Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 102 reacties

Bij het Britse hostingbedrijf Vaserv.com is de data van meer dan honderdduizend websites gewist, nadat hackers door een exploit in de HyperVM-virtuele machine toegang hadden verkregen. Een groot deel van de websites is nog steeds offline.

Vaserv exploiteert webservers die voorzien zijn van de virtualisatiesoftware van HyperVM, een product van het Indiase bedrijf LXLabs. Met het virtualisatiesysteem kan het bedrijf tegen lage kosten hostingoplossingen voor met name particulieren aanbieden. Op de webservers van Vaserv draaiden ruim honderdduizend websites op basis van zogenaamde 'unmanaged accounts'. Hierbij wordt geen offline backup gemaakt van de data. Door een onlangs ontdekt beveiligingsgat in versie 2.0.7992 van de HyperVM-software hebben zondagnacht hackers root access op de machines van Vaserv weten te bemachtigen, zo meldt The Register.

De vandalen verwoestten de data van zeker honderdduizend websites, kort nadat systeembeheerders verdachte activiteiten bespeurden op hun servers. Het hostingbedrijf probeert momenteel zijn webservers weer in de lucht te krijgen, maar het vreest dat de data van een groot aantal websites voorgoed verloren is gegaan, omdat veel klanten geen backups zouden hebben. Bovendien vreest de firma dat de hackers de hand hebben weten te leggen op gevoelige data die op de webservers stond opgeslagen. De klantgegevens zouden wel veilig zijn, omdat deze gegevens waren versleuteld.

Wie de hackers precies zijn, is nog onbekend, maar Vaserv spreekt van een doelgerichte aanval op zijn infrastructuur. Het hostingbedrijf vermoedt dat de hackers met sql-injectie toegang kregen tot de managementsoftware. Het bedrijf zegt pogingen te hebben ondernomen om contact te leggen met de fabrikant van de virtualisatiesoftware, maar LXLabs zou nog niet hebben gereageerd. Het is onbekend of de hackers nog meer slachtoffers hebben gemaakt.

Update, 9/6 14:45: K. Ligesh, een 32-jarige software-ontwikkelaar en eigenaar van LXLabs, heeft maandag zelfmoord gepleegd, zo meldt The Times Of India. Hij zou zich in zijn huis hebben verhangen. Ligesh werd door zijn collega's omschreven als een 'briljant programmeur', maar ook als een eenling die weinig sociale contacten had. Onduidelijk is of de zelfmoord in verband staat met het beveiligingsgat in de door LXLabs ontwikkelde virtualisatiesoftware; Ligesh zou ook de zelfmoord van zijn moeder en zus, enkele jaren geleden, niet goed hebben verwerkt.

Mededeling op Vaserv.com

Moderatie-faq Wijzig weergave

Reacties (102)

Zelf ben ik ook klant bij VAServ, en ook mijn VPS was dus langer dan een dag down. Spannende tijden, aangezien ik weinig backups had, maar gelukkig stond mijn VPS op een van de machines die geen data loss had, dus het blijft bij een flinke waarschuwing.

In eerste instantie verklaarde VAServ dat ze vermoedden dat het een 0day vulnerability betrof in HyperVM (het control panel bovenop OpenVZ, GEEN virtuele machine zoals in het artikel wordt gesuggereerd). VAServ gaf aan de laatste HyperVM updates te hebben geinstalleerd zodra LxLabs deze beschikbaar stelde, hierna pas sloeg de cracker zijn slag.

Rond het middaguur verscheen er een post van iemand die claimde de hacker te zijn op webhostingtalk.com. De moderators aldaar hebben het bericht binnen enkele minuten weer verwijderd, maar het betreffende bericht kwam vrij 'betrouwbaar' over. De cracker meldde onder andere dat hij al twee maanden toegang had tot de systemen van VAServ, waardoor hij de kans had om passwords en dergelijke te sniffen (deze postte hij, samen met een 'logfile' van een script dat hij zou hebben gebruikt om bijna alle servers te wipen). Als dit inderdaad klopt dan is er (in tegenstelling tot de conclusie van VAServ) geen nieuwe vulnerability, en heeft hij een van de (toen nog niet publieke) lekken in HyperVM misbruikt om zich toegang te verschaffen tot de systemen van VAServ en de wachtwoorden te bemachtigen.

