Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 224 reacties

Hacker Xcrypt0, die eerder een hack van de Duinrell-website claimde, zou toegang hebben verkregen tot een database met privégegevens van tienduizenden nieuwsbriefabonnees. Volgens de hacker is het gebruikte cms kwetsbaar.

Dat meldt Looopings op basis van informatie die het van Xcrypt0 heeft gekregen, waaronder een lijst met namen en e-mailadressen van meer dan 80.000 gebruikers die zich op de website van Duinrell voor een nieuwsbrief hadden ingeschreven. Ook is een screenshot geplaatst van de database die met succes zou zijn aangevallen.

Op de website van Duinrell was vorige week enige tijd een mededeling van de hacker te lezen, waarin hij ook een e-mailadres heeft achtergelaten. Xcrypt0 stelde dat hij kan inbreken in vrijwel alle cms-systemen die door de firma Multiminded zijn opgeleverd. Volgens de hacker is het 'ronduit belachelijk dat een groot bedrijf als Duinrell zo'n onhandige webdesigner heeft aangenomen. 90 procent van de sites van Multiminded is kwetsbaar'.

Otto Dijkstra van Multiminded laat aan Tweakers.net weten dat er mailcontact is met de hacker en dat Xcrypt0 heeft aangekondigd dat hij het bedrijf 'openheid van zaken' zal geven over zijn werkwijze. Daarnaast zou het bedrijf al de nodige stappen hebben ondernomen om de diverse websites die het in de lucht heeft beter te beveiligen. Het bedrijf gebruikt een niet nader genoemd closed-source-cms.

Xcrypt0 stelt ook dat hij met Duinrell contact heeft opgenomen over de zaak en dat hij het pretpark heeft aangeboden om het beveiligingslek kosteloos te verhelpen. Duinrell zou echter nog niet op het voorstel hebben gereageerd.

Moderatie-faq Wijzig weergave

Reacties (224)

1 2 3 ... 7
Beste lezers

Ik ben geen ex-medewerker van multiminded. Velen kennen mij vast wel van een bepaald forum. Uiteraard staan er negatieve berichten ivm mij of over mij op het internet. Verder wil ik aangeven dat eens je wat naambekendheid hebt als hacker, kids je naam gaan misbruiken en opereren onder je naam. Je kunt mij herkennen aan de 0 op het einde ipv de o.

Voor de mensen die gaan beweren dat dit simpel uitgevoerd is met een tooltje moet ik jullie teleurstellen. Want zoals je kunt zijn is de site zelf niet echt vulnerable. Laat ons zeggen dat er een "Gat" in de server was die me met enkele queries meer inzicht gaf over de structuur. (handmatig!).

De screenshots van de tool zijn ontstaan door een vraag door de site looopings naar mij toe. Ze wilden immers de database zien. Looopings vertelde ook dat ze de volledige mailinglist kregen, dit is niet waar. Ze kregen de eerste 400 extracts en inclusief hun gebruikte adres op de nieuwsbrief aanvraag (als bewijs). Ik ben nu bezig met mijn werkwijze te mappen en de beheerder van Multiminded op de hoogte te stellen van de lekken zodat hij deze vandaag nog kan fixen. Op deze manier kan er voorkomen worden dat een andere hacker deze database gaat stelen en in het slechtste geval gaat verkopen of ten grabbel leggen. Ik moet jullie vast niet vertellen dat dergelijke db's met heel veel actieve NL adressen een hoge waarde hebben bij eventuele verkoop aan advertentiebureaus of reclame-bedrijfjes. Dit gaat niet gebeuren!

De mailinglist zelf haalde ik gewoon uit het CMS door mezelf in te loggen als beheerder.

