Accountgegevens eBay op straat dankzij 'vergeten' interface

Een hacker is erin geslaagd binnen te dringen in de systemen van eBay en daar klantgegevens te bemachtigen. Voor zijn hack maakte hij gebruik van een langvergeten, ongebruikt stukje beheerssoftware van de veilingsite.

eBay logoDe hacker, die zichzelf Vladuz noemt, wordt ervan verdacht ook verantwoordelijk te zijn voor het publiceren van accountgegevens op het eBay-forum vorige maand. In tegenstelling tot de hack waarbij die gegevens bemachtigd werden, is dit keer echter geen gebruik gemaakt van phishing, maar van veiligheidslekken in oude eBay-software.

Een vertegenwoordiger van het eBay Trust and Safety-team haastte zich om mee te delen dat er maatregelen genomen zouden worden om te voorkomen dat een dergelijk voorval zich zou kunnen herhalen. 'De hacker ontdekte een zeer oude beheersfunctie die we een paar jaar geleden, toen we de interne veiligheid van onze software verbeterden, hadden moeten uitschakelen', aldus de zegsman. Daarbij benadrukte hij ook dat de betreffende code onmiddellijk offline gehaald is en dat er momenteel een audit bezig is om obsolete code te identificeren en onder handen te nemen.

Door Yoeri Lauwers

Eindredacteur

Feedback • 10-10-2007 09:56
41 • submitter: player-x

10-10-2007 • 09:56

41 Linkedin

Submitter: player-x

Lees meer

Hackers stelen gegevens van Autoweek-forumbezoekers Nieuws van 14 augustus 2009
Ebay gooit Skype mogelijk in de verkoop Nieuws van 19 april 2008
Yahoo en eBay trekken ten strijde tegen phishing Nieuws van 4 oktober 2007
'Hackertoolkits worden steeds goedkoper' Nieuws van 12 februari 2007
Internet Explorer 7 heeft beste phishingdetectie Nieuws van 29 september 2006
Thunderbird gaat strijd aan met phishing sites Nieuws van 26 januari 2005
Meer producten en artikelen
E-commerce Netwerk en systeembeheer Bugs Ebay Hackers

Reacties (41)

-Moderatie-faq
41
40
9
3
0
5
Wijzig sortering
Dannydekr
10 oktober 2007 10:02
Ze moeten juist blij zijn dat hij dit bekend maakt, er zijn genoeg andere dingen die je met zulke informatie kan doen. Ik zeg altijd maar zo; de echte goede hacker, is een hacker waar we niets vanaf weten.
Little Penguin
@Dannydekr10 oktober 2007 10:20
de echte goede hacker, is een hacker waar we niets vanaf weten.
Ik denk dat je het volgende bedoelt:
de echte goede cracker, is een cracker waar we niets vanaf weten.

Een slimme cracker is iemand die in staat is om in te breken en al zijn (of haar) sporen achter zich te verwijderen. Als je het dan over 'goed' hebt, dan doel je op zijn crack/hack kwaliteiten.

Als je met een 'goede hacker' een maatschappelijk verantwoorde hacker zou bedoelen, dan weten we juist wel dat hij bestaat - maar dan omdat hij het gehackte bedrijf geïnformeerd heeft en de details van de hack alleen aan het gehackte bedrijf doorgegeven heeft.

In de letterlijke zijn van het woord zit er een levensgroot verschil tussen een hacker en een cracker, maar ik geef toe dat in het dagelijks leven vaak de term 'hacker' gebruikt wordt voor zowel een cracker als een nette hacker
buzzin
@Little Penguin10 oktober 2007 10:25
Sterker nog: een hacker betekend niet eens dat je inbreekt.
Iemand die ontzettend goed is in iets en er alles van af weet is al een hacker....dit is niet specifiek voor computers trouwens, al word het daar meestal voor gebruikt.
Het probleem is een beetje dat digibeten een term ooit hebben gehoord en dit verspreid is.
Dus op zich is het fout gebruik, maar door het volk is de definitie aangepast.....

Kort door de bocht: Hacker is iemand die ergens goed in is.
Cracker is iemand die die zelfde kennis misbruikt.
Cracker is ook zo'n ding dat je kunt opeten...maar goed ;)
OddesE
@buzzin10 oktober 2007 17:35
Ach ja, ieder hanteert zijn eigen definities. Persoonlijk noem ik de ene een expert en de andere een crimineel.

* OddesE zou ook een hacker genoemd kunnen worden, maar prefereert zijn titel (.ing) en functie (Software Engineer)
zovty
@buzzin11 oktober 2007 16:10
Nog sterker; een hacker is een flutjournalist die snel kan typen.
n4m3l355
@Dannydekr10 oktober 2007 10:04
De vraag is echter hoe Ebay reageert op deze informatie zoals andere posters hier aangeven. Blijven deze accounts actief, en wat kunnen mensen met deze gegevens. Is het inderdaad mogelijk om hiermee bv aankopen/verkopen te doen en zijn deze gekoppeld aan PP accounts dan is dit toch wel een eng idee als Ebay ze gewoon open laat.
Ik vraag me zelf eigenlijk af hoe zoiets kan.. ik snap ook wel dat een website van zulke afmetingen wel meer code heeft dan een gewoon thuis website´je maar als admin wanneer je opruimt moet je je toch wel eens afvragen wat een map nou doet, en omgekeerd coders die gewoon code laten slingeren.. blijft een rommeltje imo.
lethalnl
10 oktober 2007 10:03
dat is toch het 3e wat je doet?

zet het online
zorgt dat het werkt
verwijdert oude meuk

hoe kan je dat nou vergeten?
Bloodshot
@lethalnl10 oktober 2007 11:48
Volgens mij zit je ernaast:
- Ontwikkel nieuwe software
- Test nieuwe software
- Accepteer nieuwe software
- Implementeer nieuwe software
- Houd de oude omgeving nog een X-tijd in stand i.v.m. fall-back
- Vergeet om de X te definieren en vergeet na 1 maand dat de oude omgeving nog draait omdat het volgende project alweer is begonnen.
OddesE
@Bloodshot10 oktober 2007 17:49
Mmm.. Als je dit graag wil uitwerken dan zou ik me verdiepen in de verschillende software development models. Zo heb je het waterfall model... Maar gezien het feit dat er elk jaar wel weer een nieuwe methodiek helemaal gehyed wordt (eXtreme Programming, Agile Development, SCRUM) is de industrie er niet helemaal uit.

Het is inderdaad wel standaard om te 'schaduw-draaien' met de oude software. Dat is waarschijnlijk hier ook gebeurd.

Mijn persoonlijke development methode:

1. Communiceer met de gebruikers om er achter te komen wat ze willen
2. Kijk hoe de beste concurerende producten werken
3. Verzin een oplossing die aansluit bij de 'best of breed' producten waar je naar hebt gekeken en die de wensen van de gebruikers lijkt in te willigen
4. Communiceer weer met de gebruikers, laat het voorstel accorderen
5. Lees alle relevante bestaande code die er wat mee te maken heeft
6. Ga brainstormen en maak een ontwerp
7. Schrijf een proof-of-concept oplossing
8. Toon de PoC aan de klant / gebruikers
9. Fix kleine dingetjes aan de hand van feedback
10. Nog even wat testen
11. Genereer documentatie
12. Lever release op
13. Kleine nazorg puntjes oplossen

Voordat iedereen Q&A verhalen gaat houden... in mijn ervaring zijn grote software projecten nauwelijks te testen. Natuurlijk klik je er aan het eind effe snel doorheen, maar dat is geen vervanging voor een slim ontwerp en gewoon goed *nadenken* over je code. Vaak kun je beredeneren dat iets nooit fout kan gaan of juist nooit goed kan gaan. of kun je simpel bepalen dat het in situaties X en Y wel goed gaat, maar in situatie Z niet. Als je alle situaties zou willen testen dan zou je testfase jaren of zelfs oneindig lang worden.
kozue
@lethalnl10 oktober 2007 10:08
ben blij dat ik geen software gebruik die jij heb geschreven... normaal zorg je dat het werkt voordat je het online zet :+
LeLo
@lethalnl10 oktober 2007 10:09
Zo zou het moeten zijn. In de praktijk zie je vaak het volgende:

1. Nieuwe software wordt onder grote tijdsdruk gemaakt en getest
2. Zet het online op basis van een deadline, niet op basis van acceptatie
3. Herstel de grote fouten zonder QA tests
4. Ben blij dat het eindelijk werkt, kijk er niet meer naar om en leun achterover...
Roamor
@lethalnl10 oktober 2007 10:10
Je vergeet stap 2a, oude meuk even laten staan voor het geval dat de nieuwe software het toch niet zo goed doet als je gehoopt had. :) En als je stap drie dan maar lang genoeg uitstelt, krijg je bovenstaande.
Floort
@lethalnl10 oktober 2007 10:10
Ik zou de volgorde wel iets aanpassen:

- Verwijder oude meuk (als deze erg onveilig is)
- Zorg dat de nieuwe meuk werkt
- Zet nieuwe meuk online
- Verwijder rest van oude meuk

Iets online zetten VOORDAT het werkt is vragen om problemen.
lethalnl
@Floort10 oktober 2007 10:14
ik bedoel natuurlijk wel dat het het ook doet in een test-omgeving 8)7
OddesE
@lethalnl10 oktober 2007 17:38
Backwards compatibility?

Andere oude toei die nog van de oude meuk gebruik maakt?
Xyzar_
@lethalnl11 oktober 2007 11:39
iets andere volgorde, en wat meer stappen enzo.. bij een beetje softwarebedrijf gaat de code niet direct van programmeur naar eindgebruiker (online dus zegmaar), maar eerst via andere programmeurs die de boel controleren en checken op fouten.

Waarschijnlijk is het bij het controleren over het hoofd gezien of vergeten. Een ernstige fout. (en niet zomaar een slordigheidje)
Anoniem: 151161
10 oktober 2007 10:06
eBay zou hem wel mogen bedanken dat hij dit aan het licht heeft gebracht, voordat er op grote schaal misbruik van gemaakt werd. Overigens betwijfel ik of iemand die het systeem hackt via een zelfgevonden exploit, zoals Vladiz, ook het soort hacker is dat aan phishing zou doen. Hacken door op zoek te gaan naar beveiligingsfoutjes en deze exploiteren is in mijn ogen een stuk edeler dan accountgegevens ontfutselen via phising.
Anoniem: 103509
10 oktober 2007 10:12
@lethalnl

Alhoewel ik ermee eens ben dat oude software weg moet worden gehaald, denk ik dat menig systeembeheerder wat "oude meuk" op zijn machines heeft staan. We mogen niet direct oordelen over een ander.
buzzin
@Anoniem: 10350910 oktober 2007 10:21
Vaak is de oude meuk WEL gebruikersvriendelijk.....

Voorbeeld: de novell tools voor netware. ConsoleOne en daarvoor zelfs NWAdmin.
NWAdmin was super....even wennen, maar goed.
ConsoleOne is niet veel slechter, anders......maar wel veel trager (Java...)
Nu willen ze alles via webinterface. Leuk....maar moet wel 100 keer klikken en dan nog heb ik geen overzicht.
En zo gaat het vaak met beheertools, de mensen die het ontwerpen werken er niet mee en gaan dus voor de leukigheid.
Ik hoef geen webtools.....al werken ze alleen op windows, boeit niet, zolang ze het maar goed doen.... (windows draait toch wel in VMware...)
OddesE
@buzzin10 oktober 2007 17:52
Maar als er een foutje in je tool zit dan moet je wel updaten. En als die software op honderden machines staat... dan is één centrale webserver update weer een stuk eenvoudiger.

De beheerders van de beheerssoftware hebben het zichzelf gemakkelijker gemaakt! :S
Anoniem: 52686
10 oktober 2007 10:00
En die bekend gemaakte accounts? Zijn die geblokkeerd totdat de eigenaren reageren, of staat dat nu allemaal nog vrolijk open met gepubliceerde wachtwoorden?
buzzin
@Anoniem: 5268610 oktober 2007 10:17
En hoe wou je dit mededelen?

Mailtje met:
"Uw e-bay account is mogelijk voor de veiligheid gedeactiveerd, ga naar deze pagina om hem weer te activeren?"

Mijn spamfilter zou het een vrij hoge score geven :P

On topic: Slordig....erg slordig....
Anoniem: 223055
10 oktober 2007 09:58
Blij dat ik geen belangrijke dingen in mijn Ebay account heb staan.
Dat hij gaat bieden met accounts lijkt me in elk geval onwaarschijnlijk.

Erg slordig wel dat de code niet meteen offline is gehaald, nog erger dan mensen die op phishing in gaan..
Meelobee
@Anoniem: 22305510 oktober 2007 10:44
Denk niet dat er veel mensen zijn die bewust op phishing ingaan.... ;)
defusion
@Meelobee10 oktober 2007 11:15
jawel man, is leuk, valse gegevens door geven enzo :)
Anoniem: 223055
@Meelobee10 oktober 2007 12:31
ergens onbewust op in gaan is er ook op in gaan toch? ;)

[Reactie gewijzigd door Anoniem: 223055 op 10 oktober 2007 13:14]

Wh4ck0
@Anoniem: 22305510 oktober 2007 11:23
Slordig? tjah tis inderdaad vervelend, maar kan overal voorkomen. iedereen vergeet wel eens wat. Maargoed, misschien had deze audit iets eerder moeten komen.
Jism
10 oktober 2007 10:01
Wat betekend dit nu voor bestaande gebruikers dan ? :) En hoeveel heeft deze gelukstreffer kunnen ophalen dan?
Bardirella
10 oktober 2007 12:06
even naar m'n Ebay-account geweest... alles lijkt ok...
zijn er al mensen die hiermee te maken hebben?
Collen
10 oktober 2007 12:22
Dit is erg slecht van E-bay

maar ja wat doe je er aan als E-Bay klant ?!
boos mailtje sturen ? schade vergoeding eisen ?

en nu is het E-Bay die wat vergeten is, straks je bank !

nee, misschien moeten ze E-bay maar eens op de vingers tikken.
dit is erg slordig hoor van zo'n groot bedrijf.
er zal toch wel een autoriteit of andere overheid instelling zijn die nu boetes
gaat op leggen ?!

leuker kunnen we het niet maken, veiliger ook niet dus...
Anoniem: 193399
@Collen10 oktober 2007 21:33
boetes?? daar is toch niemand bij gebaat. het zou ook wel erg ver gaan om ebay dit aan te rekenen, als je perongelijk een raam vergeet te sluiten en er word daar door bij je ingebroken. dan krijg je toch ook geen boete. er zit overigens in heel veel software backdoors, Bugs en/of conflicten waar somige mensen handig gebruik van maken om onrechtmatig toegang te verkrijgen.

je kunt een computer verglijken met een kluis. je stopt er iets in, in de veronderstelling dat niemand er bij kan. Maar ergens in je achterhooft weet je ook dat er geen kluis terwereld is die niet gekraakt kan worden. je kan dus de kans van een inbraak tot een minimum beperken maar nooit helemaal uitsluiten.
SJAAKSJAAK
10 oktober 2007 12:42
Is er al bekend om welke accounts het gaat, doe ik er verstandig aan mijn wachtwoord te veranderen? Mijn ebay is gekoppeld aan paypal met een aardige som geld erop.

Ik vind dit erg slordig van Ebay. Maar toch kijk ik er niet van op want de site zelf is ook zo verschrikkelijk chaotisch je wordt in de troubleshooting guides doorverwezen naar functies die niet bestaan of die ergens anders staan dan op de doorverwezen pagina. Er moet echt een duidelijker systeem komen.
SRich
@SJAAKSJAAK10 oktober 2007 13:01
Ik denk dat geen zin heeft, aangezien iemand die in het beheer kan komen ook daaraan kan komen. Ebay heeft aangegeven dat ze de Code offline hebben gehaald. Verder adviseer ik je wel je paypal los te koppelen van Ebay. :)
SJAAKSJAAK
@SRich10 oktober 2007 13:42
Als ik het bericht goed heb gelezen heeft de cracker enkel accounts gestolen dus username+pass en is het lek verder al gedicht. Of hij moet een admin account ertussen hebben zitten maar anders zou hij niks meer kunnen met mijn account als ik mijn ww verander.

Paypal account loskoppelen is veelste veel werk om dat straks weer aan elkaar te koppelen met verifiëren en dergelijken.

[Reactie gewijzigd door SJAAKSJAAK op 10 oktober 2007 13:43]

The Conman
@SJAAKSJAAK10 oktober 2007 14:45
En nog erger als je PayPal verified is met je bank account (wat bij mij zo is).
Dan kunnen ze op elk moment geld overmaken aan andere paypal account zonder dat er geld op je paypal account staat, deze wordt dan direct van je bank afgeschreven.
Cybergamer
@The Conman10 oktober 2007 15:17
Dat vind ik nou ook erg ja, het oude systeem vond ik persoonlijk veel veiliger werken (code aanvragen, geld overschrijven naar paypal).

Ik heb nu een aparte bank rekening genomen hiervoor zodat, als mij account gekraakt wordt, dat er in principe niets of weinig af te halen valt.
Anoniem: 193399
@SJAAKSJAAK10 oktober 2007 22:04
alles wat er via paypal overgemaakt wordt kan je binnen 30 dagen terugvorderen paypal is dan verplicht je het hele bedrag terug betalen. dus het risico dat je geld wordt gestolen is niet zo groot
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee