Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 134 reacties
Submitter: Wiethoofd

Hackers hebben de Amerikaanse tv-zender Fox in verlegenheid gebracht door in te breken op het netwerk en de database met aanmeldingen voor X-Factor te stelen. Een dump is inmiddels als download beschikbaar via torrentnetwerken.

Naar nu blijkt heeft Fox eind vorige week al gewaarschuwd dat er mogelijk een hack was geweest waardoor de gegevens van tienduizenden X-Factor-kandidaten op straat zou kunnen liggen. Afgelopen weekeinde heeft de groep die verantwoordelijk claimt te zijn voor de aanval, de gegevens gepubliceerd via torrentnetwerken.

De torrent, die iets meer dan 34MB groot is, bevat een MySQL-dump in zowel sql- als txt-formaat van de database met registratiegegevens van de kandidaten van de Amerikaanse versie van de tv-show X-Factor. Opvallend is dat de database, genaamd xfactorreg, op een intern ip-adres van Fox draaide. Dit impliceert dat de hackers niet rechtstreeks toegang hebben gehad tot de database, maar zich eerst op een andere manier toegang hebben verschaft tot de serversystemen van de zender.

De database bevat gegevens van 73.726 kandidaten. Van deze mensen zijn naam, mailadres, geboortedatum, geslacht, postcode en mogelijk ook telefoonnummers opgenomen in de uitgelekte databasedump. De groep, genaamd LulzSec, zegt dat het laten uitlekken van deze database pas het begin is en dat 'er meer zal volgen'.

Moderatie-faq Wijzig weergave

Reacties (134)

tja, eerst PSN en nu dit, whats next?
tja, eerst PSN en nu dit, whats next?
Hier zie je aan dat de tot op heden normale manier van hack afhandelen door vervolgen niet optimaal werkt.

Het is eigenlijk het zelfde als een object waar ingebroken wordt. Je kunt je focussen op vervolgen van de dief . Je kunt er tevens ook voor zorgen dat het object minder inbraakgevoelig wordt.

Dit laatste deel werd in internet security te weinig gedaan.
Hopelijk wordt iedereen wakker inclusief justitie en verzekeringsmaatschappijen dat security ook de verantwoordelijkheid van de site eigenaar is. Dat bij in gebreke blijven, niet patchen of onvoldoende hardenen, de eigenaar van de site dit consequenties zal hebben.
Er komt vast meer, maar dat sowieso. Alle banken in Nederland zijn ook al eens of vaker offline geweest door een ddos, dus wat er komt, is niet zo'n grote vraag (of wel, maar niet van een zo groot belang).

Wat ik wel afvraag, wanneer komt er eens iets groots wat gehacked wordt. Ik zit echt te wachten op het moment dat een terroristengroep een kerncentrale hacked of zoiets. Want dat kan natuurlijk gemakkelijk blijkbaar, het gebeurt nu zo'n beetje iedere week.

Maar deze hack heeft waarschijnlijk veel fanmail en spam tot gevolg, meer niet.
Wat ik wel afvraag, wanneer komt er eens iets groots wat gehacked wordt. Ik zit echt te wachten op het moment dat een terroristengroep een kerncentrale hacked of zoiets. Want dat kan natuurlijk gemakkelijk blijkbaar, het gebeurt nu zo'n beetje iedere week.
Dat er wekelijks slecht beveiligde netwerksites worden gehackt wil niet zeggen dat een kerncentrale ook eenvoudig te hacken is 8)7 De logica van bovenstaande uitspraak ontgaat me dus ook volledig.

En waarom zouden de computers die een kerncentrale besturen met het internet verbonden moeten zijn? Zoiets lijkt me typisch iets dat je lokaal wil regelen zonder mogelijkheden het van afstand te benaderen.
Je gaat er inderdaad van uit dat primaire hoofd systemen niet gekoppeld zijn aan internet.
als het ware gewoon een los systeem.

Maar de vraag is natuurlijk of dat systeem weer niet in het gewone netwerk zit waar toevallig ook een pc aanzit die wel de internet bevat.
Het virus dat speciaal voor Siemens kerncentrale besturingssystemen was geschreven (stuxnet) moest via een USB drive op de computer gezet worden, omdat die machines geen internettoegang hebben...

