Huisverkoper kon eigen code toevoegen aan advertentie op Jaap.nl

Huizensite Jaap.nl bevatte een lek waardoor een huisverkoper eigen code aan zijn advertentie kon toevoegen. Daardoor kon bijvoorbeeld malware worden geserveerd en konden cookies van Jaap.nl-deelnemers worden gestolen.

Jaap.nl logo Tweakers-lezer 'b10m' kwam het beveiligingsprobleem op het spoor toen hij zijn huis wilde verkopen. "Ze voeren geen input-checks uit op wat klanten posten op hun website", zei hij tegen Tweakers. Daardoor kon hij eigen html-code toevoegen aan zijn advertentie, die vervolgens ook voor andere bezoekers was te zien.

Dat maakt het mogelijk om kwaadaardige code toe te voegen. Zo injecteerde b10m javascriptcode die cookies stal van gebruikers. Hij had ook een tool kunnen schrijven die acties namens andere gebruikers zou uitvoeren. Als een andere huisverkoper dan op de advertentie kwam, zou bijvoorbeeld automatisch de prijs van zijn huis kunnen worden gewijzigd. Daarnaast zou een aanvaller bijvoorbeeld malware kunnen serveren.

B10m stelde Jaap.nl op de hoogte, maar na ruim een week op een inhoudelijke reactie te hebben gewacht nam hij contact op met Tweakers. Na een melding van Tweakers werd het lek snel gedicht. Directeur Rudy Uijtenhaak van Jaap.nl erkent dat het oplossen van het lek iets langer duurde dan normaal, vanwege vakanties, al spreekt Uijtenhaak over een 'aantal dagen'. Inmiddels is de bug opgelost en heeft de bugmelder een 'presentje' gekregen, stelt Uijtenhaak.

Volgens de directeur valt de impact van de bug overigens mee; hij stelt dat het scenario met het stelen van cookies enkel aantrekkelijk was bij andere huisverkopers en dat de kans klein was dat dat gebeurde. In de praktijk is het beveiligingsprobleem vijf keer misbruikt: één keer door de ontdekker en vier keer door andere leden, die een tracking-pixel hebben geplaatst om bij te houden hoe vaak hun advertentie werd bekeken. Er zijn geen klantgegevens uitgelekt, benadrukt de website.

IT-banen

Reacties (45)

Gamebuster 18 augustus 2015 14:05

Dit soort "lekken" zijn vrij gebruikelijk helaas. Ook leuk om HTML in te sturen naar websites die bijv. met adminpanelen werken. Hoe geniaal is het om je eigen javascript te laten uitvoeren door een admin uit zijn adminpaneel, omdat jij HTML met JS erin submit in bijv. het contactformulier.

Met onzichtbare AJAX calls kan je een complete kopie van het DOM sturen naar je eigen server en met een slimme tool op je eigen server zou je dan die client's browser kunnen overnemen zolang de pagina open staat.

Zo zou je op de achtergrond (via AJAX calls) kunnen browsen door het adminpaneel en zo bijv. wachtwoorden wijzigen van admins, rekeningnummers wijzigen, data scrapen, enz.

In theorie prima mogelijk en met een beetje doorzettingsvermogen en creativiteit kan je een hele hoop bereiken.

[Reactie gewijzigd door Gamebuster op 24 juli 2024 00:27]

SBTweaker @Gamebuster • 19 augustus 2015 12:19

Of je stuurt gewoon de complete cookie van een admin naar jezelf en logt in met die cookie.

Gamebuster @SBTweaker • 19 augustus 2015 16:30

Dat kan niet bij httponly cookies, die je hopelijk inmiddels wel gebruikt. Cookies kunnen ook IP/user-agent gebonden zijn. Voor admin-interfaces/backends/intranets heb je ook kans dat je niet eens remote kan inloggen door een ip whitelist

[Reactie gewijzigd door Gamebuster op 24 juli 2024 00:27]

SBTweaker @Gamebuster • 19 augustus 2015 17:18

Als ze niet eens aan xss hebben gedacht gok ik dat ze daar ook niet aan hebben gedacht.

Gamebuster @SBTweaker • 19 augustus 2015 18:00

XSS is vaak ook iets dat gewoon per ongeluk gaat. Als je het op 99% van de plekken goed regelt, dan kan je via die 1% alsnog doen wat je wil. XSS is gewoon een makkelijk vrijdagmiddag bugje die verborgen blijft tot het misbruikt wordt.