Hiernaast gaf hij aan de beschikking te hebben over alle gebruikersgegevens (iets dat VAServ - volgens dit bericht - ontkent). Hier zouden ook creditcardnummers onder vallen.

EDIT: VAServ gaf aan dat de klantgegevens van fsckvps (US) inderdaad waarschijnlijk zijn bemachtigd. UK klanten zouden veilig zijn..

Over de vraag of VAServ nalatig is geweest (ondanks het feit dat zij up-to-date waren) valt te discussieren, wel is ze (voor het overgrote deel) totaal niet verantwoordelijk voor eventuele dataloss. Jammer, maar dat stond in de voorwaarden (unmanaged services).

[Reactie gewijzigd door Thralas op 10 juni 2009 00:45]

ik vind het niet zo charmant om 100000 sites met familiefotos en blogs te wissen (dat stel ik mij voor bij persoonlijke websites van particulieren). Niet dat er nu een briljant stukje internet weg is, maar het is erg persoonlijk voor de betrokkenen.

Er wordt overigens weinig goeds gezegd over de beveiliging van de betreffende systemen:

"from the security discussions like this on LxLabs’ forums, you’ll be wondering how much do they understand about the security (especially after previous incident where used the same password for their billing system as the one on WHT)."
http://hostingfu.com/arti...lxlabs-hypervm-insecurity

ook interessant, iemand die de issues al even geleden aan LxLabs heeft gemeld:
http://www.milw0rm.com/exploits/8880
ik vind het niet zo charmant om 100000 sites met familiefotos en blogs te wissen (dat stel ik mij voor bij persoonlijke websites van particulieren). Niet dat er nu een briljant stukje internet weg is, maar het is erg persoonlijk voor de betrokkenen.
Serverpark had ook af kunnen branden en de off-site back-ups hadden weggespoeld kunnen zijn. Als gebruiker ben en blijf je zelf eindverantwoordelijk voor je eigen data (particulier of zakelijk).

Zie hier weer eens een voorbeeld waarom eigen back-ups zo belangrijk zijn, juist omdat het data is wat door geen enkele financiële vergoeding vervangen kan worden.
Waarom begint iedereen over het ontbreken van de backups. Dat is gewoon een keuze van een hostingbedrijf en als afnemer uiteraard, en als je goedkope hosting wilt - zeker met een statische website - is dat een prima keuze. Zo lang het bij de afnemer maar goed duidelijk wordt gemaakt dat er geen backups zijn.
Ok, geen backups maken voor goedkope accounts is een keuze van het hostingbedrijf. Maar als je als klant dan zelf ook geen backup maakt van je website, dan ben je natuurlijk dom bezig...
Klant is koning, als deze dom wil zijn staat hij daar volledig vrij in.
En btw 90 % van de mensen heeft meestal zelf nog wel een backup ergens staan, en zo niet dan was de site ook niet heel erg belangrijk.

Dus de schade zal dan ook wel heel erg meevallen, ondanks dat het toch erg veel site's zijn.
Ik moet zeggen dat dit echt een nachtmerrie is. Behalve voor de klanten die nu hun VPS niet kunnen beheren omdat HyperVM uitgeschakeld moet blijven is het ook erg voor mij als hoster (evenals voor andere hosters). Mijn vertrouwen in LXlabs is weg omdat ze eerder al diverse beveiligings problemen gehad hebben en omdat ze de laatste dagen geen enkele reactie hebben gegeven betreffende de beveiligingslekken.
Op het forum bij Lxlabs.com hebben ze het er zelfs over de kans dat de licentie server offline gaat. Dit zou echt een grandioos probleem worden aangezien de licentie server online moet zijn en anders zouden slechts 5 VPS'n op een systeem kunnen draaien omdat dit alleen toegestaan is in de demo.

Wij gaan nu iedereen overzetten naar Virtuozzo, aangezien we helaas geen vertrouwen meer hebben in LXlabs en al helemaal niet meer in het bestaan er van na de zelfmoord actie.

De eigenaar was trouwens één van de weinigen die toegang had tot de source code, alles is gecodeerd in Zend dacht ik. Dus dat gaat ook al lekker.

Misschien toch maar weer gaan verdiepen in OpenVZ en XEN, als de Virtuozzo nodes klaar zijn en de klanten overgezet zijn misschien zelf maar een control panel maken. Zo moeilijk zal dit niet zijn... Beveiliging zal een stuk beter zijn, daar weet ik genoeg van af godzijdank.
Eh, ze vermoeden SQL injection in het management panel? Dat zou dus _kunnen_ betekenen dat alle HyperVM nodes gevoelig hiervoor zijn.
Dit zal interessant zijn om te volgen. Op de LXLabs fora werd begin dit jaar al aangegeven dat er regelmatig LxAdmin passwords gewijzigd werden, wat zou kunnen duiden op een intrusion

http://forum.lxlabs.com/i...t=msg&th=9372&start=0&
Verder loopt er nog een topic dat de founder&owner van LxLabs overleden is. Wat toevallig vandaag gepost is
http://forum.lxlabs.com/i...=msg&th=12372&start=0&

Waar rook is ....

* Rob.. aait OpenVZ-omgeving nog even

Dit zal het wel zijn geweest in dit geval:

#####################################################################
# ISSUE #24 - sql injection in the "Forgot Password" form
#####################################################################

You can use any username and email address for this - real or
otherwise - and the select statement will still be executed.
Note that the output is not displayed back to the user's client.


:N

[Reactie gewijzigd door robrt op 9 juni 2009 16:17]

daar heb je idd nooit problemen ;-)

bleh, en dan snel "aait openvz omgeving" weg-editen he ;-)

[Reactie gewijzigd door Bastiaan V op 9 juni 2009 14:56]

Heel erg vervelend, en gevaarlijk voor andere hostingbedrijven met soortgelijke software. Maar geen back-up maken (zelf) is gewoon oerstom. Tegenwoordig is het zo gemakkelijk dat het geen eens moeite meer kost (je logt meestal in een userpanel in, en druk op een simpele knop).

Maar ik vraag me af waar de backups van dit bedrijf gebleven zijn? Want ook zij moeten toch back-uppen neem ik aan?
Backup's zijn juist het lastigste wat er is.

Veel ruimte hosten is geen probleem. Maar diezelfde hoeveelheid backuppen is verschrikkelijk kostbaar. Kijk maar eens wat tapestreamers kosten... of eventueel HD backup systemen. De backup kost i.h.a. meer dan de servers zelf!!!

Aangezien de meeste websites bij de klant ook off-line aanwezig zijn, (meestal wordt er eerste op een lokale copy een edit uitgevoerd, alvorens het te uploaden) is een hosting zonder userdata backup een hele goede optie, aangezien het verschrikkelijk veel kosten uitspaart.

Zolang de klant er maar van doordrongen is dat het zelf voor een backup moet zorgen, is er weinig aan de hand.
Backup's zijn juist het lastigste wat er is.