Natuurlijk draait er ongetwijfeld een netwerk in zo'n centrale, maar de machine die de kernreactie beheert is een standalone machine.
Natuurlijk draait er ongetwijfeld een netwerk in zo'n centrale, maar de machine die de kernreactie beheert is een standalone machine.
Daar zit (bewust) geen computer achter, maar een mechanische aansturing met analoge elektronica. Al is het maar om te voorkomen dat een race-conditie in 'legitieme' code een race-conditie in de wetten van de fysica veroorzaakt. ;)

Er zit wel een computer in de hele lus die de output van de centrale naar het net monitort, maar die geeft hooguit het personeel advies over het in te stellen vermogen. De mensen in de regelkamer zijn er niet voor niets, of dacht je dat zo'n centrale onbeheerd draaide? ;)
Maar om schade aan te richten is het niet nodig om het zelf te kunnen beheren. Als je de mensen die het werkelijk beheren kan wijsmaken dat er iets ernstig mis is. Waar ze op moeten reageren, terwijl die reactie juist tot een echte ramp leidt. Is het hacken van het monitor systeem voldoende.

Dit is natuurlijk alleen mogelijk als het systeem dat dit monitort (juiste spelling?) Aan een netwerk zit waarbinnen een ander systeem ook internet toegang heeft. Of wanneer je fysieke toegang kunt krijgen
Maar om schade aan te richten is het niet nodig om het zelf te kunnen beheren. Als je de mensen die het werkelijk beheren kan wijsmaken dat er iets ernstig mis is. Waar ze op moeten reageren, terwijl die reactie juist tot een echte ramp leidt. Is het hacken van het monitor systeem voldoende.
Dan hebben die mensen nog altijd het vermogen om zelf na te denken. Bovendien geeft zo'n computersysteem alleen maar de vraag en aanbod weer van het elektrische vermogen naar het net toe, zaken als reactortemperatuur en -druk hebben nog altijd gewoon analoge systemen met twee- of driedubbele backups.

Als zo'n computer dus het advies geeft om 1,21 GW aan vermogen uit een reactor te persen die maar 500MW nominaal levert, zal een operator zich echt even achter zijn oren krabben en toch maar besluiten om het niet te doen. :Y)
Stuxnet kon zich in onder andere PLC's van kerncentrales nestelen, toerentallen van centrifuges, pompen etc beïnvloeden, en aan het bovenliggende controlerende systeem "fake" waardes doorgeven waardoor alles ok leek. Dan heb je dus niets aan mensen die goed kunnen nadenken, omdat ze de verkeerde cijfertjes krijgen voorgeschoteld.
Stuxnet kon zich in onder andere PLC's van kerncentrales nestelen, toerentallen van centrifuges, pompen etc beïnvloeden, en aan het bovenliggende controlerende systeem "fake" waardes doorgeven waardoor alles ok leek. Dan heb je dus niets aan mensen die goed kunnen nadenken, omdat ze de verkeerde cijfertjes krijgen voorgeschoteld.
Voor de zoveelste keer: In een kerncentrale wordt zoiets NIET door een PLC geregeld. Juist om te voorkomen dat één of andere domme bug in de firmware van die PLC de boel de soep in draait.

Vaak wordt in zo'n situatie hetzelfde gedaan als in de luchtvaart, áls er al een digitale regeling gebruikt wordt: 3 redundante systemen van 3 verschillende fabrikanten. Dan kan Stuxnet prima die PLC van Siemens de verkeerde kant uit sturen, maar de systemen van Raytheon en Honeywell zeggen toch echt wat anders en schoppen de Siemens uit de lus.

Stuxnet was bedoeld om in verrijkingsfabrieken van uranium schade aan te richten, niet in centrales waar energie wordt opgewekt. Dat er nu in de Telegraaf een grote kop 'VIRUS IN KERNCENTRALE' staat wil nog niet zeggen dat het überhaupt mogelijk is om met een hack Tsjernobyl of Fukushima te veroorzaken.
Dat er wekelijks slecht beveiligde netwerksites worden gehackt wil niet zeggen dat een kerncentrale ook eenvoudig te hacken is 8)7 De logica van bovenstaande uitspraak ontgaat me dus ook volledig.

En waarom zouden de computers die een kerncentrale besturen met het internet verbonden moeten zijn? Zoiets lijkt me typisch iets dat je lokaal wil regelen zonder mogelijkheden het van afstand te benaderen.
Kerncentrales zijn al gehacked geweest. Stuxnet. Werkelijk de ergste vorm mogelijk; de computers (PLC's) die de koelpompen etc. besturen waren overgenomen. Het is gebeurd, en het zal ooit ook weer gebeuren.

