Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Bron: Wired News, submitter: gomaster

Google is het nieuwste instrument geworden van hackers die op zoek zijn naar bedrijfsgevoelige informatie in databases. Online databases gebruiken namelijk vaak templates om de data te presenteren op het web. Hackers zoeken op standaard teksten als 'Select a database to view' om directe toegang te krijgen tot deze templates, waarin vaak gevoelige informatie vrij toegankelijk is. Zo hebben hackers al toegang verkregen tot een database waarin de telefoonnummers, adressen, gebruikersnamen en wachtwoorden stonden geregistreerd van enkele honderden leraren die bij Apple Computer werkzaam zijn. De database zelf was niet beschermd door enige vorm van beveiliging.

Def Con hacker conventie illustratieIn een andere database van Drexel University College of Medicine werd toegang verkregen tot de namen, adressen en medische geschiedenis van patiënten. Beide databases zijn inmiddels offline gehaald. Deze databases werden online gezet met behulp van FileMaker Pro Web Companion, een module van de FileMaker Pro-applicatie, welke met name op beginnende gebruikers is gericht. Volgens FileMaker ligt het probleem bij gebruikers die hun database onvoldoende beveiligen en doet het bedrijf er alles aan om gebruikers hierin op te voeden:

"Even if (the vulnerability) hadn't been exposed through Google, it would have been exposed eventually."

A Google spokesman said the company was aware of the situation, and that it provides tools that let webmasters remove inadvertently published information from Google's index within about 24 hours. Tools that allow for even speedier removal are in the works.

Removing links after the fact, though, isn't a very elegant solution, Lamo said.

"When your medical records are indexed in Google, something's wrong."

Lees meer over

Gerelateerde content

Alle gerelateerde content (35)
Moderatie-faq Wijzig weergave

Reacties (35)

Oud nieuws eigenlijk ;) Deze trucjes zijn al tijden bekend.

"Welcome to phpMyAdmin" is ook een goede.
Doe dan dit:
"Welcome to phpMyAdmin" +"root@localhost"
Gewoon verbazingwekkend hoeveel phpMyAdmin's er dan open staan waarmee je een hele SQL server plat kan leggen (men delete de database 'mysql').

Gelukkig heb ik m'n phpMyAdmin beveiligd met een ip-check :)
net als allinurl: /etc/shadow en allinurl: /etc/passwd
Ik vind het wel mee vallen. Als er wat open staat is het weinig boeiends.
Dit bericht is reeds stokoud. De CCC wist dit al in
2000-09-27...

http://koeln.ccc.de/updates/old/2000-09-27_schabernackind.xml

Schabernack in Datennetzen: Konfigurationsinterfaces.
Es gibt tatsächlich Leute, die benutzen das Web als Administrationsinterface. Und es gibt sogar Leute, die auch anderen den Spaß beim Administrieren gönnen. Kurzum: Wenn man in die Suchmaschine einer Wahl eine Phrase aus dem Admintool seiner Wahl, z.B. Welcome to phpMyAdmin eingibt, kommt man mit ein bisschen Suchen zu sehr viel Vergnügen für sich und andere.
BTW: fremde Daten löschen ist für niemanden vergnüglich.
Ach ja .. people will never learn.
Owja hoor, mensen leren zeker wel. Alleen niet van elkaar :(

Ook kan de fabrikant een steentje bijdragen aan de veiligheid van de product. Door bijvoorbeeld bij de installatie er voor te zorgen dat de hele DB (of wat dan ook) compleet dichtgetimmerd is. (bijvoorbeeld alleen toegang door lokaal in te loggen op de machine) en dat de gebruiker alles handmatig alle poortjes e.d. moet openzetten voordat er iets van buiten benaderbaar is.

Veiligheid en beveiliging is een zaak van beide kanten, zowel developers als users. Je kan nooit de schuld geheel naar 1 kant schuiven
mag ik je aanraden om in het goeie newsbericht te posten :D

ontopic

best een lastig iets voor google. maar echt veel kunnnen ze er denk ik niet aan doen.
het ligt gewoon aan de databases van de verschillende bedrijven.
google heeft gewoon een prima crawler die hele websites doorspit. Als iets dus niet beveiligd is wordt het door google als openbaar weergegeven.

Beetje dom dus van die web designers
Helemaal mee eens, Google heeft hier weinig mee uit te staan natuurlijk. Trouwens, de topictitel: "Hackers gebruiken Google om in databases te komen" moet ik wel om lachen... Google wordt wel voor meer dingen gebruikt die in de ogen van een weldenkend mens niet altijd etisch verantwoord zijn te noemen. :9 :+

Overigens vind ik dat ook FileMaker hier niet aansprakelijk voor kan zijn. Als ik (Webdeveloper) een deur (FileMaker) in mijn huis bouw, maar ik zet daar geen sloten op, dan kan ik niet de maker van de deur aanspreken als er via die deur zomaar iemand mijn huis binnenkomt. ;)
Ik ken het verschijnsel. Een database word in de web-folder of in een niet (goed) afgeschermde script-folder geplaatst. (security by obscurity)
Nix nieuws eigenlijk. Met wat denkwerk of een mirror-tool kan je van een brakke site de gegevens rippen.
The news is out :)

en zo zie je maar weer, Google is niet alleen die bekende search engine, maar een van de machtigste tools die internet ooit heeft mogen aanschouwen...
Je ziet nu dat Google zich zelf aan banden moet gaan leggen, hoe vaak is dat voorgekomen? dat niet doorontwikkelen de logiesche volgende stap was maar inperken :)
Hier nog een interessante site over caching and privacy issues van Google: http://www.google-watch.org/bigbro.html
"Welcome to phpMyAdmin" is inderdaad zoals RobbertC zegt ook een goeie. Maar zou die echt zovaak op google voorkomen dan? Zoekt google eigenlijk een compleet adres af naar alles of kun je gewoon 1 url in de google-database zetten ?
Want dan zou alleen www.bedrijfx.nl erin komen en niet x.x.x.x/bedrijfswebsite/extramodstuff/phpmyadmin/start.html

Maja.... toch maar eens gaan googlen zie ik wel weer ;o)
Da's inderdaad een goeie.. ongeveer 8,270 resultaten...
"google is your friend"
zoals ze op GoT zeggen :+
Het gebeurt ook vaak genoeg dat ik een 403 krijg op een site (niet omdat ik gebanned ben hoor ;) ), dan tik ik die site in bij google en wég 403 :)
Was www.riaa.org ook al niet zo gehackt destijds?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True