Privégegevens op straat na lek Wksuperpool-site

De beveiliging van de site Wksuperpool.nl, waar internetters uitslagen van WK-wedstrijden kunnen voorspellen, was tot woensdag zo lek als een mandje. Iedereen kon de database, de sourcecode en de mailadressen opvragen.

De beveiligingsproblemen van Wksuperpool.nl werden blootgelegd door tweaker DennusB. Door simpelweg een foldernaam in de adresbalk van de browser in te vullen, kwam hij erachter dat de sql-database en de sourcecode van de site konden worden opgevraagd. Daarnaast waren in een sql-bestand honderden onversleutelde mailadressen te vinden. De wachtwoorden waren wel met een md5-hash gecodeerd, maar een kwaadwillende had onder meer met rainbow tables nog veel passwords kunnen achterhalen. Uit de source bleek ook dat de WK-site extreem kwetsbaar voor sql-injecties was. "De beveiliging is nul komma nul", aldus DennusB.

Onduidelijk is hoeveel mensen toegang tot de back-end van de site hebben gehad. Het bedrijf JIM Internet Services, beheerder van de site, zegt tegenover Tweakers.net 'geen mededelingen' over het voorval te kunnen doen. Wel zijn de url die toegang tot de source gaf en de database sinds woensdag afgeschermd. Wksuperpool wist deze maand gemiddeld meer dan 50.000 hits per dag te genereren, zo blijkt uit de statistieken van de site. De site kent meer dan 18.000 deelnemers.

Het gebeurt vaker dat sites die relatief snel worden ontwikkeld naar aanleiding van actuele gebeurtenissen zoals een WK, slecht beveiligd zijn. "Dit is precies het soort risico waar wij aandacht voor vragen met ons Zwartboek datalekken en dit is ook waarom wij in onze recent gepubliceerde Zelfverdedigingsgids voor internetgebruikers adviseren om tijdelijke e-mailadressen te gebruiken voor websites die je nog niet helemaal vertrouwt", zegt Ot van Daalen van Bits of Freedom. De privacyorganisatie raadt internetters aan terughoudend te zijn met het verstrekken van persoonlijke gegevens op websites.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 24-06-2010 16:18
117 • submitter: DennusB

24-06-2010 • 16:18

117

Submitter: DennusB

Lees meer

Hackers maken miljoenen mailadressen buit na hack mailbedrijf VS
Hackers maken miljoenen mailadressen buit na hack mailbedrijf VS Nieuws van 4 april 2011
'Autocomplete-functies in browsers zijn onveilig'
'Autocomplete-functies in browsers zijn onveilig' Nieuws van 28 juli 2010
Hackers krijgen gegevens miljoenen Pirate Bay-gebruikers in bezit
Hackers krijgen gegevens miljoenen Pirate Bay-gebruikers in bezit Nieuws van 9 juli 2010
Multiple SQL injections on The Pirate Bay
Multiple SQL injections on The Pirate Bay Video van 9 juli 2010
Hackers konden door lek in ov-site bij gegevens 168.000 personen
Hackers konden door lek in ov-site bij gegevens 168.000 personen Nieuws van 18 mei 2010
Google geeft les in websitebeveiliging
Google geeft les in websitebeveiliging Nieuws van 5 mei 2010
Meer producten en artikelen
Websites en community's Privacy Beveiliging Datalek Hackers Webserver

Reacties (117)

-Moderatie-faq
117
111
76
2
0
0
Wijzig sortering

Sorteer op:

Weergave:
dezejongeman 24 juni 2010 16:35
website is inmiddels wel offline ahah.
maar idd dit is not done. maar goed hobby-boppers hou je altijd. als je niet weet hoe het precies in elkaar zou moeten zitten, ga dan eerst research doen en testen met NIET prive gegevens maar FAKE gegevens om dit soort blamages te voorkomen.
Verwijderd @dezejongeman24 juni 2010 16:45
Het niveau van professionaliteit van het bedrijf achter de website laat zich ook wel raden met een nieuwsbericht als:
24 juni 2010, 16:39 uur
Aan iedereen

