Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 19.796 views •

Een lek in de website van het Spoorwegmuseum had tot gevolg dat 125 andere websites op dezelfde server eveneens toegankelijk waren. De permissies klopten niet. Ook een andere server was door een lek voor iedereen toegankelijk.

SpoorwegmuseumBeveiligingsonderzoeker Ingratefully ontdekte het beveiligingsprobleem. Hij bemerkte niet alleen dat het Spoorwegmuseum kwetsbaar was voor sql-injectie, ook kon hij via het cms inloggen op het ftp-account van de website.

Daar bleek een upload-script te staan dat hij vervolgens gebruikte om een tool te uploaden waarmee hij via php shell-commando's kon uitvoeren. Dit bleek niet alleen toegang te verschaffen tot alle bestanden op de Spoorwegmuseum-site, maar ook tot die van 125 andere websites. Onder meer de broncode van de websites en database-backups waren toegankelijk, onder andere van de site van de VVV Maastricht, maar vooral van kleinere sites. Dat was het gevolg van slecht ingestelde permissies; normaliter hoort dat niet te kunnen.

Hetzelfde lek was aanwezig op de website van museum Het Domein, van dezelfde ontwikkelaar, en ook in dat geval waren circa 125 andere websites kwetsbaar. Ingratefully schat in totaal toegang te hebben gehad tot in ieder geval 100.000 e-mailadressen, waarvan de helft uit de database van het Spoorwegmuseum kwam.

Volgens Lukas van der Hijden, directeur van BIC Multimedia, dat de sites ontwikkelde, is het beveiligingsprobleem inmiddels opgelost. "In september is er ook al iemand binnengedrongen in ons cms", aldus van der Hijden. Dat zou echter los hebben gestaan van het jongste probleem. Volgens hem en een andere medewerker van het bedrijf deed het probleem met de uploadfunctie zich voor door een verhuizing, waarna htaccess-bestanden niet meer werden geaccepteerd.

Volgens BIC treft echter ook de hostingprovider, e-Quest, blaam; die had zijn permissiesysteem niet goed afgedicht, waardoor ook andere websites toegankelijk waren. Patrique Dankers, directeur van e-Quest, zegt echter: "Volgens mij proberen ze nu de bal naar ons door te spelen, maar zij hebben bij ons een webserver staan." Later geeft hij echter toe die claim niet te kunnen onderbouwen; er staan ook andere sites op de server.

Dankers stelt ook dat geen naw-gegevens toegankelijk waren, maar dat is in strijd met de claims van onderzoeker Ingratefully. Dankers stelt vragen bij de expertise van de beveiligingsonderzoeker, wil weten wie er achter de naam Ingratefully schuilgaat en dreigt zelfs met aangifte. De directeur zegt de dupe te zijn geworden van het beveiligingslek in het Spoorwegmuseum. "Anders was die onderzoeker nooit op de server gekomen." Volgens een andere medewerker van e-Quest waren de permissies onjuist omdat BIC daar om vroeg. "Bepaalde grote klanten willen dat, dat vinden ze handiger", zegt hij. "Wij willen het liever niet."

Reacties (52)

Reactiefilter:-152051+123+24+30
Moderatie-faq Wijzig weergave
...als het allemaal kleine, onbekende, zelden bezochte sites zijn.

[Reactie gewijzigd door kimborntobewild op 14 maart 2012 05:02]

Honderden klanten op één server is geen probleem.
In theorie niet. Maar in de praktijk dus wel.
En de praktijk is wat telt.
Je weet dat je beveiliging niet op orde is, word vervolgens gehackt (door een whitehat) en gaat dan dreigen met aangifte terwijl je wist het niet op orde was??
Ik denk niet dat Dankers weet wat white-hat is. Erg slecht voor de veiligheid dat de directeur zo'n totale computerleek is. En dan ook nog zo stom zijn om je technische werknemers onder druk te zetten onveilige zaken toe te staan. Als je er geen verstand van hebt... Bemoei je er dan niet mee! Ga dan lekker ergens anders een baan zoeken... vakken vullen in een supermarkt ofzo.
Dus "bepaalde grote klanten" staan op een webserver met 124 andere sites, blijkbaar, en hebben daarmee zeggenschap over de veiligheid van al die andere klanten?
Het is uiteraard onwetmatig het zo in te stellen dat een beheerder van een website zomaar bij andere bestanden op die server kan die niet van zijn bedrijf zijn.
e-Quest zou zeker vervolgd moeten worden. Dat gaat niet gebeuren (vrije marktwerking is heilig, he...). M.a.w: deze malafide praktijken zoals e-Quest die doet, blijven gewoon voortduren.
"Wij" is hier e-Quest (en niet een klant die een website wil laten hosten), die zegt het niet te willen dat de rechten met opzet fout worden ingesteld. Maar het toch doet... :r Om maar geen grote klanten kwijt te raken.
Met zo'n instelling is 't geen wonder dat 't mis gaat. Een instelling die het gevolg is van een te ver doorgeschoten hang naar vrije marktwerking (in het algemeen).