[Reactie gewijzigd door Shadow op 9 mei 2011 10:06]

Mijn inziens was Stuxnet geen hack? Zo ver ik het weet was stuxnet een virus dat autonoom de centrifuges onklaar moest maken, en op die manier het verreiken van uranium stop moest zetten. of in ieder geval vertragen.
Een centrale als Borsele is met zijn vitale systemen no way op internet aangesloten. Los van het feit dat zoals hierboven door stoney beschreven de besturing daar nog steeds heel erg afhankelijk is van knopjes die ingeduwd worden door mensen.

http://en.wikipedia.org/wiki/Stuxnet
Centrifuges voor Uraniumverrijking zijn wel even iets anders dan koelpompen van een kerncentrale hoor ;)

Daarnaast moet je fysieke toegang hebben (stuxnet is per usb stick op het interne netwerk gekomen), dus zo eenvoudig is het nou ook weer niet, én moet je diepgaande kennis hebben over de processen en plc's die gebruikt worden.
Er zijn nogal wat landen die kerncentrales bezitten en dus over "diepgaande kennis over de processen en plc's die gebruikt worden" beschikken.
En waarom zouden de computers die een kerncentrale besturen met het internet verbonden moeten zijn? Zoiets lijkt me typisch iets dat je lokaal wil regelen zonder mogelijkheden het van afstand te benaderen.
Hoe iets zou moeten zijn =/= hoe iets daadwerkelijk is.

Kan me even het artikel niet meer herinneren, maar ik heb ooit eens gelezen over een kerncentrale waar inderdaad geen scheiding was tussen PA en KA. Welliswaar goed gefirewalled, voor een bepaalde waarde van "goed".
Duh, om even snel op Google op te zoeken hoe dat ding te koelen als ie warm wordt.
Volgensmij waren alle kerncentrales inderdaad niet aangesloten op het internet. Sommige dingen kun je beter overlaten aan offline machines en personeel i guess :P
ddos is geen hacken.

ddos is een effect van een stelletje verwende scriptkiddies die hun zin niet krijgen.
Vergeet niet dat een ddos wel degelijk de voorbode van een hackaanval kan zijn. Als een ddos ervoor kan zorgen dat een bepaalde service op de server crasht (bijvoorbeeld de firewall oid, of dat ze met een klassieke buffer overflow root access krijgen) dan kun je daarmee wel degelijk op een server binnenkomen.
@Harrydg: als jij liever anderen napraat ipv het zelf eens uit te proberen/vogelen, dan moet je dat vooral zelf weten, maar val anderen niet aan op hun uitspraken als je ze zelf niet met praktijk ervaring kunt staven. Thnx!
Verder wordt er hieronder uitgegaan van een losse hardware firewall enz, maar vergeet niet dat deze site vast ergens een configuratiefout heeft/had zitten; de meest gebruikte methode om ergens binnen te komen.
@Harrydg: precies die zelfingenomen houding zorgt ervoor dat het keer op keer misgaat. Er hoeft op het interne netwerk maar één server of service verkeerd configureerd of geplaatst te zijn (als in fysieke locatie in het netwerk) en je kunt bij een ddos al doordringen. Als je het netwerk goed hebt gebouwd natuurlijk niet, maar ik weet uit ervaring dat vaker niet dan wel het geval is in de praktijk.

[Reactie gewijzigd door Rick2910 op 9 mei 2011 12:26]

in 99% van de gevallen heeft een DDoS NIETS te maken met een voorbode. Een DDoS is een distributed denial of service... dus met 100000-en computers een bepaalde website bestoken zodat die zoveel werk heeft dat de "echte" gebruikers er niet meer aan kunnen. Dit heeft totaal 0 te maken met buffer overflow, sql injections, ... waarmee je effectief op een systeem binnen geraakt.

Dus alsjeblieft, als je niet weet waar het over gaat, kan je beter zwijgen dan dit soort onwaarheden te verkondigen. Sommige mensen zouden je nog eens kunnen gaan geloven als je niet oplet...
@edit rick: anderen napraten? ahum? plus: ik heb wel degelijk ervaring, vandaar dat ik ook zeg dat je fout bent...
@rick: ik had gedacht dit evt in prive messaging verder te kunnen uitklaren zonder deze "discussie" verder te vervuilen, maar dat gaat precies niet... :) (ik denk namelijk dat we "verschillende" dingen zeggen, maar toch hetzelfde ;)

[Reactie gewijzigd door harrydg op 9 mei 2011 13:27]

in 99% van de gevallen heeft een DDoS NIETS te maken met een voorbode. Een DDoS is een distributed denial of service... dus met 100000-en computers een bepaalde website bestoken zodat die zoveel werk heeft dat de "echte" gebruikers er niet meer aan kunnen. Dit heeft totaal 0 te maken met buffer overflow, sql injections, ... waarmee je effectief op een systeem binnen geraakt.
Het kan natuurlijk wel ingezet worden als een hulpmiddel: Als je een machine een DDoS op zijn dak jaagt, zal ie op een gegeven moment dusdanig belast worden dat ie kwetsbaarder zal zijn voor bijvoorbeeld een buffer overflow of andere aanval, omdat de beveiligingssoftware vroeg of laat zal worden afgeschoten als het systeem door zijn resources heen is.