Veel ruimte hosten is geen probleem. Maar diezelfde hoeveelheid backuppen is verschrikkelijk kostbaar. Kijk maar eens wat tapestreamers kosten... of eventueel HD backup systemen. De backup kost i.h.a. meer dan de servers zelf!!!
Dat ben ik niet met je eens. Stel je neemt de volgende aannames:
  • servers van ~ €2500/stuk - dual quadcore met 20GB RAM en 2x 250GB RAID1
  • 24 VM accounts per server
  • van 10GB space per stuk
  • waarvan gemiddeld 50% in gebruik is
  • levert ongeveer 120GB te backuppen per server
Je kan voor het geld van zo'n server ook een simpele dualcore met 2 GB RAM kopen met een heel aantal schijven van 1TB (zeg 12 stuks), waarmee je 100 (!) van deze servers kan backuppen, of ~ 80 met incrementals. Een beetje configureren van die bak isoleert hem nagenoeg van de het netwerk van de VM bakken en optioneel kan hij natuurlijk in een ander datacenter staan.
Dus wat betreft de hardware zou het om 1 á 2% van de kosten gaan. Natuurlijk zit er veel meer in het beheer/stroom/traffic, maar dat ter zeide.

[Reactie gewijzigd door gertvdijk op 9 juni 2009 19:00]

Zelfs al zou het om 1-2% van de kosten gaan: door geen backups te maken en dit ook als zodanig te communiceren ben je 1-2% goedkoper dan een vergelijkbare host die wel backups regelt.

Tegelijkertijd is een back-up niet zo eenvoudig als zijnde regelmatig een kopie trekken van de aanwezige data. Op de site van Vaserv.com is te vinden dat ze melden dat ze 180 servers met 2000 VPS accounts hersteld hebben. Volgens jouw berekening zou er dan 2000 * 0.5 * 10 = 20 terabyte opgeslagen moeten worden. Als je dan nagaat wat het kost om dit fatsoenlijk op te slaan (performance, offsite, offline, overige kosten) dan zal een budgethost zich al snel gaan afvragen of ze de verantwoordelijkheid hiervoor niet bij de klant kunnen wegleggen.
Heel erg vervelend, en gevaarlijk voor andere hostingbedrijven met soortgelijke software
Als je met soortgelijke software doelt op virualisatie software dan valt het wel mee denk ik... Virtualisatie wordt veel gebruikt en denk dat de andere pakketten iets veiliger zijn.

Het is dan ook de vraag of het verstandig is om duizenden sites te hosten op virtual machines die draaien op HyperVM ipv 1 van de gevestigde en bewezen pakketten....
Volgens mij levert deze webhoster een goedkope dienst waardoor je offline backups op de koop toe moet nemen.
Dit heeft weinig met hacken te maken. Dit is gewoon vandalisme.
Om precies te zijn is dit cracken dacht ik. En cracken/hacken kan vandalisme zijn, het hangt er van af wat er allemaal gedaan wordt.

In elk geval gaan wij verder met HyperVM momenteel aangezien andere control panels te duur zijn (HyperVM $0.50/maand/VPS) maar we gaan kijken of htaccess door de control panel geaccepteerd wordt. Dan kunnen we slechts één server toegang geven die de VPS'n commando's als herstarten en maken kan geven.

Verder hebben we al een gedeelte van de VPS'n overgezet naar Virtuozzo en zijn wij zelf bezig met het ontwikkelen van een basic control panel. Het mooie van HyperVM is namelijk dat OpenVZ los hiervan draait en HyperVM zo vervangen kan worden door een andere control panel, hoewel het wel nodig is om de gegevens van de VPS'n over te zetten...
de baas van het indiase bedrijf dat de virtualisatie software heeft meteen maar zelfmoord gepleegd:
http://www.theregister.co.uk/2009/06/09/lxlabs_funder_death/

Dus dat van die 1-0 is een beetje wrang.
wow dat is lekker dan. Die zou zich wel zo dusdanig schuldig/hulpeloos gevoeld hebben dat hij tot deze daad gekomen is. Zou dit betekenen dat die software dus zo gaar als een klontje is?
Er zijn enkele dagen terug 24 grote security lekken openbaar gemaakt voor kloxo wat dezelfde basis heeft als hypervm. Een stuk of 10 waren er ook bruikbaar op hypervm. Toen vond de gene die ze gepubliceerd heeft het wel genoeg want zo'n beetje alles was zo lek als een mandje...

http://www.milw0rm.com/exploits/8880
Beestachtig .. 100.000den websites verdwenen na één hack.
Hoe zoiets zich ook ontwikkeld ..