[Reactie gewijzigd door kimborntobewild op 14 maart 2012 04:48]

Ik vond 't ook raar dat iedereen er maar vanuit ging dat 't Linux was.

Maar voor Windows geldt hetzelfde als Linux; je kunt het best makkelijk vernaggelen. Op IIS hoef je namelijk helemaal niet een user per applicatie te hebben. Als je verstand van zaken hebt werk je inderdaad op user niveau, maar dat zullen ze wel niet gehad hebben, daar men via Spoorwegmuseum direct toegang kreeg op de overige websites.

Ze zullen volgende keer wel twee keer nadenken bij het inrichten van hun serveersoftware.
Het zal ongetwijfeld aan mij liggen, maar de website wan e-quest ligt eruit!
Site op dit moment niet meer benaderbaar.

Ietwat offtopic:

Onder Linux geeft het pingen van "www.e-quest.nl" rare verwijzingen van andere domeinen terug (zelfde registrars). Wellicht wat aan de hand met DNS...
Gevalletje 777 op alle bestanden en mappen recursief toepassen, ben het vaak zat tegengekomen.. Zoals ook in het artikel wordt gezegd "dat vinden ze handiger" uhu.. |:(
Ik maak doorgaans per gebruiker twee UNIX users aan: eentje waarmee alles is aan te passen binnen het account, en een speciale web user waaronder de PHP scripts e.d. draaien. De webserver start de scripts per virtual host als de juiste users met FastCGI o.i.d...

Dus bv. sfynx en www_sfynx.
De www_ variant is de web user die binnen het account dan alleen kan lezen, tenzij de owner/group/permissies erin zo staan dat deze mag schrijven (voor file uploads e.d.) of juist bepaalde bestanden niet mag lezen.

Zo voorkom je twee dingen:
- geen algemene www gebruker die bij alle accounts iets kan uitrichten
- toegang als de web user betekent geen toegang tot het hele account, dat is uit het perspectief van de klant namelijk een persoonlijke 'root' account.

Dat voldoet wel doorgaans voor een shared setup dacht ik zo :)

[Reactie gewijzigd door Sfynx op 13 maart 2012 19:33]

Vind ik ook raar dat je daar als hoster in meegaat. Jij wordt immers als schuldige aangewezen als iemand inbreekt, zoals nu dus.

Ik had ze gezegd dat ze dan maar een VPS of dedicated server moeten afnemen.
maar dat was hij dus niet.
Shared hosting, look it up.
Wel als deze is ingehuurd lijkt me!
Ah, "Beveiligingsonderzoeker", zo noemen ze dat tegenwoordig dus.
Freebsd bak met 6000 virtualhosts is gewoon prima te doen
[...]
Ja, exact.
Als iedere klant zijn eigen account heeft, en enkel het account van het spoorwegmuseum heeft meer rechten gekregen, dan waren deze 'hacks' niet vanuit andere sites uit te voeren.
Nee, er is binnen Linux strict onderscheid tussen "read", "write" en "execute". Ze hadden alle bestanden kunnen lezen, maar waarschijnlijk niet kunnen aanpassen.
Niet alleen binnen Linux hoor. Maar als je bestanden van andere klanten in een dergelijke configuratie al kunt lezen, dan kun je er donder op zeggen dat schrijven ook geen probleem was.
denkt aan de oude reclame "foutje bedankt"
Laten we hier wel even zeggen dat de twee van de 125 sites waar toegang op is gekregen het nu niet echt belangrijk is dat ze hack proof blijven. Er valt volgens mij ook niet echt iets interessants te zien op die sites zoals gebruikersnamen en wachtwoorden.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True