Mijn woordkeuze was inderdaad niet zo perfect op die site, maar er gaat nogal een adrenalinerush door je lichaam als je een relatief bekende site even kan onder handen nemen. Alles moet snel gaan...

screenshots van beheerscherm:
http://dl.dropbox.com/u/2...%20at%2011.09.58%20PM.png

http://dl.dropbox.com/u/2...%20at%2011.14.50%20PM.png

http://dl.dropbox.com/u/25672909/leet/duinrell/WIN2.png

Database structuur op aanvraag van looopings:
http://dl.dropbox.com/u/2...inrell%20db/duinrell1.jpg
Wat bedoel je met "de site is niet kwetsbaar maar er zat een 'gat' in de server"? Zo te zien heb je met een handige SQL injectie jezelf beheerdersrechten gegeven. Dan is de site toch alsnog lek?
Overigens mag ik hopen dat dat niet je echte naam is in de whois van je site.. Zou niet handig zijn :)
als je het over "Xcrypt0.com" hebt dan is dat idd niet zijn echte naam.
Wat is precies de reden van het ophalen van de data? Waarom kon je bijvoorbeeld niet gewoon direct contact opnemen op het moment dat je er in zat? Ik had je dan echt gewoon respect gegeven.
Het vergallen van de homepage met wat egotripperij is eigenlijk voor niemand goed, incl jezelf en je geloofwaardigheid.
En begrijp me niet verkeerd, ik snap het echt wel dat er van alles gaat lopen op het moment dat je zoiets lukt, maar een beetje helder blijven is wel een must.

[Reactie gewijzigd door Alpha Bootis op 30 mei 2011 11:57]

Dat je een tool gebruikt waar je dat kan lijkt me ook niet meer dan normaal. Het zou stom zijn als je alles "hardcore" gaat lopen tiepen in een console als je er mooie interfaces voor hebt, of je nou hacker bent of gewoon een admin, ja toch.

De vraag waar ik de hele tijd mee zit is vooral: waarom Duinrell?

Heeft dat nog een achtergrond of was het gewoon omdat het kon. Het is nou niet bepaald een bedrijf dat enig maatschappelijk belang heeft, of waarvan je verwacht dat ze state of the art beveiliging zouden moeten hebben, zoals een bank, een provider, of een grote website.

Zijn er soms nog meer gegevens heb je eigenlijk kunnen vinden buiten namen en email adressen? Ik kan me slecht voorstellen dat er creditcard gegevens op zo'n site staan namelijk, zeker als het alleen om nieuwsbrief lidmaatschappen gaat.

Hoe dan ook, wel leuk dat je ook ff een berichtje achterlaat hier, komt ook een heel stuk beter over dan alleen de text van die deface. Die adrenaline rush is wel weer voor te stellen natuurlijk... Alhoewel, zou bij een site als dat de admin werkelijk als een havik naar z'n schem zitten te kijken, of gewoon met een bak koffie een beetje F5en op websites ;)
gallery: AMN3SYS
gallery: r34p3r
gallery: 0fftime
gallery: Xcrypt0

Hmm, das wel toevallig zeg. Een gesprek met en over jezelf om zo betrouwbaar over te komen :$
dat is toevallig, jammer genoeg zijn wij niet de zelfde personen.

ik moet uiteraard nog wel men profiel bewerken,
omdat ik vandaag pas acc gemaakt heb.
Ik kan u nader mededelen dat ik niet Xcrypt0 ben, ik heb mezelf hier geregistreerd om op enkele bovenstaande berichten te antwoorden.
En ik moet evenals AMN3SYS mijn profiel ook nog bijwerken.
Admin-edit:Graag geen persoonlijke gegevens openbaar maken


Daar is een twitter account geregistreerd die AMN3SYS heet. Wat dus zou betekenen dat Xcrypt0 <-> AMN3SYS is.

[Reactie gewijzigd door Kixtart op 30 mei 2011 22:34]

Ik denk dat je sowieso excuses moet aanbieden voor je taal gebruik :/. Hiermee heb je jouw volledige geloofwaardigheid verloren.
Beveiliging van websites wordt tegenwoordig zo vaak vergeten. Ik heb ook nog een site met 140k emails (waaronder 105k Nederlands!) waar ik met gemak de db van af kan halen. Ik heb het contact-formulier op de website ingevulled én de maker van de site (Ik weet niet of ze verschillen of niet...) op de hoogte gesteld via een e-mail. Dit wordt gewoon volkomen genegeerd!