Als je met 1000 man gaat rellen in de stad dan zal een overvaller ook eerder zijn kans grijpen, omdat de politie veel te druk bezig is om die rellen weg te werken. ;)
Dat is een leuke uitleg, maar volledig onjuist, omdat tegenwoordig bij praktisch ieder besturingssysteem de complete IP stack inclusief firewall (iptables of Windows Firewall) in de kernel zit gebakken. Op het moment dat je firewall zou crashen (wat niet kan), is je kernel ook gecrashed en kan het systeem niets meer (dus ook niet reageren op "hack"-requests). 10 jaar geleden bij simpele firewalls als ZoneAlarm o.i.d. kon dat nog, maar tegenwoordig echt niet meer.
dit is ook onjuist van jou. Er zit meestal inderdaad een firewall in de kernel van het systeem, maar in ieder "groot" bedrijf is de firewall een FYSIEKE machine AAN DE INGANG van het netwerk. DAT is de firewall die je "plat wil"
Als die firewall plat gaat, is verkeer helemaal niet meer mogelijk; ik ken geen firewall appliance die bij een DoS overload zegt: sh!t ik trek het niet, ik stop ermee, maar routeer wel braaf al het verkeer 1 op 1 door :P
zo werkt een computersysteem niet. Een firewall heeft bij "overbelasting" 2 mogelijkheden:
1. doe "gewoon door", dus denial of service
2. accept all. Dit wordt echter (denk ik) NOOIT gedaan omdat je firewall dan zinloos is, en je het probleem verlegt naar de effectieve server(s)

==> neen, een DDoS helpt je niets vooruit (tenzij evt bij een race condition, maar dat heb ik nog maar zeeeeeeeeeeer zelden meegemaakt als "te exploiten" op een web applicatie...
Door een DDOS aanval kan de server echter wel foutmeldingen uit gaan spugen die je inzage geven in de structuur van de applicatie/service die je probeert aan te vallen. Waardoor het hacken makkelijker word. Dit is overigens doorgaans wel de fout van de admin of ontwikkelaar omdat publiek zichtbare errors in ieder geval geen belangrijke gegevens mogen weergeven mbt de structuur van je service
Men probeert eerst echt te hacken en als dat niet lukt gaan 'verwende scriptkiddies die hun zin niet krijgen' ddossen. Meer een nabode van een mislukte hack en opgekropte frustratie natuurlijk :Y)
Dan moeten we dus een DDOS zien als compliment naar de systeem beveiliger.
Hoe beter hij zijn werk dan gedaan heeft, hoe meer DDOS aanvalen de site te verduren krijgt

* geeft zijn sysadmin op z'n donder, omdat we nooit DDOSsen hebben gekregen !!
Alleen om een DDOS succesvol uit te voeren worden wel vaak gehackte systemen gebruikt, dus zijn het toch vaak wel hackers die het veroorzaken :Y)

Dus beste consument, installeer nou gewoon netjes je updates, installeer een virusscanner en open niet ieder .exe bestandje dat je via de mail krijgt!
Als gewoon iedere consument zijn PC goed beveiligt wordt de kans op DDOSSEN al een stuk kleiner.

En voor de beheerders van servers... Doe je werk of ga wat anders doen. ik ben al de nodige server admins tegen gekomen die wel updaten maar de services daarna niet herstarten of even het systeem rebooten etc omdat ze dan bang zijn hun "stoere" uptime kwijt te raken. (ik moet zeggen helaas meestal hobby unix/linux admins)

even een gesprek van ongeveer 1 jaartje oid geleden met een "admin" van een server die hij had laten plaatsen ergens in een datacenter en zichzelf daardoor als geweldige server admin zag

admin:"mijn server heeft al 1000+ dagen uptime!"
ik: "maar hoe doe je dat dan met updates?"
admin:"er zijn al een tijdje geen updates meer geweest, ze hebben denk ik alle bugs intussen wel verholpen"
ik: "welk OS draai je dan?"
admin: "Fedora core 1" :X 8)7 |:(

Als dat soort acties en de acties van gebruikers zonder virusscan/updates voorkomen zouden worden dan zou je veel minder gigantische botnets krijgen en daarmee iig DDOSSEN een stuk moeilijker maken dan het nu is.

Met wat minder onkunde kunnen we iig de scriptkiddies het leven een stuk moeilijker maken.
Als je iemand wilt verbeteren geef dan niet de verkeerde uitleg ( jouw mening over (gokje:) Anonymus, die staan niet gelijk aan doss-aanval hoor)...

http://nl.wikipedia.org/wiki/Denial-of-Service
De hack van Sony vind jij niet groot? 100 miljoen accounts is echt mega veel hoor.
Raar dat niemand die weddenschap aan wil gaan voor 1-1-2013 voor een paar miljoen...
Waarom kan sony er wel wat aan doen als ze gehackt worden? en worden ze met de grond gelijk gemaakt? Terwijl dit bedrijf even schuldig is als sony meer deze gelijk in de slachtoffer positie word geduuwd. Het is gewoon schandalig dat dit kan gebeuren. Ga toch een voorzichtig om met persoonsgegevens!

