Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Database Family Locator-app met realtime-locatiedata stond onbeveiligd online

De database van 'familietracker-app' Family Locator met meer dan 238.000 gebruikers erin stond onversleuteld en onbeveiligd online. Wie wist waar hij moest kijken, kon persoonsgegevens, wachtwoorden, profielfoto's en realtime-locatiedata opzoeken.

De MongoDB-database bevatte namen, e-mailadressen, profielfoto's, plaintext-wachtwoorden, precieze realtime-locatiedata en geofences als 'school' en 'thuis' inclusief coördinaten. Volgens security-onderzoeker Sanyam Jain, die met het probleem naar TechCrunch stapte, was de database van de iOS-app 'wekenlang' blootgesteld.

TechCrunch verifieerde de database door zelf een dummy-account aan te maken, dat prompt verscheen tussen de gegevens van alle andere gebruikers. Daarnaast nam de site contact op met een gebruiker in Florida, die bevestigde dat de gegevens in de database aan hem en zijn kind toebehoorden.

TechCrunch wist alleen geen contact te krijgen met de maker van de app, het Australische React Apps. De mogelijkheden om contact op te nemen met de ontwikkelaar zijn beperkt en React Apps reageert niet. Uiteindelijk heeft TechCrunch met Microsoft contact opgenomen, dat de database host op zijn Azure-dienst. Enkele uren daarna ging de hele database offline.

Door Mark Hendrikman

Nieuwsposter

24-03-2019 • 11:18

102 Linkedin Google+

Reacties (102)

Wijzig sortering
Bij zo’n nieuws, dat precies meer en meer voorkomt, sta ik altijd versteld hoe zoiets kán gebeuren...

Ik kan nog begrijpen dat je bvb niet dé beste security maatregelen genomen hebt, maar plaintext wachtwoorden en een publiek toegangkelijke database...

Is alsof je een huis zou bouwen zonder deuren en sloten wachtend op de eerste inbrekers...

[Reactie gewijzigd door florejaen op 24 maart 2019 11:27]

Nou nou, dat is wel wat kort door de bocht. Het is algemeen bekend bij developers dat je toegang moet nalopen. Al helemaal als je een nieuw project begint.

Als je dan kiest voor %insert systeem%, zoals MongoDB, dan heb je als developer gewoon de documentatie te lezen.

Zelf gebruik ik 't niet, maar van MySQL, wat ik wel veelvoudig gebruik, lees ik zoveel mogelijk documentatie en, omdat ik 't ook niet allemaal kan weten, vraag ik anderen om raad/hulp/advies.

Dus, terugkomend op je opmerking: het is niet de schuld van MongoDB dat dit zo flut is geïmplementeerd door een stel kangaroo's.
Als ik het goed heb krijg je tijdens de installatie van mysql de vraag om een wachtwoord voor de root user in te stellen.

Voor zover ik me kan herinneren was dat bij mongodb niet het geval. Sterker nog, de documentatie zegt dit:
MongoDB is designed to be run in trusted environments, and the database does not enable “Secure Mode” by default.
https://docs.mongodb.com/...stall-mongodb-on-windows/

Maar inderdaad, zoals je zegt, als iemand de docs niet leest dan gaat het mis. Alleen wordt het in dit geval wel heel makkelijk gemaakt om het verkeerd te doen.
ICT is een uitgave dat vaak gezien wordt als een luxe voor ontzettend veel bedrijven en wordt dan ook meestal als eerste op bezuinigd.
Je kan er miljarden in steken en als er niks gebeurt dan ziet men dat als verloren inkomsten.
Er wordt geen waarde gehecht aan privé want het kost alleen maar.
Wil je voor een dubbeltje op de eerste rij zitten dan weet je dat er ergens op bezuinigd wordt. Je krijgt waar je voor betaalt.
Op de website van React Apps staat dat het een startup is.

Methinks dat het eerst om inkomstenwerving ging om daarna met de opbrengst de app beter en veiliger te maken.

Ja, het hoort niet. Maar veilige code schrijven kost meer FTE dan quick'n'dirty, dus duurder. Dezelfde vlieger gaat op voor configuratie.

Daarnaast, als je de mogelijkheid hebt om je droom waar te maken. Je krijgt een paar investeerders zover dat er genoeg budget is om sowieso iets op poten te zetten. Ga je dan al pietlullig doen over veiligheid? Investeerders willen ook zien dat hun geld gestopt wordt in het gepitchte idee.

Idealiter zou ontwikkeling en security hand in hand moeten gaan. Maar in de meeste gevallen levert extra veiligheid niet meer omzet op. Bij een paar uitzonderingen is het een unique selling point waardoor het meer omzet oplevert.

Het blijft een gok hoeveel je niet in security investeert. Idealiter net genoeg dat je niet zoals dit bedrijf tegen de lamp loopt en daardoor het PR-wise uitloopt tot harakiri. Maar ook niet teveel, want dan blijft het andere werk liggen en is het een verliesgevend component.

