Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hotspot-zoekapp laat meer dan 2 miljoen netwerknamen en -wachtwoorden uitlekken

Een app om wifinetwerken in een omgeving te kunnen vinden heeft meer dan twee miljoen wifiwachtwoorden gelekt. De wachtwoorden stonden in plaintext in een database, die openbaar te benaderen was.

Het lek werd ontdekt door een beveiligingsonderzoeker van de GDI Foundation. Die speelde het door aan TechCrunch toen zij geen reactie ontvingen. De database was volgens de site niet beveiligd waardoor iedereen met toegang de gegevens kon downloaden. De database is inmiddels offline. Techcrunch nam contact op met de hostingpartij omdat de appmaker zelf niet reageerde.

Het lek is afkomstig van een app genaamd WiFi Finder, die meer dan honderdduizend keer is gedownload uit de Play Store. De app is daar nog steeds te vinden. Met de app kunnen gebruikers wifinetwerken in hun omgeving scannen. Ook kunnen gebruikers zelf namen en wachtwoorden van netwerken uploaden naar de app zodat anderen de netwerken kunnen gebruiken. Volgens de maker worden in de app alleen wachtwoorden van openbare hotspots weergegeven, maar in de database zaten ook honderdduizenden wachtwoorden van thuisadressen.

Naast ssid's en wachtwoorden zijn ook de locaties van de netwerken uitgelekt. Daarmee konden gebruikers op een kaart zien waar de hotspots zich bevonden. De applicatie is afkomstig van een Chinese ontwikkelaar. Het is niet bekend of er ook Nederlandse netwerknamen of -wachtwoorden in de database stonden.

Door Tijs Hofmans

Redacteur

23-04-2019 • 16:41

39 Linkedin Google+

Submitter: Hendry Scholing

Reacties (39)

Wijzig sortering
In dit artikel lijkt het er op dat de Nederlandse GDI Foundation, de informatie direct doorspeelde Techcrunch.
Echter in het artikel op Techcrunch staat dat GDI Foundation, al ruim 2 weken geprobeerd heeft contact te krijgen met de ontwikkelaar.
We spent more than two weeks trying to contact the developer, believed to be based in China, to no avail. Eventually we contacted the host, DigitalOcean, which took down the database within a day of reaching out.
Overigens doet GDI Foundation zeer goed werk, om Internet wat veiliger te maken voor ons allemaal. Mijn dank er voor.
Ja dat is waar, GDI verdient wat meer credit dan dat. Pas ik ff aan!
Global Defense Initiative :+ "We suck the internet dry"
Was dit niet juist de bedoeling van deze app; Wifi(hotspot) netwerken die voor iedereen toegankelijk zijn? Uiteraard in een makkelijker formaat binnen te halen, maar een security breach- of lek- lijkt mij dit niet.

De wachtwoorden van privé netwerken zijn blijkbaar toch al compromised, anders zet niemand ze op een platform voor gratis wifi-hotspots.
Misschien kan de app inloggen op de netwerken zonder dat de gebruiker het hoeft te typen, dan hoeven ze niet publiek beschikbaar te komen.
Je kunt met een vinkje uitzetten op zo'n beetje elk apparaat je WiFi wachtwoord gewoon zien. Veiligheid = nul.

Oke niet helemaal dus, veiligheid is iets meer dan nul.

[Reactie gewijzigd door batjes op 23 april 2019 18:22]

Hmm, dat ligt dan wel aan het apparaat, op mijn telefoon kan ik het niet meer tevoorschijn krijgen als het eenmaal is opgeslagen. Misschien dat het vroeger zo was dat je het wachtwoord gewoon kon zien maar nou niet meer.
Als de app WiFi rechten heeft dan zou het dus misschien kunnen dat het wachtwoord zonder zichtbaar te worden gebruikt wordt, maar ja, moet wel de database en beetje beveiligd zijn.

[Reactie gewijzigd door Soldaatje op 23 april 2019 18:12]

Kan wel degelijk bij Android. Wanneer je root rechten hebt kan je gewoon de keys uitlezen.
Het idee is dat "le random Playstore app" niet als root draait.
Bij iOS is dit volgens mij op het apparaat zelf niet mogelijk. Maar als je je Keychain via iCloud synchroniseert kan je het via de Keychain-app op je Mac wel uitlezen.
Ik zie het inderdaad. Beter. Al jaren ook al geen WiFi wachtwoorden meer opgevraagd. In het verleden was het makkelijker om op een already connected apparaat te kijken i.p.v. op het modem oid.
Lijkt me sterk want het is wettelijk verboden om zonder toestemming iemands netwerk te gebruiken. Een app zou dus nooit zomaar een verbinding met een particulier netwerk mogen leggen, enkel omdat de app het wachtwoord kent.
volgens mij is dit gewoon geen lek

het is by design...

Daar kun je over discussiëren of je dat zou willen of niet, maar een app waar iedereen gewoon hotspots kan vinden en de wachtwoorden daarvan is by default gewoon open...

