Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 117 reacties
Submitter: DennusB

De beveiliging van de site Wksuperpool.nl, waar internetters uitslagen van WK-wedstrijden kunnen voorspellen, was tot woensdag zo lek als een mandje. Iedereen kon de database, de sourcecode en de mailadressen opvragen.

De beveiligingsproblemen van Wksuperpool.nl werden blootgelegd door tweaker DennusB. Door simpelweg een foldernaam in de adresbalk van de browser in te vullen, kwam hij erachter dat de sql-database en de sourcecode van de site konden worden opgevraagd. Daarnaast waren in een sql-bestand honderden onversleutelde mailadressen te vinden. De wachtwoorden waren wel met een md5-hash gecodeerd, maar een kwaadwillende had onder meer met rainbow tables nog veel passwords kunnen achterhalen. Uit de source bleek ook dat de WK-site extreem kwetsbaar voor sql-injecties was. "De beveiliging is nul komma nul", aldus DennusB.

Onduidelijk is hoeveel mensen toegang tot de back-end van de site hebben gehad. Het bedrijf JIM Internet Services, beheerder van de site, zegt tegenover Tweakers.net 'geen mededelingen' over het voorval te kunnen doen. Wel zijn de url die toegang tot de source gaf en de database sinds woensdag afgeschermd. Wksuperpool wist deze maand gemiddeld meer dan 50.000 hits per dag te genereren, zo blijkt uit de statistieken van de site. De site kent meer dan 18.000 deelnemers.

Het gebeurt vaker dat sites die relatief snel worden ontwikkeld naar aanleiding van actuele gebeurtenissen zoals een WK, slecht beveiligd zijn. "Dit is precies het soort risico waar wij aandacht voor vragen met ons Zwartboek datalekken en dit is ook waarom wij in onze recent gepubliceerde Zelfverdedigingsgids voor internetgebruikers adviseren om tijdelijke e-mailadressen te gebruiken voor websites die je nog niet helemaal vertrouwt", zegt Ot van Daalen van Bits of Freedom. De privacyorganisatie raadt internetters aan terughoudend te zijn met het verstrekken van persoonlijke gegevens op websites.

Moderatie-faq Wijzig weergave

Reacties (117)

website is inmiddels wel offline ahah.
maar idd dit is not done. maar goed hobby-boppers hou je altijd. als je niet weet hoe het precies in elkaar zou moeten zitten, ga dan eerst research doen en testen met NIET prive gegevens maar FAKE gegevens om dit soort blamages te voorkomen.
Het niveau van professionaliteit van het bedrijf achter de website laat zich ook wel raden met een nieuwsbericht als:
24 juni 2010, 16:39 uur
Aan iedereen

Onverlaten proberen het spel voor iedereen te verzieken.
ip adressen zijn aan de politie doorgegeven.
Dit slaat natuurlijk nergens op, en is niets meer en minder dan het verdraaien van waarheden zodat ze voor jou het beste uitkomen. Ik zie ook geen enkele zin waarin staat dat de e-mail adressen van "iedereen" wekenlang beschikbaar zijn geweest voor iedereen die zowel goeds, als kwaads in de zin had.

edit:
Het valt mij ook op hoeveel privacy gevoelige informatie de /stats/ nog steeds vrijgeven. Zo is het overduidelijk dat de leraren op basisschool "De Leerlingst" allemaal meedoen aan de WK-poule via wksuperpool.nl. Erg slordig dat exchange webmail geen nette exit pagina heeft voor externe URL's. De historie staat vol met referrals als;

http://www.website.com/ex...uikersnaam/Inbox/Activeer Uw account voor WK Superpool!.[

[Reactie gewijzigd door not3pad op 24 juni 2010 16:59]

Klinkt echt professioneel (not).
Ik denk dat ze beter hun tijd kunnen steken in het luisteren naar waarschuwingen en oplossingen zoeken, dan zulke kinderachtige berichten te plaatsen.
Het valt mij ook op hoeveel privacy gevoelige informatie de /stats/ nog steeds vrijgeven.
Dat valt (inmiddels!) toch wel mee: "You don't have permission to access /stats/ on this server.". Maar eh, ik heb het gevoel dat iemand van die lui hier mee zit te lezen en alles wat genoemd wordt zo snel mogelijk patched (ik gebruik opzettelijk niet het woord "fixed"), ook dat nieuwbericht dat je quote kan ik nergens terugvinden.
Ik ga ze voorstellen het woord "onverlaten" te vervangen door "onbekwamen" ;)
Ik had de website www.wkpoultje.nl al ingelicht dat hun website zo lek als een mandje is.. Je kon html/javascript gebruiken in je username... Zo is het een eitje om iedereen zijn cookieinhoud door te sturen naar je eigen server.
http://www.wkpoultje.nl/phpmyadmin/

Zoiets zet je toch niet publiek toegangkelijk? Op zen minst niet met de standaardnaam. & dan nog via http...
Veel providers gebruiken deze instelling standaard, is het dan een fout van de gebruiker of de webhoster? ;)

Ben het verder wel met je eens hoor ;)
Ongelovelijk! Ik kijk,, vind een exploit en heb de hele database al binnen :x Ik zal de site op de hoogte stellen.
Het is vast niet de enige wk poule site waarvan de security twijfelachtig is, ik kijk 5 minuten op www.wk.nl en kom al meteen een sql injectie mogelijkheid tegen.
Jah, OK, next? :P Misschien even een mail sturen naar de beheerders voor je zo'n reacties krijgt zoals deze.
Het is mij inmiddels al gelukt om alle databases en tabellen via die pagina op te vragen... Ik ga ze straks maar even mailen met mijn bevindingen want zo te zien is het ook niet al te moeilijk om er data uit te halen.
Handig! Die website staat binnenkort dus ook op de frontpage? : )
Dat is net wat ik dacht..

hup weer een optioneel nieuws artikel er bij. :9


@ontopic:

Belachelijk eigenlijk dat ze mensen met maar half kennis van PHP, een site laten scripten.. dat soort lui moeten het gewoon bij html houden... of op zijn minst PHP zonder SQL.

[Reactie gewijzigd door mmjjb op 24 juni 2010 17:55]

Heeft DennusB eigenlijk ook zelf contact gezocht met de webmasters?

dit staat er overigens op de site:
24 juni 2010, 16:39 uur
Aan iedereen

Onverlaten proberen het spel voor iedereen te verzieken.
ip adressen zijn aan de politie doorgegeven.
Verder staat er niks vermeld.
Nee ik heb zelf geen contact gezocht met de beheerders.
Ik vond het een enorm slordige fout, en vond het een logischere stap om dit via Tweakers te spelen. Misschien leren ze er dan iets van :)
Logische stap? Eerhm...
Nu kan eenieder dezelfde stappen ondernemen, en nog meer mensen in diskrediet brengen.

Eerst de site op de hoogte stellen, dan pas naar de media. Kom op..

[Reactie gewijzigd door Eagle Creek op 24 juni 2010 16:56]

Waarom? het lek is toch al weg ? :) Dus niemand kan er iets mee nu ;)
En wat als er geen beheerder was die er snel iets aan kon doen? Uiteraard nog steeds hun fout, maar derden hebben er last van. Een 'redelijke termijn' tussen melding en media lijkt me wel zo sociaal.
Tweakers is ook niet gek :)
Ik ken niet het hele verhaal. Het voordeel van de twijfel in dat geval dan maar.
Maar ik hoop dat je snapt wat ik bedoel :).
Ik heb heb ruim voor publicatie twee keer contact opgenomen met de beheerder en kort uitgelegd wat er gaande was en dat we er over wilden publiceren. Zoals in het artikel staat wilde hij geen mededelingen doen en hij vroeg ook niet om meer informatie.
Ik dat geval heb ik weinig gezegd.
Evenwel blijf ik dit de verantwoordelijkheid vinden van Dennus, en niet van Tweakers. Genoeg media (a la GS) die er vol mee aan de haal zouden gaan.

Bedankt voor je toelichting.
Goed gegaan. Als ze juridisch moeilijk doen, mail mij dan even.
Klootzakken. Je mag blij zijn dat iemand het heeft ontdekt. :X
Wat een gigantisch egoďstische bende. En de onkunde is ook duidelijk te merken:
ip adressen zijn aan de politie doorgegeven
Wie dachten ze hiermee voor de aap te houden? Met een IP-adres kan je echt niets.
Ben blij dat ik nooit een account had en zal dat ook zeker nooit in mijn leven maken. Door zo'n berichten op je site te zetten moedig je anderen nog aan om het zo mogelijk nog meer naar de kloten de helpen als hij wel weer online is. Ode aan de tweaker die het ontdekt heeft.
Met een IP-adres kan je echt niets.
De politie en het OM wel, ze kunnen nauwkeurig elk ip-adres aan een adres en een persoon koppelen. Internetproviders geven namelijk elke dag door welk ip-adres op wiens naam staat.

Dus als er strafbare feiten zouden zijn begaan (wat hier echt niet het geval is), dan kun je echt wel wat met een ip-adres.
Probleem is dat als je je site op zo'n manier online zet, het erg moeilijk is om te bewijzen dat er misbruik van is gemaakt. Zover ik weet is het niet strafbaar in Nederland om meer info te halen van een site dan origineel is bedoeld. Ik bedoel dit is zoiets als naar de rechter gaan en zeggen: "Ja ik had een zak geld buiten in mijn vuilnis gegooid en het was eigenlijk niet de bedoeling dat die werd gejat, maar die vuile zwerver daar heeft het gevonden en mee genomen". Kansloos dus...
Met een ip nr kan je wel degelijk iets. Zolang het een goed geregistreerd ip nr is á la SIDN, dan kun je redelijk wat gegevens trekken uit hun ip database. Het wordt pas wat anders als iemand z'n ip misbruikt wordt, of dat het via een of andere route op de wksuperpool site uit kwam. IP's loggen doen ze niet zomaar. Ze kunnen dat ook gebruiken om je te blocken voorzover dat helpt (tegen een eenling misschien).
Ego boven waardigheid zie je maar weer, waar die ego dan vandaan komt snap ik niet want zo slordig zijn de testversies van mijn projecten nog niet eens.

[Reactie gewijzigd door Bilel op 24 juni 2010 16:52]

Ook www.wkpoultje.nl is de database binnen enkele minuten te kraken. Hoe dit op te lossen ;)
Volgens mij barst bij het gros PHP-hobbyisten door dit nieuwsbericht het zweet uit.

Ontopic maar weer :P:

WKTrainer is ook al z'n slimme :P. Ik krijg zelfs PHP-errors bij sommige handelingen waardoor ik de hele structuur van het script kan bekijken.

Ik heb trouwens een mailtje gestuurd en natuurlijk geen data achter gehouden :P.
Ik heb zonet ook een e-mail gestuurd met daarin dat hun database te kraken valt. Ben enkel in hun database geweest om mijn gelijk te bewijzen. :)

Het komt er trouwens op neer dat zo'n 140.000 e-mailadressen voor het oprapen liggen. Spammers betalen daar bakken geld voor :X ?

[Reactie gewijzigd door Awsom op 24 juni 2010 18:39]

Je kan er wel iets leuks aan verdienen, dat word weer zakken vullen O-)
ik heb er wel begrip voor. je wilt een leuke site maken, maar security moet nou eenmaal goed geregeld.. want er zijn altijd kwaadwillenden. wel jammer, anders zouden dit soort projecten een stuk makkelijker/leuker opgezet kunnen worden. maarja, de wereld is hard!

hoop wel dat ze het fixen en weer doorgaan!
Begrip? Voor een site die anno 2010 nog helemaal niets tegen SQL injection en/of XSS doet en alle source open en bloot in een publieke map zet? Deze mensen hebben geen flauw idee waar ze mee bezig zijn en horen een verbod te krijgen om nog langer hiermee bezig te zijn. Ze hebben duidelijk laten zien tot welke wanprestaties ze in staat zijn, het lijkt me sterk dat mensen hier op zitten te wachten.

SQL injection is zó simpel te voorkomen, het kost mij meer moeite om iets te maken zónder beveiliging dan mét beveiliging... Zeker in PHP, die heeft namelijk de functie pg_query_params() waarmee het extreem eenvoudig is om variabelen veilig in een query te zetten. Dit is de meest eenvoudige methode en het is nog veilig ook.
[offtopic]
Interessante functies; pg_query_*
Kende ik nog niet, al ga ik al een paar jaar mee in de PHP wereld. Ga ik zeker beter bestuderen.