Dan kan je je servers allemaal op en top beveiligd hebben, up2dage frameworks, top personeel dat veiligheid hoog houdt, en dan heb je die ene stagiair, nieuwe werknemer of zwart schaap dat op vrijdagmiddag toch net die ene escape-functie vergeet of op een of andere wazige manier de automatische escape omzeilt.

[Reactie gewijzigd door Gamebuster op 24 juli 2024 00:27]

pietjuhhh1990 @Gamebuster • 18 augustus 2015 14:58

Op school moeten doen als opdracht met hacking. Middels een injectie een pagina omvormen. Had hoogste punt gescoord en docent vond het eng wat ik voor elkaar had gekregen

Als je de checkpunten pakte klopte alles
HTML/CSS goed (XSS call naar online script welke ingeladen wordt)
Domain correct(Door XSS zit je op het juiste domain)
Onderscheppen gegevens (Gegevens doorposten naar eigen server en fout terug sturen naar de officiële paina om typo idee te geven.)

Het was op een opgezette demo van de docent waarin ergens achteraf een paina een XSS lek bevatte. Dit zou dus de clue moeten zijn dat er een luchje zit als je met je bank gegevens inloged op www.bank.nl/faq/iets/detail.

Gelukkig is er nu html5 url rewrite, dus dat is ook al lekker om te schrijven. Er is slechts nog 1 punt, de url om naar de pagina te navigeren is niet juist (valt ook weer te verbergen door een:

<a href"www.bank.nl/www.bank.nl/faq/iets/detail?deface=bla">www.bank.nl/login</a>

Verwijderd @Gamebuster • 18 augustus 2015 16:17

Je ziet het met name bij de blinde media magnaten. (het soort mens wat nog de leer van 100 jaar terug gebruikt).
Die verkopen dood leuk 'ruimte', maar investeren verder NOOIT in controle. (waarom? je hebt het immers verkocht).
Onder andere telegraaf.nl, nu.nl (Sanoma is redelijk amateuristisch) hebben het eerder ervaren en controleren vermoedelijk nog steeds niet.

Jaap.nl valt ook onder deze doelgroep, want het is/was niet meer dan een simpele datagrab.
Een soort project, die ik zelf persoonlijk meermalig had afgewezen.
Ik denk ongeveer 10-20 verzoeken gehad te hebben van echte 'zakenmensen' (oftewel, ikke ikke ikke - mentaliteit) om data te grabben van anderen om zelf een super-site te maken. (inc. e-mailadres grabbers en alles)

Allemaal afgewezen onder het motto: Ga zelf maar werken voor je geld.

Verwijderd @Gamebuster • 19 augustus 2015 12:09

BEEF is de tool wat doet wat je hebt bedacht, en maakt gebruik van nog een paar andere technieken om via xss vulnerabilities een hele effectieve aanval op te zetten. beefproject.com

Onder andere proxy, persistency en virtual defacement zijn er erg goed in uitgevoerd, details kun je op de projectpagina vinden.

bonus 18 augustus 2015 14:00

Beetje laat maar wel netjes afgehandeld toch ?

Jelv @bonus • 18 augustus 2015 14:11

"Toen ik voor dit stuk Jaap.nl belde dreigde directeur 'contact op te nemen met juridische afdeling'. Niet oké." Bron: Twitter van Joost Schellevis (Tweakers)

Helemaal netjes wil ik die reactie niet noemen. Wel prima dat het xss gat is gedicht. Groter nieuws is dit niet lijkt me. Het is niet alsof de complete db op straat ligt.

Edit: reacties in dit draadje van Rudy Uijtenhaak (Jaap.nl) en Joost voor completer beeld:

"Omdat wij dit erg serieus nemen heb ik aangegeven voorafgaand aan een officiële reactie contact te willen hebben met de juridische afdeling."
Bron Rudy Uijtenhaak

"Het ging gepaard met de woorden 'want ik vraag me af of jullie dit wel zo mogen brengen'."
Bron Joost Schellevis

[Reactie gewijzigd door Jelv op 24 juli 2024 00:27]

ScSi @bonus • 18 augustus 2015 14:03

Wel jammer dat, als een individu iets meldt, er geen respons komt, terwijl als Tweakers.net het meldt er opeens wel iets kan gedaan worden..

skoozie @ScSi • 18 augustus 2015 14:10

Ligt het dan aan mij dat ikeen week tijdens de vakantie periode niet eens heel schokkend vind? Ik kan uit de tekst namelijk niet opmaken dat er achter de schermen niet al aan het probleem gewerkt werd. Misschien hadden ze de code al bijna klaar toen Tweakers contact op nam...

sleezball @skoozie • 18 augustus 2015 14:13

Misschien hadden ze de code al bijna klaar toen Tweakers contact op nam...