[Reactie gewijzigd door glennox op 9 mei 2011 08:36]

er is wel een verschil tussen NAW gegevens van 70.000 mensen en credit card, rekeningnummers en NAW van 100.000.000 mensen. dat laatste is gewoon gevaarlijk en kan veel mensen in geldproblemen brengen wegens creditcard fraude. als er gedl in het geding is, is het altijd een stukkie erger dan dat er gewoon NAW gegevens bekend zijn (die staan in nederland immers gewoon in de telefoongids en op internet creditcard gegevens niet.)

en ja het is idd schandalig dat het kan gebeuren, maar het is schandaliger dat het gebeurt. ik denk dat veel bedrijven nu na de Sony hack wel even achter hun oren gaan krabben e de beveiliging verder aanscherpen als ze slim zijn.
Er is niemand die twijfelt aan het feit dat FOX een trap in de ballen moet krijgen na deze zaak. Maar er is een verschil tussen het op straat gooien van de gegevens en ze voor je zelf houden. Stel je voor hoe mensen hadden gereageerd als na de sony hack die 100miljoen gegevens op straat waren beland. Dan was er niemand meer geweest die het op wat voor manier ook maar grappig vind.

Het jatten van gegevens is kansloos en niet oke, maar om ze ook nog eens op straat te pleuren is misschien nog wel lager.... of het nou om 70.000 of 100miljoen gaat...
Sorry hoor, maar degene die hier schuldig zijn zijn toch echt de hackers, die moeten gewoon met hun tengels van die gegevens afblijven, hoe slecht de beveiliging ook zou zijn. Willen ze hiermee aantonen dat de beveiliging slecht was, dan moeten ze niet zo patserig doen en het melden aan het betreffende bedrijf en niet zo de gegevens maar gaan publiceren of uberhaupt aankomen.. Nee de enige die hier echt schuldig zijn, zijn die achterlijke egotrippende hackers...
Als jij je auto met deuren wagenwijd open laat staan en iedereen ziet dat, ligt de schuld (nadat er dingen gestolen zijn) ook bij de dieven? Of bij jezelf, omdat je zo nalatig bent geweest met beveiliging?
De schuld ligt natuurlijk bij jezelf. Maar denk aan al de gedupeerden van wie hun gegevens nu op straat liggen: is het hun schuld dat de beveiliging van fox niet op orde was?
Dus als mijn auto op slot zit en mensen breken em toch open dan ligt het ook aan mij? Wat is 'open'? En sorry, als het aan mij ligt dan is zelfs diefstal uit een openstaande auto nog steeds de schuld van de dieven, die moeten gewoon met hun poten van andersmans spullen af blijven, dit soort mensen hebben wat mij betreft ook geen bestaansrecht in onze maatschappij en mogen meteen in zee gedumpt worden met een blokje beton aan hun voetjes..
inderdaad... iemand die kinderen zonder eten en drinken laat sterven in een kelder, mag na 15 jaar vrijkomen (Michelle Martin). Maar iemand die een select deel van een telefoonboek op internet zet verdient de doodstraf (hier)!
groot gelijk heb je! rede en logica zijn overbodig!
Totale onzin.
Je auto is afgesloten en toch word die gejat.
Omdat de ene auto nog makelijker is in te breken dan de ander.
Alarm is wat geavanceder maar vaak weten autodieven daar ook raad me.
Deur open is groffe nalatigheid.
sloten en alarmen houden de minder begaafde dieven buiten.
Maar maakt het uiteraard niet onfeilbaar.
Je kan het alleen moeilijker maken.

Tja deur open staat gelijk aan web serving online maar firewall offline.
gaten in de firewall tja dat slaat meer op de ( on- ) degelijkheid van de beveiliging.
Ik snap nu niet waarom ze deze hack nu plegen. Als je zoiets 'omdat het kan' doet en de beveiliging van FOX even aan de kaak wil stellen, prima, maar dan doe je dat op een andere manier dan een berg persoonsgegevens van mensen op straat te smijten.

Als je zoiets zou doen om aan te tonen dat de jurering van X-Factor doorgestoken kaart is zou je dat wel met andere gegevens doen, dus ik heb een donkerbruin vermoeden dat dit alleen maar gedaan is door een stel verontwaardigde oud-FOX-medewerkers die even tegen het bedrijf aan willen trappen over de ruggen van onschuldige mensen.

Of natuurlijk een stelletje fans dat het nog steeds niet eens was met het stopzetten van Firefly. :Y)
En waarom zouden ze dat anders moeten doen dan persoonsgegevens van mensen op straat te gooien? Als ze het nu niet hadden gedaan en alleen Fox de database hadden verstuurd had Fox het minder serieus genomen en wist wellicht iedereen buiten Fox er niet vanaf.

