Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 52, views: 19.598 •

Een lek in de website van het Spoorwegmuseum had tot gevolg dat 125 andere websites op dezelfde server eveneens toegankelijk waren. De permissies klopten niet. Ook een andere server was door een lek voor iedereen toegankelijk.

SpoorwegmuseumBeveiligingsonderzoeker Ingratefully ontdekte het beveiligingsprobleem. Hij bemerkte niet alleen dat het Spoorwegmuseum kwetsbaar was voor sql-injectie, ook kon hij via het cms inloggen op het ftp-account van de website.

Daar bleek een upload-script te staan dat hij vervolgens gebruikte om een tool te uploaden waarmee hij via php shell-commando's kon uitvoeren. Dit bleek niet alleen toegang te verschaffen tot alle bestanden op de Spoorwegmuseum-site, maar ook tot die van 125 andere websites. Onder meer de broncode van de websites en database-backups waren toegankelijk, onder andere van de site van de VVV Maastricht, maar vooral van kleinere sites. Dat was het gevolg van slecht ingestelde permissies; normaliter hoort dat niet te kunnen.

Hetzelfde lek was aanwezig op de website van museum Het Domein, van dezelfde ontwikkelaar, en ook in dat geval waren circa 125 andere websites kwetsbaar. Ingratefully schat in totaal toegang te hebben gehad tot in ieder geval 100.000 e-mailadressen, waarvan de helft uit de database van het Spoorwegmuseum kwam.

Volgens Lukas van der Hijden, directeur van BIC Multimedia, dat de sites ontwikkelde, is het beveiligingsprobleem inmiddels opgelost. "In september is er ook al iemand binnengedrongen in ons cms", aldus van der Hijden. Dat zou echter los hebben gestaan van het jongste probleem. Volgens hem en een andere medewerker van het bedrijf deed het probleem met de uploadfunctie zich voor door een verhuizing, waarna htaccess-bestanden niet meer werden geaccepteerd.

Volgens BIC treft echter ook de hostingprovider, e-Quest, blaam; die had zijn permissiesysteem niet goed afgedicht, waardoor ook andere websites toegankelijk waren. Patrique Dankers, directeur van e-Quest, zegt echter: "Volgens mij proberen ze nu de bal naar ons door te spelen, maar zij hebben bij ons een webserver staan." Later geeft hij echter toe die claim niet te kunnen onderbouwen; er staan ook andere sites op de server.

Dankers stelt ook dat geen naw-gegevens toegankelijk waren, maar dat is in strijd met de claims van onderzoeker Ingratefully. Dankers stelt vragen bij de expertise van de beveiligingsonderzoeker, wil weten wie er achter de naam Ingratefully schuilgaat en dreigt zelfs met aangifte. De directeur zegt de dupe te zijn geworden van het beveiligingslek in het Spoorwegmuseum. "Anders was die onderzoeker nooit op de server gekomen." Volgens een andere medewerker van e-Quest waren de permissies onjuist omdat BIC daar om vroeg. "Bepaalde grote klanten willen dat, dat vinden ze handiger", zegt hij. "Wij willen het liever niet."

Reacties (52)

Dat een website lek is ligt aan de website. Dat er vandaar uit meer toegang verkrijgbaar is ligt 100% aan de hoster. Mijn tip van de dag: ga niet in zee met EQuest, die hebben er duidelijk geen verstand van.

oops, EQuest, niet BIC

[Reactie gewijzigd door DeTeraarist op 13 maart 2012 13:58]

Laten we hier wel even zeggen dat de twee van de 125 sites waar toegang op is gekregen het nu niet echt belangrijk is dat ze hack proof blijven. Er valt volgens mij ook niet echt iets interessants te zien op die sites zoals gebruikersnamen en wachtwoorden.
Dit is bij veel meer hostingpartijen het geval. Niet iedere hoster gaat in de weer met suexec en dergelijke maatregelen. Een hoop control panels gaan bij de standaard setup ook gewoon uit van mass virtual hosting in een dergelijke setup. Dan kan je nog zo gechroot worden in je homedirretje, maar de webserver zal er toch echt bij moeten kunnen.

Dat icm FTP access (en geen controle wat voor verschrikkelijke php-brouwsels klanten allemaal uploaden) is natuurlijk vragen om ellende op den duur.
denkt aan de oude reclame "foutje bedankt"
De directeur zegt de dupe te zijn geworden van het beveiligingslek in het Spoorwegmuseum. "Anders was die onderzoeker nooit op de server gekomen."

Volgens een andere medewerker van e-Quest waren de permissies onjuist omdat BIC daar om vroeg. "Bepaalde grote klanten willen dat, dat vinden ze handiger", zegt hij. "Wij willen het liever niet."

Nou fijn bedrijf dat E-quest, "heeft u vertrouwen in onze kennis en kunde" ....
nou NEE echt niet meer, het lijkt me voor elke tweaker zo klaar als een klontje, al was spoorwegmusuem zo lek als een zeef, dan nog hadden de "hackers" NOOIT bij andere sites mogen komen , dat is wel degelijk 100% de verantwoordelijkheid van e-quest met al hun kunde .. hoe stom kan je zijn om zo te reageren en dan vooral waar alle tweakers het lezen.

de 2e reaktie zegt ook genoeg over de kennis en kunde van de medewerkers, wij willen het liever niet, zou moeten zijn, dat het domweg niet is toegestaan.
Je neemt me de woorden uit de mond. Als klanten dat anders willen dan geeft dat mij de indruk dat daar een goede reden voor moet zijn geweest. Gevalletje ik kan geen bestanden wijzigen, dus gebruik maar chmod 777?

"Dankers stelt vragen bij de expertise van de beveiligingsonderzoeker, wil weten wie er achter de naam Ingratefully schuilgaat en dreigt zelfs met aangifte."
Je weet dat je beveiliging niet op orde is, word vervolgens gehackt (door een whitehat) en gaat dan dreigen met aangifte terwijl je wist het niet op orde was?? 8)7 Ieder die de moeite neemt om je op een lek te wijzen en er geen 'echt' misbruik van maakt zou je juist dankbaar moeten zijn. (Hij doet zijn naam niet echt eer aan...).
Je weet dat je beveiliging niet op orde is, word vervolgens gehackt (door een whitehat) en gaat dan dreigen met aangifte terwijl je wist het niet op orde was??
Ik denk niet dat Dankers weet wat white-hat is. Erg slecht voor de veiligheid dat de directeur zo'n totale computerleek is. En dan ook nog zo stom zijn om je technische werknemers onder druk te zetten onveilige zaken toe te staan. Als je er geen verstand van hebt... Bemoei je er dan niet mee! Ga dan lekker ergens anders een baan zoeken... vakken vullen in een supermarkt ofzo.
Dit is een veelvoorkomend probleem met shared-webhosting, voornamelijk met Plesk en Cpanel oplossingen. Hiervan hebben we afgelopen week al genoeg gezien op tweakers.

Shared hosting moet je alleen maar gebruiken voor websites die geen of weinig prive gegevens bevatten van bezoekers of klanten tenzij je er vanuit kan gaan dat de hoster veel server/hosting beveiligings ervaring heeft. Iedereen kan namelijk een Ubuntu bak met Plesk opzetten, wat niet aangeeft dat ze er ook echt iets van begrijpen.

We kunnen hier wel alleen de webhoster de schuld van geven, maar als we eerlijk zijn, weten we dat de standaard instellingen van PHP bijna alles toelaten.

[Reactie gewijzigd door Palatinux op 14 maart 2012 00:24]

Standaard reactie van meneer de directeur. Hij kan duidelijk de fout niet toegeven en reageert met beschuldigingen richting de beveiligingsonderzoeker om de aandacht van zich weg te leiden.

Als nu Ingratefully negatief in het nieuws komt kan Dankers zich (deels) goed praten, maar 't klinkt wel heel erg als een stuiptrekking gezien het feit dat hij en zijn bedrijf er duidelijk voor gekozen hebben om specifieke klantwensen te verkiezen boven de algehele beveiliging.

Ook de schuld leggen bij het Spoorwegmuseum is schijnheilig, iedereen hier weet dat de hosting provider eindverantwoordelijke is voor de beveliging tussen verschillende websites op je server.
Ik geloof niet dat je hier direct van een white-hat hacker kan spreken. Het uploaden van een shell gaat IMO veel te ver.
Ik geloof niet dat je hier direct van een white-hat hacker kan spreken. Het uploaden van een shell gaat IMO veel te ver.
Zolang je geen schade aanricht, dan wel privé gegevens verspreid naar de wereld, val je niet direct onder black-hat, en eerder onder white-hat. Zeker als je netjes aangeeft hoe/wat, en ze de kans geeft de boel te dichten voor je 't echt wereldkundig maakt.

Het wordt een ander verhaal als je zover gaat als de boel rooten, backdoors neerzetten, en tot het einde der tijden de server blijft misbruiken voor je eigen geintjes. Maar daar lijkt in dit geval geen sprake van.
Ah, "Beveiligingsonderzoeker", zo noemen ze dat tegenwoordig dus.
Wel als deze is ingehuurd lijkt me!
maar dat was hij dus niet.
Wat ik dan niet snap is dat iedereen hierboven over linux praat terwijl ik op de site van e-quest alleen maar shared hosting onder Windows terug zie.
Dan zou het helemaal raar zijn dat je rechten niet goed zijn aangezien je dan gewoon op user niveau aan het werk bent en je in IIS aan kunt geven welke mappen de betreffende user mag bereiken.

Of zie ik het nu verkeerd?

Bron:
http://www.e-quest.nl/shared-hosting.html

P.s.
Ze hosten zelfs Frontpage *proest*.
Site op dit moment niet meer benaderbaar.

Ietwat offtopic:

Onder Linux geeft het pingen van "www.e-quest.nl" rare verwijzingen van andere domeinen terug (zelfde registrars). Wellicht wat aan de hand met DNS...
Ik vond 't ook raar dat iedereen er maar vanuit ging dat 't Linux was.

Maar voor Windows geldt hetzelfde als Linux; je kunt het best makkelijk vernaggelen. Op IIS hoef je namelijk helemaal niet een user per applicatie te hebben. Als je verstand van zaken hebt werk je inderdaad op user niveau, maar dat zullen ze wel niet gehad hebben, daar men via Spoorwegmuseum direct toegang kreeg op de overige websites.

Ze zullen volgende keer wel twee keer nadenken bij het inrichten van hun serveersoftware.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Smartphones Beheer en beveiliging Google Laptops Apple Sony Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013