Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 39, views: 8.403 •

Een Finse website heeft de e-mailadressen en wachtwoorden van ten minste 70.000 Finnen laten uitlekken. Onder de getroffen gebruikers zitten naar verluidt ook doktoren. Het is het zoveelste datalek van deze maand in het Scandinavische land.

De Finse website Helistin liet zeker 70.000 gebruikersnamen, e-mailadressen en wachtwoorden onbeschermd. De gegevens waren opgeslagen in een onversleuteld tekstbestand, weet Mikko Hyppönen van beveiligingsbedrijf F-Secure. Het is niet duidelijk hoelang de gegevens onbeschermd online hebben gestaan en wie ze heeft kunnen inzien. MikroPC meldt dat de gegevens waarschijnlijk via filesharingdiensten worden gedeeld.

Helistin is een website voor gezinnen met kinderen. Eigenaar Darwin Media Oy heeft naast de familiesite ook andere Finse websites onder zijn hoede. Daaronder valt een webportaal met 15.000 gebruikers, waar naar verluidt ook doktoren zijn geregistreerd. Volgens Finse media gebruiken de websites dezelfde gebruikersnamen als Helistin. Het is niet bekend of de gegevens van Helistin bij de andere sites zijn misbruikt.

Finland kampte deze maand met verschillende datalekken. Begin november lekten bij verschillende diensten eveneens de gegevens van duizenden Finnen uit. Bij een daarvan belandden daardoor onder andere de e-mailadressen en de wachtwoorden van universiteiten en verschillende overheidsinstanties op straat, waaronder die van de douane en de belastingdienst.

Reacties (39)

and we don't care. morgen een bericht dat er een postkantoor in Swaziland een postzak vol brieven is kwijtgespeeld.

spijtig voor de leden, maar die zullen door het getroffen bedrijf wel worden ingelicht. Dit moet niet telkens aan de grote klok worden gehangen, want dit berichten is nutteloos voor alle anderen
ja het gebeurt tenslotte zo veel...


Tegenwoordig moet bij levering van een internet aansluiting gewoon een brief meegeleverd worden waarin staat: Alles wat uw op uw computer doet is voor iedereen zichtbaar.
Deze berichten zijn zeker niet nutteloos.

Als bedrijven doorkrijgen dat wanneer zij hun software slordig in elkaar zetten (want dat lijkt bij 99% van de berichten die je hierover leest het geval te zijn) ze hierop worden afgerekend in de media (en dus door klanten) dan zal er meer geld beschikbaar komen voor dit soort zaken.
Als bedrijven doorkrijgen dat wanneer zij hun software slordig in elkaar zetten (want dat lijkt bij 99% van de berichten die je hierover leest het geval te zijn) ze hierop worden afgerekend in de media (en dus door klanten) dan zal er meer geld beschikbaar komen voor dit soort zaken.
Het punt is dat eigenlijk alleen de bedrijven die getroffen worden hun ogen openen. De rest denkt gewoon nog steeds (onterecht!) dat dit soort dingen ze niet kunnen overkomen. De ICT-afdeling weet er wellicht van, maar die mag er niks aan doen omdat het geld kost om de beveiliging te verbeteren "terwijl er toch geen problemen zijn?"
alles en iedereen is te hacken en het is enkel de gespecialiseerde pers (waar vaak de klanten zélf niet eens lezen, laat staan van wakker liggen) dat de oorzaak soms wordt genoemd
Wanneer gaan ze nu eens leren met deze gegevens goed om te gaan?


Ooit gaat het een keer goed mis, zeker als ze gegevens van bv overheden lekken. Want als er misbruik van gemaakt word zal je nooit horen natuurlijk. Of het moet te laat zijn en er komt bv weer een aanslag, of ze lekken de namen van bv infiltranten.

[Reactie gewijzigd door Iftert op 28 november 2011 11:27]

Ik zie steeds vaker mensen op t.net (begrijpelijk) klagen over het "zoveelste nieuws over een lek"

Jouw reactie slaat eigenlijk de spijker op z`n kop:
Wanneer gaan ze nu eens leren met deze gegevens goed om te gaan
Juist doordat steeds vaker berichten over "datalekken" naar buiten komen en soms lichtelijk over the top worden uitgelicht wordt wel het besef van de t.net bezoekers en andere ontwikkelaars behoorlijk verhoogd.
Erg jammer dat het "the hard way" moet maar door deze berichten ben ik zelf wel stukken bewuster naar systemen gaan kijken en doe ik wel ondanks maatregelen die ik in ieder geval altijd standaard neem wel nog een dubbelcheck voordat ik iets oplever.

