Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties
Submitter: Squ1zZy

Een lek in de website van het beursgenoteerde farmaceutische bedrijf Pharming maakte het mogelijk om nieuwsberichten met onder andere financiŽle resultaten in te zien, een dag voordat deze officieel gepubliceerd werden. Dit maakte handelen met voorkennis mogelijk.

Tweaker Squ1zZy, die in 2011 al het lek van de website belegger.nl meldde, bracht het lek onder aandacht van Tweakers nadat hij ondanks herhaalde pogingen geen reactie kreeg van de beheerder van de Pharming-site. Hij was erachter gekomen dat de site draaide op een Wordpress-installatie en een nginx-webserver, toen de Pharming-homepage een nginx-testpagina weergaf. Daarna was het een koud kunstje om vast te stellen dat er bovendien een aantal verouderde Wordpress-plugins aanwezig waren, waardoor de website vatbaar is voor exploits.

Tijdens het onderzoeken van deze bevindingen kwam hij er echter ook achter dat directory listing aanstond. Dit maakte het mogelijk om de inhoud van de webserver te bekijken, zonder dat de bestanden eerst gepubliceerd moesten worden. Dit had tot gevolg dat hij met een eenvoudig script een notificatie kon laten versturen als er nieuwe inhoud aan bepaalde folders van de site werd toegevoegd. Zo stuitte hij op een bericht met de bestandsnaam PR-3Q-2015-28-Oct-2015.pdf, een bericht over de kwartaalcijfers dat klaarblijkelijk bedoeld was voor publicatie op 28 oktober.

De metadata van het bestand lieten echter zien dat het bestand al op 27 oktober aan de folder was toegevoegd, tijdens de openingstijden van de beurs. Hierdoor was het voor een aanvaller eenvoudig om aan de hand van de informatie in het bericht financiële transacties te doen en zo te handelen met voorkennis. Squ1zZy laat weten dat hij dit soort praktijken vaker tegenkomt op andere websites, maar hij noemt geen namen.

Tweakers heeft vervolgens contact met de beheerder van de site opgenomen, die dezelfde dag nog liet weten dat Pharming bezig is de site te verplaatsen naar een nieuwe host en dat alle plugins een update zouden krijgen. Na ongeveer twee weken gewacht te hebben liet de beheerder desgevraagd weten dat alle updates waren uitgevoerd en dat de site over was naar de nieuwe host. Volgens Squ1zZy was dit echter maar half waar en bleek dat het grootste probleem van directory listing niet was opgelost. Na hernieuwd contact bleek ook dat dit probleem was opgelost. Pharming bestrijdt dat het mogelijk was om berichten van tevoren in te zien en laat weten dat berichten pas op het laatste moment worden aangeleverd.

Moderatie-faq Wijzig weergave

Reacties (63)

Na 6 weken en 4 emails, waarbij ik heb aangeboden in mijn eigen tijd te helpen met het issue, ben ik maar naar Tweakers gegaan. En dit om een enkele reden .. Dan wordt het wel serieus genomen en opgepakt.

Ik kreeg geen gehoor, niets. Nadat Tweakers contact heeft gemaakt per email werd er dezelfde dag nog gereageerd. Het heeft erg lang geduurd voor het is opgelost, maar het is opgelost en dat was mijn doel.

Er zijn meer beursgenoteerde bedrijven waarbij directory listing aan staat, maar bij de meeste krijg ik een bedankje en wordt het binnen 2 dagen opgelost. Bij Pharming was dit helaas niet het geval, maar is het uiteindelijk wel opgelost. Dank aan duqu ..
Heb je ook daadwerkelijk de inhoud van de .pdf files bekeken?

