Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties
Submitter: player-x

Een hacker is erin geslaagd binnen te dringen in de systemen van eBay en daar klantgegevens te bemachtigen. Voor zijn hack maakte hij gebruik van een langvergeten, ongebruikt stukje beheerssoftware van de veilingsite.

eBay logoDe hacker, die zichzelf Vladuz noemt, wordt ervan verdacht ook verantwoordelijk te zijn voor het publiceren van accountgegevens op het eBay-forum vorige maand. In tegenstelling tot de hack waarbij die gegevens bemachtigd werden, is dit keer echter geen gebruik gemaakt van phishing, maar van veiligheidslekken in oude eBay-software.

Een vertegenwoordiger van het eBay Trust and Safety-team haastte zich om mee te delen dat er maatregelen genomen zouden worden om te voorkomen dat een dergelijk voorval zich zou kunnen herhalen. 'De hacker ontdekte een zeer oude beheersfunctie die we een paar jaar geleden, toen we de interne veiligheid van onze software verbeterden, hadden moeten uitschakelen', aldus de zegsman. Daarbij benadrukte hij ook dat de betreffende code onmiddellijk offline gehaald is en dat er momenteel een audit bezig is om obsolete code te identificeren en onder handen te nemen.

Moderatie-faq Wijzig weergave

Reacties (41)

Ze moeten juist blij zijn dat hij dit bekend maakt, er zijn genoeg andere dingen die je met zulke informatie kan doen. Ik zeg altijd maar zo; de echte goede hacker, is een hacker waar we niets vanaf weten.
de echte goede hacker, is een hacker waar we niets vanaf weten.
Ik denk dat je het volgende bedoelt:
de echte goede cracker, is een cracker waar we niets vanaf weten.

Een slimme cracker is iemand die in staat is om in te breken en al zijn (of haar) sporen achter zich te verwijderen. Als je het dan over 'goed' hebt, dan doel je op zijn crack/hack kwaliteiten.

Als je met een 'goede hacker' een maatschappelijk verantwoorde hacker zou bedoelen, dan weten we juist wel dat hij bestaat - maar dan omdat hij het gehackte bedrijf geïnformeerd heeft en de details van de hack alleen aan het gehackte bedrijf doorgegeven heeft.

In de letterlijke zijn van het woord zit er een levensgroot verschil tussen een hacker en een cracker, maar ik geef toe dat in het dagelijks leven vaak de term 'hacker' gebruikt wordt voor zowel een cracker als een nette hacker
Sterker nog: een hacker betekend niet eens dat je inbreekt.
Iemand die ontzettend goed is in iets en er alles van af weet is al een hacker....dit is niet specifiek voor computers trouwens, al word het daar meestal voor gebruikt.
Het probleem is een beetje dat digibeten een term ooit hebben gehoord en dit verspreid is.
Dus op zich is het fout gebruik, maar door het volk is de definitie aangepast.....

Kort door de bocht: Hacker is iemand die ergens goed in is.
Cracker is iemand die die zelfde kennis misbruikt.
Cracker is ook zo'n ding dat je kunt opeten...maar goed ;)
Ach ja, ieder hanteert zijn eigen definities. Persoonlijk noem ik de ene een expert en de andere een crimineel.

* OddesE zou ook een hacker genoemd kunnen worden, maar prefereert zijn titel (.ing) en functie (Software Engineer)
Nog sterker; een hacker is een flutjournalist die snel kan typen.
De vraag is echter hoe Ebay reageert op deze informatie zoals andere posters hier aangeven. Blijven deze accounts actief, en wat kunnen mensen met deze gegevens. Is het inderdaad mogelijk om hiermee bv aankopen/verkopen te doen en zijn deze gekoppeld aan PP accounts dan is dit toch wel een eng idee als Ebay ze gewoon open laat.
Ik vraag me zelf eigenlijk af hoe zoiets kan.. ik snap ook wel dat een website van zulke afmetingen wel meer code heeft dan een gewoon thuis website´je maar als admin wanneer je opruimt moet je je toch wel eens afvragen wat een map nou doet, en omgekeerd coders die gewoon code laten slingeren.. blijft een rommeltje imo.
dat is toch het 3e wat je doet?

zet het online
zorgt dat het werkt
verwijdert oude meuk

hoe kan je dat nou vergeten?
Volgens mij zit je ernaast:
- Ontwikkel nieuwe software
- Test nieuwe software
- Accepteer nieuwe software
- Implementeer nieuwe software
- Houd de oude omgeving nog een X-tijd in stand i.v.m. fall-back
- Vergeet om de X te definieren en vergeet na 1 maand dat de oude omgeving nog draait omdat het volgende project alweer is begonnen.
Mmm.. Als je dit graag wil uitwerken dan zou ik me verdiepen in de verschillende software development models. Zo heb je het waterfall model... Maar gezien het feit dat er elk jaar wel weer een nieuwe methodiek helemaal gehyed wordt (eXtreme Programming, Agile Development, SCRUM) is de industrie er niet helemaal uit.

Het is inderdaad wel standaard om te 'schaduw-draaien' met de oude software. Dat is waarschijnlijk hier ook gebeurd.

Mijn persoonlijke development methode:

1. Communiceer met de gebruikers om er achter te komen wat ze willen
2. Kijk hoe de beste concurerende producten werken
3. Verzin een oplossing die aansluit bij de 'best of breed' producten waar je naar hebt gekeken en die de wensen van de gebruikers lijkt in te willigen
4. Communiceer weer met de gebruikers, laat het voorstel accorderen
5. Lees alle relevante bestaande code die er wat mee te maken heeft
6. Ga brainstormen en maak een ontwerp
7. Schrijf een proof-of-concept oplossing
8. Toon de PoC aan de klant / gebruikers
9. Fix kleine dingetjes aan de hand van feedback
10. Nog even wat testen
11. Genereer documentatie
12. Lever release op
13. Kleine nazorg puntjes oplossen

Voordat iedereen Q&A verhalen gaat houden... in mijn ervaring zijn grote software projecten nauwelijks te testen. Natuurlijk klik je er aan het eind effe snel doorheen, maar dat is geen vervanging voor een slim ontwerp en gewoon goed *nadenken* over je code. Vaak kun je beredeneren dat iets nooit fout kan gaan of juist nooit goed kan gaan. of kun je simpel bepalen dat het in situaties X en Y wel goed gaat, maar in situatie Z niet. Als je alle situaties zou willen testen dan zou je testfase jaren of zelfs oneindig lang worden.
ben blij dat ik geen software gebruik die jij heb geschreven... normaal zorg je dat het werkt voordat je het online zet :+
Zo zou het moeten zijn. In de praktijk zie je vaak het volgende:

1. Nieuwe software wordt onder grote tijdsdruk gemaakt en getest
2. Zet het online op basis van een deadline, niet op basis van acceptatie
3. Herstel de grote fouten zonder QA tests
4. Ben blij dat het eindelijk werkt, kijk er niet meer naar om en leun achterover...
Je vergeet stap 2a, oude meuk even laten staan voor het geval dat de nieuwe software het toch niet zo goed doet als je gehoopt had. :) En als je stap drie dan maar lang genoeg uitstelt, krijg je bovenstaande.
Ik zou de volgorde wel iets aanpassen:

- Verwijder oude meuk (als deze erg onveilig is)
- Zorg dat de nieuwe meuk werkt
- Zet nieuwe meuk online
- Verwijder rest van oude meuk

Iets online zetten VOORDAT het werkt is vragen om problemen.
ik bedoel natuurlijk wel dat het het ook doet in een test-omgeving 8)7
Backwards compatibility?

Andere oude toei die nog van de oude meuk gebruik maakt?
iets andere volgorde, en wat meer stappen enzo.. bij een beetje softwarebedrijf gaat de code niet direct van programmeur naar eindgebruiker (online dus zegmaar), maar eerst via andere programmeurs die de boel controleren en checken op fouten.

Waarschijnlijk is het bij het controleren over het hoofd gezien of vergeten. Een ernstige fout. (en niet zomaar een slordigheidje)
eBay zou hem wel mogen bedanken dat hij dit aan het licht heeft gebracht, voordat er op grote schaal misbruik van gemaakt werd. Overigens betwijfel ik of iemand die het systeem hackt via een zelfgevonden exploit, zoals Vladiz, ook het soort hacker is dat aan phishing zou doen. Hacken door op zoek te gaan naar beveiligingsfoutjes en deze exploiteren is in mijn ogen een stuk edeler dan accountgegevens ontfutselen via phising.
@lethalnl

Alhoewel ik ermee eens ben dat oude software weg moet worden gehaald, denk ik dat menig systeembeheerder wat "oude meuk" op zijn machines heeft staan. We mogen niet direct oordelen over een ander.
Vaak is de oude meuk WEL gebruikersvriendelijk.....

Voorbeeld: de novell tools voor netware. ConsoleOne en daarvoor zelfs NWAdmin.
NWAdmin was super....even wennen, maar goed.
ConsoleOne is niet veel slechter, anders......maar wel veel trager (Java...)
Nu willen ze alles via webinterface. Leuk....maar moet wel 100 keer klikken en dan nog heb ik geen overzicht.
En zo gaat het vaak met beheertools, de mensen die het ontwerpen werken er niet mee en gaan dus voor de leukigheid.
Ik hoef geen webtools.....al werken ze alleen op windows, boeit niet, zolang ze het maar goed doen.... (windows draait toch wel in VMware...)
Maar als er een foutje in je tool zit dan moet je wel updaten. En als die software op honderden machines staat... dan is één centrale webserver update weer een stuk eenvoudiger.

De beheerders van de beheerssoftware hebben het zichzelf gemakkelijker gemaakt! :S
En die bekend gemaakte accounts? Zijn die geblokkeerd totdat de eigenaren reageren, of staat dat nu allemaal nog vrolijk open met gepubliceerde wachtwoorden?
En hoe wou je dit mededelen?

Mailtje met:
"Uw e-bay account is mogelijk voor de veiligheid gedeactiveerd, ga naar deze pagina om hem weer te activeren?"

Mijn spamfilter zou het een vrij hoge score geven :P

On topic: Slordig....erg slordig....
Blij dat ik geen belangrijke dingen in mijn Ebay account heb staan.
Dat hij gaat bieden met accounts lijkt me in elk geval onwaarschijnlijk.

Erg slordig wel dat de code niet meteen offline is gehaald, nog erger dan mensen die op phishing in gaan..
Denk niet dat er veel mensen zijn die bewust op phishing ingaan.... ;)
jawel man, is leuk, valse gegevens door geven enzo :)
ergens onbewust op in gaan is er ook op in gaan toch? ;)

[Reactie gewijzigd door Nizno_o op 10 oktober 2007 13:14]

Slordig? tjah tis inderdaad vervelend, maar kan overal voorkomen. iedereen vergeet wel eens wat. Maargoed, misschien had deze audit iets eerder moeten komen.
Wat betekend dit nu voor bestaande gebruikers dan ? :) En hoeveel heeft deze gelukstreffer kunnen ophalen dan?
even naar m'n Ebay-account geweest... alles lijkt ok...
zijn er al mensen die hiermee te maken hebben?
Dit is erg slecht van E-bay

maar ja wat doe je er aan als E-Bay klant ?!
boos mailtje sturen ? schade vergoeding eisen ?

en nu is het E-Bay die wat vergeten is, straks je bank !

nee, misschien moeten ze E-bay maar eens op de vingers tikken.
dit is erg slordig hoor van zo'n groot bedrijf.
er zal toch wel een autoriteit of andere overheid instelling zijn die nu boetes
gaat op leggen ?!

leuker kunnen we het niet maken, veiliger ook niet dus...
boetes?? daar is toch niemand bij gebaat. het zou ook wel erg ver gaan om ebay dit aan te rekenen, als je perongelijk een raam vergeet te sluiten en er word daar door bij je ingebroken. dan krijg je toch ook geen boete. er zit overigens in heel veel software backdoors, Bugs en/of conflicten waar somige mensen handig gebruik van maken om onrechtmatig toegang te verkrijgen.

je kunt een computer verglijken met een kluis. je stopt er iets in, in de veronderstelling dat niemand er bij kan. Maar ergens in je achterhooft weet je ook dat er geen kluis terwereld is die niet gekraakt kan worden. je kan dus de kans van een inbraak tot een minimum beperken maar nooit helemaal uitsluiten.
Is er al bekend om welke accounts het gaat, doe ik er verstandig aan mijn wachtwoord te veranderen? Mijn ebay is gekoppeld aan paypal met een aardige som geld erop.

Ik vind dit erg slordig van Ebay. Maar toch kijk ik er niet van op want de site zelf is ook zo verschrikkelijk chaotisch je wordt in de troubleshooting guides doorverwezen naar functies die niet bestaan of die ergens anders staan dan op de doorverwezen pagina. Er moet echt een duidelijker systeem komen.
Ik denk dat geen zin heeft, aangezien iemand die in het beheer kan komen ook daaraan kan komen. Ebay heeft aangegeven dat ze de Code offline hebben gehaald. Verder adviseer ik je wel je paypal los te koppelen van Ebay. :)
Als ik het bericht goed heb gelezen heeft de cracker enkel accounts gestolen dus username+pass en is het lek verder al gedicht. Of hij moet een admin account ertussen hebben zitten maar anders zou hij niks meer kunnen met mijn account als ik mijn ww verander.

Paypal account loskoppelen is veelste veel werk om dat straks weer aan elkaar te koppelen met verifiëren en dergelijken.

[Reactie gewijzigd door JankY op 10 oktober 2007 13:43]

En nog erger als je PayPal verified is met je bank account (wat bij mij zo is).
Dan kunnen ze op elk moment geld overmaken aan andere paypal account zonder dat er geld op je paypal account staat, deze wordt dan direct van je bank afgeschreven.
Dat vind ik nou ook erg ja, het oude systeem vond ik persoonlijk veel veiliger werken (code aanvragen, geld overschrijven naar paypal).

Ik heb nu een aparte bank rekening genomen hiervoor zodat, als mij account gekraakt wordt, dat er in principe niets of weinig af te halen valt.
alles wat er via paypal overgemaakt wordt kan je binnen 30 dagen terugvorderen paypal is dan verplicht je het hele bedrag terug betalen. dus het risico dat je geld wordt gestolen is niet zo groot

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True