Hm ja, zou kunnen inderdaad. Maar maakt het niet minder 'toevallig' allemaal, integendeel. Maar vooruit, laten we ze het voordeel van de twijfel geven.

Verwijderd @sleezball • 18 augustus 2015 14:29

Graag neem ik de gelegenheid hier op te reageren. Door onze customer-support afdeling is er wel degelijk een antwoord verzonden naar de melder met het bericht dat wij hier zo spoedig mogelijk naar zouden kijken. Wegens de vakantieperiode is dit helaas niet per direct opgelost en is hier een aantal dagen overheen gegaan.

Omdat wij dit erg serieus nemen heb ik aangegeven voorafgaand aan een officiële reactie contact te willen hebben met de juridische afdeling.

sleezball @Verwijderd • 18 augustus 2015 14:45

Ah okee, dat verklaart wel wat.

Dat er wel degelijk een antwoord is gestuurd staat niet in het nieuwsbericht. Dat zou dan wel in het bericht vermeld mogen worden lijkt me en is misschien een emailtje richting de berichtgever wel waard.

Het gepraat over de Juridische Afdeling is wellicht opgevat als dreigement terwijl u het niet zo bedoelde, in dat geval zou het misschien voortaan iets gemoedelijker overkomen als er een wat gemoedelijker taalgebruik gebruikt wordt zodat daar in ieder geval geen issues over ontstaan. Tenzij het wél als een verkapt dreigement bedoeld was uiteraard, maar dat is van beide zijden achteraf niet zo simpel meer hard te maken.

Hoe dan ook, het euvel is nu dus uiteindelijk verholpen. Gelukkig zijn er (vooralsnog) geen kwalijke zaken mee uitgespookt.

Hartelijk dank voor uw reactie.

Auteur

Joost @sleezball • 18 augustus 2015 14:49

Het gepraat over de Juridische Afdeling is wellicht opgevat als dreigement terwijl u het niet zo bedoelde

Het ging gepaard met de woorden 'want ik vraag me af of jullie dit wel zo mogen brengen'.

MSalters @Joost • 18 augustus 2015 15:31

Terecht. Een bedrijf heeft niet voor niets een juridische afdeling. Als je als manager jurisdische twijfels hebt (bijvoorbeeld over wat een journalist mag), dan moet je geen ongefeundeerde aannames doen maar die juristen inschakelen.

Omgekeerd moet je het dus ook niet als een dreigement zien wanneer de juridische afdeling wordt ingeschakeld. Het is simpelweg een teken van onzekerheid aan de andere kant, en die onzekerheid is niet bij voorbaat zorgwekkend.

Ik zou me overigens pas echt zorgen gaan maken als de manager in kwestie, nadat je'm belt over een beveiligingslek, het handboek voor datalekken al uit z'n hoofd blijkt te kennen. Of als je een badnje krijgt als je belt: " Er zijn nog tien hackers voor U".

Mandrake466 @MSalters • 18 augustus 2015 19:12

Ik gok eerder dat de taal van de pipo meer als dreigement was bedoeld en overkwam. Zo van 'mag jij dit wel doen? Ik ga mijn juristen erop zetten!'

Tenslotte zijn zulk soort bedrijven allemaal een pot nat.

"door de vakantieperiode..blabla' ..zal wel.

koelpasta @Mandrake466 • 19 augustus 2015 14:46

Eeh.. Vragen mag altijd dus dat had voor een serieuze journalist nooit een dreigement geweest natuurlijk.

sleezball @Joost • 18 augustus 2015 15:11

Ah okee, dat verklaart nog meer.

In dat licht is het inderdaad toch wel een verkapte poging tot intimidatie heb ik zo het idee. En niet bepaald netjes vind ik, dat had best anders gekund.

Ik begrijp dat een bedrijf liever niet zulke berichtgeving haalt in de media maar het had ze gesierd als er wat meer naar een constructieve oplossing gezocht werd. Als er niet per direct naar de Juridische Afdeling verwezen werd zou het al heel anders overkomen.