Onverlaten proberen het spel voor iedereen te verzieken.
ip adressen zijn aan de politie doorgegeven.
Dit slaat natuurlijk nergens op, en is niets meer en minder dan het verdraaien van waarheden zodat ze voor jou het beste uitkomen. Ik zie ook geen enkele zin waarin staat dat de e-mail adressen van "iedereen" wekenlang beschikbaar zijn geweest voor iedereen die zowel goeds, als kwaads in de zin had.

edit:
Het valt mij ook op hoeveel privacy gevoelige informatie de /stats/ nog steeds vrijgeven. Zo is het overduidelijk dat de leraren op basisschool "De Leerlingst" allemaal meedoen aan de WK-poule via wksuperpool.nl. Erg slordig dat exchange webmail geen nette exit pagina heeft voor externe URL's. De historie staat vol met referrals als;

http://www.website.com/ex...uikersnaam/Inbox/Activeer Uw account voor WK Superpool!.[

[Reactie gewijzigd door Verwijderd op 25 juli 2024 00:36]

Eagle Creek @Verwijderd24 juni 2010 16:52
Klinkt echt professioneel (not).
Ik denk dat ze beter hun tijd kunnen steken in het luisteren naar waarschuwingen en oplossingen zoeken, dan zulke kinderachtige berichten te plaatsen.
robvanwijk
@Verwijderd24 juni 2010 23:52
Het valt mij ook op hoeveel privacy gevoelige informatie de /stats/ nog steeds vrijgeven.
Dat valt (inmiddels!) toch wel mee: "You don't have permission to access /stats/ on this server.". Maar eh, ik heb het gevoel dat iemand van die lui hier mee zit te lezen en alles wat genoemd wordt zo snel mogelijk patched (ik gebruik opzettelijk niet het woord "fixed"), ook dat nieuwbericht dat je quote kan ik nergens terugvinden.
BitBiker @Verwijderd24 juni 2010 16:54
Ik ga ze voorstellen het woord "onverlaten" te vervangen door "onbekwamen" ;)
pim 24 juni 2010 17:09
Ik had de website www.wkpoultje.nl al ingelicht dat hun website zo lek als een mandje is.. Je kon html/javascript gebruiken in je username... Zo is het een eitje om iedereen zijn cookieinhoud door te sturen naar je eigen server.
Verwijderd @pim24 juni 2010 18:02
http://www.wkpoultje.nl/phpmyadmin/

Zoiets zet je toch niet publiek toegangkelijk? Op zen minst niet met de standaardnaam. & dan nog via http...
aKeY @Verwijderd25 juni 2010 09:36
Veel providers gebruiken deze instelling standaard, is het dan een fout van de gebruiker of de webhoster? ;)

Ben het verder wel met je eens hoor ;)
Bobmeister @pim24 juni 2010 17:18
Ongelovelijk! Ik kijk,, vind een exploit en heb de hele database al binnen :x Ik zal de site op de hoogte stellen.
DanielG 24 juni 2010 17:21
Het is vast niet de enige wk poule site waarvan de security twijfelachtig is, ik kijk 5 minuten op www.wk.nl en kom al meteen een sql injectie mogelijkheid tegen.
Petervanakelyen @DanielG24 juni 2010 17:59
Jah, OK, next? :P Misschien even een mail sturen naar de beheerders voor je zo'n reacties krijgt zoals deze.
BastiaanN @DanielG24 juni 2010 18:19
Het is mij inmiddels al gelukt om alle databases en tabellen via die pagina op te vragen... Ik ga ze straks maar even mailen met mijn bevindingen want zo te zien is het ook niet al te moeilijk om er data uit te halen.
Verwijderd @DanielG24 juni 2010 17:47
Handig! Die website staat binnenkort dus ook op de frontpage? : )
mmjjb @Verwijderd24 juni 2010 17:52
Dat is net wat ik dacht..

hup weer een optioneel nieuws artikel er bij. :9


@ontopic:

Belachelijk eigenlijk dat ze mensen met maar half kennis van PHP, een site laten scripten.. dat soort lui moeten het gewoon bij html houden... of op zijn minst PHP zonder SQL.

[Reactie gewijzigd door mmjjb op 25 juli 2024 00:36]

Tha_Butcha 24 juni 2010 16:45
Heeft DennusB eigenlijk ook zelf contact gezocht met de webmasters?

dit staat er overigens op de site:
24 juni 2010, 16:39 uur
Aan iedereen

Onverlaten proberen het spel voor iedereen te verzieken.
ip adressen zijn aan de politie doorgegeven.
Verder staat er niks vermeld.
DennusB @Tha_Butcha24 juni 2010 16:48
Nee ik heb zelf geen contact gezocht met de beheerders.
Ik vond het een enorm slordige fout, en vond het een logischere stap om dit via Tweakers te spelen. Misschien leren ze er dan iets van :)
Eagle Creek @DennusB24 juni 2010 16:56
Logische stap? Eerhm...
Nu kan eenieder dezelfde stappen ondernemen, en nog meer mensen in diskrediet brengen.

Eerst de site op de hoogte stellen, dan pas naar de media. Kom op..

[Reactie gewijzigd door Eagle Creek op 25 juli 2024 00:36]

DennusB @Eagle Creek24 juni 2010 16:58
Waarom? het lek is toch al weg ? :) Dus niemand kan er iets mee nu ;)
Eagle Creek @DennusB24 juni 2010 16:59
En wat als er geen beheerder was die er snel iets aan kon doen? Uiteraard nog steeds hun fout, maar derden hebben er last van. Een 'redelijke termijn' tussen melding en media lijkt me wel zo sociaal.
DennusB @Eagle Creek24 juni 2010 17:00
Tweakers is ook niet gek :)
Eagle Creek @DennusB24 juni 2010 17:01
Ik ken niet het hele verhaal. Het voordeel van de twijfel in dat geval dan maar.
Maar ik hoop dat je snapt wat ik bedoel :).
AuteurOlaf @Eagle Creek24 juni 2010 17:30
Ik heb heb ruim voor publicatie twee keer contact opgenomen met de beheerder en kort uitgelegd wat er gaande was en dat we er over wilden publiceren. Zoals in het artikel staat wilde hij geen mededelingen doen en hij vroeg ook niet om meer informatie.
Eagle Creek @Olaf24 juni 2010 17:32
Ik dat geval heb ik weinig gezegd.
Evenwel blijf ik dit de verantwoordelijkheid vinden van Dennus, en niet van Tweakers. Genoeg media (a la GS) die er vol mee aan de haal zouden gaan.

Bedankt voor je toelichting.
Arnoud Engelfriet @DennusB24 juni 2010 16:54
Goed gegaan. Als ze juridisch moeilijk doen, mail mij dan even.
Petervanakelyen @Tha_Butcha24 juni 2010 17:51
Klootzakken. Je mag blij zijn dat iemand het heeft ontdekt. :X
Wat een gigantisch egoïstische bende. En de onkunde is ook duidelijk te merken:
ip adressen zijn aan de politie doorgegeven
Wie dachten ze hiermee voor de aap te houden? Met een IP-adres kan je echt niets.
Ben blij dat ik nooit een account had en zal dat ook zeker nooit in mijn leven maken. Door zo'n berichten op je site te zetten moedig je anderen nog aan om het zo mogelijk nog meer naar de kloten de helpen als hij wel weer online is. Ode aan de tweaker die het ontdekt heeft.
Joost @Petervanakelyen24 juni 2010 18:47
Met een IP-adres kan je echt niets.
De politie en het OM wel, ze kunnen nauwkeurig elk ip-adres aan een adres en een persoon koppelen. Internetproviders geven namelijk elke dag door welk ip-adres op wiens naam staat.

