Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 19, views: 13.609 •

Adobe heeft een website offline gehaald nadat een aanvaller via sql-injectie toegang had gekregen tot de gegevens van gebruikers. De aanvaller claimde de logingegevens van 150.000 gebruikers te kunnen benaderen. De wachtwoorden waren slecht beveiligd.

De getroffen website, ConnectUsers.com, is door Adobe inmiddels offline gehaald, hoewel op de site zelf niet is te lezen waarom. In een blog schrijft een medewerker van Adobe dat de site offline is gehaald na aanwijzingen dat deze zou zijn gehackt. Na onderzoek blijkt dat de getroffen website, een forum dat bij het softwarepakket Adobe Connect hoort, inderdaad zou zijn gehackt.

De aanvaller die de website wist te kraken, heeft eerder als bewijs een deel van de database op Pastebin gezet. In die post waren onder andere gebruikersnamen en wachtwoorden te zien. De wachtwoorden waren slecht beveiligd: ze waren gehasht met het achterhaalde md5-algoritme en bevatten geen salt. Daardoor zijn ze relatief eenvoudig te achterhalen, met behulp van zogenoemde rainbow tables. Daarbij worden wachtwoorden en hashes als in een soort telefoonboek aan elkaar gekoppeld.

De hacker zegt tegenover Dark Reading dat hij toegang had tot de gegevens van 150.000 gebruikers. Daaronder zouden onder meer medewerkers van Adobe, het Amerikaanse leger, Google, NASA en universiteiten zijn. De hacker spreekt in het interview met Dark Reading zijn zorgen uit over het naar zijn mening slechte beveiligingsbeleid van Adobe. De hack komt nog geen twee maanden nadat een certificaatserver van Adobe werd gekraakt, waardoor aanvallers hun malware met Adobe-certificaten konden ondertekenen.

Reacties (19)

Schande dat dit soort grote bedrijven nog gehackt kunnen worden door SQL-injecties. Nog erger is dat de persoonsgegevens ed. niet beter beveiligd waren
Hier een voorbeeld van de data (of links daar naartoe) 644 records schijnbaar.
http://pastebin.com/Bf9uv4hR

Geen fijne gedachte dat Adobe geen salts gebruikt, als je nou weet dat iedere week een nieuw gat in pdf en flash gevonden en misbruikt word, dan kan je toch wel bedenken dat iemand op een gegeven moment de servers aan gaat vallen?

Ik gebruik zelfs salts voor een paginatje voor de bakker op de hoek, snap echt niet dat zoveel grote bedrijven er niet aan doen, erg slecht. Kunnen we dit vanuit de EU niet gaan verplicten ofzo? als je werkt met persoonsgegevens MOET je salts gebruiken?
Ongelofelijk dat er in 2012 nog steeds websites worden gehackt op deze wijze. SQL-injecties en slechte encryptie, nota bene bij een groot bedrijf als Adobe is echt te gênant voor woorden.

Ik vraag me oprecht af hoe ze deze site hebben gebouwd, want het is tegenwoordig bijna moeilijker om een site te bouwen die wél vatbaar is voor SQL-injecties. Elk framework heeft standaard query bindings om variabelen automatisch te escapen, alle databases bieden ondersteuning voor prepared statements. Bovendien is SQL-injectie zo'n bekend beveiligingsprobleem dat letterlijk elk boek, artikel of ander schrijfsel over het bouwen van webapplicaties hier een onderdeel aan wijdt. Welke webdeveloper heeft in vredesnaam zo zitten slapen dat dit allemaal aan hem is voorbijgegaan?

ConnectUsers.com bestaat sinds 2000. Het is dus ook niet zo dat dit een gloednieuwe website is waar nog wat kinderziektes inzitten, ze gebruiken dit systeem al meer dan 10 jaar. Ik neem aan dat ze in de afgelopen 12 jaar bij Adobe wel eens een update van de back-end hebben uitgevoerd. Ik kan er werkelijk waar niet bij hoe tijdens dat proces er niet is gekeken naar de beveiliging.

Schande dit, ongehoord.
Het is gewoon een oude website die daarna waarschijnlijk niet meer onderhouden werd. Natuurlijk weten de programmeurs dat het allemaal niet volgens het boekje geprogrammeerd is, maar als ze niet de opdracht krijgen om de site te vernieuwen, gaat niemand het initiatief nemen om dit op zaterdagavond in hun vrije tijd op te lossen. Zoiets zie ik elke dag. Het is crisis voor iedereen.
Het is jammer dat je dit soort praktijken normaal bent gaan vinden, want dat is het niet. Als ik als ontwikkelaar verantwoordelijk zou zijn voor een website waarvan ik wist dat er dit soort kwalijke beveiligingslekken in zitten en ik zou niet de kans krijgen om daar wat aan te verbeteren, dan zou ik absoluut een nieuwe werkgever gaan zoeken.
Als ik als ontwikkelaar verantwoordelijk zou zijn voor een website waarvan ik wist dat er dit soort kwalijke beveiligingslekken in zitten en ik zou niet de kans krijgen om daar wat aan te verbeteren, dan zou ik absoluut een nieuwe werkgever gaan zoeken.
Dat jij dan bij die werkgever weggaat, lost het probleem nog niet op. Sterker nog, waarschijnlijk wordt het verhaal dan dat, als de hack eenmaal gepleegd is, dat mogelijk gemaakt is door 'een prutser die daar nu niet meer werkt'.