Tijdens mij werkzaamheden bij een grote bank, zetten we al een week voor de publicaties alles klaar voor gebruik, echter werd er in alle .pdf file nietszeggende content (lorum ipsum) gezet.
Maar alle links, filenamen en dat soort dingen waren wel al vooraf te testen op juistheid.
De .pdf files met de juiste content werd pas in de laatste 20 seconden voor publicatie daadwerkelijk geplaatst.
Ik vind het bewijs nogal dun, als ik het artikel goed begrijp. Het bestaat er uit dat de timestamp van het bestand van een eerdere datum is dan dat het gepubliceerd had mogen zijn toch? Je hebt niet daadwerkelijk op de 27e dat bestand zien staan, en je hebt ook niet gezien of dat bestand toen dezelfde inhoud had als na de officiŽle publicatie.

Het bestand kan ook pas de 28e naar die locatie verplaatst zijn, een andere inhoud gekregen hebben of wellicht ontoegankelijk geweest zijn voor de user waaronder de webserver draait.
Dit is een artikel om te lezen, geen waterdichte onderbouwing van de bewering. De +2 vind ik dan ook vrij 'dom'. Ga je deze reactie plaatsen bij 90% van de artikelen omdat de volledige 'specs' ontbreken?
Nee, dit is een artikel waarbij Pharming publiekelijk aan de schandpaal genageld wordt. Dat kan nogal wat gevolgen hebben. Dan mag je van de journalistiek verwachten dat het verhaal goed onderbouwd en gedubbelchecked is. Zeker van een tech-website verwacht ik dat de technische onderbouwing bij dit soort vrij zware beschuldigingen gewoon in orde is. Sander van Voorst moet zijn werk gewoon beter doen wat mij betreft.
Schandalig dat ze het zo laks oppakken.. doofpot praktijken, met de hoop dat de aandeelhouders er geen wind van krijgen...
Ja tot het in de media komt. Als bedrijf kan je beter outsider informatie sneller serieus nemen voor iemand naar de media stapt. Zolang als dit duurde vind ik 't al vrij fors. Als ik iets tegen kom heb je een week de tijd, dat geef ik dan ook aan, 7 dagen.
Zou je dit ook niet bij de AFM kunnen melden? Ivm de mogelijkheid to handel met voorkennis zullen ze best wel geintereseerd zijn zou ik verwachten.
Was ook mijn eerste idee.
Jammer dat het zo is verlopen inderdaad maar toch respect en tof dat je dit meld ;)
@Squ1zZy

Misschien een beetje off topic, maar misschien heb jij een antwoord op een vraag die ik al tijden heb?

Jij kwam deze site tegen in 2011 en kwam achter deze kwetsbaarheid.
Ik zat laatst op een site, waarvan ik denk dat deze niet heel veilig is (iets met een hele oude wordpress versie).
Mag je dat zo maar testen?
Zijn hier algemene regels voor?

alvast dank
Mag je een 30 jaar oud Lips slot testen en zo binnenkomen?
@rem_hopster: Het antwoord is nee. Je mag het niet testen, hoe goed je bedoelingen ook zullen zijn. Je mag van de Nederlandse overheid helemaal niets testen. Als je een website weet die niet veilig is en je hebt goede bedoelingen, kan ik je adviseren om het anoniem te melden. Dat voorkomt verdere problemen. Je kunt in serieuze problemen komen door het onder je eigen naam bekendbaar te maken. Je kunt voor de rechter gesleept worden omdat je hun beveiliging hebt verbroken.
Gebruik de kans om veel geld te verdienen! Het is niet jou taak om hun problemen op te lossen!
Het is wel strafbaar om te handelen met voorkennis, ongeacht of het bedrijf de deur zelf open laat staan.
Het staat "openbaar", dan kan je het argument aandragen dat het publieke kennis is.
Als een voordeur openstaat mag je het huis toch ook niet zomaar betreden met het idee dat het dan publiek domein is? Ik vraag me af of die motivatie wettelijk stand houdt.
We hebben hier echter niet te maken met een voordeur van een huis, maar met een computer die een aanvraag voor een verbinding accepteert. Een analogie is leuk ter illustratie, maar dat maakt de situaties niet gelijk voor de wet.
En daarom voorziet de wet in "computervredebreuk", de digitale variant van huisvredebreuk. De analogie gaat in dit geval gewoon op.
Dat zal de analogie alsnog niet gelijk maken. Bij een computersysteem is er geen sprake van computervredebreuk zolang er geen verboden handelingen uitgevoerd hoeven worden om bij de gewenste content te komen.