Dus ondanks dat deze berichten het nieuws lichtelijk ééntonig maken zal het uiteindelijk wel naar een *kuck* beter wereld *kuck* leiden. De vraag is wat er is gelekt voordat we diezelfde "betere wereld" bereiken.
Het 'probleem' is dat je dat bewustere dubbelchecken blijkbaar op eigen initiatief doet. Alle opdrachtgevers en managers zouden dat eigenlijk standaard moeten eisen van ontwikkelaars en systeembeheerders! Kwestie van tijd dat opdrachtgevers dat gaan doen dankzij de nieuwsstroom over hackpogingen.

[Reactie gewijzigd door Randfiguur op 28 november 2011 12:58]

Onachtzaamheid bij de slachtoffers, en opportunisme bij de overtreders zal nog heel lang blijven bestaan.

Ter vergelijking: al meer dan tienduizend jaar kent de mensheid berovingen. Je zou verwachten dat mensen zich beter zouden beschermen en dat er geen berovingen meer voorkomen.

Houd er rekening mee dat t.net nog heel lang hierover zal schrijven, zoals sommige kranten graag over berovingen schrijven.
En waar is de brand? Handig is het allemaal niet daar zijn we het snel over eens. Maar of er echt iets aan de hand is niet duidelijk uit het nieuwsbericht, wat de relevantie voor Nederlande is al evenmin.

Ditt is vooral een hype aan het worden goed opgestookt door advocaten en beveiligingsclubs. Die natuurlijk zelf geen vernatwoordelijkheid nemen, dat dan weer niet.
Latest big hack in Finland leaked emails and passwords of thousands of Finnish doctors (and 70000+ end users). Passwords were not encrypted.
"uitlekken".

Een kraan die dicht zit, lekt niet.
Hackers draaien hem open, dan begint ie te lekken, maar hij lekt niet vanzelf.
Maar er hoort natuurlijk een slot op die kraan te zitten.
Of een waterslot, als er te veel stroomt is er iets niet goed.
Dat is een zeer handig extra stuk beveiliging, mits goed toegepast. Zijn er toepassingen hiervoor bekend?
Dat is een zeer handig extra stuk beveiliging, mits goed toegepast. Zijn er toepassingen hiervoor bekend?
:) Wasmachinekranen, cv-installaties
De gegevens waren opgeslagen in een onversleuteld tekstbestand
Dit is bijna hetzelfde als je creditcard inclusief pincode op een random terrastafeltje midden in de zomer neer leggen wat mij betreft
Sorry maar het is eerder zakkenrollen, en gezien de moderatie op mijn statement word dat als geaccepteerd beschouwd, ongelooflijk.
Volgens mij heb je niet het hele artikel gelezen.

Nogmaals gequote uit het nieuwsartikel:
De gegevens waren opgeslagen in een onversleuteld tekstbestand
Alle gegevens waren voor jan en alleman direct toegankelijk. Dan ben je ergens heel verkeerd bezig als je op die manier omgaat met persoonlijke en privacygevoellige gegevens.

De portemonnee wordt niet uit de broekzak gejat, de portemonnee is op een publiekelijk toegankelijk en zeer druk bezochte plek, onbeheerd achter gelaten.
Een huis dat niet voldoende afgesloten is mag je ook niet zomaar binnenlopen, ook al is het misschien makkelijk.
Ik vind dat bakman wel degelijk een punt heeft hierin.
Dat is juist het hele geval, de data lag niet binnen in huis maar stond op een bord geschreven wat voor het huis staat.

De data stond gewoon online, publiekelijk beschikbaar op de server... Er is dan ook niets gehacked, gekraakt of iets, ze hebben de data zelf online gepubliceerd.

Om het nog duidelijker te maken, als Tweakers.net gewoon ergens een txt op hun server plaatst met alle userdata, dat is Tweakers.net toch 100% fout en niet de persoon die toevallig de url http://tweakers.net/userdata.txt intikt in z`n urlbalk?!

[Reactie gewijzigd door Sjengcity op 28 november 2011 12:03]

toch apart dat er dan een "hack" gepleegd moet worden om aan deze gegevens te komen. waarom had niet direct de hele wereld dan deze gegevens te pakken toen ze uit bed rolde ?
Hoe kom je erbij dat er gehacked is? het betreffende bestand stond gewoon online?!
Sjengcity, waar heb je dat vandaan? Heb wat zitten lezen maar ik heb nergens kunnen vinden dat deze files zonder enige afscherming te vinden waren?

Mocht het zo zijn en de boefjes hebben het probleem niet aan de admin doorgegeven maar er mee lopen te pronken en zeker als ze ze verspreiden(!) dan zijn het naast gewone boefjes ook bijzonder verachtelijke boefjes. Hoop dat ze opgepakt worden.
De gegevens waren opgeslagen in een onversleuteld tekstbestand, weet Mikko Hyppönen van beveiligingsbedrijf F-Secure. Het is niet duidelijk hoelang de gegevens onbeschermd online hebben gestaan en wie ze heeft kunnen inzien.
De gegevens stonden onbeschermd online....