Nu wordt de website al een jaar (+-) niet erg meer gebeurd, maar dit bedrijf schijnt meerdere sites te hebben.. Allemaal met hetzelfde CMS met hetzelfde lek.. Op die manier is het ontzettend makkelijk om (ik denk) 200k e-mails (+wachtwoorden/namen/geboortedatum/registratiedatum/etc.) te krijgen.

Ik heb zelf geen behoefte om op deze manier in het nieuws te komen, maar het zegt toch wel wat over hoe zulke bedrijven over privacy denken.
Xcrypt0 is een hacker? LOL laat me niet lachen.
Hij had dit plaatje naar Looopings gestuurd waar duidelijk op te zien is dat hij een programma gebruikt die alles voor hem doet. Een echte scriptkiddie.

http://www.looopings.com/img/foto/xcrypt0duinrell.jpg

Laat Duinrell maar snel haar hele website na kijken.

[Reactie gewijzigd door Stroopwafels op 30 mei 2011 10:45]

Heb je misschien aangedacht dat hij misschien dat programmatje zelf heeft ontwikkeld? Een goede hacker ontwikkeld ook zijn eigen tools ;)
Gezien zijn bericht 'VIEZE KUTADMIN' heb ik het idee dat deze jongen niet heel oud is en volgens mij ook niet de `know how` in huis heeft om dit soort tools te schrijven, ook als is het niet bijzonder lastig.
Sjah als je de deur niet op slot zet dan is het inbreken niet echt lastig ;)

Hij heeft het boekje "hoe controleer ik een beveiliging voor Dummies" doorgelezen en gezien dat ze een basis zaakje niet goed hebben toegepast (waardoor een SQL injectie oid mogelijk is)
Inhoud zegt jammer genoeg niets over leeftijd.

Voor lange tijd heb ik ook gedacht dat je aan de inhoud van berichten kan aflezen hoe oud iemand is. Maar als ik bijvoorbeeld bij tweakers een dubieus bericht zie, dan check ik soms even het profiel om te kijken naar wat stats (misschien een troll b.v., dus negeren). Het valt me op hoeveelheid berichten van laag niveau geschreven worden door mensen van ver in de 30 en zelfs 40 en ook met bijzonder specifiek omschreven opleiding, vaak zelfs WO. Nou kan er gelogen zijn in al die profielen natuurlijk, maar ik verwacht van echte kinderen dat ze 25 al bejaard genoeg vinden klinken, dus dat lijkt me sterk.

Hoe dan ook, de emotionele leeftijd is uiteraard wel enorm laag, en daar gaat het om. Iemand die meteen moet schelden heeft gewoon een hoop onverwerkte frustraties, waar ie blijkbaar niet volwassen mee om kan gaan. De aandacht die ie met deze nieuwsberichten krijgt is eigenlijk ook niet goed voor zo'n type, maargoed, dat is een topic voor een andere site.

Ontopic:

Punt is, als het dan uiteindelijk om een SQL injectie fout gaat, iets wat natuurlijk wel nalatig genoemd kan worden door de website bouwers, dan geeft de term hacker ook wel een beetje teveel waarde aan de prestatie. Het is vergelijkbaar met een sleutel onder de deurmat vinden, of je geboortedatum als wachtwoord gebruiken, een stomme maar nog altijd veel gemaakte fout.

Altijd goed dat het even aangetoond wordt, dat zeker wel. Maar dit is een "hack" die iedereen hier wel kan, als ie de tijd en moeite zou willen doen.
Zeker niet zelf ontwikkeld. Ik heb dat tooltje al vaker voorbij zien komen.

Edit: Dit tooltje heet: "Auto SQLi Helper V.2.7"

[Reactie gewijzigd door Stroopwafels op 30 mei 2011 10:57]

Er zat geen fout in de site van duinrell zelf.

maar in enkele sites die op de zelfde server stonden
Het klinkt haast dat deze hacker een ex-medewerker is bij Multiminded... Hij weet wel heel goed hoe/wat en de statement 'ronduit belachelijk dat een groot bedrijf als Duinrell zo'n onhandige webdesigner heeft aangenomen. 90 procent van de sites van Multiminded is kwetsbaar' versterkt het alleen maar.