Dus als er strafbare feiten zouden zijn begaan (wat hier echt niet het geval is), dan kun je echt wel wat met een ip-adres.
Delgul @Joost25 juni 2010 01:09
Probleem is dat als je je site op zo'n manier online zet, het erg moeilijk is om te bewijzen dat er misbruik van is gemaakt. Zover ik weet is het niet strafbaar in Nederland om meer info te halen van een site dan origineel is bedoeld. Ik bedoel dit is zoiets als naar de rechter gaan en zeggen: "Ja ik had een zak geld buiten in mijn vuilnis gegooid en het was eigenlijk niet de bedoeling dat die werd gejat, maar die vuile zwerver daar heeft het gevonden en mee genomen". Kansloos dus...
Verwijderd @Petervanakelyen24 juni 2010 18:28
Met een ip nr kan je wel degelijk iets. Zolang het een goed geregistreerd ip nr is á la SIDN, dan kun je redelijk wat gegevens trekken uit hun ip database. Het wordt pas wat anders als iemand z'n ip misbruikt wordt, of dat het via een of andere route op de wksuperpool site uit kwam. IP's loggen doen ze niet zomaar. Ze kunnen dat ook gebruiken om je te blocken voorzover dat helpt (tegen een eenling misschien).
Bilel @Tha_Butcha24 juni 2010 16:50
Ego boven waardigheid zie je maar weer, waar die ego dan vandaan komt snap ik niet want zo slordig zijn de testversies van mijn projecten nog niet eens.

[Reactie gewijzigd door Bilel op 25 juli 2024 00:36]

Bobmeister 24 juni 2010 18:02
Ook www.wkpoultje.nl is de database binnen enkele minuten te kraken. Hoe dit op te lossen ;)
ObAt @Bobmeister24 juni 2010 18:24
Volgens mij barst bij het gros PHP-hobbyisten door dit nieuwsbericht het zweet uit.

Ontopic maar weer :P:

WKTrainer is ook al z'n slimme :P. Ik krijg zelfs PHP-errors bij sommige handelingen waardoor ik de hele structuur van het script kan bekijken.

Ik heb trouwens een mailtje gestuurd en natuurlijk geen data achter gehouden :P.
Bobmeister @ObAt24 juni 2010 18:27
Ik heb zonet ook een e-mail gestuurd met daarin dat hun database te kraken valt. Ben enkel in hun database geweest om mijn gelijk te bewijzen. :)

Het komt er trouwens op neer dat zo'n 140.000 e-mailadressen voor het oprapen liggen. Spammers betalen daar bakken geld voor :X ?

[Reactie gewijzigd door Bobmeister op 25 juli 2024 00:36]

console @Bobmeister24 juni 2010 18:42
Je kan er wel iets leuks aan verdienen, dat word weer zakken vullen O-)
Verwijderd 25 juni 2010 04:30
ik heb er wel begrip voor. je wilt een leuke site maken, maar security moet nou eenmaal goed geregeld.. want er zijn altijd kwaadwillenden. wel jammer, anders zouden dit soort projecten een stuk makkelijker/leuker opgezet kunnen worden. maarja, de wereld is hard!

hoop wel dat ze het fixen en weer doorgaan!
cariolive23 @Verwijderd25 juni 2010 08:04
Begrip? Voor een site die anno 2010 nog helemaal niets tegen SQL injection en/of XSS doet en alle source open en bloot in een publieke map zet? Deze mensen hebben geen flauw idee waar ze mee bezig zijn en horen een verbod te krijgen om nog langer hiermee bezig te zijn. Ze hebben duidelijk laten zien tot welke wanprestaties ze in staat zijn, het lijkt me sterk dat mensen hier op zitten te wachten.

SQL injection is zó simpel te voorkomen, het kost mij meer moeite om iets te maken zónder beveiliging dan mét beveiliging... Zeker in PHP, die heeft namelijk de functie pg_query_params() waarmee het extreem eenvoudig is om variabelen veilig in een query te zetten. Dit is de meest eenvoudige methode en het is nog veilig ook.
Verwijderd @cariolive2325 juni 2010 10:02
[offtopic]
Interessante functies; pg_query_*
Kende ik nog niet, al ga ik al een paar jaar mee in de PHP wereld. Ga ik zeker beter bestuderen.

[reactie]
Het grootste probleem is niet zozeer dat mensen niet weten waar ze mee bezig zijn, maar hebben ooit PHP geleerd en houden daar aan vast. Waarschijnlijk zijn al die sites nog geprogrammeerd met PHP 4 (als het geen 3 is) en in deze versies zijn vaak de nieuwe (lees: veiligere) functies niet beschikbaar.

