Hotspot-zoekapp laat meer dan 2 miljoen netwerknamen en -wachtwoorden uitlekken

Een app om wifinetwerken in een omgeving te kunnen vinden heeft meer dan twee miljoen wifiwachtwoorden gelekt. De wachtwoorden stonden in plaintext in een database, die openbaar te benaderen was.

Het lek werd ontdekt door een beveiligingsonderzoeker van de GDI Foundation. Die speelde het door aan TechCrunch toen zij geen reactie ontvingen. De database was volgens de site niet beveiligd waardoor iedereen met toegang de gegevens kon downloaden. De database is inmiddels offline. Techcrunch nam contact op met de hostingpartij omdat de appmaker zelf niet reageerde.

Het lek is afkomstig van een app genaamd WiFi Finder, die meer dan honderdduizend keer is gedownload uit de Play Store. De app is daar nog steeds te vinden. Met de app kunnen gebruikers wifinetwerken in hun omgeving scannen. Ook kunnen gebruikers zelf namen en wachtwoorden van netwerken uploaden naar de app zodat anderen de netwerken kunnen gebruiken. Volgens de maker worden in de app alleen wachtwoorden van openbare hotspots weergegeven, maar in de database zaten ook honderdduizenden wachtwoorden van thuisadressen.

Naast ssid's en wachtwoorden zijn ook de locaties van de netwerken uitgelekt. Daarmee konden gebruikers op een kaart zien waar de hotspots zich bevonden. De applicatie is afkomstig van een Chinese ontwikkelaar. Het is niet bekend of er ook Nederlandse netwerknamen of -wachtwoorden in de database stonden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 23-04-2019 16:41
39 • submitter: Hendry Scholing

23-04-2019 • 16:41

39 Linkedin

Submitter: Hendry Scholing

Lees meer

172 miljoen slecht beveiligde wachtwoorden zijn uitgelekt bij gamemaker Zynga Nieuws van 19 december 2019
Facebook logde ook wachtwoorden van miljoenen Instagram-accounts in plain text Nieuws van 18 april 2019
Jeugdzorg liet medische dossiers uitlekken via verlopen domeinnaam Nieuws van 10 april 2019
Google waarschuwt met Chrome-extensie voor uitgelekte wachtwoorden Nieuws van 5 februari 2019
Meer producten en artikelen
Networking en security Privacy Datalek Wifi

Reacties (39)

-Moderatie-faq
39
36
19
4
0
8
Wijzig sortering
wica
23 april 2019 16:49
In dit artikel lijkt het er op dat de Nederlandse GDI Foundation, de informatie direct doorspeelde Techcrunch.
Echter in het artikel op Techcrunch staat dat GDI Foundation, al ruim 2 weken geprobeerd heeft contact te krijgen met de ontwikkelaar.
We spent more than two weeks trying to contact the developer, believed to be based in China, to no avail. Eventually we contacted the host, DigitalOcean, which took down the database within a day of reaching out.
Overigens doet GDI Foundation zeer goed werk, om Internet wat veiliger te maken voor ons allemaal. Mijn dank er voor.
AuteurTijs Hofmans
@wica23 april 2019 17:15
Ja dat is waar, GDI verdient wat meer credit dan dat. Pas ik ff aan!
powerboat
@wica24 april 2019 10:42
Global Defense Initiative :+ "We suck the internet dry"
niceman12
23 april 2019 16:48
Was dit niet juist de bedoeling van deze app; Wifi(hotspot) netwerken die voor iedereen toegankelijk zijn? Uiteraard in een makkelijker formaat binnen te halen, maar een security breach- of lek- lijkt mij dit niet.

De wachtwoorden van privé netwerken zijn blijkbaar toch al compromised, anders zet niemand ze op een platform voor gratis wifi-hotspots.
Soldaatje
@niceman1223 april 2019 16:53
Misschien kan de app inloggen op de netwerken zonder dat de gebruiker het hoeft te typen, dan hoeven ze niet publiek beschikbaar te komen.
batjes
@Soldaatje23 april 2019 18:05
Je kunt met een vinkje uitzetten op zo'n beetje elk apparaat je WiFi wachtwoord gewoon zien. Veiligheid = nul.

Oke niet helemaal dus, veiligheid is iets meer dan nul.

[Reactie gewijzigd door batjes op 23 april 2019 18:22]

Soldaatje
@batjes23 april 2019 18:09
Hmm, dat ligt dan wel aan het apparaat, op mijn telefoon kan ik het niet meer tevoorschijn krijgen als het eenmaal is opgeslagen. Misschien dat het vroeger zo was dat je het wachtwoord gewoon kon zien maar nou niet meer.
Als de app WiFi rechten heeft dan zou het dus misschien kunnen dat het wachtwoord zonder zichtbaar te worden gebruikt wordt, maar ja, moet wel de database en beetje beveiligd zijn.

[Reactie gewijzigd door Soldaatje op 23 april 2019 18:12]

Johan9711
@Soldaatje23 april 2019 18:44
Kan wel degelijk bij Android. Wanneer je root rechten hebt kan je gewoon de keys uitlezen.
FuaZe
@Johan971123 april 2019 22:03
Het idee is dat "le random Playstore app" niet als root draait.
pindab0ter
@Soldaatje23 april 2019 19:06
Bij iOS is dit volgens mij op het apparaat zelf niet mogelijk. Maar als je je Keychain via iCloud synchroniseert kan je het via de Keychain-app op je Mac wel uitlezen.
batjes
@Soldaatje23 april 2019 18:21
Ik zie het inderdaad. Beter. Al jaren ook al geen WiFi wachtwoorden meer opgevraagd. In het verleden was het makkelijker om op een already connected apparaat te kijken i.p.v. op het modem oid.
bytemaster460
@Soldaatje23 april 2019 22:37
Lijkt me sterk want het is wettelijk verboden om zonder toestemming iemands netwerk te gebruiken. Een app zou dus nooit zomaar een verbinding met een particulier netwerk mogen leggen, enkel omdat de app het wachtwoord kent.
joco
23 april 2019 17:03
volgens mij is dit gewoon geen lek

het is by design...

Daar kun je over discussiëren of je dat zou willen of niet, maar een app waar iedereen gewoon hotspots kan vinden en de wachtwoorden daarvan is by default gewoon open...

Ik ken de app niet , maar als dat gewoon een feature was van deel je wifi met anderen en geef je wachtwoord daarvoor zodat anderen dat kunnen gebruiken die die app ook gebruiken.. Dan is die data by default open en toegankelijk...
friend
@joco23 april 2019 17:32
Bij de app staat als feature:
- stores Wi-Fi password and credentials
- save a hotspot
Lijkt mij dat onwetende gebruikers dit ook gebruikt kunnen hebben om eigen WiFi netwerken en die van kennissen hebben toegevoegd aan de database, zonder dat ze doorhadden dat dit publiek gemaakt zou worden. Als dit dus niet gebeurd is, dan zal je WiFi netwerk(wachtwoord) er dus ook niet bij zitten.

[Reactie gewijzigd door friend op 23 april 2019 17:33]

joco
@friend23 april 2019 17:35
precies staat ook duidelijk in de beschrijving van de app als je hier naar toe gaat:

https://play.google.com/s....proofusion.wifi&hl=en_US

"
Be social and share your Wi-Fi hotspots.
Add your Wi-Fi network and update.
"

dus dit is allemaal by design

tja dat het niet handig is en dat mensen wel even na moeten denken wat ze doen...
Misschien dat de app dat even goed duidelijk moet maken, maar puur kwa functionaliteit lekt er hier niks..
gebruikers hebben het zelf gegeven te gebruiken als publieke info..
RoestVrijStaal
@friend23 april 2019 21:51
Tja, die features zijn pas in het Engels te lezen als je op "Meer lezen" drukt.

Niet iedere tweaker gaat dat doen (helaas). Laat staan Jan met de Pet die even snel WiFi nodig heeft en op alles "OK" of "Agree" drukt.

Daarnaast oogt het allemaal heel onschuldig.

Als er nou stond dat het alle WiFi wachtwoorden op de telefoon worden deelt met onbekenden, werden meer (maar helaas niet alle) mensen aan het denken gezet.

[Reactie gewijzigd door RoestVrijStaal op 23 april 2019 21:54]

joco
@WordFjord23 april 2019 17:10
wat is de definitie van een openbare hotspot?

En heeft de app zonder dat de gebruiker daar van op de hoogte is gesteld gewoon het wachtwoord geuploaded? Want anders is dit gewoon een ding dat de gebruiker van de app echt zelf heeft gedaan.

Misschien is het wel zo dat de app zegt: wil je van jouw wifi een publieke hotspot maken? ja? geef je wachtwoord.

edit: kijk even in de beschijving van de app:

Be social and share your Wi-Fi hotspots.
Add your Wi-Fi network and update.

dus.... dat is expres

[Reactie gewijzigd door joco op 23 april 2019 17:11]

Floris5
@WordFjord23 april 2019 17:13
En hoe komen die wachtwoorden van thuisadressen in de database? Snappen gebruikers van de app niet dat de informatie openbaar is en gebruiken ze hem om het eigen wachtwoord te onthouden?
MadEgg
23 april 2019 17:12
Dit klinkt als die wifi-sharing-oplossing die Microsoft in Windows 10 had ingebakken en er volgens mij inmiddels weer uit heeft gehaald. Slecht idee. Ik zou dit geen lek willen noemen inderdaad - onafhankelijk van wat de maker ervan zegt. De (ab)use-case van deze app is duidelijk, inspelen op de gemakszucht van de mens zonder enige technische onderlegdheid en daardoor niet in staat om de keerzijde van de medaille te zien.
batjes
@MadEgg23 april 2019 18:18
Wifi Sense. Was toch een heel ander idee. Op zich een goed idee, op Windows 10 heb ik het nooit gebruikt. Maar op Windows Phone moest je toch actief je netwerk met mensen delen. Je kon zelf kiezen met wie (moest volgens mij) je welk(e) netwerk(en) deelt. Ik vond het wel handig, bij WP kon een ander ook niet bij je ww en was dit binnen het OS in je WiFi settings ook afgeschermd i.t.t. andere netwerken. Nu heb ik het enkel met mijn ouders geprobeerd en die keer werkte niet en moest alsnog hun WiFi netwerk wachtwoord invullen -.-. Anderen in mijn omgeving waar ik dat mee zou willen delen hadden geen WP.

Stuk beter IMO dan "Wat is je WiFi ww? Kijk maar op de router, waar is die? ja daar in de kast/hoekje/achter zut".

Heel wat anders dan dit zo publiekelijk. Een soort openbaar WiFi netwerk zoals je dat vroeger in b.v. Amsterdam had, geen idee meer hoe dat krakersnetwerk heette, 1 WW en overal WiFi.
MadEgg
@batjes23 april 2019 19:04
Het is onmogeljjk voor Wifi Sense om anderen toegang tot je wifi te geven zonder dat Microsoft toegang tot dat wachtwoord heeft. Ook als de gebruiker het niet te zien krijgt - het wachtwoord is noodzakelijk om verbinding te maken dus het zal hoe dan ook verzonden moeten worden.

Daarmee is het dus potentieel net zo openbaar als deze app.
juliank
23 april 2019 16:54
Maar... waarom zou je nog wifi willen die (traag of slecht kan zijn) providers hebben onbeperkt of zelfs in de EU al onbeperkt mbs of mbs op lage snelheid. change my mind

[Reactie gewijzigd door juliank op 23 april 2019 17:07]

Marco1994
@juliank23 april 2019 17:47
Omdat lang niet iedereen een unlimited abonnent heeft of kan betalen. En de abonnementen waar je onbeperkte data hebt op lage snelheid is prima voor een appje, maar internetten is daarmee kansloos.
bytemaster460
@juliank23 april 2019 17:47
Misschien omdat de EU slechts een klein deel van de wereld betreft? Of omdat heel veel mensen geen onbeperkt 4G hebben. De lage snelheid buiten de bundel is leuk om je Whatsappberichten binnen te halen. Niet om iets op te zoeken.
daanb14
23 april 2019 16:52
Als dit maar niet weer een MongoDB database was die openstond voor iedereen... |:(
Montaner
@daanb1423 april 2019 16:54
De database techniek maakt echt 0,0 uit in dit soort berichtgeving. Je veiligheid op applicatie, infra en netwerk niveau op orde hebben staat er helemaal los van.
Anoniem: 310408
@Montaner23 april 2019 17:06
Maar dit was een applicatie die tot doel had the publieke netwerken met passwords te verspreiden om het makkelijk te maken connectie te krijgen. Dit is geen lek maar het doel van de applicatie. De veiligheid was in dat opzicht gewoon passend. publieke netwerken en publieke paswoorden behoeven geen beveliging.

Om een voorbeeld te geven, de wifi namen en passwords van de netwerken van sommige Zweedse stations stonden erin. Die zelfde informatie staat op bordjes in die stations.
daanb14
@Montaner23 april 2019 16:56
MongoDB heeft een tijd als default settings een open databaseverbinding bereikbaar voor iedereen gehad. Veel bedrijven zijn er de mist mee ingegaan om dat niet aan te passen.
Fluttershy
@daanb1423 april 2019 17:48
Slordig van MongoDB maar niet hun fout. Als ik mijzelf in mijn Peugeot met 200kmu om een boom heen krul, is dat toch ook niet de schuld van Peugeot?
daanb14
@Fluttershy23 april 2019 17:50
Ik zeg ook zeker niet dat het hun fout is. Iemand die een database start voor operaties op deze schaal hoort dat te weten. Er is simpelweg geen excuus voor om het niet te doen, want er staat gewoon in de documentatie welke instellingen er op dat gebied zijn.
RoestVrijStaal
@daanb1423 april 2019 22:06
Ik zeg ook zeker niet dat het hun fout is. Iemand die een database start voor operaties op deze schaal hoort dat te weten. Er is simpelweg geen excuus voor om het niet te doen, want er staat gewoon in de documentatie welke instellingen er op dat gebied zijn.
Documentatie is vaak verouderd, incompleet of anders wel een te dikke pil wat het lezen niet waard is omdat bij de volgende versie de inhoud weer veranderd is.
Knippr
@Fluttershy23 april 2019 20:33
Wel als de auto bij een klein beetje gas met 200km/h onverwacht wegschiet.

MongoDB was insecure by default. Defaults zijn extreem belangrijk.
FuaZe
@Fluttershy23 april 2019 22:07
Totdat "standaard" je rem niet eens aangesloten is.

En men er vanuit gaat dat je die zelf wel even aansluit?
RoestVrijStaal
@Montaner23 april 2019 22:01
De database techniek maakt echt 0,0 uit in dit soort berichtgeving.
Oh jawel.
Zeker als de standaardconfiguratie van het databasepakket toelaat om naar iedere netwerkinterface te luisteren en vanuit daar logins toe te laten ipv enkel localhost of andere lokale loopback.

Niet dat de mogelijkheid niet mag bestaan, maar een database die mag luisteren naar netwerkinterfaces waaruit verkeer van de hele wereld kan komen is eerder een edge-case dan iets standaards.

[Reactie gewijzigd door RoestVrijStaal op 23 april 2019 22:23]

millman
23 april 2019 16:57
Wat een geknei weer, ik wordt niet goed van al die eindeloze lekken, van cpu tot netwerk, overal zo lek Als een mandje. Als men dan ook met dit soort stommiteiten komt aanzetten.. kan je nog zo secure zijn als maar kan, heb je toch een lek.. En hoelang al is de vraag? Pas ontdekt is helaas niet 'pas ontstaan'..

M'n pc voelt al als een kluis, met overal expliciet toestemming voor geven, een aardige AV, moeilijke inlog wachtwoorden (hele zinnen). Nog even en ik zet de netwerk adapter helemaal uit tot ik iets ga googlen.. zucht...

Ja, paranoia.. nu 2x gehackt via een VNC achtige oplossing.. ik weet t niet meer, en dan ben ik toch een redelijk ervaren pc gebruiker..
Hendry Scholing
23 april 2019 17:51
Wel of geen lek is wat mij betreft helder. De database sloeg informatie plain tekst op en bleek toegankelijk. Dit is wat mij betreft een duidelijk geval van ongeoorloofde toegang tot de opgeslagen data en valt iig onder mijn persoonlijke invulling van het begrip lek. 😊

Punt van discussie blijft uiteraard wel op welke wijze de daadwerkelijke data werd vergaard en daarmee in de database werd opgeslagen. Willens en wetens is het de gebruiker, veelal niet geremd door enige technische kennis, welke deze data heeft verstrekt. Dus inderdaad by design conform toepassing vergaard en in de database gezet. Dit is niet het lek, maar wel de database aan de achterkant waarbij dus ook data inzichtelijk is wat voor velen onwenselijk is gezien het feit je deze data nu ook voor andere doeleinden kunt gebruiken.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee