Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties

De webserver van de TUe blijkt onvoldoende beveiligd. Via een gerichte Google-zoekopdracht kunnen onder andere lijsten met gebruikersnamen en e-mailadressen van studenten en medewerkers worden gevonden.

Een van de subdirectories op de TUe-webserver is door de zoekrobot van Google geïndexeerd. Hierdoor kunnen met relatief eenvoudige zoekopdrachten allerhande documenten worden opgevraagd die voor intern gebruik bedoeld lijken te zijn. Zo trof Tweakers.net met behulp van de zoekmachine onder andere een lijst aan met bijna 450 gebruikersnamen en bijbehorende e-mailadressen van TUe-medewerkers en -studenten, materiaal waar spammers of andere kwaadwillenden goed mee uit de voeten zouden kunnen. Ook diverse administratieve documenten bleken vrij op te vragen.

Jim Heirbaut, woordvoerder van de Technische Universiteit Eindhoven, laat in een reactie aan Tweakers.net weten dat de TUe niet van het probleem op de hoogte was en dat de technische afdeling direct zal uitzoeken of er onbedoeld informatie is geopenbaard. Verder stelt Heirbaut dat de gevonden e-mailadressen ook op andere manieren door derden kunnen worden achterhaald, bijvoorbeeld via het 'digitale telefoonboek' van de TUe.

Het is niet duidelijk hoe de Googlebot deze documenten heeft kunnen indexeren. De betreffende subdirectory is keurig voor de buitenwereld afgeschermd, maar mogelijk ligt een configuratiefout elders op de website ten grondslag aan het beveiligingsprobleem.

Document afkomstig van TUe-website

Moderatie-faq Wijzig weergave

Reacties (79)

Wat ik me nu afvraag is of Tweakers.net hier per toeval achter is gekomen? Het artikel doet dat wel suggereren, er is geen bron vermeld, geen andere links en een snelle google zoekopdracht levert mij geen relevante resultaten naar vergelijkbare artikelen op. Ook een rondje langs andere nieuwssites levert niets op. Daarnaast heeft Tweakers.net wel direct commentaar beschikbaar.

Suggererende tekst:
Zo trof Tweakers.net met behulp van de zoekmachine onder andere een lijst aan met bijna 450 gebruikersnamen en bijbehorende e-mailadressen van TUe-medewerkers en -studenten, materiaal waar spammers of anderen kwaadwillenden goed mee uit de voeten zouden kunnen.
Normaal doet Tweakers.net natuurlijk ook zelf wel onderzoek. Maar gezien de ernst kan dit nooit lang online hebben gestaan nadat iemand dit heeft ontdekt en online heeft gezet. Daarbij zal het dan toch wel eerst worden doorgegeven aan de TUe. Daarnaast moet tweakers.net dan ook maar opt tijd het artikel vinden. T.net heeft de gegevens blijkbaar nog kunnen vinden wat dat dus wel aannemelijk maakt.

[Reactie gewijzigd door GENETX op 14 mei 2009 15:14]

Tweakers.net is getipt hierover. Om de tipper de nodige vragen op de TUe te besparen, is de submitter ditmaal bewust niet bedankt.
Duidelijk & logisch.

@Bjornski
Zie commentaar van YopY.

Staat dus al open sinds 2005. ;)
Wat open staat hoeft nog niet direct ontdekt te worden ;)

[Reactie gewijzigd door GENETX op 14 mei 2009 15:26]

Zie commentaar van YopY.

Staat dus al open sinds 2005. ;)
Ik ben zelf werkzaam aan de TUE en ik heb een paar weken geleden al melding gemaakt van dat via google vertrouwelijke documenten te vinden waren. Dus ze zouden ervan geweten moeten hebben.
Dan trek je toch gewoon de stekker uit die bak, ipv klagen.

Sowieso moet je achter een documentenportal een loginmethode plaatsen, zodat ZELFS als iemand vanaf buitenaf de juiste URL weet, hij er gewoonweg niet bij kan komen.

TU/e faalt dus mbt webdevelopment (anders zet je het niet in een opendir, zonder login), security, procedures, etc.
Dan trek je toch gewoon de stekker uit die bak, ipv klagen.
Als je zomaar de stekker uit die bak kon trekken zou ik me eigenlijk nog meer zorgen gaan maken over de beveiliging dan na het lezen van dit nieuwsbericht }>.
TU/e faalt dus mbt webdevelopment (anders zet je het niet in een opendir, zonder login), security, procedures, etc.
Als ik weer eens nieuwe registratie-codes voor Delphi of Mathematica ofzo nodig heb dan loop ik er altijd tegenaan dat ik eerst moet VPNen voordat ik die pagina's op kan vragen. Het probleem zit dus bij het bepalen welke pagina's niet "van buiten" opgevraagd mogen worden.
Wel erg grappig dat de TU/e zegt niet op de hoogte te zijn. 3 dagen geleden heb ik dit probleem bij de TU/e gemeld. Hierop volgde na paar dagen geen reactie. Dit is natuurlijk absurd vandaar dat dit nu ook bij tweakers in het nieuws staat.

Hoop dat de volgende keer een e-mail naar de TU/e genoeg is ipv dat de fout openbaar gemaakt moet worden voordat er gehandeld wordt.
Dit gebeurt maar al te vaak denk ik. De meeste medewerkers zullen de ernst van de zaak niet inzien, het is dan maar net afhankelijk van waar je het probleem meld of dat het echt ergens terecht komt waar ze er wat mee zullen doen. Grote kans dat de melding ergens vast loopt bij iemand die het niet zo ernstig vindt omdat bijvoorbeeld de locatie van het bestand (zo denkt men) toch niet bekend is.
Wanneer je een beetje googled kom je ook diverse spreadsheets tegen van systeembeheerders die hun zaakjes niet goed op orde hebben. Dit is een risico wat dus schijnbaar ook IT'ers onderschatten, terwijl de spreadsheet even encrypten niet eens zo moeilijk is...
grappig idem hier, enige tijd geleden werd de mailserver vna dienst ICT gebruikt om een phishing mail te versturen naar vrijwel de gehele TU, ik heb direct de dienst ICT geattendeerd en de melding die terugkwam was dat ze het desbetreffende mailadres waarheen verwezen (ander reply adres dan send adres) hadden geblokkeerd.

Wqarschijnlijk hadden ze niet door dat relay met header spoof gewoon te voorkomen is....
Verbaast me niks. Ik heb ook aan de TU/e gestudeerd (jaren geleden alweer :+), en tot op heden zijn er via google nog uitwerkingen van huiswerktopdrachten van me te vinden die ik er nooit op heb gezet, inclusief studentnummer, naam, e-mailadres destijds etc. De verschillende faculteiten hebben talloze eigen servertjes voor verschillende groepen die niet centraal beheerd worden, en dan gebeurt het nogal eens dat een docent 'even wat spulletjes' parkeert op een open dir waarvan hij/zij niet weet dat Google er wel bij komt, zelfs zonder dat er direct naartoe gelinkt wordt.

Wel een slechte zaak voor een technische universiteit, maar als ik heel eerlijk ben over de informatica faculteit van de TU/e dan heb ik sowieso al niet echt een hoge pet op van de kennis van praktische ICT en informatica toepassingen. Veel kennis over bewijssystemen en formele theorie, maar op het moment dat het in de praktijk gebracht moet worden slaan (op een enkeling na) de hoogleraren een behoorlijk modderfiguur als je het mij vraagt.

[Reactie gewijzigd door johnbetonschaar op 14 mei 2009 17:17]

Het is me wel bekend dat je oude afstudeerverslagen kunt vinden via Google, dit was me echter niet bekend. :S Veel studenten hebben last van bepaalde soorten spam ( waaronder ik), waarvan we niet weten hoe ze aan ons e-mailadres komen...nu weten we het...
Het is me wel bekend dat je oude afstudeerverslagen kunt vinden via Google
Maar dat is ook helemaal niet erg. Gewoonlijk zijn dat soort verslagen vrijwel onvindbaar voor buitenstaanders, als ze op het net staan kan iedereen die kennis gebruiken. Mijn eigen afstudeerverslag heb ik zelf als pdf op m'n site gezet.
Waarschijnlijk fout bij het herindelen van de ftp van de school.
Maar het feit dat Google de bestanden kan vinden, wijst erop dat er waarschijnlijk links zijn die ernaartoe verwijzen. Immers gaat Google niet lukraak links intypen; meestal volgt het een .htaccess bestand, of een andere link die elders op de website te vinden is.
Blijkbaar moet de link ernaartoe nog ergens rondslingeren en wel geindexeerd zijn.

Verder zijn de e-mailadressen niet heel bijzonder. Valt namelijk al op dat veel van de e-mailadressen op andere plekken zichtbaar zijn; zoals in de digitale telefoongids die ze hebben, of bij publicaties die horen bij wat wetenschappelijk onderzoek of een ander artikeltje. Dan komen de e-mailadressen sowieso al in omloop.
Enige verschil is dat je ze nu netjes bij elkaar hebt, en ook van de mensen die in mindere mate met hun e-mailadres rondslingeren.