[Reactie gewijzigd door RoestVrijStaal op 24 maart 2019 20:40]

Eens met je verhaal, maar wachtwoorden plaintext opslaan of met een salt most misschien 1 minuut extra tijd. Daarnaast een iptables file instellen waar standaard alle poorten dichtstaan kost ook maar 1 minuut.
Het systeem is gewoon gebouwd door een incompetent persoon.
Het is niet duidelijk wie het systeem opgezet heeft noch de scholing van die perso(o)n(en).

Een linux sysadmin weet wel wat iptables is en wat ermee te doen. Een "handig neefje" die voor een oom met een groots idee wel even iets in elkaar zet en met youtube even opsnort hoe iets te bereiken, hoogstwaarschijnlijk niet.

Sterker nog, het kan best zijn dat een (bevriend) iemand ervoor is aangenomen die veel van Microsoft SQL Server af weet, maar hedendaags is MongoDB lekker hip.
Dat is dus precies wat ie zegt... een incompetent persoon. Je neemt toch ook geen MS admin aan om je Linux server te beheren? Of een PHP ontwikkelaar om je Ruby on Rails app te bouwen? Waarom zou je dan wel MongoDB gebruiken als je er geen verstand van hebt? Als je iemand hebt die SQL Server kent, gebruik dan SQL Server.
Sorry hoor, maar wachtwoorden hashen en basis authenticatie regelen op je MongoDb is echt niet veel moeite.

Het kan niet zo zijn dat economisch gewin voor privacy gaat
Met alle instellingen van tegenwoordig lijkt het er meer op dat ze bijna extra moeite hebben gedaan om dit te doen want een database is meestal niet voor iedereen te bereiken.

ook wachtwoorden opslaan in plain text doe je gewoon niet en is bijna niet meer moeite om te hashen.

Ik denk dat de mensen aan het roer hierom gevraagd hebben. zodat ze bvb makkelijk bij de wachtwoorden kunnen komen of makkelijk iedereen toegang konden geven aan hun DB
Je krijgt een paar investeerders zover dat er genoeg budget is om sowieso iets op poten te zetten. Ga je dan al pietlullig doen over veiligheid? Investeerders willen ook zien dat hun geld gestopt wordt in het gepitchte idee

Om deze reden moet de waarde van veiligheid gewoon omhoog. Als investeerders er geen geld aan willen spenderen dan moeten er maar hoge boetes oid komen voor dit soort misstanden. Ik snap ook goed waarom het gebeurt, maar dat kan geen excuus zijn.
Je krijgt een paar investeerders zover dat er genoeg budget is om sowieso iets op poten te zetten. Ga je dan al pietlullig doen over veiligheid? Investeerders willen ook zien dat hun geld gestopt wordt in het gepitchte idee.
En dat is dus precies waarom je wél aan beveiliging moet doen. Wordt je database gehacked, ben je al je gebruikers kwijt en stort je investering in elkaar. Volgens het artikel heeft MS de database offline gehaald. Dat betekent dus dat de app in 1 keer gestopt is met werken en je dus je hele userbase kwijt bent. Zoiets hadden ze kunnen zien aankomen. Als het MS niet was, was het misschien wel een hacker geweest die even de MongoDB versie van 'drop database' op je data loslaat. Als ze dit niet op orde hebben zullen de backups dat ook wel niet zijn.
Strikt genomen is het dan geeneens inbraak, want er valt niks te breken...

Het is gewoon uitnodigen om gratis data mee te nemen.
Snap je punt, maar het gaat 'strikt genomen' niet op. Als ik m'n voordeur open zet, is dat geen vrijbrief voor jou om m'n TV mee te nemen.
Ter info, je voordeur of autodeur niet op slot doen, laat staan open laten staan, is in veel Europese landen ook tegen de wet.
Bedoel je dat ik een boete krijg als ik mijn deur open laat staan?
Er is een verschil tussen strafbaarheid volgens de wet en boetes krijgen.

De ene is een juridisch concept ter fundering van eventuele rechtzaken en vereist voor de logica van bepaalde constructies, de ander is een middel om ongehoorzame burgers af te schrikken.

Nee, jij krijgt geen boete als je je deur open laat staan.
Ja, het heeft wel consequenties voor je zodra er daadwerkelijk iets word gestolen bij jou thuis en je komt in gevecht met de verzekering.
Dat is zeker waar, maar ik dacht dat dat meer te maken had met het contract dat ik met mijn verzekering heb dan met de wet.
Een fiets niet op slot zetten kan betoogd worden als uitlokking. Zo stond mijn fiets ooit niet op slot in een niet op slot fietsenschuurtje in een doodlopende steeg. Yoen mijn buurman de "postbode" lopend heen zag gaan en fietsend terug zijn we er achteraan gegaan. Wij hebben langer op het bureau gezeten dan de dief aangezien wij onze sloten niet op orde hadden
Het verschil is alleen, dat bij het openzetten van jouw voordeur alleen jouw gegevens gestolen kunnen worden. Wat deze bedrijven doen is de voordeur naar de gegevens van honderdduizenden anderen openzetten. Wat mij betreft mogen hier gewoon lange celstraffen voor CEO's en Security Officers op staan. Dan investeren bedrijven wel wat meer geld in databeveiliging.
Als je de CEO van een bedrijf in het gevang zet voor alle ovetredingen die er ergens in zijn bedrijf gedaan zijn, durf ik te wedden dat er geen enkele CEO van een groot bedrijf nog vrij zou zijn. Ik elk bedrijf gaan er wel dingen fout. Meestal vergissingen of dingen die vergeten zijn, minder vaak bewuste wetsovertredingen.