Dat is nu juist het idee, dat mensen ervan leren betere beveiliging op te zetten cq te onderhouden.
Dat is nu juist het idee, dat mensen ervan leren betere beveiliging op te zetten cq te onderhouden.
... Maar niet ten koste van alle mensen die zich voor X-Factor hebben ingeschreven (hoe waardeloos het programma ook). Ze hadden ook netjes aan een stel kranten en beveiligingswebsites kunnen melden 'dit en dit is er mis', waarna ze, als ze écht beleefd waren, ze aan FOX aanboden om de boel in orde te maken.

Een goeie hacker is een slotenmaker die je opbelt en laat weten dat het slot op de voordeur niet deugt. Dit is meer te vergelijken met de deur intrappen en een bordje buiten hangen met "DEZE DEUR IS KAPOT, KOM VOORAL ALLE SPULLEN HALEN!"
Jammer genoeg wordt er steeds ondankbaarder omgaan met white hat hackers of slotenmakers die op een beveiligingslek/open deur wijzen. Het is bijna net zo gevaarlijk om open uit te leggen wat er scheelt dan om de gegevens te kopieren en door te verkopen. Dat haalt de motivatie om, als je nog eens fouten ziet, iets te laten weten behoorlijk weg.
Inderdaad. White hat hackers en black hat hackers worden véél te vaak op één hoop gegooid.
Ze hadden ook aan 'goede afpersing' kunnen doen.

Ze konden Fox een mailtje waar een stukje van de db aanhangt als bewijs. In de mail vragen ze dan Fox vriendelijk om hun gegevens beter te beschermen en om zich publiekelijk te excuseren. Doet Fox dat, dan vernietigen ze de gegevens. Doet Fox dat niet, dan plaatsen ze alsnog de volledige database online.

Nu ja, misschien hebben ze het geprobeerd en heeft Fox gezegd dat ze de boom in konden.
Screendump met afgeschermde gegevens. Dus puur naam en eerste deel van een e-mail tonen. De rest gaat niemand aan en zijn geen gegevens die je iedereen zomaar wilt laten weten. Telefoonnummers zijn vaak abonnementen, dingen die je dus niet even snel kunt aanpassen.

E-mail adressen zijn vaak bekend bij meerdere websites, waardoor je al die sites weer kunt gaan aflopen om deze aan te gaan passen. En dankzij de geboortedatum, is de mogelijkheid er om op plaatsen als Paypal ook makkelijk in te loggen in combinatie met het e-mail adres.

Voor slimme hackers hebben ze dit dan ook erg slecht doordacht vind ik. Je speelt met gegevens van andere en verkondigd vervolgens dat dit niet de laatste zal zijn. Hackers horen stuk agressiever te zijn in hun laten, maar slimmer in hun doen.
Als ze Fox wilden pakken, hadden ze IMO de persoonsgegevens van Fox-medewerkers op straat moeten gooien, niet die van de deelnemers, want die staan er gewoon buiten.
Waar houd die stroom van hacks op. De laatste tijd gaat het echt hard, of je hoort het meer dat kan ook. Hoop voor de mensen die hun gegevens in de lijst zien staan dat ze er niet erg veel last mee krijgen. Aan de andere kant, mee doen met x factor is sowieso al een slecht plan ;) nu gewoon nog iets slechter.

Ik zie ook echt niet in wat het nu is van deze actie, als je fox wilt hebben doe je dat toch anders dan op deze manier lijkt mij?

[Reactie gewijzigd door Turdburgler op 9 mei 2011 08:29]

Waar houd die stroom van hacks op. De laatste tijd gaat het echt hard, of je hoort het meer dat kan ook. Hoop voor de mensen die hun gegevens in de lijst zien staan dat ze er niet erg veel last mee krijgen. Aan de andere kant, mee doen met x factor is sowieso al een slecht plan ;) nu gewoon nog iets slechter.

Ik zie ook echt niet in wat het nu is van deze actie, als je fox wilt hebben doe je dat toch anders dan op deze manier lijkt mij?
Ik heb soms het idee dat er na Cablegate een beetje een race van copycats en wannabe's ontstaan is die heel graag 'de grote hack' willen plegen voor de eeuwige roem, en daarmee alleen maar enorme hoeveelheden onschuldige data onnodig op straat smijten. Waardoor er mogelijk alleen maar mensen de dupe van worden die er niets mee te maken hebben.

Als je de hacker-with-a-cause uit wil hangen ben je juist selectief in welke data je wel en niet lekt, en zorg je dat die data ongekleurd naar buiten wordt gebracht als bewijsmateriaal. Niet alleen maar om de kwantiteit lompe hoeveelheden informatie naar buiten brengen met een botte bijl omdat het blijkbaar cool is.
Ik zie ook echt niet in wat het nu is van deze actie, als je fox wilt hebben doe je dat toch anders dan op deze manier lijkt mij?
Ik denk niet dat de hackers iets van Fox willen, ze willen iets van de deelnemers ;)

"The network seems to be concerned that the details will be used to launch phishing attacks, as opposed to say bricks through windows after the show is aired, and added a warning to avoid any such requests. The X Factor will never ask you to email personal information such as financial data, credit card numbers, Social Security numbers or the user name or passwords you use to access other websites. If you receive an email that appears to be from Fox.com or The X Factor asking for personal information, please delete it, as it did not come from us."
http://www.theinquirer.ne...factor-contestants-hacked
Het lijk mij aangezien het een interne mysql database was dat het ook gewoon iemand van binnenuit kan zijn geweest die toegang had tot de Database middels wachtwoord + username? :z

paar klikken op de knop en de complete database is geëxporteerd?
Er zijn veel mogelijkheden, maar de kans lijkt mij groot dat iemand wat te slordig is omgegaan met username en paswoord. Meestal zijn dat de zelfde om in te loggen op het VPN en hopla.

En wie weet, soms kan dat zeer makkelijk gebeuren. Gewoon laptop of smartphone stelen is soms voldoende.
Er zijn veel mogelijkheden, maar de kans lijkt mij groot dat iemand wat te slordig is omgegaan met username en paswoord. Meestal zijn dat de zelfde om in te loggen op het VPN en hopla.
Of misschien iemand op de IT-afdeling van FOX die er niet blij mee was dat zijn collega was ontslagen, die nieuwe opdracht naar de concurrent ging of hij geen opslag kreeg vorige maand?

In ieder geval is dit meer van het kaliber 'cybertreiteren' te noemen dan en heuse hack.
Of dat er gewoon een validatiefout in het inschrijfformulier zat, waardoor de complete inhoud van de database via een query op te vragen was :)
Deze jongens zijn flink bezig geweest. Zwaar strafbaar natuurlijk maar voor Fox ook geen goede reclame dat ze , voor de leek tenminste, zo makkelijk te hacken zijn en dat persoonlijke gegevens dan zo makkelijk kunnen worden opgehaald.
Dat soort gegevens zouden toch wat minder makkelijk opvraagbaar moeten zijn aangezien niet iedere Fox medewerker hier iets mee hoeft te kunnen!
Aan de opt's tezien, gaat het hier om een tabel van een online aanmeldingsprocedure. Uiteraard mag dat geen verschil maken, maar zo'n ding hangt nou eenmaal aan internet en kwetsbaarheden in websites bestaan in veel gevallen ook. Zou me niet verbazen als het hier om een XSS lek zou gaan.
het artikel vermeldt juist:
Opvallend is dat de database, genaamd xfactorreg, op een intern ip-adres van Fox draaide. Dit impliceert dat de hackers niet rechtstreeks toegang hebben gehad tot de database, maar zich eerst op een andere manier toegang hebben verschaft tot de serversystemen van de zender.
Mja, dat zegt niet dat hij niet vanaf internet benaderbaar is. Meestal heb je een set-upje met frontendservers (webservers), die wel een publiek IP hebben en backend-servers, zoals een database, die dat niet hebben.

Zo'n database is dan alleen maar 'benaderbaar' vanaf de webserver, maar die fungeert dan natuurlijk in principe als een soort van proxy.

Kun je hem nog steeds manipuleren, als er bijvoorbeeld niet van "prepared statements" gebruik wordt gemaak.t
Port-mappinkje weetjewel
"Taking you on a wondrous voyage through time and space. We aren't 4chan or Anonymous, but sometimes we might assist them in our own special way."

Is daar hier ook sprake van of zou deze hack buiten Anonymous om zijn gedaan?
Anonymous had geloof ik niets tegen X-Factor, en die kondigen dit meestal eerst aan.
Wat er dus ook gesteld wordt
but sometimes we might assist them in our own special way.
is dat ze, wanneer er zin in hebben? 4chan/anon steunen/helpen
-double post door laggend internet-

[Reactie gewijzigd door drdelta op 9 mei 2011 11:03]

Ik word een beetje moe van die boefjes. Dit is ook weer zo zinloos. Wie hackt de hacker en legt zijn gegevens plus sociale leven aub op straat?
Vooral dat stuitende self-importance van die lui irriteert me. Het zijn ordinaire criminelen maar doen alsof ze een hoger doel dienen. Hou toch op.
Waar doen ze het dan voor? Niet voor het geldt dus ze hebben we een ander doel dan de gem. crimineel lijkt me...

Of dat nou de kick is of om bedrijven waar je via legale wegen gewoon nooit tegen op kan terug te pakken (juridisch gezien ben je door gebrek aan bergen geld vrijwel kansloos) is toch wat anders dan de crimineeltjes die leven van hun criminele gedrag...
Het zijn ordinaire criminelen maar doen alsof ze een hoger doel dienen. Hou toch op.
Dat impliceert dat je weet wie het zijn, indien je de waarheid sprak misschen eens bij sony langs gaan, levert je waarschijnlijk wel de nodig dank/cash op dan..
Wat ik mij afvraag is: "zijn al die hackers nou zo goed of is de beveiliging nou zo slecht bij al die gehackte bedrijven ?"
Waarschijnlijk is het een combinatie van betere toegankelijkheid van hacktools, slechte beveiliging, en het feit dat het tegenwoordig een hot item is. Het haalt dus makkelijk het nieuws. De "kwaliteit" van de hackers staat hier zelfs volledig los van.
Wat een laffe daad weer. Laten we voorop stellen dat ik voorstander ben van functioneel hacken, maar dit is ronduit walgelijk. Persoonsgegevens van mensen die zich ''gewoon'' hebben ingeschreven voor X-factor, horen niet op het internet te komen. Heeft geen enkele toegevoegde waarde.

Bedoeling zal wellicht zijn aan te tonen hoe slecht Fox haar netwerk beveiligd. Breng dan gegevens uit die het bedrijf schaden en niet persoonlijk zijn. Als de gegevens van die hackers op straat liggen, zullen ze ook de eerste zijn die het afkeuren.

[Reactie gewijzigd door Papadopulos op 9 mei 2011 08:25]

"voorstander van functioneel hacken".

Functioneel hacken is wat mij betreft alleen functioneel als het in opdracht van de netwerkbeheerder/eigenaar gebeurd (die wil weten hoe de beveiliging er voor staat). Zo niet dan is het gewoon ordinair inbreken waar een straf op hoort te staan.

Of moeten we het ook maar gaan toestaan dat er bij je thuis "functioneel" ingebroken mag worden door mensen die willen testen hoe goed het slot van je huisdeur is?
Ja, zolang je niks steelt en bijv een briefje achterlaat waarop je meld dat de deur oid niet goed op slot kan/beveiligt is, dan is het functioneel.
Watvze hier hebben gedaan is niet functioneel, maar gewoon triest. Aan de andere kant weet je nog niet precies wat er aan de hand is. Misschien is deze hack een laar weken geleden al gebeurt en hebben ze het gemeld en heeft fox er niks mee gedaan... Er staat namelijk hetvolgende in het artikel:
Naar nu blijkt heeft Fox eind vorige week al gewaarschuwd dat er mogelijk een hack was geweest waardoor de gegevens van tienduizenden X-Factor-kandidaten op straat zou kunnen liggen.
Dus je weet het niet....
er zijn 6.000.000.000 mensen (of meer) op deze wereldbol. stel dat er 0,001% skilled hackers zijn die soms tijd teveel hebben of gewoon graag dingen kapot maken (zoals je nu ook vandalen op straat hebt). Stel dat, van die 60.000 (0,0001%) er nu eens 1% zulke vandaaltjes zijn, dan heb je nog altijd 600 mensen die dit soort dingen doen.

Ja, er zullen altijd vandalen zijn, hackers zullen er ook altijd zijn. net als graffiti, net als mensen die ruiten ingooien enzovoorts...

live with it! (en zorg ervoor dat ze zo "weinig mogelijk speelruimte" hebben)
we moeten ook leven met graffiti enzovoorts, hoe hard we er ook tegen zijn...

just my 2 cents...
Het internet en de sofware waar je dagelijks gebruik van maakt zijn gemaakt door hackers, om dat nu als vandalisme te zien...
Internet is gemaakt door hackers ?! :+
jawel, net als microsoft oprichter, linux oprichter, ... een stelletje hacker nerds
http://ei.cs.vt.edu/~history/Gates.Mirick.html
very interesting... zo denk je eens anders over hackers... misschien ;)
tja, maar wat is 'functioneel' hacken.. it's all in the eye of the beholder... Als je wilt aantonen dat hun netwerk slecht beveiligd is, moet je je melden bij fox niet zomaar eventjes lekker publiceren..
Dat bedoel ik. Wanneer je anders doet, is het ook niet meer functioneel. Functioneel hacken bestaat wel degelijk en ik wil mij niet per definitie tegen hacken keren. Want er zijn ook hackers die er op een legale manier brood van kunnen kopen en een gezin kunnen onderhouden.

Hacken moet bedoeld zijn om zwakke punten bloot te leggen, niet om buit te maken of privé informatie van personen te publiceren. Dat mag nooit de bedoeling zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True