Verder zou je haast denken: Als zelfs een bedrijf als Sony/NASA gehacked kan worden, wie dan niet!
Een bedrijf als deze heeft ook altijd een referentie pagina. Hierop staan de meeste projecten wel op. Als daaruit naar voren komt dat 90% van deze sites zijn gebouwd met dezelfde CMS. Dan kun je er eingelijk wel van uit gaan dat deze allemaal via dezelfde manier zijn te bereiken/hacken.

Om je een beeld te geven.http://www.multiminded.nl/referenties

Dat maakt nog niet gelijk dat ik het eens ben met de actie van de hacker. Maar deze stelling ben ik het niet mee eens. En zo blijkt maar weer dat er toch geinvesteerd moet worden in security.

Dat is hetzelfde tegenwoordig met fietsverzekeringen. Het is jou eigendom, op het moment dat je hem niet op slot zet en hij wordt gestolen zegt je verzekering dat het nalatigheid is geweest. Omdat jij hem niet goed beveiligd hebt. Op het moment dat je kunt aantonen dat hij op slot was door 2 sleutels te tonen wordt het wel vergoed. Ook zo met je huis. Kun jij braaksporen aantonen doen ze er wat mee. Zo niet wordt het weer erg lastig om iets vergoed te krijgen
Deze maken waarschijnlijk allemaal gebruik van een ModX CMS.
Hun site is op het moment plat. Stop maar met linken naar hen. Zoveel bezoekers kregen ze kennelijk niet eerder.
Ik vind het persoonlijk toch niet de juiste manier om dingen te uploaden ergens en een beetje een site de defacen.

Het was toch ook voldoende geweest om een snapshot van de DB te maken, wat screenshots van de management interface en die in een mailtje stoppen naar Duinrell ICT beheer?
Als je om een paar vrijkaartjes vraagt ter compensatie zal je die dan vast ook nog wel krijgen.

Maar goed, er moet gelijk weer gescholden worden en data openbaar gemaakt worden. Toegegeven ik ken natuurlijk niet het hele verhaal, maar als ik de ICT manager van Duinrell was dan zou ik juist door dat uploaden en schelden een stuk minder bereid zijn om te onderhandelen over zaken.
Ik zou veel eerder geneigd zijn om aangifte te doen bij politie in vergelijking met een hacker die zijn bewijs niet gelijk op het WWW gooit, maar eerst op een normale toon komt praten over zaken.
De juiste manier is als volgt:
1. Je constateert een lek, verzamel (belastend) bewijsmateriaal, zorg dat de bedrijfsvoering niets van je acties merkt (geen deface/ddos/sloopwerk).
2. Stuur de admin van de website (en de maker van het CMS) een mailtje met je bevindingen en constateringen, gooi het bewijs nog niet in de strijd*.
3. Nu kunnen er 2 dingen gebeuren, je wordt aan de kant geschoven, gooi dan het bewijs in de strijd, of er wordt naar je geluisterd, zorg dat je telefonische contact krijgt, is wel zo persoonlijk.
4. Gebeurt er nog niets, ga druk uitoefenen (als het binnen xx dagen niet gefixt is stap ik naar de media...oid).
5. Gebeurt er nog niets, stap naar de media, gooi niet alle gegevens op straat, maar bijv. alleen een paar screenshots van de beheeromgeving als bewijs. Je hebt kans dat de media het niet oppakken, ga dan naar een gerenommeerd forum of weblog.
6. Gebeurt er nu nog niets kun je ervan uitgaan dat de beheerder er helemaal niets om geeft, geef delen van de procedures vrij (maar niet de gegevens of directe paden), kijk of iemand het oppikt en net zo ver komt, nu staat er nog meer druk op.
7. Gebeurt er nog niets, stuur de gegevens anoniem naar de media met wat tekst en uitleg, nu zal er wel wat gebeuren.