Ik weet dat ik er veel aan doe om me aan de wet te houden maar ik kan je bezweren dat als ik voor elke overtreding gevangen gezet zou worden ik ja jaren vast zou zitten.
Het gaat om wat je redelijkerwijs als CEO zou kunnen hebben voorzien.
Wat als een medewerker van het bedrijf in een bepaald management laag niet alles vertelt? Als ceo kun je niet alles in details gaan controleren. Je ziet dit ook bij ministeries, als een ambtenaar niet alles vertelt kan een minister verantwoordelijk worden gehouden maar is in principe ook niet terecht.

Wat wel opvallend is dat het weer een mongo db is die in het in het nieuws is met een veiligheidslek. Blijkbaar populair om zo snel up en running een applicatie op te bouwen en de rest mbt security te vergeten😉
Als CEO heb je de taak en het bijbehorende salaris om deze verantwoordelijkheid te nemen! Dus in mijn ogen volkomen terecht dat je als CEO hier verantwoordelijk wordt gehouden. Als je daarna aannemelijk kan maken dat je als CEO alles wat van je verwacht kon worden gedaan hebt om zoiets te voorkomen dan praten we wel weer verder...
Als CEO laat je je informeren door de CTO over de veiligheid van je producten. Laat vastleggen hoe alles beveiligd is. Als de CTO later blijkt te jokken is die aansprakelijk; immers, je het nop papier staan dat hij (m/v) het geregeld zou hebben en valt dat onder ‘redelijkerwijs aannemen dat het goed was’. Je hoeft als CEO niet perse programmacode te kunnen debuggen...maar je moet t wel goed delegeren.

[Reactie gewijzigd door DigitalExcorcist op 24 maart 2019 18:41]

Neem de Ing bank als voorbeeld, in zo een geval zou Hamers allang vervolgd worden, nu kan het OM geen schuldigge aanwijzen
Maar wel als jouw eigendom niet duidelijk afgebakend is. Het is hier gewoon een stukje grasveld waar geen hek omheen zit, maar ook geen bordje dat het geen openbare ruimte is. Van een huis met een openstaande deur is het immers duidelijk dat het wel iemand's eigendom is.

[Reactie gewijzigd door Trommelrem op 24 maart 2019 11:43]

En waar op internet vind ik een "plaats" die niet van iemand is?
Het gaat niet zozeer om dat de "plaats" niet van iemand is, maar dat het vrij toegankelijk is. Hoe kan ik weten dat het niet gaat om een vrij toegankelijke database welke de beheerder opzettelijk zo opgezet heeft zodat iedereen die wil deze kan uitlezen?
Hoeveel publiek toegankelijke MongoDB databases ken je? Het is niet zoiets als een simpele webpagina waar je tegenaan loopt, maar iets waar je heel specifiek naar op zoek moet gaan.
Hoeveel publiek toegankelijke MongoDB databases ken je?
Potentieel 67.919, op dit moment.

Er is maar één manier om dit soort zaken van grove nalatigheid te voorkomen, en dat is het vervolgen van de verantwoordelijken bij de organisatie die faalde om de data te beschermen.

[Reactie gewijzigd door The Zep Man op 24 maart 2019 12:50]

Zoals ik al zei, daar ben je dus specifiek naar op zoek gegaan...
Je kunt gewoon met een browser een MongoDB inlopen. Shodan is gewoon een google voor diensten dus ik weet niet wat de drempel precies is die jij ziet.
Met een browser tegen een MongoDB aanlopen? Hooguit een front-end, een MongoDB draait niet op de standaard http/https/quick poorten.
En nee, Shodan is iets anders dan een zoekmachine, het is een poortscan database.
Nee, niet op poort 80 of 443. Maar en wat is het verschil tussen een portscan en een webscraper? De ene gaat de diepte in over 1 poort en volgt links, de ander volgt een reeks nummers van 1 t/m 64k. Het hosten van een dienst zonder beveiliging is stom en zou strafbaar moeten zijn. Je verstoppen achter: maar het zat op poort 81 dus ik ben gehacked zou een levenslange internet ban op mogen leveren.
Er zit een heel groot verschil in het indexeren van gepubliceerde informatie (wat een search engine doet) en het specifiek op zoek gaan naar services en vunerabilities over hele ip-ranges.
Je verstoppen achter: maar het zat op poort 81 dus ik ben gehacked zou een levenslange internet ban op mogen leveren.
Ik zeg nergens dat het niet stom is om een onbeveiligde dienst te draaien....
Ik zie geen enkel verschil tussen een "wget --mirror www.tweakers.net" en een "nmap -A www.tweakers.net".
Dat soort dingen ZIJN in Australie strafbaar. Daarnaast heb ik nooit de indruk dat iets strafbaar maken en vervolgen veel helpt om iets te voorkomen.
Het is toch duidelijk, dat als je account en persoonsgegevens tegenkomt, dat dit niet van jou is? Gewoon even melden aan de beheerder dat hij de deur open heeft laten staan, zodat hij het kan oplossen.
Zodra je er misbruik van maakt ben je strafbaar vind ik.
Ik zou het in tweeen willen knippen: ja melden ipv. misbruiken. Maar ook melden dat er een AVG lek is bij de instanties. Diensten aan het internet hangen en niet beveiligen zou net zo behandeld moeten worden als een brug bouwen zonder een bouwtekening: stom en je kunt iets anders gaan doen.
Nou die bestaat niet lijkt me. Maar in het echt bestaat ook geen plek die van niemand is. Een grasveldje zal van de gemeente zijn. Dus als je de website van de gemeente bezoekt is dat waarschijnlijk hetzelfde idee.
tweakers.net is van 'iemand' , maar wel vrij toegankelijk.
Een deel van Tweakers is vrij toegankelijk, een groot deel ook niet, zoals de achterliggende databases.
Je weet van zo'n database misschien wiens eigendom het wél is maar je weet zeker dat het jouw eigendom niét is.
Maar waar staat de beperking dat je geen gebruik mag maken van iemand's eigendom? Als je guest/guest open hebt staan, of als je een Wireless Fidelity netwerk hebt zonder toegangsbeperking, dan mag je er toch in alle redelijkheid vanuit gaan dat je er gebruik van mag maken?

Het fietspad daarbuiten is immers ook niet mijn eigendom, ook niet mijn bezit, maar ik mag er wel gebruik van maken.
Het fietspad daarbuiten is immers ook niet mijn eigendom
Eigenlijk is dat wel (deels) jouw eigendom, het is immers eigendom van de "staat".
De wet computercriminaliteit zal je wellicht interesseren. Bijvoorbeeld Artikel 138ab, dat gaat over het strafbaar zijn van het binnendringen van een geautomatiseerd werk. Er staat in wetgeving natuurlijk niet snel waar je precies aan moet voldoen, omdat het van de omstandigheden afhangt. Het gaat dan om interpretaties van definities. Uiteindelijk is het de rechter om daar een oordeel over te geven. Bijvoorbeeld wat precies een geautomatiseerd werk is. Want waar de een van mening is dat dat ook een router kan zijn, kan de rechter wel eens een heel andere mening hebben. En dat hoeft dan weer geen eindoordeel te zijn.

In de wet staat ook dat het binnendringen niet is toegestaan als je een valse identiteit aanneemt. Misschien ben jij van mening dat als je gegevens moet raden en daarbij een gebruikersnaam guest aanneemt en een wachtwoord guest gaat raden dat je dan geen valse identiteit aanneemt, maar wat is uiteindelijk de rechter van mening? De wetgeving kan zelfs opgevat worden dat er geen sprake van het doorbreken van een beveiliging hoeft te zijn om strafbaar een werk binnen te gaan. Dat je een beveiliging moet doorbreken is namelijk gewijzigd. Eerder moest dan van toepassing zijn, inmiddels al heel wat jaren al niet meer.
Als jou voordeur openstaat mag ik gewoon naar binnen kijken vanaf de openbare weg. Een DB openzetten vanaf het openbare internet mag volgens mij gewoon bekeken worden. Er is niks gestolen naar mijn idee.
Als jou voordeur openstaat mag ik gewoon naar binnen kijken vanaf de openbare weg. Een DB openzetten vanaf het openbare internet mag volgens mij gewoon bekeken worden. Er is niks gestolen naar mijn idee.
Wel, ik zou dat niet in de praktijk doen want de rechter denkt daar gewoon anders over. Jij hebt daar niets te zoeken.
Uhm...Sterker nog, je mag zelfs gewoon ongestraft naar binnen wandelen als de voordeur openstaat. Je wordt pas strafbaar als de eigenaar eist dat je eruit gaat en je gaat niet. Maar het naar binnen gaan zelf bij iets wat open staat is niet strafbaar.
Zo simpel als "data is geen fiets, dus kun je ook niet stelen" is het niet. Ten eerste gaat het helemaal niet om stelen, net zo goed als iemand met een mes steken niet hetzelfde is als kipfilet snijden. Het gaat om je illegaal toegang verschaffen tot een computersysteem. Op het moment dat je zoiets doet, ben je al heel snel strafbaar. Of je ervoor wordt opgepakt e.d. is een tweede, maar denk vooral niet dat je nergens voor verantwoordelijk bent, omdat je alleen maar goede bedoelingen hebt of zo.
Als jou voordeur openstaat mag ik gewoon naar binnen kijken vanaf de openbare weg
Twijfelachtig in de huidige trend van privacy-fasisme, maar je mag zeker geen foto/films en/of andere opnames maken.
Wat wel en niet mag is zelden een op een vergelijkbaar. In Nederland is de wet computercriminaliteit van toepassing. Hierbij gaat het om wederrechtelijk binnendringen. Vrij vertaald is dat de situatie waarbij je vooraf geen toestemming hebt om het systeem te gebruiken. Wat onder toestemming valt is niet heel duidelijk, maar het is ook niet even een kwestie van de poort stond open dus ik mocht er gebruik van maken. Met de huidige wet is zelfs komen te vervallen dat er een beveiliging doorbroken moet zijn om het strafbaar te maken. Dus een open DB lijkt daarmee niet zomaar een vrijbriefje om er gebruik van te mogen maken. Ook als je niets kopieert, want dat is weer een ander punt wat wel of niet strafbaar kan zijn.
Er zit een wettelijk verschil tussen inbraak en insluiping.

Dat zou digitaal ook best mogen.
Hij zegt helemaal nergens dat hij iets van je meeneemt. Hij zegt dat het strikt genomen geen inbraak is en dat klopt. Als iemand zijn voordeur open laat staan mag iedereen gewoon naar binnen lopen en dat is niet strafbaar. Op het moment dat de eigenaar of huurder zegt dat diegene weg moet gaan, dan is diegene wel verplicht om weer de deur uit te gaan en strafbaar als die het niet doet.

Dat is dus wat anders dan een TV meenemen, want dat is diefstal en is strafbaar. Ook in bovenstaande situatie uiteraard.
Het strikt genomen slaat op doorbreken. Dat komt erop neer dat je een beveiliging hebt opengebroken om binnen te komen. Dat het ongewenst effect gelijk is aan een deur die open staat kan het voor de eventuele strafmaat wel verschil uitmaken. Maar dat is afhankelijk voor de geldende wetgeving.
Geen inbraak maar wel insluiping. Wat ook verboden is

Edit: zoals hierboven word aangehaald. En vergeleken word met huis en tuin. Echter als ik geen hek om de tuin van mijn huis heb (de website) en mijn fiets staat er open en bloot (de data) mag je deze alsnog niet meenemen.

[Reactie gewijzigd door skunkopaat op 24 maart 2019 12:25]

Bij die fiets gaat het om diefstal, die heb jij dan niet meer. Als we het over data hebben, kan je misschien beter denken aan een boekenkast. Mag ik je boeken lezen?
In het geval van het downloaden van een database is het op z'n minst copyrightschending.
Onderzoek heeft aangetoond dat we hier ons niet over moeten verbazen.. Helaas, zie dit artikel: https://www.zdnet.com/art...proper-password-security/

Programmeurs zijn ook maar mensen en de 1 is beter in programmeren dan de ander. Hoe weet je of iedere regel code goed is?
Een fout in je code is één ding, je database online publiek maken zónder wachtwoord is iets compleet anders. Dat kan je geen fout meer noemen, dat is gewoon achterlijk en geen enkel respect hebben voor de privacy van je klanten.
Een fout in je code is één ding, je database online publiek maken zónder wachtwoord is iets compleet anders. Dat kan je geen fout meer noemen, dat is gewoon achterlijk en geen enkel respect hebben voor de privacy van je klanten.
Ok, deel ff de link van een website die jij beheert.

Dan geef ik jou 2 sites die een (non-invasive) security scan doen. De sites geven instructies hoe je de maximale score kunt krijgen. Voor een ervaren ontwikkelaar is het maximaal 4 uur werk om dat te regelen.

Dus in jou woorden; achterlijk en geen respect voor de privacy van je klanten als je het niet doet.

Ik ben benieuwd naar de score van jouw sites...

[Reactie gewijzigd door djwice op 24 maart 2019 13:47]

Dan moet je dus al wel die sites kennen, en als je daar niet echt geinteresseerd in bent (omdat je er niet echt aan denkt), ga je ook niet op zoek naar zo'n hulpsite (waarbij ik dan ook al twijfels heb of dat ook geen malifide sites zijn, ok terug geven terwijl er bv genoeg lekken zijn die dan door de website in de toekomst misbruikt worden.
Helemaal mee eens, vandaar mijn vraag aan @sarcast :)

Om jou gerust te stellen dat er ook minder malafide sites zijn die security checks doen:
https://observatory.mozilla.org
Code kun je ook downloaden en lokaal in afgeschermde omgeving draaien. Volg alle tips na elke test op, je kunt maximaal 135 punten halen, ook voor dynamische en interactive web apps.

Klik daarna op 3rd party tab, klik op ssllabs resultaten en zorg dat deze geen oranje of rode dingen meer op de pagina heeft.

Tips voor goede TLS configuratie:
https://mozilla.github.io...tls/ssl-config-generator/
zet hem op modern.

Daarnaast kun je met deze http-header zorgen dat je security issues direct in een rapportje krijgt https://developer.mozilla...Security-Policy/report-to van CVE in je front end tot certificaat vervalsingen.

[Reactie gewijzigd door djwice op 24 maart 2019 18:26]

Maar zo zie je maar weer, JIJ bent er toevallig van op de hoogte omdat jij er misschien dagelijk mee te maken hebt. maar genoeg developers die op andere punten gespecialiseerd zijn en dit er eens een keertje bij doen, zijn dat niet.. (nogmaals wel, zaken als wachtwoorden als plaintext moet je NU als welke developer dan ook (hoe beginner je ook bent) inmiddels wel weten dat het not-done is).
Sorry, maar deze kende ik ook. Ik ben back-end developer en ook ik ken deze sites, ondanks dat devOps/devSecOps niet mijn veld is.

Als je een site online gooit dien je gewoon het minimum te doen. Het minimum is toch echt zorgen dat overal (webserver en db server als minima) authenticatie hebben (NIET in plain-text). Zorgen dat data niet in plain-text opgeslagen wordt is ook een minimum eis.

Mochten Zend devs dit lezen, ik heb al eens een repo geschreven voor automatisch toepassen van Encryptie of Hashing op velden die daarvoor gemarkeerd zijn. Zie hier. Hiervoor heb ik ook even moeite moeten doen, maar je leert het eens en je hebt er altijd profijt van.
ohhh jij kent ze ook, ohhh, dus dat betekent dat IEDEREEN ze maar moet kennen.. Check.... 8)7
Als je een beetje beginnend junior developer bent, met interesse in je vak, dan zoek je dit op. Dus ja, dan kom je ze tegen, dan probeer je ze even.

Ze kennen, ze kunnen gebruiken en (in ieder geval) de resultaten kunnen interpreteren (of herkennen dat je er hulp bij nodig hebt) zijn kenmerken van goede developers.

Dan heb je nog beneden gemiddelde web developers. Zij zorgen ervoor dat er authenticatie op een db server zit en misschien een md5 hash voor een wachtwoord.

Als je dus developers hebt die een appje bouwen, de db server open laten staan, wat stack overflow copy/paste doen, plain-text wachtwoorden opslaan... dan heb je te maken met het prutswerk van iemands neefje die wel eens een printerpatroon heeft geïnstalleerd.
Mijn ervaring is dat een hoop kennis die mensen als 'die moet je gewoon kennen' er vaak dus ook maar bij toeval tegen aan gelopen zijn en dan al vaak gebruiken. En nee, een hoop mensen gaan niet zoeken naar dingen waar ze niet aan denken (en dat geldt dus ook gewoon voor senior developers). Veel developers tegenwoordig gaan niet verder dan het gebruik van een framework en lezen dus zich ook niet in rondom de stof, nee, functie A werkt en die doet wat ik nu wil, dus het is OK, op naar het volgende, wat heb ik nodig om blah blah te kunnen doen, aahh functie B, bam die werkt ook, en we gaan weer verder.. Zonder dus ook maar iets te verdiepen wat functie A en B nu werkelijk eens zouden doen en mogelijke gevolgen daarvan. Google it, en we gaan weer verder want het moest gisteren af.
Een security probleem ontstaat doordat je een patch niet doorvoert, een verouderd systeem gebruikt, of als je pech hebt een 0day. En ja een menselijke fout in de configuratie van je systeem is ook een optie.

Ik vind echter het niet instellen van een wachtwoord op een database die online staat, geen misconfiguratie maar wanbeheer.

Of je leest het artikel niet goed, of je interpreteert mij niet goed, ik begrijp in ieder geval niet waarom ik samen met jou een pentest moet uitvoeren om jou er van te overtuigen dat een online database zonder wachtwoord niet veilig is.
Wat ik bedoel is, dat er voor mij nog meer dingen zijn die minimaal zijn op security gebied.

En ik vermoed dat jij die niet hebt toegepast, ondanks dat het minder dan 4 uur werk is bij het neerzetten van een site.

Waarmee ik wil laten zien dat wat voor de een triviaal en minimaal is, voor de ander ontbrekende kennis is.

De vraag is dan ook; moet ik jou dan achterlijk noemen? Mijn stelling is; nee, mensen hoeven niet achterlijk te zijn als ze iets doen wat jij niet zou doen. Ook al zou ik na zo'n scan kunnen vaststellen dat je onder GDPR niet vertrouwelijk genoeg omgaat met persoonsgegevens.

---
En m.b.t. je laatste opmerking. Op AWS RDS kun je kiezen om bewust geen database wachtwoord in te stellen maar in plaats daarvan toegang uitsluitend via AWS IAM te regelen. In die context is het juist veiliger om een online database zonder wachtwoord te configureren.