Het begint met een mailtje waarin de ontdekker de programmeur netjes op de hoogte brengt van de mankementen ..

# Timeline :
#
# 05/21/2009 - sent initial email to vendor with a link to a private
# resource for viewing various kloxo hiab575
# vulnerability info
#
# 05/23/2009 - received the following: "Thanks for the info. I will
# review this and let you know." (no signature)
#
# 05/30/2009 - sent an email asking if there were any updates?
#
# 06/01/2009 - received the following: "Sorry for the delay. I am
# currently looking into this, and will reply in a couple
# of hours time." (no signature)
#
# 06/04/2009 - nothing heard from vendor, and the private resource
# containing the vulnerability info still does not
# appear to have been accessed
#
#
# 2 weeks have passed since the initial notification. Vendor appears
# uninterested.

De programmeur lijkt ongeïnteresseerd en doet geen r**t
.. dus hij post het vervolgens online:
http://www.milw0rm.com/exploits/8880

Een volledige howto hoe je alle 24 exploits kunt toepassen .. je hoeft er vrijwel geeneens kennis voor te hebben...

# 06/07/2009
Afgelopen zondag, 3 dagen later wordt deze Britse provider gehackt en worden de sites verplaatst naar /dev/null ….

# 06/08/2009
Maandag maakt de programmeur, eigenaar en leverancier van deze virtualisatie software er een eind aan ……….


Bizar .. :|
Prachtige bron. Zo zie je maar weer dat als je afhankelijk bent van de software die je koopt. Vond het bijzonder om te zien dat die exploits openbaar zijn gemaakt omdat het bedrijf er niet op wilde reageren, laat staan de bugs inzien dus dan maar zo.

Dat is toch bizar! Als jij als bedrijf software maakt dan zorg je er toch voor dat je het zo veilig mogelijk maakt en ook netjes bijhoudt. Eigen schuld dikke bult

Fijn dat de huis-tuin-en keukengebruiker nu zo de dupe is, maarja ze hadden ook voor hun dagelijkse backup kunnen betalen.
maar het vreest dat de data van een groot aantal websites voorgoed verloren is gegaan, omdat veel klanten geen backups zouden hebben.
Dat is ook iets waar ik als klant vanuit zou gaan dat de hoster dit netjes geregeld heeft, zodat ik geen last heb, van eventuele hard- of software problemen.

Verder is het uiteraard een kwalijke zaak dat hackers ook echt data verwoest hebben, ik hoop echt dat ze in dit geval de mensen vinden die er achter zitten, want dit is echt een kansloze actie. Terwijl ik normaliter nog wel voor het hacken en vinden van security issues ben.
Volgens het artikel waren het unmanaged accounts, wat dus inhoudt dat er geen backups worden gemaakt. Ik kan dan ook niet heel veel medelijden met de klanten in kwestie hebben, waarschijnlijk waren het allemaal mensen die voor een dubbeltje op de eerste rang wilden zitten en nu gaan lopen te miepen over de service waar ze niet voor wilden betalen.

Voor de webhoster is het natuurlijk wel een ramp. Je kunt nog wel zo leuk dergelijke budget hostingpakketten aanbieden, maar als het misgaat wil je je klanten toch zo veel mogelijk buiten schot houden...
Nog veel erger voor de hosting provider is dat veel klanten uit onvrede over het geen gebeurt is en zonder te beseffen dat een andere provider waarschijnlijk niet veel meer zekerheid kan bieden (geen backup is nu eenmaal geen backup) naar een ander bedrijf overstappen.
Als je dan bedenkt dat een hosting account waarschijnlijk rond de $8 per maand kost, zo niet meer, per klant dan is het verlies van 100.000 websites en mogelijk een verlies van ~50% van deze klanten dus ook een verlies van rond de $400.000 omzet per maand. Iets dat voor heel veel bedrijven een groot probleem op zal leveren.