*het bewijs kan angstaanjagend overkomen bij de admin, je weet tenslotte niet wat hij/zij heeft uitgespookt in de beheeromgeving, gebruik het alleen als de tegenpartij je niet gelooft, of als ze vertrouwen in je hebben, de kans bestaat dat ze ook gelijk aangifte doen....

Bij de meeste competente bedrijven komt het tot stap 3, tot stap 7 zal het vrijwel nooit komen.

Op deze manier geef je een bedrijf veel ruimte en speling, je moet er rekening mee houden dat niet alle vulnerabilties 1,2,3 opgeslost kunnen worden, als White/Grey-hat kun je nu eenmaal niet eisen dat iets opgelost wordt binnen één uur.

Geef het bedrijf daarna wat tips, laat een kaartje achter zodat ze je altijd in kunnen schakelen om de beveiliging te testen, biedt ze aan om het netwerk de auditen (als je hiervoor de tools en kennis in huis hebt), dit wel tegen een vergoeding uiteraard. Vergeet niet dat je doel als White/Grey-hat het veiliger maken van informatiesystemen is, niet het slopen van bedrijven en gegevens "stelen" om ze te verkopen met een winstoogmerk. Geloof me, een bedrijf dat beveiliging hoog op de agenda heeft betaald grof geld voor een goede audit, meestal wordt er pas naar gekeken als "er iets gebeurt is", daar verdien je uiteindelijk meer mee dan met defacen en het verkopen van een database, tripple win dus....

[Reactie gewijzigd door donny007 op 30 mei 2011 21:53]

er is niks openbaar gemaakt...
en natuurlijk was het ook voldoende geweest om aleen screens temaken.

anways tis al weer oud nieuws :)
Goed om te lezen dat deze hacker niet zomaar alle gegevens op internet gooit, maar actief met de betrokken partijen communiceerd om deze problemen op te lossen!
En dat is nou een hacker ;) een hacker valt aan, krijgt toegang, doet geen schade en meld het probleem netjes bij de instanties die hier iets mee kunnen (in dit geval de Duinrell)

On: Ik vind het goed om te zien dat iemand eens laat zien dat het niveau van de webdesigners toch vaak wat wensen overlaat...

[Reactie gewijzigd door Mellow Jack op 30 mei 2011 10:39]

Daar gaat de netheid van het gebaar.. Dat slaat dan weer helemaal nergens op :?

Wel je voordoen of je de instantie wil helpen, maar ondertussen even laten zien dat je de man bent. Vind ik dan weer jammer.

[Reactie gewijzigd door peerke1987 op 30 mei 2011 10:52]

Sjah een volwassen persoon zal iets posten in de trend van "Hallo, U bent gehacked, wij hebben ervoor gezorgd dat dr geen persoonlijke informatie wordt gestolen en het bedrijf heeft nu voldoende informatie om dit probleem te verhelpen."

Een jong persoon (wil niet zeggen kind) die zegt iets in de trend van " Freaking loser, je bent geowned" (oid in die internet termen waar ik niet echt in thuis ben :P)

Het is idd niet netjes maar met een leeftijd filter komt het ongeveer op hetzelfde neer (al had hij de bezoekende gebruikers wel een berichtje moeten geven betreft hun prive gegevens.)
Een volwassen hacker zal ook niet de site van Duinrell gaan hacken...
Hmm... zou het een Vlaming wezen of een zuid-Nederlander?

[Reactie gewijzigd door mae-t.net op 30 mei 2011 12:09]

Is er ook een gegronde reden waardoor je op dat idee komt?

Ik zie niet in op welke manier deze hack en/of zijn tekst op de website iets met Vlaming/zuid-Nederlander te maken zou hebben.
Mijn excuses voor het gebrek aan uitleg. Mijn idee was gebaseerd op de tekst van de oorspronkelijke deface; in het bijzonder de passage "ik kan aan al je sites" zonder gebruik van een hoofdwerkwoord. Hoewel niet uitsluitend, is dat een constructie die ik toch met die regio associeer.