Voorbeeld: zelf schrijf ik alles in classes, waardoor ik 100% controle heb over zowel de input als de output. Mijn collega komt nog uit het PHP 3 tijdperk en heeft daar nog nooit van gehoord (zelf niet als ik het uitleg) en schrijft alles nog "los". Hierdoor zijn zijn scripts minder veilig, terwijl die van mij tegen een stootje kunnen (niets is 100% veilig).
Verwijderd 24 juni 2010 16:24
Vind het erg bijzonder dat iemand capabel genoeg is om zo'n site op te zetten maar heel naief denkt dat je alles is een publiek mapje 'source' kan gooien zonder al te veel gedoe..

Ik ben zeker geen pro web-ontwikkelaar maar dit soort fouten, komop!
TDeK
@Verwijderd25 juni 2010 09:31
Tja, het is ook letterlijk één setting in Apache (directe folder toegang uitzetten), dan was je er al geweest. Deels, want in het hele ontwerp was security zo te zien niet aan de orde. Je ziet dit trouwens wel vaker hoor, mailformulieren met veel private data die gewoon unencrypted verstuurd worden, plain text wachtwoorden in databases enz.
Wannial 24 juni 2010 16:34
Het gebeurt vaker dat sites die relatief snel worden ontwikkeld naar aanleiding van actuele gebeurtenissen zoals een WK, slecht beveiligd zijn. "
Hoelang vantevoren weten ze al dat het WK eraankomt... juist!!
Erg slechte zaak dit dat een bedrijf zo slecht omspringt met persoonsgegevens

Ik hoop iniedergeval niet dat er een kwaadwillend iemand vandoor is met de gegevens van alle accounts.

[Reactie gewijzigd door Wannial op 25 juli 2024 00:36]

robvanwijk
@Wannial24 juni 2010 23:44
Hoelang vantevoren weten ze al dat het WK eraankomt... juist!!
Dat is niet helemaal eerlijk, je moet rekenen vanaf het moment waarop deze mensen weten dat ze een online pool gaan opzetten. Als jij ooit van je leven ook maar iets te maken hebt met een WK, EK, Olympische Spelen of een jaarlijks evenement, dan is het toch ook niet eerlijk om te klagen dat jouw (zeg eens iets) WK2050 site lek is terwijl je al 40 jaar vantevoren wist dat het eraan kwam...
Erg slechte zaak dit dat een bedrijf zo slecht omspringt met persoonsgegevens
Is nalatigheid ook strafbaar als er geen misbruik is geweest?
Verwijderd 25 juni 2010 08:31
Slechte beveiliging is een ding, iemand zonder programmeerkennis herkent niet alle risico's. (hoewel dat eigenlijk geen excuus is)
Maar source in een gecomprimeerde file laten staan zodat iedereen het kan downloaden is wel heel erg dom.
Onduidelijk is hoeveel mensen toegang tot de back-end van de site hebben gehad
Tweakers kan niet bij de serverlogs maar dit is voor de beheerders natuurlijk heel eenvoudig na te kijken op een standaard server.
latka @Verwijderd25 juni 2010 08:47
Onzin, als alleen de binaries er staan en het is .net of Java dan decompile je het bijna tot het origineel terug. M.a.w. de sourcecode laten staan is hier nauwelijks het probleem. En als het een PHP site is dan staat de source gewoon in de php en is er al helemaal geen sprake van enige schijnbeveiliging met een compiler.
Verwijderd 25 juni 2010 10:56
die DennusB is eigenlijk knap fout bezig sites aflopen op beveiliging en dan op een
forum beetje aandacht voor zichzelf vragen eigenlijk vindt ik het ook wel weer
zielig allemaal , de kleuterschool was erg maar dit is niet veel beter, ok de deur stond
open dus ik mag doen wat ik wil ?, waar heeft zo'n jongetje zijn brains vraag je je
dan af ...
cariolive23 @Verwijderd25 juni 2010 11:25
Hij heeft in elk geval meer brains dan de sukkels die zulke brakke websites maken. Daarnaast toont hij aan dat hij z'n brains gebruikt, dat kunnen genoemde sukkels niet zeggen... SQL injection is zó 1990!

DennusB is dus niet half zo fout bezig als deze sukkels, die zouden zich echt kapot moeten schamen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq