf

    BeantwoordenVerwijderen
  3. It's a lot easier just to perform your search on google by using the following query: "500013 site:bda-online.be"

    BeantwoordenVerwijderen
  4. by the way did you notice http://dghr.mil.be/ is offline now?

    BeantwoordenVerwijderen
  5. Yes, they are trying to fix it.
    ----
    'Technische fout'

    Volgens het ministerie van Defensie is het lek te wijten aan een technisch probleem. 'Het probleem wordt vrijdag onmiddellijk opgelost', zegt een militaire woordvoerder. Hij wijst op een 'technische fout' of 'manipulatie'.
    ----

    Sadly another old trick of Google allows you to still retrieve it from their cache. I hope that it expire quickly. Not that the information was soo shocking as what happened with the NMBS. But it is rather the principle of using security. If you protect it with username and passwords, then also make sure Google could not scan it. Even when people try to search to pictures of public events organized by Defence.

    Oh well, tomorrow another day and who knows other leak sadly found by someone else. We can only hope they do not have false intentions.

    "Stay frosty"


    PS:Don't ask me for the list as I never wanted to have it in the first place.

    BeantwoordenVerwijderen
  6. Deze reactie is verwijderd door de auteur.

    BeantwoordenVerwijderen
  7. the defense should be able to disable ASAP the google cache.

    Tomorrow they start working at 9AM I beleive, so until then the Info will be available.

    BeantwoordenVerwijderen
  8. Gegevens militairen gelekt - technische fout die vrijdag wordt rechtgezet (Defensie)

    BRUSSEL 03/01 (BELGA) = Het feit dat donderdag een telefoonboek van het HR-departement van het leger gelekt werd, is te wijten aan een "technische fout". Dat meldt het ministerie van Defensie donderdagavond.
    "Het probleem wordt morgen (vrijdag) onmiddellijk opgelost", zegt een militaire woordvoerder. Hij wijst op een "technische fout" of "manipulatie".
    De blog www.dejonck.be meldde donderdag dat op dezelfde manier als eerder al de goed anderhalf miljoen gegevens van NMBS-klanten openbaar werden gemaakt, ook een telefoonboek van het HR-departement van het leger werd gelekt. In dat 37 pagina's tellende document staan de rang, de achternaam, de functie, het (interne) telefoonnummer, het bureaunummer en het e-mailadres van goed 500 medewerkers van Defensie.
    Om die gegevens te achterhalen, gebruikte de blogger de manier die eind november al gebruikt werd om de gegevens van anderhalf miljoen NMBS-klanten te lekken. Daarvoor moest de NMBS-site of de site van het HR-departement van Defensie niet gehackt worden.

    BeantwoordenVerwijderen
  9. Hum. On the BDA website, you only have to create a free account to see details about offers. There is no hidden data. DG HR is another thing, but there is only internal phone numbers and mil.be emails, nothing like sncbgate.

    BeantwoordenVerwijderen
  10. Helaas staan de gegevens op menig mens hun laptop.

    BeantwoordenVerwijderen
  11. I did not go into detail during my discovery but it seems others did use my findings to perform a better investigation.

    "Na de NMBS, het ministerie van Defensie. Alleen een telefoonlijst, geen privé-gegevens, beweren ze. Maar wij zagen lijsten met o.a. weddeschalen, datums van promotie, Powerpoint-documenten met titels als "Audit Interne Défense (IAD)",... Meer dan 300 documenten (pdf) publiek zichtbaar en geïndexeerd door Google."
    source: www.facebook.com/pirateparty.be

    Also check the belsec.skynetblogs.be site for more details.

    BeantwoordenVerwijderen
    Reacties
    1. If they do not have the brains than others people (Bror) must do the work.

      Verwijderen