Bij een hack hebben we het over het algemeen over "het ongewenst toegang verschaffen tot (vaak beveiligde) systemen"

Letterlijke quote van Wikipedia:
his primarily concerns unauthorized remote computer break-ins via a communication networks such as the Internet (Black hats), but also includes those who debug or fix security problems (White hats), and the morally ambiguous Grey hats. See Hacker (computer security).
Bedrijven gaan echt heel slordig om met gegevens van andere mensen. Hoelang duurt het nog voordat zen ingaan zien dat ze het heel makkelijk maken voor identiteitsfraudeurs. Je zou toch denken dat er toch een keer een alarmbel moet gaan rinkelen met al die datalekken en hacks van de laatste tijd.
Het is de eeuwige "oh dat zal bij mij niet gebeuren" mentaliteit.
genezen is goedkoper dan voorkomen. voor veel overheden en bedrijven maakt het niet zo veel uit dat jouw gegevens op straat liggen. die komen er toch vanaf met een simpele "sorry".

wat mij erger lijkt is dat het vaak om eeuwenoude fouten gaat. ook de goedkoopste webdesigner moeten naar mijn mening die dingen geleerd hebben en vind ik dat overheden niet op de koopjes moet afgaan (of minstens ook een partij zoeken die de veiligheid grondig test).

"Hoelang duurt het nog voordat zen ingaan zien dat ze het heel makkelijk maken voor identiteitsfraudeurs.". helemaal gelijk. alleen is het punt dat die bedrijven niet voor de schade opdraaien en alles goedkoop en snel moet gaan.
"oh dat zal bij mij niet gebeuren", daar zit een punt in, voor mij lijkt het eerder op "het moet goedkoop en snel, mocht er wat fout gaan dan heeft het geen gevolgen voor ons",

alles centraliseren en openbaar maken (toegang tot internet) kan wel makkelijk en efficiënt zijn, maar dat komt ook met een grote verantwoordelijkheid. de kans dat alles ineens massaal mis gaat is veel groter. van ons word verwacht dat wij zorgvuldig omgaan met documenten. bedrijven lijken het onzorgvuldig te mogen doen en ongestraft mee weg komen als het fout gaat.
natuurlijk snap ik dat je niet alles perfect kan beveiligen. alleen lijkt het hier structureel fout te gaan en kunnen we niet meer spreken van overmacht. ook strafbaar maken van hacken is geen optie (hoe verleidelijk het ook klinkt). de uiteindelijke beveiliging word daar niet beter van.

als webdesigners ook is keken naar hoe een site vernielt kan worden in plaats van alleen leren hoe je er één kan maken, dan waren al een heel eind. (zoek termen zoals; sql injection, xss, encryption en "how to think logically" zal veel goed doen). tweakers volgen of verder kijken dan wat minimaal nodig was om een site te maken.
je kan niet alles voorkomen, maar wel minstens de veelgemaakte fouten voorkomen.

edit : het zou in dit artikel gaan om een tekstbestandje :S maakt het misschien in dit geval nog iets triester.

mjin mening natuurlijk.

[Reactie gewijzigd door Madnar op 28 november 2011 14:22]

een webportaal met 15.000 gebruikers, waar naar verluidt ook doktoren zijn geregistreerd
Mij ontgaat de relevantie van deze opmerking. Het is toch niet zo dat doktoren een bepaalde status of karma hebben waardoor het onwaarschijnlijk wordt dat hun gegevens uitlekken?

Of wel, dan ga ik snel mee doen aan een loting voor medicijnen.
Gaat lekker zo met al die datalekken en hacks de laatste tijd.
Ik ben benieuwd of hier ooit vooruitgang in de beveiliging komt zodat zelfs een amateur een veilige site kan bouwen.
Overigens is Finland geen onderdeel van Scandinavie.

[Reactie gewijzigd door HKS-Skyline op 28 november 2011 11:42]

is precies wel meer aan de hand momenteel: http://www.helistin.fi/ : 404 not found
Misschien is de site offline gehaald en hebben ze nog geen aangepaste 404-pagina.
Al die lekken zorgen er wel voor dat ik huiverig wordt om nog ergens online informatie van mezelf achter te laten. Bijvoorbeeld met online bestellingen die je via de creditcard betaalt. Ik heb daar geen lekker gevoel bij.
Dit is dus precies de reden waarom ik een prepaid creditcard heb aangeschaft. je weet gewoon niet hoe goed ze met je persoonlijke gegevens omgaan. ze zeggen dat ze ze nooit zullen verstrekken aan derden, maar vervolgens zetten ze alles wel voor het oprapen weg. eigenlijk moet hier ook een of andere instantie op toe kijken, met een keurmerk of iets dergelijks. zodat je weet dat je gegevens netjes bewaard blijven, en dat er dan een bedrijf garant voor staat. maar ik denk dat er weinig bedrijven die verantwoordelijkheid op zich durven te nemen, want op het internet is eigenlijk niets "echt" onmogelijk te achterhalen.

Op dit item kan niet meer gereageerd worden.