Computervredebreuk voorziet in het illegaal stellen van hackpogingen, en manieren om op niet-legitieme wijze bij data te komen. Er wordt specifiek niet voorzien in "de deur open laten staan", want dat is per definitie wat een reguliere verbinding accepteren zou zijn, in geval van doortrekken van de analogie. Het is de verantwoordelijkheid van de server-eigenaar om content die niet openbaar mag zijn af te schermen.

Om in analogieen te blijven: als server heb je een huis waarin je de deur open hebt staan en het mensen vrijelijk toestaat binnen te treden. Als jij dan deuren naar kamers binnenshuis niet op slot doet, dan is dat jouw eigen verantwoordelijkheid en is er geen sprake van huis(computer)vredebreuk als een bezoeker in jouw huis die niet-verzegelde deur opent en dingen ziet waarvan jij liever had dat ze niet gezien konden worden.
Hoe werkt het dan als ik op een link click vanaf een forum of iets dergelijks?

Verder is het open laten staan van een directory listing naar mijn mening soortgelijk aan het openzetten van een file-share op een lokaal netwerk. En daar heeft de rechter zich al wel een keer overgebogen:

"Het overschrijden van een bevoegdheid is een vorm van binnendringen. Wie bijvoorbeeld een bepaalde map op zijn harde schijf deelt via filesharing software, kan niet achteraf klagen dat mensen binnengedrongen zijn in die map (dit kwam zijdelings aan de orde in deze zaak). "
bron: http://www.iusmentis.com/...iteit/computervredebreuk/
bron rechtzaak (deze heb ik niet gelezen, maar werd aangehaald in bovenstaande blog): http://uitspraken.rechtspraak.nl/#ljn/AF0684
Dat ligt in dit geval toch echt wat anders. Directory listing is een gewone feature die je kunt en mag gebruiken. Als jij op die site via directorylisting navigeert doe je niets verkeerd. Het is een van de opties die de site biedt. Als je dan op een document komt dat voor de volgende dag is bedoeld doe je niets fout.

( ik heb het nu niet over zijn zoeken naar exploits in verouderde plugins , dat is gewoonweg strafbaar.)

[Reactie gewijzigd door SED op 9 februari 2016 01:31]

Openbaar is relatief. Je moet er nog behoorlijk wat voor doen om bij de bestanden te komen. Als je een beetje handig bent kan je een slot ook open krijgen maar dat maakt het ook nog geen open deur.
Probeer jij het moedwillig misbruik van incompetentie maar eens goed te praten bij meneer de rechter wanneer ze het onderzoek naar handelen met voorkennis gaan starten... zodra ze alle transactie details van hun aandelen er bij hebben gehaald en jouw opvallende put-opties of aankopen met geleend geld er tussenuit plukken, ga jij met de billen bloot en eindig je met een strafblad, of op z'n minst een flinke geldboete.

[Reactie gewijzigd door cappie op 8 februari 2016 18:41]

A. Is de data niet openbaar, ondanks dat ze het zelf niet openbaar hebben gemaakt?

B. Het valt pas op als het opvalt. Als je 10.000 euro investeert en daar 2.000.000 euro van maakt gaan er alarmbellen. Als je 10.000 investeert en daar 14.000 euro van maakt gaan er nergens alarmbellen.

Als het illegaal is moet je het niet doen.
De rechter kan helemaal niemand veroordelen op basis van toevalligheden. Daarom is het vaak moeilijk criminelen in de gevangenis te krijgen.
"Pharming bestrijdt dat het mogelijk was om berichten van tevoren in te zien en laat weten dat berichten pas op het laatste moment worden aangeleverd."

Dus je liet zien dat dit kan en gebeurt en toch zeggen ze "nee dat kan echt niet!"
De Q3 cijfers werden gepubliceerd op de 28e van October, maar stond op de webserver rond 14:15 op de 27e. Nadat Tweakers contact had opgenomen werd het bestand opnieuw opgeslagen en stond er de datum van 6 januari. Het gaat er mij niet om wat er mogelijk was. Ik probeer in deze gevallen eerlijk te zijn en aan te bieden om mee te helpen waar nodig. Als ik geen reactie krijg of een nonchalante houding dan zie vaak dat er wel actief wordt opgetreden wanneer het het nieuws haalt.

Het is niet alleen directory listing zoals Blokker_1999 aangeeft. Men moet ook opletten met b.v. nummers in een URL. Een voorbeeld is:

http://www.pharming.com/archives/2554

Pakt men een URL waar geen artikel achter zit dan zou je dit kunnen scripten door te zoeken naar URL's waar wel een artikel achter zit, maar misschien nog niet is gepublished. In dit geval zou het "Page not found" kunnen zijn in de titel zoals op de volgende pagina:

http://www.pharming.com/archives/2555

Zo is het dus mogelijk om te kijken of er een artikel achter zit zonder dat deze al gepublished is wat je vaker ziet bij CMS systemen.

Ik ben in ieder geval blij dat het uiteindelijk is opgelost en het weerhoud mij niet om hulp te bieden bij bedrijven die het wel waarderen om mee te helpen waar nodig :)
Als dit patroon kan worden vastgesteld door de eigenaar van de website, is er sprake van computervredebreuk; dat is echt strafbaar heb ik begrepen...

Kijk dus uit wat je doet.
Als een bedrijf niet geholpen wil worden (zelfs niet gratis) stop er dan mee.

http://blog.iusmentis.com...s-als-computervredebreuk/

[Reactie gewijzigd door geertdo op 8 februari 2016 20:04]

Volgens mij is zoiets echt zeker niet strafbaar, als je er geen misbruik van maakt. Alleen kan zo'n bedrijf je het leven wel moeilijk maken natuurlijk: helaas is een rechtszaak in ons systeem ook heel kut zelfs als je weet dat je uiteindelijk zult winnen (kost veel tijd en geld helaas, die je meestal niet terugkrijgt).

[Reactie gewijzigd door Cerberus_tm op 8 februari 2016 19:40]

Slecht dat een niet gepubliceerde pagina te bekijken is via de directe URL. Bij een degelijke implementatie moet je een niet gepubliceerde URL pas inzichtelijk maken voor beoordeling bij een geldige back-end sessie. Reguliere gebruikers die dan de URL benaderen redirecten naar de reguliere 404. Ben je wel ingelogd dan de pagina renderen zoals bedoeld is, waarna deze gepubliceerd kan worden.
Toch niets anders dan hoe ze elk jaar aan de miljoenennota komen.
Bedrijven helpen die miljarden verdienen? En dan bedrijven die bekend staan om hun ranzige spelletjes? Je bent te goed voor deze wereld.

(Ik veroordeel jou niet)

[Reactie gewijzigd door SpiceWorm op 9 februari 2016 17:21]

Dit is puur gezegd om de aandeelhouders op het verkeerde spoor te zetten.. zou ik ook doen als mijn bedrijf voor miljoenen beursgenoteerd was.. liegen en bedriegen totdat ik er bij neer viel, maar wel strak in pak.

Money corrupts.. dat doet 't al sinds de eerste munt ooit geslagen werd... maar gelukkig vallen dit soort praktijken al erg snel door de mand en kost dit wanbeleid ze KLAUWEN met geld.. en die PIJN is goed, daar leren ze van :)
Een beursgenoteerd bedrijf met een simpele wordpress site, en dan ook nog zulke knullige fouten begaan. Amateurisme ten top.
Een Wordpress website is niets mis mee, mits je de juiste beveiligingsmaatregelen neemt. Ik heb verschillende Wordpress websites onder mijn hoede, maar niet gepubliceerde artikelen zijn daar alleen te openen wanneer je bent ingelogd. Anders krijg je netjes een 403.
Van zo'n groot bedrijf verwacht je toch wel een custom gebouwde website, of professionele wp installatie wat helemaal geoptimaliseerd is. Als ik de website zo zie ziet dat er nou niet echt uit alsof dat een beursgenoteerd bedrijf moet vertegenwoordigen.
Waarom verwacht je dat?