Dit is waarom ik pleit voor het vrijwaren van 'hackers' wanneer zij de zaak publiekelijk maken. Dit zijn gewoon mensen die een lek aantonen. Op het moment dat je dat doet bij een externe partij wordt je opgepakt. Op het moment dat je dat doet bij je eigen bedrijf, wordt je ontslagen. In beide gevallen is het uit persoonlijke overwegingen beter om gewoon niets te doen, terwijl het wel degelijk maatschappelijk belang heeft om lekken aan de grote klok te hangen.
Sorry hoor Dingen, maar hang alsjeblieft niet zo de moraalridder uit.

Zou je echt je inkomen opzeggen omdat je niet de kans kreeg je slecht beveiligde website te verbeteren waar waarschijnlijk nooit naar om werd gekeken en je het toch al te druk had met al die andere projecten waar je opzit? Zo'n opmerking als die van jou kan volgens mij niet van iemand komen die in de praktijk als programmeur aan de slag is.

Heden ten dage staan budgetten zwaar onder druk en ook daarmee de werknemer. Even een website oppakken om tegen sql injectie te beveiligen kan als er bijvoorbeeld gebruikt wordt gemaakt van een shared sql libary bijvoorbeeld. Maar vaak in oudere websites is dit maar de vraag. Zo'n refactoring is dan een tijdrovende klus en wil vaak de opdrachtgever niet voor betalen, of er is domweg de capaciteit niet voor.
En die ellendige adobe reader update bijna elke dag! vermoeiend zoiets.....
Adobe Reader is ook een draak van een programma :P

als je een alternatief zoekt kan ik foxit pdf reader aanraden...

Zelf gebruik ik daarvan een oude versie die maar 1.7mb is

PDF's veranderen toch niet veel, ik heb nog nooit gehad dat ik er iets niet mee kon openen ;)

Hier linkje, werkt perfect op win 7 X64
http://www.oldversion.com...-PDF-Reader-2.0-1516.html
Een slecht advies in mijn ogen: oudere versies van FoxIt Reader bevatten net zo goed security vulnerabilities.
3 updates tot nu toe in 2012 (bron: http://helpx.adobe.com/ac...notes-acrobat-reader.html)

Misschien bedoelde je Adobe Flash Player?
Ongelofelijk dat er in 2012 nog steeds websites worden gehackt op deze wijze
Vind ik niet ongelooflijk. Ik zie het bij mijn werkgever, een techneut die een beveiliging kwestie aankaart wordt niet serieus genomen - door een directeur die geen verstand heeft van techniek: Je verdient er (op de korte termijn) namelijk niets mee, het zijn enkel kosten. Men wordt pas bewust / er wordt pas actie ondernomen op het moment dat het fout gaat...

Het feit dat het dagelijks nog gebeurd is dan ook het bewijs dat de leiding zich vaak niet bewust is van de risico's...
Je moest is weten hoe bedrijven omgaan met security, zelfs de financiele sector (waarvan iedereen denkt dat alles super beveiligd is) laten gaten zitten in de security.

De realiteit is dat zolang de kans op misbruik en het risico gehalte niet hoog genoeg is er juist niets gebeurd. Tenzij het zoals hier net misbruikt is met grote gevolgen. Dan is het plots moord en brand.

Maar anders weet je wat je te horen krijgt? "Dat is een risico die we bereid zijn te nemen." (en ik citeer hier dus letterlijk)
Security kost bedrijven alleen maar geld en geeft nul return on investment dus het intresseert ze niets zo lang ze er maar geen last van hebben. En nu met de crisis al helemaal.

Waarmee ik niet wil zeggen dat security op niets trekt in de financiele sector. Echter dat heeft meer te maken met dat ze een geliefd doelwit zijn en de risicofactor vrij hoog ligt. Maar als ze kunnen besparen op security zullen ze het zeker niet laten. Is nu eenmaal hoe de bedrijven tegenwoordig werken.
Erg jammer dat grote bedrijven zoals Adobe nog steeds zo naief zijn om geen betere beveiliging te gebruiken. Daarbij komt dat heel veel mensen gebruik maken van hun software, je gunt je gebruikers toch een zekere veiligheid?
Geen wonder dat Adobe Reader en Flash zo lek als een mandje zijn. Ze kunnen niet eens een website beschermen tegen sql injecties. En data fatsoenlijk opslaan is blijkbaar ook lastig.
Ik vind zo'n beveiligingslek wel gepast.
Want Adobe maak producten, waarmee het web wordt gemaakt en niets is perfect.

Die sql-injectie, laten werkelijk elke molecuul in je lichaam lachen. Want dit is niet
bepaald iets NIEUWS
torrent programmas helpen dus echt goed tegen hacken :D
En dat gebeurt er dus als je 'je shit niet repareert.
Kwestie van tijd dat 1 of andere skiddie ermee aan de haal gaat en je data jat.

Mei 29 eerste contact met Adobe.
Via e-mail alles uitgelegd (simpele SQLi maargoed), aangeboden het te fixen voor ze. Ze zouden het zelf wel fixen, prima toch?
Proof: http://i48.tinypic.com/xp9c2p.png
Emails: http://i47.tinypic.com/2uzdqu0.png

Schijnbaar toch niet. Jammer.
Kunnen we op tweakers tenminste de juiste benaming voor dit soort personen gebruiken?
http://www.techrepublic.com/blog/security/hacker-vs-cracker/1400
We zijn hier op tweakers immers bijna allemaal hackers..

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013