P.S. Dankjewel dat jij met een gerichte vraag reageert omdat je mijn te korte reactie zonder nadere uitleg niet kan duiden. Anderen dachten helaas niet zover door of vonden het teveel werk om inhoudelijk te reageren.

[Reactie gewijzigd door mae-t.net op 30 mei 2011 15:24]

Als dat geen pubertje is van max. 14 jaar is die zich echt übercool vindt..... dan is het, euhmmm tja wat dan?
Ok dat is nu weer erg jammer. Nu begrijp ik ook waarom Duinrell nog niet heeft gereageerd. Sorry maar ik zou met zo'n iemand ook geen zaken willen doen.
klinkt alsof er iets persoonlijks achter zit...
Hij was te klein voor de draaimolen,... tja dat gaat niet zonder consequenties.
Wat een faalkabouter. Alle geloofwaardigheid direct weer aan gort.

[Reactie gewijzigd door Alpha Bootis op 30 mei 2011 11:01]

Crypt0 is alles behalve een faalkabouter geloof me, ze mogen blij zijn datie helpt. Hij is een leuke blackhat en die zijn niet zo van helpen hoor! Verder vind ik dat het gewoon aan de webhost ligt en dat hij dan z'n deface er half overheen pleurt so what? Beetje reclame is nooit verkeerd.
Heb je die text gelezen? Geen probleem met (goede) hackers maar als je eerst dat soort texten gaat neerzetten en vervolgens de moraalridder gaat uithangen ben je fout bezig. Erg ongeloofwaardig.

[Reactie gewijzigd door Alpha Bootis op 30 mei 2011 11:21]

De hoster lijkt mij niet verantwoordlijk voor de fouten in het CMS dat SQL injectie toelaat..
Als hij echt zo'n xss'er was had hij inderdaad al de hele site gedefaced maar kon hij daar blijkbaar geen eens bij ;)
Je hebt jezelf geregistreerd enkel en alleen om deze kleuter te verdedigen?

* chaozz zwaait naar 0fftime en roept "hallo Xcrypt0"!
Dit is dus eigenlijk gewoon toegeven dat XCrypt0 en consorten een eigen botnet heeft? (Edit: staat trouwens ook op de site http://xcrypt0.com , lekkere praktijken en services, volgensmij is de helft maar legaal)
Laat ik eerlijk zijn, dat maakt het misschien wat minder erg... Met de nadruk op minder erg want je verschaft jezelf toegang tot waar je niet welkom bent... je bent dus eigenlijk niet meer dan een inbreker die jou de spulletjes wel terug wil geven onder bepaalde voorwaarden. Dat zou dus zomaar de lokale sleutelboer kunnen zijn die bij mij de voordeur staat open te breken en eventjes wat van mijn spullen onder zijn hoede neemt... om daar vervolgens mee aan te tonen hoe slecht de sloten in mijn deur wel niet zijn en dat ik betere bij hem kan kopen.

Als hackers serieus genomen wil worde, in de zin van als een relevant 'orgaan' om dergelijke problemen mee op te lossen, ipv de criminelen zoals nu worden aangestipt. Dat zal denk ik veel te maken hebben met de werkwijze, niet dan?
Het is idd niet erg netjes maar als de site mijn verantwoording zou zijn dan zou ik blij zijn wanneer dit mij overkomt. Dit omdat wanneer mij dit niet was overkomen dan had iemand hier kwaad mee kunnen doen zonder dat ik het ooit zou hebben gemerkt.

Ik maak de vergelijking iets anders... Ik ben laatst per ongeluk vergeten onze voordeur dicht te doen, een oplettende buurvrouw heeft dat gezien, de deur dicht gedaan en tegen mij gezegd dat ik een foutje heb gemaakt. Ik heb zoiets liever dan dat ze het maar met rust heeft gelaten zodat 10 minuten later een pest ventje mijn complete inboedel kan stelen :P
Oplettende buurvrouw; "Hey klojo, jij ben wel ech debiel hé, ik heb ik juh rooms gewatched en effe op je tafel gescheten, dus ge bent gewaarschouwd, de deur stond open"
zoiets?