Ik verwacht het alleen bij een bedrijf wat ook echt iets doet met hun website, terwijl het hier meer lijkt te gaan om een veredeld contactgegevens blaadje en niet meer dan dat.
"custom gebouwd" noch "geoptimaliseerd" voegen iets toe aan de veiligheid van een site, eerder staan die op gespannen voet daarmee. Custom code, eigen code, is code die niet ook door anderen wordt getest/onderhouden/enz en optimalisatie kan zeer wel onbeoogde bijwerkingen hebben met kwetsbaarheden als gevolg.
Het is toch wel algemeen bekend dat WordPress alleen voor basale dingen gebruikt dient te worden, een serieus web bureau maakt zijn eigen cms op basis van een degelijk framework als laravel. Wordpress is veel te blooted en de plugins worden over het algemeen niet genoeg geŁpdatet.

[Reactie gewijzigd door SBTweaker op 8 februari 2016 22:13]

een serieus web bureau maakt zijn eigen cms op basis van een degelijk cms als laravel.
Wait... whut? Let me put a cms in your cms...

Een serieus web bureau gaat niet iets maken om het maken.
En eigenlijk zie ik in jouw post ook geen enkel bezwaar staan om geen WP te gebruiken. HTML is ook te bloated maar iedereen gebruikt het dus wat zou er mis mee zijn.

En plugins, tja die kan je of zelf schrijven of gewoon van betrouwbare partijen halen. En dan heb je geen gezeur met updaten.
Bedoel uiteraard framework ;) . Vergelijk maar eens de benodigdheden voor wordpress tegenover een framework (dubbele hoeveelheid ram vereist bijvoorbeeld).
So what? Een framework doet geen ene barst voor die halve hoeveelheid ram, een wordpress presenteert pagina's en heeft een admin functie.

Op het moment dat je iets serieus in een framework gaat bouwen ga je ook serieus geheugen gebruiken.
Misschien slim om eerst de basis functionaliteit van laravel op te zoeken.
2x zoveel ram is veel goedkoper dan 50k stukslaan op een simpel veilig cms (moet ook nog onderhouden worden hŤ)
Je kunt ook een website in Frontpage achtige applicaties bouwen, of wij dat serieus nemen is nog maar de vraag.
Heb het niet over serieus als in voor de gebruiker maar serieuze eisen. Of denk je dat ze bijvoorbeeld tweakers beter met wordpress hadden kunnen maken?
Klinkt eerder als werkverschaffing. In geen enkele branche zou op zo'n kostenverslindende manier gewerkt (kunnen) worden.
Ik weet zeker dat ik sneller iets op maat kan bouwen voor een grote organisatie dan dat jij met wordpress aan de eisen van dit bedrijf kan voldoen. De meeste wordpress ontwikkelaars kunnen niet eens simpele encryptie wijzigingen maken maar installeren gewoon de plug ins van andere. Vraag maar eens aan een informatica docent wat de beste keus is. Voor een blog of de website van je bakker is wordpress prima, voor het wat serieuzer werk zou ik nooit wordpress gebruiken.

[Reactie gewijzigd door SBTweaker op 8 februari 2016 22:40]

Ik snap nog altijd niet waarom iemand op een productie server zo maar dir listing gaat aanzetten. Er is een reden waarom zoiets standaard uitstaat (toch zeker bij nginx).

En nieuwe hosting? Allemaal leuk, maar als je de oude site en config meeneemt los je dus niets op.
Geen enkele hoster die ik ken accepteert de hosting configuratie van een ander... hooguit wat PHP limieten of iets dergelijks voor specifieke applicatie doeleinden, maar echt geen security risico's zoals directory indexes e.d.
Het koersverloop van 23 t/m 28 oktober doet vermoeden dat er iets aan de hand was, lijkt op een pump&dump actie. Zie http://www.iex.nl/Aandeel-Koers/96535/Pharming-Group.aspx En dat is goed mogelijk wanneer je de gevonden data vroegtijdig verkoopt.
Ha, cool, maar een pump en dump staat toch los van een kwartaalcijferanalyse? Ik kan mij een put optie bijvoorbeeld wel voorstellen als je verwacht dat de koers omlaag gaat of een call optie als de koers omhoog gaat.
Nou als het bedrijf Pharming niet of laat ingrijpt dan moet de AFM maar onderzoek instellen lijkt mij. Het 'lekken' van koersgevoelige informatie is niet iets waar lichtzinnig over gedaan moet worden.

Sowieso van een club die 21.3 miljoen omzet (2014) mag je toch wel verwachten dat ze een fatsoenlijke webhost kunnen betalen.
Hij was erachter gekomen dat de site draaide op een Wordpress-installatie en een nginx-webserver, toen de Pharming-homepage een nginx-testpagina weergaf.
Niet om het een of ander, maar in de source van de hoofdpagina staat de volgende meta tag:
[code]<meta name="generator" content="WordPress 4.4.2" />[/code]
dus dat was wel heel makkelijk te achterhalen.
Staat toch ook niet dat het lastig is?
Alleen het verbinden van verschillende stukken informatie, die interpreteren en daarop verder werken is iets wat veel mensen niet doen.

En daarnaast, veel dingen die voor ons hier redelijk makkelijk lijken zijn voor een groot deel van het grote publiek toch nog echt abracadabra.
Daar waren ze bij de tweede kamer ook al zo goed in, Directory listing aan laten staan.
Ze hebben netjes wederhoor toegepast.
Pas gepubliceerd toen het lek was verholpen.
En wel aangekaard omdat dit soort misstanden gewoon opgelost moeten worden als wie dan ook dit meld.

Sterker nog een melding bij AFM op dag 1 zou ook niet verkeerd zijn. Dan kan AFM handel monitoren en analyseren. En zal die de juiste middelen in zetten als de partij niet tijdig maatregelen neemt. (Stop zetten handel in aandeel bijvoorbeeld)
Dat kan de AFM echt niet zomaar hoor, de AFM is een iets andere partij dan jij je voorstelt. Wellicht de "term" AFM ergens in de wandelgangen opgepikt ?

Ik vind het nog steeds imago schade, zou het wel een zaak waard vinden moet ik zeggen, er valt veel meer te melden dan alleen dit op de beurs. En je wil niet weten hoeveel er getipt wordt. Er werd mij 3 jaar geleden verteld, door iemand die het weten kan, koop aandelen Sara Lee, en de man had gelijk. Dat wist ik wel maar het interesseerde me niet. De beste man wilde gewoon even punten scoren in een groepje... be my guest, gebeurt overal!

Dan hebben we het nog niet over de veiligheid van de Persgroep ;) Want die is ook niet top kan ik je vertellen. Morgen een nieuwsbericht... ik zou er aan kunnen komen :)

[Reactie gewijzigd door RutgerM op 8 februari 2016 23:10]

Als je lekken ziet bij de persgroep, meld ze dan netjes bij hen, hebben meer aan dan dat je ze voor je houdt. En als ze het hebben gedicht, kun je er een artikel aan wijden als je dat in het belang vindt.

Imago schade door te vertellen hoe jij gratis een commerciŽle partij hebt geholpen en hoe die daar mee om ging? Kom nou, is het aandeel abnormaal gedaald na dit bericht? Nou dan..
Natuurlijk is dat imagoschade, mensen zullen altijd in het verleden gaan kijken, zo is de mens nu eenmaal... zoeken.

Anyways, een lek in een website of een lek in een mens... zie dat maar eens te bewijzen als het om mensen gaat.
Volgens mij is het juist professioneel, ze hebben immers gewacht tot het lek was gedicht.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True