Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Bron: BN de Stem

Op de site van BN de Stem lezen we dat Vuurwerk Internet pas na een aantal weken een groot beveiligingslek heeft gedicht. Het lek zorgde ervoor dat klanten van de hosting-provider iedere site die door het bedrijf werd gehost konden aanpassen. De fout kwam pas aan het licht toen een tweetal Haagse studenten op de site van TMF de uitslag van de dagtop5 grondig hadden aangepast door de niet meer bestaande band 'Out Of Our Heads' een aantal keer op 1 te zetten. De studenten hebben overigens netjes een e-mailtje aan TMF gestuurd, waarin het lek werd beschreven. Vervolgens heeft Vuurwerk Internet in allerijl de beveiliging van haar gehoste sites aangepast:

Zo hebben twee studenten uit Den Haag de site van muziekzender TMF gekraakt. Het duo zette het inmiddels niet meer bestaande bandje 'Out of our Heads' een enkele keren op nummer 1 in de populaire rubriek 'Dag Top 5' gezet. De Dag Top 5 is een dagelijks programma van de muziekzender waarin de populairste videoclips van die dag worden getoond. ,,Naderhand had een van hen netjes een e-mail gestuurd om zijn excuses aan te bieden en het gat in de beveiliging aan te tonen'', aldus een woordvoerster van TMF.

Bij het internetbedrijf, de grootste hosting provider van Nederland, zitten pagina's van onder meer TMF, Radio 538, Radio Noordzee en Freebees (spaarkaarten van onder meer de Bijenkorf en benzinestation BP).

Dank voor de submit, Pandaros.

Moderatie-faq Wijzig weergave

Reacties (44)

Ik heb nog een leuk screenshot van phpMyAdmin. Je kon (tot voor kort) alle databases van alle klanten zien. screenshot
auch... da's wel een _hele_ lullige, vooral omdat de docs van phpMyAdmin zelf omschrijven hoe je dat kan voorkomen met de juiste entries in mysql.user en mysql.db

alleen root mag in staat zijn alles te zien :D
Ik kan me nog herinneren dat ik ooit ontdekte dat je www.service.vuurwerk.nl grof kon misbruiken. Met deze webpagina kon je wachtwoorden van accounts aanpassen. Door de post-variabelen van dit formulier te faken en vervangen door get-variabelen in een url-aanroep kon ik ieder willekeurig wachtwoord van ieder willekeurig account veranderen. Na melding bij EN de helpdesk EN onze 'grote klanten' manager is er wekenlang heeeeeelemaal niks gebeurt. Pas toen we via IRC een bevriende systeembeheerder hierover spraken heeft die het gat gedicht...

Wij hebben onderhand zoveel problemen met vuurwerk gehad dat we met alle accounts opgestap zijn en onze doos ergens anders in een rack hebben gehangen.
Sinds Versatel Vuurwerk heeft overgenomen is langzaam een beetje de echte internetspirit er uit gegaan bij Vuurwerk, ze lijken minder scherp.
Heel jammer, want ze waren altijd top.
Kan aan mij liggen maar was Vuurwerk niet altijd al van Versatel? In ieder geval al enkele jaren.
Ik heb het even opgezocht:
Vuurwerk is in mei 1999 overgenomen door Versatel.
Vuurwerk is opgericht in januari 1996.

Overigens noemen ze de bundeling van krachten met Versatel een als een verdere optimalisatie van de producten en dat de betrouwbaarheid werd verhoogt.
Laten we hopen dat ze met dit laatste de netwerk betrouwbaarheid bedoelen.

zie:www.vuurwerk.nl/geschiedenis.jsp
iemand technische details over deze lek?

en nee dat is niet om het nog es te proberen, gewoon interesse over wat voor beveiligingslekken er zoal voorkomen ...
wat er al staat:

Het lek zorgde ervoor dat klanten van de hosting-provider iedere site die door het bedrijf werd gehost konden aanpassen


je kon gewoon in 5 van de 10 www directories van alle users...
(was na de verbouwing, toen ze alles gingen hosten op 1 groot harddisk-complex-ding en niet meer op de individuele servers)
dat had ik ook gelezen maar ik ben niet echt into dit soort zaken dus vandaar mijn vraag naar meer technische details...
Alle cgi scripts draaiden onder hetzelfd user id. Daardoor konden gebruikers elkaars cgi scripts bekijken en wachtwoorden eruit halen.
Zelfs de administratie scripts van vuurwerk konden zo bekeken worden en daaruit was zelfs het root wachtwoord van de mysql dbase te halen }>
Maar goed, dit was 2 jaar terug zo en ik hoop dus dat dit een ander lek is, anders ist wel heel erg fout :)
Hmm.. dat is een vaker voorkomende fout.. Die heb ik begin dit jaar bij m'n eigen ISP mogen dichten, maar wat vaker over het hoofd wordt gezien is dat PHP niet goed dichtgetimmerd wordt, aangezien de docs daar nou niet echt duidelijk over zijn.