Naast het directe verlies is er ook het gezichts verlies, 100.000 websites verliezen is niet iets wat men snel vergeet en dat zou best wel eens een aantal niet getroffen klanten kunnen kosten die liever bij een "veiliger" hosting bedrijf hun site onder brengen. Daar naast zullen toekomstige klanten zich nog wel eens goed bedenken voor zij van de service van dit bedrijf gebruik zullen maken.
Ik denk juist dat je nu voor dit bedrijf kan kiezen, want die zal alles doen om dit niet meer voor te laten komen!
Kick? Als je kikt op het offline halen van een website, wat moet de kick dan niet zijn om een raam in te gooien!

Maar gooien normale mensen ramen in? Neen. Opsporen en financieel pluimen die crimineeltjes. Laat ze de komende 20 jaar maar werken om hun schulden te betalen.
[...]


Dat is ook iets waar ik als klant vanuit zou gaan dat de hoster dit netjes geregeld heeft, zodat ik geen last heb, van eventuele hard- of software problemen.
Je moet nooit ergens vanuit gaan als klant!! altijd goed de voorwaarde lezen!
maar ja dat doe je de volgende keer wel als je zoiets meemaakt.

Altijd zelf zorgen voor een goede backup...
Kijk, misschien had dit bedrijf zijn zaakjes wel 'redelijk' op orde. Maar als een klant geen backupdiensten afneemt, dan is het gewoon 'pech' voor de klant.
Het is natuurlijk onzin dat jij als klant extra diensten moet gaan afnemen omdat een bedrijf war jij klant bent geen verantwoordelijkheid neemt voor zijn hardware/software.
Als het bedrijf zijn zaakjes goed op orde had gehad, dan waren er niet zo veel servers in een keer weg. Misschien dat er dan 1 of 2 machines neer gegaan waren, maar als je het hebt over 24 servers hebt, lijkt me dat geenszins de fout van de klant.

Natuurlijk gaat hier ook weer het standaard SLA verhaaltje op, maar toch, eigenlijk is een SLA niets meer dan een verklaring van onbekwaamheid.
Een auto leverancier is ook niet verantwoordelijk als iemand tegen je auto aanrijd, daar neem je een extra dienst voor af, je verzekerd jezelf. Je koopt toch ook geen auto en gaat er meteen vanuit dat je verzekerd bent, dat moet je apart afsluiten. Zelfde geld voor backups...

Dubbeltje op eerste rij zitten gedrag imho.

Daar komt bij dat een 'backup' geheel geen garanties geeft op de beschikbaarheid van je data bij een aanval. Een 'backup' hoeft niet veel meer te zijn dan een kopie op een andere server, als je servers gehackt worden dan kunnen net zo goed je 'backup' servers worden gewist. Zelfs als je het op tape backups heb staan dan zou je van buitenaf nog steeds toegang kunnen hebben tot de tape-robot. Of de data komt al niet op de 'backup' tapes aan omdat hacker/crackers hebben zitten rotzooien met de 'backup' software en men komt er pas veel te laat achter (maanden/weken, afhankelijk van je 'backup' cyclus).
Ik heb juist expres voor een hoster gekozen die geen backups maakt. Ik wil niet dat mijn (prive) data gekopieerd wordt.
Het is natuurlijk onzin dat jij als klant extra diensten moet gaan afnemen omdat een bedrijf war jij klant bent geen verantwoordelijkheid neemt voor zijn hardware/software.
Als het bedrijf zijn zaakjes goed op orde had gehad, dan waren er niet zo veel servers in een keer weg. Misschien dat er dan 1 of 2 machines neer gegaan waren, maar als je het hebt over 24 servers hebt, lijkt me dat geenszins de fout van de klant.

Natuurlijk gaat hier ook weer het standaard SLA verhaaltje op, maar toch, eigenlijk is een SLA niets meer dan een verklaring van onbekwaamheid.
Dat klopt daar ben ik het met je eens, maar je moet er wel rekening mee houden of naar vragen. Ik wil alleen duidelijk maken dat je nooit zomaar klakkeloos overal vanuit moet gaan. Maar ook zelf hier actief in mee moet zijn.
p de webservers van Vaserv draaiden ruim honderdduizend websites op basis van zogenaamde 'unmanaged accounts'. Hierbij wordt geen offline backup gemaakt van de data.
Als je hier je website host, dan weet je dat je zelf backups moet maken. Zal vast ergens vermeld zijn. Neemt niet weg dat het een vervelend voorval is. Het feit dat de hackers in het wilde weg websites hebben gewist, komt op mij over als afreageren. Misschien zijn met mensen die een probleem hebben met het hostingsbedrijf, of ze konden juist geen 'gevoelige data' vinden, en wilden op een andere manier hun spoor achter laten?
unerase programma's??
op basis van zogenaamde 'unmanaged accounts'.
Lijkt me dus niet dat het in dit geval iets is waar je als klant van uit kunt gaan.
Dat is echt hatelijk! Moedswillig data van onschuldige mensen kapot maken. Ik kan me inbeelden dat daar talloze kleine bedrijfjes tussen zaten die fier waren aanwezig te zijn op het net. Veel werk en veel geld (voor kleine zaakjes is 500€ veel geld) gewoon totaal verloren. Als deze personen gevonden zouden worden dient hen een fikse straf en geldboete te worden opgelegd als je het mij vraagt.
Sorry maar als je er zo veel tijd en moeite in hebt gestoken ga je toch niet al dat werk van de betrouwbaarheid van je webhoster af laten hangen? Dan zorg je toch juist zelf voor backups als het zo belangrijk is en veel waarde vertegenwoordigt?
Agreed, maar dat neemt niet weg dat het volstrekt onnodig is die data te deleten als bewijs van het lek.
Ik weet hier in de buurt mensen wonen met een zaak die een website hebben laten maken, het bedrijfje dat dat gedaan heeft is allang failliet en als ik hen sprak van back-up, dan hoorden ze het donderen in Keulen.

Deze personen zullen dan ook niet alleenstaande gevallen zijn volgens mij.
Het bedrijf waar ik werk is een kleine KMO, vorig jaar hebben we in een van onze kleinere databases ook problemen gehad met hackers, via sql injecties hadden ze script-tags toegevoegd. We werden toen net heel hard door de crisis getroffen en konden elk uur dat kon gefactureerd worden hard gebruiken, maar door die hack moesten 2 personen een halve dag zich op die database storten.
Sommige mensen zien echt niet in welke schade ze berokkenen met hun daden.
Sommige mensen zien echt niet in welke schade ze berokkenen met hun daden.
Ik neem aan dat je het dan hebt over de programmeurs die de deuren tot de database wagenwijd hebben opengezet? Wanneer je anno 2009 als programmeur nog niet in staat bent om SQL injection tegen te gaan, dan heb je toch wel een klein beetje een gebrek aan structuur in je werkzaamheden. Ga niet klagen dat iemand anders deze openstaande deuren intrapt, de programmeur heeft ze zelf open gezet. Het is dus zijn schuld, ga dan ook bij hem de schade verhalen. Bedrijven die door dit soort problemen omvallen of dreigen om te vallen, horen ook geen software meer te leveren, de kwaliteit is gewoon ver onder de maat. Rustig laten omvallen dit soort bedrijven, wees blij dat je er vanaf bent.

SQL injection is iets uit de vorige eeuw, vandaag de dag kun je daar eenvoudig maatregelen tegen nemen. Wanneer je dat niet wilt doen, je kiest er echt zelf voor, dan ben je gewoon dom bezig.
|:(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True