Ik ken de app niet , maar als dat gewoon een feature was van deel je wifi met anderen en geef je wachtwoord daarvoor zodat anderen dat kunnen gebruiken die die app ook gebruiken.. Dan is die data by default open en toegankelijk...
Bij de app staat als feature:
- stores Wi-Fi password and credentials
- save a hotspot
Lijkt mij dat onwetende gebruikers dit ook gebruikt kunnen hebben om eigen WiFi netwerken en die van kennissen hebben toegevoegd aan de database, zonder dat ze doorhadden dat dit publiek gemaakt zou worden. Als dit dus niet gebeurd is, dan zal je WiFi netwerk(wachtwoord) er dus ook niet bij zitten.

[Reactie gewijzigd door friend op 23 april 2019 17:33]

precies staat ook duidelijk in de beschrijving van de app als je hier naar toe gaat:

https://play.google.com/s....proofusion.wifi&hl=en_US

"
Be social and share your Wi-Fi hotspots.
Add your Wi-Fi network and update.
"

dus dit is allemaal by design

tja dat het niet handig is en dat mensen wel even na moeten denken wat ze doen...
Misschien dat de app dat even goed duidelijk moet maken, maar puur kwa functionaliteit lekt er hier niks..
gebruikers hebben het zelf gegeven te gebruiken als publieke info..
Tja, die features zijn pas in het Engels te lezen als je op "Meer lezen" drukt.

Niet iedere tweaker gaat dat doen (helaas). Laat staan Jan met de Pet die even snel WiFi nodig heeft en op alles "OK" of "Agree" drukt.

Daarnaast oogt het allemaal heel onschuldig.

Als er nou stond dat het alle WiFi wachtwoorden op de telefoon worden deelt met onbekenden, werden meer (maar helaas niet alle) mensen aan het denken gezet.

[Reactie gewijzigd door RoestVrijStaal op 23 april 2019 21:54]

wat is de definitie van een openbare hotspot?

En heeft de app zonder dat de gebruiker daar van op de hoogte is gesteld gewoon het wachtwoord geuploaded? Want anders is dit gewoon een ding dat de gebruiker van de app echt zelf heeft gedaan.

Misschien is het wel zo dat de app zegt: wil je van jouw wifi een publieke hotspot maken? ja? geef je wachtwoord.

edit: kijk even in de beschijving van de app:

Be social and share your Wi-Fi hotspots.
Add your Wi-Fi network and update.

dus.... dat is expres

[Reactie gewijzigd door joco op 23 april 2019 17:11]

En hoe komen die wachtwoorden van thuisadressen in de database? Snappen gebruikers van de app niet dat de informatie openbaar is en gebruiken ze hem om het eigen wachtwoord te onthouden?
Dit klinkt als die wifi-sharing-oplossing die Microsoft in Windows 10 had ingebakken en er volgens mij inmiddels weer uit heeft gehaald. Slecht idee. Ik zou dit geen lek willen noemen inderdaad - onafhankelijk van wat de maker ervan zegt. De (ab)use-case van deze app is duidelijk, inspelen op de gemakszucht van de mens zonder enige technische onderlegdheid en daardoor niet in staat om de keerzijde van de medaille te zien.
Wifi Sense. Was toch een heel ander idee. Op zich een goed idee, op Windows 10 heb ik het nooit gebruikt. Maar op Windows Phone moest je toch actief je netwerk met mensen delen. Je kon zelf kiezen met wie (moest volgens mij) je welk(e) netwerk(en) deelt. Ik vond het wel handig, bij WP kon een ander ook niet bij je ww en was dit binnen het OS in je WiFi settings ook afgeschermd i.t.t. andere netwerken. Nu heb ik het enkel met mijn ouders geprobeerd en die keer werkte niet en moest alsnog hun WiFi netwerk wachtwoord invullen -.-. Anderen in mijn omgeving waar ik dat mee zou willen delen hadden geen WP.

Stuk beter IMO dan "Wat is je WiFi ww? Kijk maar op de router, waar is die? ja daar in de kast/hoekje/achter zut".

Heel wat anders dan dit zo publiekelijk. Een soort openbaar WiFi netwerk zoals je dat vroeger in b.v. Amsterdam had, geen idee meer hoe dat krakersnetwerk heette, 1 WW en overal WiFi.
Het is onmogeljjk voor Wifi Sense om anderen toegang tot je wifi te geven zonder dat Microsoft toegang tot dat wachtwoord heeft. Ook als de gebruiker het niet te zien krijgt - het wachtwoord is noodzakelijk om verbinding te maken dus het zal hoe dan ook verzonden moeten worden.