Verwijderd @sleezball • 18 augustus 2015 15:54

Het is vrij normaal om bij zaken waarbij eventuele aansprakelijkheid ter sprake kan komen met de juristen van het bedrijf te overleggen. Net zo als dat er bij een technisch probleem met de technische afdeling gesproken wordt. Als een woordvoerder iets zegt wat juridische consequenties kan hebben domweg omdat hij zich daar niet van bewust is, kunnen de gevolgen groot zijn. Net zo als dat je bij een aanrijding nooit direct schuld moet bekennen. Dat moet je aan de experts overlaten.

Verwijderd @Joost • 18 augustus 2015 18:47

Het ging gepaard met de woorden 'want ik vraag me af of jullie dit wel zo mogen brengen'.

Wat natuurlijk een begrijpelijke opmerking is. Als CEO kan je niet alles weten en heb je een juridische afdeling om je te assisteren. Ik zou het in elk geval niet als een zwaar dreigement opgenomen hebben.

cobis taba @Verwijderd • 18 augustus 2015 14:57

Klopt het wat Joost zegt, namelijk dat de opmerking over een juridische afdeling gepaard ging met de woorden 'want ik vraag me af of jullie dit wel zo mogen brengen'? Want hoe anders dan als dreigement moeten wij dat opvatten?

PcDealer @Verwijderd • 18 augustus 2015 15:25

Dus inderdaad geen inhoudelijke reactie zoals gesteld in het bericht. Bij dit soort incidenten is het toch zaak omwillen van het beperken van reputatieschade en bovendien goed ondernemerschap om z.s.m. actie te ondernemen en de functie off line te halen de berichtgever in te lichten er daadwerkelijk mee bezig te zijn. Dat lijkt hier niet te zijn gebeurd.

ScSi @skoozie • 18 augustus 2015 14:11

Dan nóg hadden ze op zijn minst berichtje kunnen sturen naar de melder, in plaats van helemaal niets terug te sturen.

sleezball @ScSi • 18 augustus 2015 14:08

Precies mijn gedachte. Het afschuiven op vakantie en dergelijke is eerder een lullig smoesje dan de werkelijke reden, er had minimaal een reactie email verstuurd kunnen worden aan b10m.
Nu er een 'presentje' achteraan komt lijkt het me meer een gevalletje "oei, nu komen we er echt niet meer onderuit"...

Engineer @bonus • 18 augustus 2015 14:05

Na een melding van Tweakers werd het lek snel gedicht.

Mwoah, die melding van T.net was een non-verbaal dreigement dat het lek gepubliceert dreigt te raken via een T.net artikel. De kans acht ik groot dat zonder T.net ertussen er niks aan gedaan was nog. En dat presentje gooien we maar onder het kopje 'imago kweken via de media'.

m8ZBm1Si 18 augustus 2015 14:01

Stiekem toch benieuwd naar het presentje. Aangezien grote bedrijven hier vaak toch duizenden euro's tegenaan gooien en dit echt een gigantisch lek is.

tomhagen @m8ZBm1Si • 18 augustus 2015 14:11

Uit ervaring weet ik dat die "duizenden euro's" vaak niet meer zijn dan een bedankje per telefoon, een uitnodiging op kantoor met taart en een arbeidscontract. Voor 't geld hoef je 't niet te doen

m8ZBm1Si @tomhagen • 18 augustus 2015 14:13

Zonde. Dan is het dus echt zo dat alleen de grote techbedrijven zoals Facebook en Google het belang hiervan blijken te snappen.

Iblies @tomhagen • 18 augustus 2015 14:37

Dat komt deels omdat veel bedrijven nog in de veronderstelling zijn dat een hacker een sullige nerd is die wereldvreemd is.

Het idee dat die sullige nerd daadwerkelijk in de gaten heeft dat er een serieus issue is met de bedrijfsvoering, en dat het economische schade kan opleveren, dat kwartje is nog niet bij iedereen gevallen.

Iemand die het netjes aangeeft gewoon netjes behandelen, want niet veilig is gewoon niet veilig of je als eigenaar op de hoogte bent of niet. Voor hetzelfde geld vraagt een concullega om eens andere sites onder de loep te nemen en details op te vissen. Klanten, adressenlijst, werknemers, facturen, etc, etc.

Grote tech-bedrijven maken daar langzaamaan gebruik door middel van een beloningsprogramma, maar in politiek begint het ook langzaam door te dringen om die richting in te gaan.
http://webwereld.nl/beveiliging/87206-even-apeldoorn-hacken

Verwijderd @m8ZBm1Si • 18 augustus 2015 18:49

Stiekem toch benieuwd naar het presentje. Aangezien grote bedrijven hier vaak toch duizenden euro's tegenaan gooien en dit echt een gigantisch lek is.

Met respect, dit is geen 'gigantisch lek'. Hun database lag niet op de straat. DAT is een gigantisch lek.

Als je dit 'gigantisch' noemt kom je superlatieven te kort als er echt iets aan de hand is.

Gomez12 18 augustus 2015 14:06

Ik ben benieuwd hoe ze komen op de 5x misbruikt, is dat gewoon zoeken naar wat er nu html-code bevat, of ook de historische gegevens doorzoeken?

Giesber @Gomez12 • 18 augustus 2015 14:26

Ze kunnen een simpele query op hun database afvuren die kijkt in welke advertenties een HTML tag zit? En als er dat maar 5 blijken te zijn kan je ze alle 5 even manueel bekijken of er echt iets problematisch bij zit.

En als je de query klungelig genoeg maakt kan je er voor zorgen dat je niet alle mogelijke gevallen mee hebt, waardoor je tegen de pers kan zeggen dat je maar 5 gevallen gevonden hebt. Niet dat ik wil beweren dat men dat hier gedaan heeft, maar het is wel mogelijk.

Gomez12 @Giesber • 18 augustus 2015 22:59

Wat ik me dus afvraag is of ze die query enkel op huidige live-data doen of ook op historische diff / mutatie data...

Ik kan me namelijk zo maar voorstellen dat iemand er iets inzet en dit later weer verwijdert en ergens anders weer inzet zodat het moeilijk is om 1 ad te pinpointen die het zou veroorzaken.

Dit soort dingen zijn toch vooral hit & run en niet echt specifiek getarget dus waarom niet gewoon zoveel mogelijk hitten en zo laag mogelijk onder de radar blijven door het sterk te veranderen de hele tijd.

mobstaa 18 augustus 2015 14:12

Misschien was dit wel gewoon hun implementatie van een API? Zodat gebruikers zelf hun pagina's konden uitbreiden met bijvoorbeeld die tracking pixel?

Leuk dat een Tweaker hier achter is gekomen. Ben ook benieuwd naar dat ''presentje'. Dit is gewoon een serieus lek geweest. Het lijkt erop dat Jaap.nl dit een beetje verdoezeld met 'maar 5x', is dit wat er live stond of plus historie?

Xfade 18 augustus 2015 14:22

Toch best slim van die andere gebruikers om een counter te plaatsen. Dan wel weer gek dat dit geen functionaliteit van Jaap.nl zelf is.

donderdraak 18 augustus 2015 14:05

Jaap.nl was bijna de Sjaak

Vickiieee 18 augustus 2015 14:17

Zo injecteerde b10m javascriptcode die cookies stal van gebruikers.

Het boefje! Was zijn voorraadpot leeg?

[Reactie gewijzigd door Vickiieee op 24 juli 2024 00:27]

satoer @Vickiieee • 18 augustus 2015 14:30

Foto van de bewuste tweaker:
https://www.pinterest.com/pin/322781498266045291/

Lednov 18 augustus 2015 14:41

geheel off topic maarre Volvo B10m?

on topic, vind een week wachten wel wat aan de lange kant. dat het niet meteen is opgelost is één ding, op zijn minst had er een berichtje kunnen zijn in de trant van 'bedankt voor het melden bla bla bla.. '

rduinmayer 18 augustus 2015 15:53

Hoogmoed.

Waarom zouden ze anders berichten negeren.

Ook in vakantie tijd kunnen ze een intake doen op mailtjes en reacties die ze krijgen. Veel kunnen in de wacht maar mailtjes zoals van deze tweaker moeten organisatie direct oppakken.

Niet als excuus de vakantie noemen, dat doen al te veel bedrijven.

Bah.

Gomez12 @rduinmayer • 18 augustus 2015 23:08

Er is dus wel een reactie gegeven op de melding, alleen was die niet inhoudelijk genoeg volgens de melder.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (45)

Sorteer op:

Weergave: