Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 14, views: 8.045 •

Een hacker claimt op een slecht beveiligde server van de Amerikaanse provider Verizon de klantgegevens van circa 3 miljoen glasvezelabonnees te hebben buitgemaakt. Het gat in de beveiliging zou al sinds de zomer bekend zijn en de data was onversleuteld opgeslagen.

De hacker, die opereert onder het pseudoniem Tibitximer, liet via Twitter weten dat hij op betrekkelijk eenvoudige wijze roottoegang had verkregen tot een Verizon-server waarop klantgegevens van glasvezelabonnees waren opgeslagen. Vervolgens zou hij databasegegevens van naar schatting 3 miljoen Verizon FiOS-klanten hebben buitgemaakt. Een deel, circa 300.000 accountgegevens, publiceerde Tibitximer op Pastebin.

De data was volgens de hacker onversleuteld opgeslagen, waaronder wachtwoorden en naw-gegevens. Verder claimt hij dat Verizon al afgelopen zomer op de hoogte was gesteld van de kwetsbaarheid, maar dat de internetprovider heeft nagelaten om het gat te dichten. Bovendien zou de kwetsbaarheid nog steeds op de betreffende server aanwezig zijn, zo schrijft Zdnet. Verizon heeft nog niet gereageerd op de zaak.

Reacties (14)

En dan denk je dat je provider wel veilig met je gegevens omgaat 8)7
Ben benieuwd of het klopt. Zoja dan is het wel heel slecht zeker omdat het lek al een paar maanden bekend zou zijn bij Verizon.
"Een deel, circa 300.000 accountgegevens, publiceerde Tibitximer op Pastebin."

Lijkt me duidelijk, er is op z'n minst toegang verschaft tot de servers en daarmee lijkt het verhaal aannemelijk dat de data ook onversleuteld was opgeslagen.
Verder claimt hij dat Verizon al afgelopen zomer op de hoogte was gesteld van de kwetsbaarheid, maar dat de internetprovider heeft nagelaten om het gat te dichten.
Als de hacker dit claimt dan zal hij dit al hebben geweten. Zou de hacker in kwestie dit zelf aangekaart hebben en na nu gezien te hebben dat Verizon er niks mee heeft gedaan het lek alsnog geŽxploiteerd hebben?
Misschien nam Verizon het niet serieus? Of hadden ze niet meteen een fix. De vraag is wat je als hacker er mee wilt bereiken als je 10% van de gegevens publiek maakt. Het minste wat je kan doen is ze toch een beetje obfuscaten zodat niet iedereen ze kan gaan misbruiken. Als hij ze verkocht had, dan had ik het misschien nog begrepen. Dumps publiek maken vind ik eerder een manier om penisgrootte te vergelijken.

Edit:
Tibitmixer claimt een white hat te zijn (hoewel het dumpen van data niet echt in de filosofie past).
Hij zal Verizon dus wel op de hoogte gesteld hebben lijkt me. Dat doet hij ook bij andere bedrijven (microsoft, zynga, ...). Gezien zijn echte naam trouwens bekend is (Dylan S. Hailey), lijkt het me niet dat hij echt criminele bedoelingen had. Gewoon weinig tact.

[Reactie gewijzigd door ludonis op 23 december 2012 10:29]

10% openbaar maken kun je ook zien als een lokkertje voor eventuele kopers. Zie het als een filmtrailer ;) Als je gegevens openbaar gaat maken ben je toch al niet white hat, dus waarom niet met 10% adverteren om de rest te verkopen?
Gezien zijn echte naam trouwens bekend is (Dylan S. Hailey), lijkt het me niet dat hij echt criminele bedoelingen had. Gewoon weinig tact.
Dan is hij niet alleen tactloos, maar ook dom. Het publiceren van persoonsgegevens en hacken van een systeem (dit is een hack gezien de publicatie, een rechter zal het niet anders kunnen zien door de publicatie) is een federale misdaad in de USA.

Alleen op die persoonsgegevens kan hij al een behoorlijke straf krijgen.

Dom dom dom.
[...]


Dan is hij niet alleen tactloos, maar ook dom. Het publiceren van persoonsgegevens en hacken van een systeem (dit is een hack gezien de publicatie, een rechter zal het niet anders kunnen zien door de publicatie) is een federale misdaad in de USA.

Alleen op die persoonsgegevens kan hij al een behoorlijke straf krijgen.
Aangenomen dat de hacker in de USA zit of in een land dat hem wilt uitleveren, dat ze de hacker voor het gerecht kunnen slepen, etc.
Zou het minder strafbaar geweest zijn moest hij gewoon screenshots genomen hebben met onleesbare persoonsgegevens?
Misschien niet direct minder strafbaar.

Maar een rechter zou er zeker een lagere straf voor geven. Op het moment dat je daadwerkelijk gegevens van mensen publiceert, laat je zien dat je crimineel bezig bent. Op het moment dat je slechts wat screenshots neemt, waarop je persoonsgegevens echt wegfilterd, laat je juist zien dat je intentie niet direct was om persoonsgegevens te verkopen of iets dergelijks. In nederland zou dat voor een rechter veel uitmaken. En in amerika, is het zo ook nog enigsinds verdedigbaar tegenover een jury, wat wat anders is op het moment dat je al persoonsgegevens gepubliceerd hebt.
Wat is er de laatste twee jaar gebeurd zodat er nu bijna elke week wel een artikel op tweakers over een hack gaat?
Toegenome instresse in hacken door mainstream news aandacht aan Anonymous/LulzSec/etc etc? Betere tools die het makkelijker maken om exploits te vinden voor hackers die eigenlijk helemaal niet zo veel kennis hebben?
Of gaan bedrijven steeds nochalanter met beveiliging en persoonlijke data om?
Ik denk niet "steeds nochalanter" omgaan met onze gegevens. Ik denk dat bedrijven nochalant omgaan met onze gegevens en het is de afgelopen jaren iets geworden om dit aan de kaak te stellen.

Sommige acties loof ik, zolang ze het maar aankaarten bij de bedrijven zelf en niet klakkeloos alles publiceren.

Ook zijn er dezer dagen veel meer tools beschikbaar waardoor de drempel veel lager ligt.
Door opkomende markten als Facebook en google: Zijn social systems meer en meer intressant geworden. Maar ook de ontwikkellingen en afhankelijkheden daarvan. Waaronder ook privacy.

Daarnaast is op de zwarte markt en in het criminele circuit de trend ook verschoven. Waar vroeger een hacker een opdracht kreeg en deze een hack uitvoerde. En daarvoor betaald werd. Is het tegenwoordig zo dat een hacker zelf actief een opdrachtgever zoekt of vanuit een bende opereerd. Daarnaast bieden ze gewoon aan bij de hoogste bieder.

Daarnaast is het zo dat Linux niet minder veilig is geworden, maar om snelheidswinst te halen op servers en vooral op embedded systems er nogal laks is omgegaan met de beveiliging. (dit was vroeger geen ramp want ze waren niet populair --> Kijk nu eens naar android) Hiermee bedoel ik dat vooral de kernel footprint vaak kleiner wordt gemaakt door modules eruit te slopen voor firewall taken enz. zodat de batterij oa langer meegaat en de processor/geheugen minder benodigd is)

Ook is standaard hacks uitvoeren makkelijker geworden. Waar vroeger hackers hun progjes moesten cross compilen tussen Linux en unix, waar veel kennis en tijd vereiste (vooral voor Chroot jails) is dit nu niet meer van toepassing omdat sinds 2 jaar Linux ook LXC heeft.

Grappige hieraan is: LXC is ontworpen om virtueel systemen geisoleerd te draaien met native performance. probleem hier in is. Mensen kunnen het voor het goede gebruiken (hun server minder hackbaar maken) of voor het kwade: niet meer traceerbaar zijn! Alleen momenteel is de kennis aan de goede kant bijna nihil hierover en aan de kwade kant is deze kennis zeer groot. Hierin ligt gelijk de oplossing. Iedereen zou moeten migreren naar LXC (de kwade kant doet dit wel veel en de goede kant nog amper)

Tuurlijk kun je hier in zeggen ja maar er zijn ook veel progjes te vinden waarin het makkelijk wordt gemaakt om te hacken. Dit klopt enigsinds. Alleen vroeger werd de maker daarvan getraceerd en het programma uitgeschakeld/ compleet ofline gehaald. En werd het probleem bij de bron aangepakt. Nu kan dat niet meer want de maker is niet meer/moeilijker te traceren. En halen ze de server offline. Dan cloont de maker zijn server container en kan hij in 3 sec. (als het niet minder is) doen of er niets gebeurd is.

Er is hier 4 jaar terug voor gewaarschuwd door verschillende hackers. Deze werden alleen vooral door de overheden niet serieus genomen en zie hier nu zitten we met de gebakken peren.

Daarnaast virtualisatie op embedded systems is geen optie omdat deze niet genoeg kracht hiervoor hebben. Waardoor het: Laptop (Reus) tegen smartphone (Dwerg) wordt. 1 van de opties is om verkeer te redirecten en te gaan controleren maar kom je dan weer met een privacy probleem.

Vergis je overigens niet: Ook met LXC containers moet je wel weten wat je doet. Vaak zijn het hele netwerken die indirect aangetuurd worden door een zeer bekwame hacker waar er maar weinig van zijn die zogenaamde LXC templates uitbrengen voor hun groep.
Elke hacker heeft een stijl van programeren. Ook een LXC container draait op een kernel. En die gehackte kernel bevat een bepaalde stijl (waar en hoe de modules gekoppeld zijn enz.) dit noemen ze ook wel een kernelfingerprint. als je dit vergelijkt met andere werken kun je de hacker traceren. (dat is misschien veel werk maar er is al een keer een white hat uit een white hat collective getrapt omdat zijn stijl teruggevonden werd in botnet voor creditcard fraude)

Ook hier in is het overigens zo dat er kwa white hat hackers weinig Kernelfingerprint readers waren. Omdat die voornamelijk aan bug hunting deden voor nieuwe kernel releases. Gelukkig worden deze steeds meer getraind en zijn overheden niet de enige die botnets uit de lucht halen! ;)

[Reactie gewijzigd door rob12424 op 23 december 2012 16:31]

Eigen schuld, Verizon. In gevallen van incompetentie aan de kant van het bedrijf is het het bedrijf, en NIET de hacker, die voor de schade zou moeten opdraaien. Anders leren die amateurs het toch niet.

Op dit item kan niet meer gereageerd worden.



Populair: Gamecontrollers Websites en communities Smartphones Beheer en beveiliging Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013