Daarmee is het dus potentieel net zo openbaar als deze app.
Maar... waarom zou je nog wifi willen die (traag of slecht kan zijn) providers hebben onbeperkt of zelfs in de EU al onbeperkt mbs of mbs op lage snelheid. change my mind

[Reactie gewijzigd door juliank op 23 april 2019 17:07]

Omdat lang niet iedereen een unlimited abonnent heeft of kan betalen. En de abonnementen waar je onbeperkte data hebt op lage snelheid is prima voor een appje, maar internetten is daarmee kansloos.
Misschien omdat de EU slechts een klein deel van de wereld betreft? Of omdat heel veel mensen geen onbeperkt 4G hebben. De lage snelheid buiten de bundel is leuk om je Whatsappberichten binnen te halen. Niet om iets op te zoeken.
Als dit maar niet weer een MongoDB database was die openstond voor iedereen... |:(
De database techniek maakt echt 0,0 uit in dit soort berichtgeving. Je veiligheid op applicatie, infra en netwerk niveau op orde hebben staat er helemaal los van.
Maar dit was een applicatie die tot doel had the publieke netwerken met passwords te verspreiden om het makkelijk te maken connectie te krijgen. Dit is geen lek maar het doel van de applicatie. De veiligheid was in dat opzicht gewoon passend. publieke netwerken en publieke paswoorden behoeven geen beveliging.

Om een voorbeeld te geven, de wifi namen en passwords van de netwerken van sommige Zweedse stations stonden erin. Die zelfde informatie staat op bordjes in die stations.
MongoDB heeft een tijd als default settings een open databaseverbinding bereikbaar voor iedereen gehad. Veel bedrijven zijn er de mist mee ingegaan om dat niet aan te passen.
Slordig van MongoDB maar niet hun fout. Als ik mijzelf in mijn Peugeot met 200kmu om een boom heen krul, is dat toch ook niet de schuld van Peugeot?
Ik zeg ook zeker niet dat het hun fout is. Iemand die een database start voor operaties op deze schaal hoort dat te weten. Er is simpelweg geen excuus voor om het niet te doen, want er staat gewoon in de documentatie welke instellingen er op dat gebied zijn.
Ik zeg ook zeker niet dat het hun fout is. Iemand die een database start voor operaties op deze schaal hoort dat te weten. Er is simpelweg geen excuus voor om het niet te doen, want er staat gewoon in de documentatie welke instellingen er op dat gebied zijn.
Documentatie is vaak verouderd, incompleet of anders wel een te dikke pil wat het lezen niet waard is omdat bij de volgende versie de inhoud weer veranderd is.
Wel als de auto bij een klein beetje gas met 200km/h onverwacht wegschiet.

MongoDB was insecure by default. Defaults zijn extreem belangrijk.
Totdat "standaard" je rem niet eens aangesloten is.

En men er vanuit gaat dat je die zelf wel even aansluit?
De database techniek maakt echt 0,0 uit in dit soort berichtgeving.
Oh jawel.
Zeker als de standaardconfiguratie van het databasepakket toelaat om naar iedere netwerkinterface te luisteren en vanuit daar logins toe te laten ipv enkel localhost of andere lokale loopback.

Niet dat de mogelijkheid niet mag bestaan, maar een database die mag luisteren naar netwerkinterfaces waaruit verkeer van de hele wereld kan komen is eerder een edge-case dan iets standaards.

[Reactie gewijzigd door RoestVrijStaal op 23 april 2019 22:23]

Wat een geknei weer, ik wordt niet goed van al die eindeloze lekken, van cpu tot netwerk, overal zo lek Als een mandje. Als men dan ook met dit soort stommiteiten komt aanzetten.. kan je nog zo secure zijn als maar kan, heb je toch een lek.. En hoelang al is de vraag? Pas ontdekt is helaas niet 'pas ontstaan'..

M'n pc voelt al als een kluis, met overal expliciet toestemming voor geven, een aardige AV, moeilijke inlog wachtwoorden (hele zinnen). Nog even en ik zet de netwerk adapter helemaal uit tot ik iets ga googlen.. zucht...

Ja, paranoia.. nu 2x gehackt via een VNC achtige oplossing.. ik weet t niet meer, en dan ben ik toch een redelijk ervaren pc gebruiker..
Wel of geen lek is wat mij betreft helder. De database sloeg informatie plain tekst op en bleek toegankelijk. Dit is wat mij betreft een duidelijk geval van ongeoorloofde toegang tot de opgeslagen data en valt iig onder mijn persoonlijke invulling van het begrip lek. 😊

Punt van discussie blijft uiteraard wel op welke wijze de daadwerkelijke data werd vergaard en daarmee in de database werd opgeslagen. Willens en wetens is het de gebruiker, veelal niet geremd door enige technische kennis, welke deze data heeft verstrekt. Dus inderdaad by design conform toepassing vergaard en in de database gezet. Dit is niet het lek, maar wel de database aan de achterkant waarbij dus ook data inzichtelijk is wat voor velen onwenselijk is gezien het feit je deze data nu ook voor andere doeleinden kunt gebruiken.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Google

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True