[reactie]
Het grootste probleem is niet zozeer dat mensen niet weten waar ze mee bezig zijn, maar hebben ooit PHP geleerd en houden daar aan vast. Waarschijnlijk zijn al die sites nog geprogrammeerd met PHP 4 (als het geen 3 is) en in deze versies zijn vaak de nieuwe (lees: veiligere) functies niet beschikbaar.

Voorbeeld: zelf schrijf ik alles in classes, waardoor ik 100% controle heb over zowel de input als de output. Mijn collega komt nog uit het PHP 3 tijdperk en heeft daar nog nooit van gehoord (zelf niet als ik het uitleg) en schrijft alles nog "los". Hierdoor zijn zijn scripts minder veilig, terwijl die van mij tegen een stootje kunnen (niets is 100% veilig).
Vind het erg bijzonder dat iemand capabel genoeg is om zo'n site op te zetten maar heel naief denkt dat je alles is een publiek mapje 'source' kan gooien zonder al te veel gedoe..

Ik ben zeker geen pro web-ontwikkelaar maar dit soort fouten, komop!
Tja, het is ook letterlijk één setting in Apache (directe folder toegang uitzetten), dan was je er al geweest. Deels, want in het hele ontwerp was security zo te zien niet aan de orde. Je ziet dit trouwens wel vaker hoor, mailformulieren met veel private data die gewoon unencrypted verstuurd worden, plain text wachtwoorden in databases enz.
Het gebeurt vaker dat sites die relatief snel worden ontwikkeld naar aanleiding van actuele gebeurtenissen zoals een WK, slecht beveiligd zijn. "
Hoelang vantevoren weten ze al dat het WK eraankomt... juist!!
Erg slechte zaak dit dat een bedrijf zo slecht omspringt met persoonsgegevens

Ik hoop iniedergeval niet dat er een kwaadwillend iemand vandoor is met de gegevens van alle accounts.

[Reactie gewijzigd door Wannial op 24 juni 2010 16:34]

Hoelang vantevoren weten ze al dat het WK eraankomt... juist!!
Dat is niet helemaal eerlijk, je moet rekenen vanaf het moment waarop deze mensen weten dat ze een online pool gaan opzetten. Als jij ooit van je leven ook maar iets te maken hebt met een WK, EK, Olympische Spelen of een jaarlijks evenement, dan is het toch ook niet eerlijk om te klagen dat jouw (zeg eens iets) WK2050 site lek is terwijl je al 40 jaar vantevoren wist dat het eraan kwam...
Erg slechte zaak dit dat een bedrijf zo slecht omspringt met persoonsgegevens
Is nalatigheid ook strafbaar als er geen misbruik is geweest?
Slechte beveiliging is een ding, iemand zonder programmeerkennis herkent niet alle risico's. (hoewel dat eigenlijk geen excuus is)
Maar source in een gecomprimeerde file laten staan zodat iedereen het kan downloaden is wel heel erg dom.
Onduidelijk is hoeveel mensen toegang tot de back-end van de site hebben gehad
Tweakers kan niet bij de serverlogs maar dit is voor de beheerders natuurlijk heel eenvoudig na te kijken op een standaard server.
Onzin, als alleen de binaries er staan en het is .net of Java dan decompile je het bijna tot het origineel terug. M.a.w. de sourcecode laten staan is hier nauwelijks het probleem. En als het een PHP site is dan staat de source gewoon in de php en is er al helemaal geen sprake van enige schijnbeveiliging met een compiler.
die DennusB is eigenlijk knap fout bezig sites aflopen op beveiliging en dan op een
forum beetje aandacht voor zichzelf vragen eigenlijk vindt ik het ook wel weer
zielig allemaal , de kleuterschool was erg maar dit is niet veel beter, ok de deur stond
open dus ik mag doen wat ik wil ?, waar heeft zo'n jongetje zijn brains vraag je je
dan af ...
Hij heeft in elk geval meer brains dan de sukkels die zulke brakke websites maken. Daarnaast toont hij aan dat hij z'n brains gebruikt, dat kunnen genoemde sukkels niet zeggen... SQL injection is zó 1990!

DennusB is dus niet half zo fout bezig als deze sukkels, die zouden zich echt kapot moeten schamen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True