Voor de mensen die net zoals ik gaan zoeken:
Inmiddels heeft de Technische Universiteit Eindhoven het probleem opgelost; de directory is afgeschermd en de Excel-documenten zelf zijn niet meer bereikbaar. Je kan hoogstens nog een beroep doen op de cache e.d.

[Reactie gewijzigd door vmsw op 14 mei 2009 14:54]

google html versie is nog gewoon te vinden
Admin-edit:Het direct linken van of zoekopdrachten naar de betreffende documenten is niet wenselijk i.v.m. privacy

[Reactie gewijzigd door Kixtart op 14 mei 2009 17:01]

beetje aanpassen en je kunt nog meer Excel sheets (ook met e-mail adressen) vinden, zoals deze* Excel sheet met de adressen van een aantal studenten.

Admin-edit:Het direct linken van of zoekopdrachten naar de betreffende documenten is niet wenselijk i.v.m. privacy


Wat overigens ook wel voor andere sites te doen is.

[Reactie gewijzigd door Kixtart op 14 mei 2009 16:57]

Daar heb je inderdaad gelijk in

Zoekopdracht:

Admin-edit:Het direct linken van of zoekopdrachten naar de betreffende documenten is niet wenselijk i.v.m. privacy

[Reactie gewijzigd door Kixtart op 14 mei 2009 17:00]

Hij staat in ieder geval nog in de Google Cache ;)

Dat zal waarschijnlijk niet de bedoeling zijn :P erg slordig.

Admin-edit:Het direct linken van of zoekopdrachten naar de betreffende documenten is niet wenselijk i.v.m. privacy

[Reactie gewijzigd door Kixtart op 14 mei 2009 16:56]

Deze werkt nu niet meer ( de file niet ). Echter de HTML versie in de google Cache is nog steeds toegankelijk en niet verwijderd door google.
Hij is zelfs te vinden op archive.org (die precieze URL die je postte), en zo te zien stond dat bestand er ook al een paar jaar op. Archive.org heeft maar 1 kopie daarvan gemaakt echter, in December '05

Admin-edit:Het direct linken van of zoekopdrachten naar de betreffende documenten is niet wenselijk i.v.m. privacy

[Reactie gewijzigd door Kixtart op 14 mei 2009 16:56]

T.net zelf heeft met een leuk gefabriceerde Google zoekopdracht anders ook een Excel sheet met adressen publiek toegangeklijk gemaakt, zo te zien van telefooncentrales of iets dergelijks. Ik weet niet hoe kritiek deze info is, maar het is slechts een voorbeeld van wat er te vinden is.

Overigens is deze link (blijkbaar) van de persoonlijke webspace van een crewlid.

Volgens mij kun je van wel veel meer officiële instanties, websites, en noem het maar op dit soort gegevens vinden met Google.

[Reactie gewijzigd door YopY op 14 mei 2009 16:10]

Dit is inderdaad een lijst met telefoon/adsl-wijkcentrales van KPN e.d. Echt schokkende informatie is het niet, deze informatie krijg je ook uit postcode-checks en andere overzichten waar centrales zijn.

Maar het laat wel zien hoe makkelijk deze informatie te vinden is door een Google zoektocht...
Het is niet duidelijk hoe de Googlebot deze documenten heeft kunnen indexeren. De betreffende subdirectory is keurig voor de buitenwereld afgeschermd, maar mogelijk ligt een configuratiefout elders op de website ten grondslag aan het beveiligingsprobleem.
Huh? Die opmerking is toch een beetje in strijd met de rest van het artikel? Als de subdirectory goed was afgeschermd kon Google er niet bij, en kon T.net die bestanden niet downloaden..
De afscherming hoort zo te zijn dat alleen vanaf de TU/e die gegevens op te vragen zijn en niet vanaf daarbuiten. Ik kan nu vanaf de TU/e de gegevens ook nog steeds opvragen. Waarschijnlijk is er in een globale configuratie hiervoor een fout gemaakt.
Ik denk dat ze bedoelen dat de directory zelf wel afgeschermd is voor verkeer van buiten, maar dat via een include of mod_rewrite het bestand via een ander pad wel is op te vragen (omdat de webserver het bestand wel gewoon kan lezen).
Volgens mij bedoelen ze hier dat je wel bestanden mag refereren, maar dat gewoon het indexen uit stond. Als je dan zoiets intypt als: http://webserver/directorynaam, dan krijg je netjes een 403 Directory listing denied.

Als je echter https://webserver/directorynaam/bestandje intypt, dan krijg je gewoon het bestandje.
Zo zie je maar weer: Google vindt alles als je niet oppast... ;)
Zo zie je maar weer: Google vind alles als je niet oppast waar je naartoe linkt. :) En waarom heeft de TU/e niet eens een robots.txt? |:(
door robots.txt kun je juist dingen vinden (als robot, maar ook als kwaadwilllende persoon) die men niet wilt.

Dus via robots.txt verbieden werkt niet echt lekker voor dingen. Daar zijn andere methoden voor.
Daarnaast een robots.txt is alleen een aanbeveling.. En zeker geen security..
@arjankoole: Als de directory opgenomen was in de robots.txt met een exclude, dan waren deze bestanden niet gevonden, aangezien de bestanden via Google gevonden zijn. Tuurlijk, handmatig de directory doorgaan is mogelijk, maar omslachtig als je geen directe toegang hebt op de directory en dus de filenames maar moet raden.

Ik snap overigens wel wat je bedoelt met 'kun je juist dingen vinden'.. bijvoorbeeld /private/ die in je robots.txt opgenomen word en vervolgens kijken mensen daar omdat ie in de robots.txt staat. Had ie daar niet gestaan, dan had er waarschijnlijk niemand gekeken.


@martijnvanegdom: Ik heb nooit gezegd dat het een beveilingsmethode is, Martijn. ;)

[Reactie gewijzigd door Mike Post op 14 mei 2009 23:55]

Het zelfde probleem heeft mijn oude middelbare school gehad, telefoon, e-mail, adres alles stond er van iedereen in. Naar de systeembeheerder gegaan en alten zien maar die wilde niets veranderen, uiteindelijk naar de rector gemailed met de mededeling dat ik vond dat dit niet kon en toen is alles uiteindelijk gefixed.
Bij ons op de middelbare school stonden toendertijd de hele blbliotheek-administratie als Access-database en een map met pasfoto's van *alle* leerlingen op een netwerkshare waar leerlingen gewoon bij konden. Heb ik ze natuurlijk wel even doorgegeven...
Beetje maf om eerlijk te zijn. Als je weet hoeveel systemen er naast elkaar draaien is het weer eenste bizar voor woorden dat er ook nog excel documentjes rondslingeren. Deze gegevens komen volgens mij van het kantoorartikelenbestelsysteem. Dus heel veel te misbruiken lijkt het me niet, aangezien adressering aan het account gekoppeld is. Wel zonde voor de mensen wiens email adressen nu op straat liggen.
Maar met die webservers gaat wel vaker het één en ander mis. Tis een customized versie van Typo3, wat als CMS gebruikt wordt. Degene die het customizen heeft gedaan (oud-student) is alleen weg, vandaar dat er tegenwoordig het een en ander mis gaat. Beetje onhandig wel.
Tja, ik vind het "zonde voor de mensen wiens email adressen nu op straat liggen" nogal meevallen.
Oké, plezierig is anders, maar het is niet alsof die emailadressen zo lastig te raden zijn:
Stel er is een A.B. Jansen op de TU Eindhoven, goh, waarschijnlijk is zijn/haar email adres wel a.b.jansen@tue.nl.
En zo is dat op meerdere universiteiten (zo niet alle).

Wat natuurlijk niet wegneemt dat het slordig is dat zo'n Excel bestand toegankelijk is vanaf buitenaf via Google.
Vervelend voor mensen die toevallig Jansen of Pieters heten, maar voor het overgrote deel van de medewerkers en studenten zal dit niet zo'n probleem zijn. Zeker niet voor mensen met een Westerse naam, die zijn vaak redelijk lang en er zitten al snel drie voorletters bij. De studenten uit Azië hebben vaak maar één voorletter en een achternaam zoals "he", dan krijg je een adres dat zo kort is dat het nog wel via een brute-force te vinden is.
Bovendien heb ik liever mijnnaam@student.tue.nl dan studentnummer@student.tue.nl, dan maak je het helemaal makkelijk voor spammers. Zoals een tijdje geleden een Japanse telco die voor al haar klanten het emailadres telefoonnummer@telco.jp aanmaakte. Toen werd het wel heel makkelijk om bestaande adressen te "raden".
Achternamen zijn niet moeiijk te bruteforcen, de kpn publiceert een bijna complete lijst met achternamen. Inclusief telefoonnumers en adressen. (telefoonboek dus)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True