Het enige alternatief dat je dan hebt, is de scripts allemaal, stuk voor stuk te controleren en hopen dat er geen bugs in zitten... :-(
Heel simpel.. TMF geeft alle files lees rechten voor de hele wereld en dus ook de PHP scrippies die de wachtwoorden bevatten van hun database..
De meeste gebruikers weten blijkbaar niet hoe ze de rechten moeten aanpassen. Ik heb daar ook een tijdje lopen spelen toen een website daar gehost werd. Je krijgt een shell account en daarna kun je overal heen. En ja dus ook naar andere gebruikers. Ik merkte dat snel genoeg en heb mijn eigen directory dicht gezet voor anderen. Maar je moet het wel even weten...
En je dacht toen niet bij jezelf 'laat ik ff Vuurwerk waarschuwen voor dit lek in de beveiliging'? Beetje vreemde reactie zou ik zeggen.
:?
Vuurwerk was al zo duur, dan mag je er toch wel wat van verwachten en niet dat je site zomaar ff aangepast kan worden. Dat doet mijn webhosters voor EUR 45 per jaar nog beter...

Slechte zaak van vuurwerk :r
dan mag je er toch wel wat van verwachten en niet dat je site zomaar ff aangepast kan worden
Voor zover vandaag in de media is er dus behalve TMF niks aangepast. Die TMF scripts waren eigen browsels die bepaald niet bekend stonden om hun veiligheid (TMF is vaker gehacked door fouten in eigen scripts enzo).

Beetje makkelijk om te zeggen dat het allemaal een grote ellende qua security is (of het te suggereren) op basis van dit bericht. Laat iemand openbaar maken wat er zo lek was (het is tenslotte gefixed, zo beweerd Rik Lelieveld). Dan kunnen we zelf ons oordeel vellen :)
Toch is het een beetje een zwakke zaak van Vuurwerk, je zou toch mogen verwachten dat je Hoster, zeker bij belangrijke sites, een oogje in het zeil houd.
Want nu ligt de naam van Vuurwerk te grabbel, terwijl het een fout kan zijn geweest van een TMF-er.

* 786562 TheGhostInc
T.net zat toch eerst ook bij vuurwerk??
T.net heeft dedicated servers, daar kwam Vuurwerk toen (en komt TrueServer nu) niet aan. Alle (beveiligs)fouten aan de servers van T.net zijn dus "eigen schuld" :+
Co-located servers! ;-) bij dedicated servers komen ze er meestal juist wel aan ;)
klopt, nu trueserver
Ja, t.net zat eerst bij vuurwerk, nu bij trueserver

Toch vraag ik me af wat voor lek dat geweest was..

/edit: roelio was eerder ;)
[flame]\[off-topic]

Toont maar weer aan dat met incompetent beheer het niet uitmaakt of je Linux of Windows of wat dan ook gebruikt...

\[/off-topic][/flame]
flame? valt wel mee toch :)
deze fout is al veel langer bij hun bekend,
waar ik ze ook al (inmiddels maanden geleden) over had ingeligd,
kreeg ik een mailtje dat dat onmogelijk was,
(van beheer, wilco)

na langer aandringen hebben ze toen toegegeven dat het mogelijk was, maar alleen door een fout van de gebruikers..

nou niet dus :)
Ik heb plusminus 5 sites bij ze gehost, maar denk dat dit wel de druppel is, ooit was vuurwerk mijn keuze omdat ze garant stonden voor met name hun snelheid en goede mail.

Echter laatste jaar is er niks als ellende, zo kon ik verleden jaar door een technische fout bij vuurwerk 3 dagen mijn zakelijke mail niet ophalen.

Voor deze crappy service kan ik ook wel me website voor een 5e van hun kosten ergens laten hosten. Denk dat ik dat binnenkort ook maar es ga doen.
Waarom is dit soort nieuws altijd al veel eerder op Fok te lezen? Ik ga er toch wel van uit dat het enigszins technische nieuws sneller op tweakers dan op Fok staat. Maar wederom blijkt dat dit niet zo is, jammer.
offtopic:
Ik denk dat het verwerken van nieuwsberichten op tweakers meer tijd kost (kwalitatief betere berichten). No offence to Fok, ben via daar hier gekomen.


Maarre, wisten ze al twee weken dat dat lek er was, of is dat lek pas na twee weken gemeld?
Waarom is dit soort nieuws altijd al veel eerder op Fok te lezen? Ik ga er toch wel van uit dat het enigszins technische nieuws sneller op tweakers dan op Fok staat. Maar wederom blijkt dat dit niet zo is, jammer.
Geen enkele nieuwsposter kan op tegen de snelheid van copy/paste. Op Tweakers.net proberen we zoveel mogelijk eigen content te schrijven en dat kost nu eenmaal meer tijd. Het jatten van content is bovendien illegaal en immoreel.
Op FOK! wordt inmiddels zo'n 80% van alle berichten herschreven. Zo ook dit bericht :)
tsja misschien heeft FOK! een sneller nieuwsteam :) je kunt ook niet alles als eerste weten ;)

maar goed, het valt wel op ja, met meerdere berichten al deze week :) maar goed, wat maakt het uit waar het staat, ut gaat erom dat je het ergens kunt lezen als je wilt :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True