Uiteraard zit ik met je op een lijn dat in dit geval de gegevens niet goed beschermd waren. Maar een database met wachtwoord zonder TLS of met admin:admin of standaard instelling van leverancier is net zo erg.
De app ontwikkelaar biedt een betaalde dienst aan met (zeer) privacy gevoelige (GPS) data.
Deze heeft hij niet goed beveiligd.
Dan hebben we het niet eens over complexe firewall rules, zware encryptie, 2-factor authentication, geautomatiseerd security patch beleid of audits..
Maar over het überhaupt instellen van een wachtwoord op z'n database.

Je gaat vrij ver de diepte in mbt. security en pentesting, wat goed is en interessant om te lezen (ik heb nu al meer vertrouwen in jouw kennis en kunde dan die van de app ontwikkelaar in kwestie), maar that's beside the point.

Techniek en kennis is namelijk eigenlijk helemaal geen onderwerp in deze.
Het feit is dat een bedrijf privacy gevoelige data van een ander online zet, hier geld betaald voor krijgt, en tegelijk geen beveiliging op zet.
Is op z'n minst onverstandig en ja, naar mijn mening achterlijk.
Ik denk dat je vrij sterk zou staan in de rechtszaal met een zaak over nalatigheid.

We hebben het hier niet over een hobbyist die een beetje met zijn thuis domotica rommelt, maar over een bedrijf wat een product verkoopt.

[Edit:]
"Op AWS RDS kun je.. ..toegang uitsluitend via AWS IAM te regelen."
Je kan van alles regelen, zoals je continu laat zien, maar het artikel gaat over dat de ontwikkelaar nalatig is geweest en dat niet heeft gedaan.

Dit is helaas niet de eerste ontwikkelaar die in het nieuws komt. Bij deze artikelen wordt door de community veel vaker aangekaart dat de default instellingen van MongoDB hier een van de oorzaken van zijn.
De verantwoordelijkheid van het instellen en gebruiken van een product, ligt naar mijn mening echter niet bij MongoDB, maar bij de developer die de database vult met data en deze vervolgens online zet.

[Reactie gewijzigd door sarcast op 25 maart 2019 12:58]

Ik ben het met je eens dat de verantwoordelijkheid bij de gene ligt die zijn platform online zet.

Wat ik wel merk is dat als mensen bijvoorbeeld Redis en MySQL gewend zijn, en dan MongoDB installeren, ze er van uit gaan dat ook deze database default vergelijkbaar is. Helaas is de default 'alles open'. Ik heb zelfs zeer ervaren Ops mensen die die val zien lopen.

Uiteraard zie je helaas dat zelfs social media platforms speciaal voor kids zeer onveilig zijn, vaak afkomstig uit China of regio. Ik merk dat ook ouders met IT kennis dat niet altijd door hebben en de kids het 'gewoon' gebruiken; hun populaire klasgenootjes maken er immers ook al gebruik van.
Ik ben er helemaal mee eens! Het zou niet mogen gebeuren, maar mensen zijn mensen en dus moet je altijd controles inbouwen. Je kan niet vertrouwen dat iedereen het juiste doet en dezelfde mening en instelling heeft. Daarnaast zie je in het artikel ook naar voren komen dat er programmeurs zijn die wel denken veilig bezig te zijn maar niet weten dat ze dat niet zijn. En zo zijn er ook opdrachtgevers die geen idee hebben van wat ze vragen en wat ze krijgen. Waarschijnlijk moet het zo goedkoop en/of snel mogelijk.

Dit begint met goede programmeer- en architectuurprincipes neer te zetten, hierop te toetsen en de juiste kennis binnen je bedrijf te hebben.
Door het te laten toetsen/auditen/penetration tests?
Dat kost in principe geld, of je moet dus maar vertrouwen hebben in de site die voor jou automatisch de controle uitvoert, beetje te vergelijjen met malifide VPN-services.
Tuurlijk zijn het ook mensen. Daarom mogen ze ook fouten maken. Maar dit valt niet in de categorie fout, dit is grove nalatigheid.
Het gaat om privacy gevoelige data. Niet alleen de (strenge) privacyregels van Australië, maar ook die van de USA en EU, zijn van toepassing. Dit moet je gewoon weten, ook als ontwikkelaar.

Ik kan mij voorstellen hoe dit is gegaan. Er wordt agile / RAD een app ontwikkelt, snel geïmplementeerd en bij een hoster (Azure) neergekwakt. Zij doen de beveiliging toch?

#FAIL

Daarom zijn er Security proefessionals.
Omdat het geen Jurassic Park meer is tegenwoordig waar 1 ICT kerel een megagroot en belangrijk project in z'n eentje doet. Al dan niet intern of extern.
Wat mij vooral opvalt is dat zo'n schimmig bedrijf (Google maar eens, er is niks over te vinden en zelfs de whois is geanonimiseerd) een dergelijke app kan lanceren en data van 250.000 gebruikers op kan halen. Hier mag van mij meer controle op komen.
Wat mij vooral opvalt is dat zo'n schimmig bedrijf (Google maar eens, er is niks over te vinden en zelfs de whois is geanonimiseerd) een dergelijke app kan lanceren en data van 250.000 gebruikers op kan halen. Hier mag van mij meer controle op komen.
Allemaal vrij normaal, niet elk bedrijf is een mega-structure, en zo complicated is de basis van de app niet, natuurlijk
Een app, met api en frontend, @The Chosen One zegt dat het een megagroot project zou kunnen zijn, maar ook dát is niet gezegd.

Het probleem is echter de dubbele moraal van de gebruiker, men wil privacy en jammert aan alle kanten dat 'de bedrijven' deze zo schenden, en ondertussen installeren ze een tracking-app op devices van anderen.
Daarom groeien dit soort apps zo snel, papa en mama willen hun kroost in de gaten houden ... en doen verder geen onderzoek naar de achtergrond.
Iets dat min. 238.000 gebruikers heeft is toch wel groot genoeg dat het niet op 1 persoon die alles doet EN controleert moet vallen. Zullen vast bedrijven zijn die het proberen... kosten minimaal, winst maximaal gevallen zijn die het proberen.

[Reactie gewijzigd door The Chosen One op 24 maart 2019 15:00]

De app 'doet' het, er zal niet een backload aan developers nodig zijn, als het eenmaal draait
Vandaar ook het probleem van de beveiliging, zouden het er echt meer geweest zijn, had men het wel ontdekt.

Wij in Europa willen het liefst allemaal laagjes in het bedrijf, verantwoording afschuiven naar onder of boven.
Dit riekt en toont als een eenmansbedrijfje, of hoogstens een paar man.
Ik kan je uit ervaring vertellen dat er zat apps zijn met honderdduizenden gebruikers met 1 of minder ontwikkelaars die zich met backend bezighouden.
Zoals ik zei "Zullen vast bedrijven zijn die het proberen... kosten minimaal, winst maximaal gevallen zijn die het proberen."

Ergo Jurassic Park. :+
Maar je kunt toch niet verwachten dat iedere gebruiker de ontwikkelaar uitpluist? Voor mij zou het simpel zijn; gebruikersdata opslaan betekent als ontwikkelaar/uitgever duidelijk traceerbaar moeten zijn voor de gebruiker.
En wie moet die controle dan gaan uitvoeren? En wat moeten ze controleren? Er is nog geen indicatie dat de ontwikkelaar de data heeft verkocht of anders heeft misbruikt. Hij is alleen dom geweest, maar ik zou niet weten welke wet hij heeft overtreden.
Welke family locator is dit?
Zijn er meerdere met dezelfde naam.
Die van Sygic niet toch?
Ik krijg een SSL Error bad domain als ik de website bezoek. Ook staan de algemene voorwaarden niet op de site. Weet men zeker dat het React Apps is? Ik vermoed dat de link verwijst naar een fake website.

[Reactie gewijzigd door Trommelrem op 24 maart 2019 11:46]

Heb je de laatste alinea gelezen?
Hoe je als ontwikkelaar zo slordig te werk kunt gaan kan ik niet begrijpen, een boete is hier prima op zijn plaats.
Er zijn 2 dingen aan het artikel waar ik moeite mee heb, ten eerste natuurlijk dat de informatie vrij toegankelijk is en wachtwoorden natuurlijk als plaintext. Maar waar ik meer moeite mee heb, is dat iemand anders contact opneemt met microsoft en dat microsoft blijkbaar zomaar de database afsluit (waarbij ik me dan ook afvraag of de app dan nog wel werkt, maar dat zal me een worst wezen).
Voor zover ik me kan herinneren staat hier niets over in de voorwaarden van gebruik van de dienst (met een hele kleine uitzondering van terrorisme/kp achtige taferelen misschien).
Maar waar ik meer moeite mee heb, is dat iemand anders contact opneemt met microsoft en dat microsoft blijkbaar zomaar de database afsluit (waarbij ik me dan ook afvraag of de app dan nog wel werkt, maar dat zal me een worst wezen).
Dat is wel een heel erg grote aanname die je hier doet. Ik kan geen juridische grond verzinnen waarmee Microsoft een database zou kunnen afsluiten. Ik kan op mijn onedrive ook gewoon een Excelbestand plaatsen met namen en adressen die ik om welke reden dan ook verzamel.
Veel, veel waarschijnlijker is dat de beheerder van de database, via Microsoft, via de benaderde gebruiker of alsnog via de onderzoeker lucht heeft gekregen van het verhaal en zelf de database off-line heeft gehaald.
Dat is ook goed mogelijk, maar nergens duidelijk uit het verhaal.
Dat klopt, het is alleen opvallend hoe je ondanks dat gebrek aan informatie al een stevig vermoeden uit. En dat, misschien door een andere mindset, tot een heel ander stevig vermoeden kom :)
Dit was een proef met de crowdsource versie van de app denk ik.
Zelfs voor een proef zouden dingen als wachtwoord toch echt niet als plaintext opgeslagen moeten worden (ik vind zelfs niet eens bij een interne proef).
I know, was een geintje. :)

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True