Als deze puber het op dezelfde manier had gedaan als jouw buurvrouw, had hij gewoon een mailtje gestuurd met uitleg.

[Reactie gewijzigd door LessRam op 30 mei 2011 14:22]

Een oplettende buurvrouw met een wat plat taalgebruik, is ook een oplettende buurvrouw. Een deface opruimen is overigens minder werk dan een dampende hoop ontlasting.

Dat gezegd hebbende, vind ik opzich wel dat het wat beschaafder had gemogen.

[Reactie gewijzigd door mae-t.net op 30 mei 2011 15:26]

Hahaha sorry ik vind hem wel grappig :P

Maare ik doelde meer op de actie op zich en niet de teksten die hij daar neer heeft gezet :)
Das een kromme vergelijking. Je eigen spullen beheer je zelf. Neem eerder dat je een opslagplaats hebt die je verhuurt en die dan niet goed is beveiligd tegen inbrekers. Dan gaat het om andersmans spullen.
Het is niet alleen de webdesigners he. Ik develop een grote site in Spanje en ik zie op veel plaatsen dat het aardig lek is. Dat meld ik dan naar boven en het is aan hen om tijd vrij te maken voor deze dingen.

Ik kan en mag niet zomaar dingen veranderen omdat er een grote test fase tussen fixen en launchen zit. En er moet wel tijd en geld voor vrijgemaakt worden.

In deze gevallen is het dus duidelijk de fout van hogerop, helemaal omdat de fouten al bekend zijn.

[Reactie gewijzigd door mokkol op 30 mei 2011 13:08]

Sorry ik doelde op webdesigners als bedrijf en niet als functie/persoon. Dit wordt inderdaad vaak (zoals jij al zegt) veroorzaakt door het management van het bedrijf (en die van de klant)
Er is een groot verschil tussen webdesigners en programmeurs. Sterker nog, veel bedrijven gooien er nog een extra functie bij: webmasters en verwachten dat dit 1 functie is.
Jup, ik kan bijvoorbeeld niet echt designen, maar programmeren daarentegen weer wel :) Ik zie ook het liefst als aparte functie maarja de realiteit is echter iets anders...

Wel jammer dat meneer xcrypt zo negatief uitlaat op twitter(?)

Hackers moet je gewoon betalen voor fouten en bugs die ze kunnen vinden. Dit stimuleert en jouw systeem is gelijk een stuk veiliger.
Er is een groot verschil tussen webdesigners en programmeurs. Sterker nog, veel bedrijven gooien er nog een extra functie bij: webmasters en verwachten dat dit 1 functie is.
bij webmaster verwachten ze vaak zelfs nog applicatiebeheerder en systeem/netwerk beheerder.
En dat is nou een hacker ;) een hacker valt aan, krijgt toegang, doet geen schade en meld het probleem netjes bij de instanties die hier iets mee kunnen (in dit geval de Duinrell)

On: Ik vind het goed om te zien dat iemand eens laat zien dat het niveau van de webdesigners toch vaak wat wensen overlaat...
Offtopic

Webdesigners, designen websites... web ontwikkelaars maken ze.. please know what you're talking about
Er bestaan gelukkig nog steeds ethische hackers al ben ik bang dat het een uitstervend ras is.
Als ie ethisch was had ie niet zo'n idiote boodschap neergezet op de site van Duinrell.
Het slaat natuurlijk niet op deze hacker, maar ze zijn er vast wel. Maar dat is juist de truc: die hoor je nooit, want ze gaan geruisloos te werk en melden zonder tussenkomst van andere media of kladwerk het bij de partij waar het speelt!
Zo uitstervend zijn ze niet hoor! Punt is ze hebben meestal een hekel aan de publiciteit! ;)

Daarom hoor je er niet veel over! Heel af en toe kom je ze op bepaalde mailinglijsten of IRC tegen (vooral underground web, maar zie daar maar eens op te komen!)

Zelfs een echte blachat doet zoiets meestal niet!

Kijk er zijn uitzonderingen zoals dat MS voor schut werd gezet door Joanna Rutkowska, maar MS beweerde ook bij hoog en laag dat Vista veiliger was en moeilijker te hacken enz. (blue en Red pill maakte hier korte metten mee!!)

Maar kom op zeg Duinrell??
Ik ben heel blij dat deze hacker toch een beetje 'etisch' te werk gaat. Zijn werkwijze komt grotendeels overeen met wat gekend is als Greyhat hacking: Je kraakt puur voor je plezier en kan misschien wat illegaal bezig zijn, maar het is niet je bedoeling dat je enige schade aanbrengt en helpt eventueel het 'slachtoffer' door tips te geven over waar hun beveiliging lekt. Zijn actie van persoonsgegevens 'stelen' en publiek maken komt dan eerder overeen met wat een Blackhat. Gelukkig gaat het hier enkel over mailadressen en is het niet zijn bedoeling om geld te verdienen door de verkoop van de gegevens of blackmailing van het bedrijf. Al in al zal dit positief zijn voor Multiminded. Heel dit artikel beschouw ik als goed nieuws dus :-)
Hij heeft dus wel hiermee schade aangericht, hij heeft dus wel degelijk de site gehacked en wijzigingen aangebracht, en door het publiekelijk te maken heeft hij hiermee de bedrijven in een negatief daglicht gesteld, en dat is ook gewoon schade toebrengen. Als hij echt netjes was geweest had hij dit inclusief uitleg hoe hij het gedaan heeft gemeldt bij de bedrijven, maar dat heeft hij dus NIET gedaan.. Nu is het dus wel degelijk blackmailen omdat het via de media gaat..
Dus even dit doortrekken: Iemand breekt in in een huis voor de fun, maak wat copietjes van persoonlijke contracten, bankafschriften. Bewoner komt thuis,.treft de 'inbreker' aan, bied hem een bakkie koffie aan en praten over hoe ze het huis veiliger kunnen maken.


right....
Vergeet het uitschelden niet :P Ik als Duinrell zijnde zou hier niet mee akkoord gaan (ik ben niet van Duinrell btw),

''Bewoner komt thuis,.treft de 'inbreker' aan, bied hem een bakkie koffie aan en praten over hoe ze het huis veiliger kunnen maken.''

Inbreker breekt in huis, klad teksten op de muren met scheldwoorden, en bied hem later aan om de beveiliging "kostenloos" te dichten.

Juist...
Het moet niet gekker worden... straks kan een inbreker nog als verweer aanbrengen dat hij eigenlijk alleen maar wou aantonen hoe makkelijk de voordeur open te krijgen is. Het is dus eigenlijk allemaal voor de goede zaak; uw spulletjes krijgt u terug, kunnen we daarna ook nog even om de tafel gaan zitten om over nieuwe deuren en sloten te spreken.

Sorry hoor, maar WTF?! 8)7

Er zijn zoveel punten waarop dit fout is... maar vooral de arrogantie waarmee het gebeurd. Deze hacker was dus bekend met de bouwer van de website en wist dus van de kwetsbaarheden die de programmeur blijkbaar standaard liet zitten. Dan zijn er potver toch nettere manieren om Duinrell er van te overtuigen dat hun beveiliging van de website niet helemaal in orde is?

Prima, deze man heeft dus bewezen dat de boel niet goed dicht zat, maar heeft zichzelf wel eerst toegang verschaft en op zijn minst info heeft kunnen bekijken wat niet voor zijn ogen bedoelt was... al gaat het maar om een database met mailadressen. Aangifte zou het eerste zijn wat in mij opkomt... maar de angst van hackers zal op het moment wel zo groot zijn dat men bang is voor vervelende consequenties...

Ik vind dat wanneer je als hacker zoiets aan wilt tonen en niet als crimineel wilt worden aangestipt... dat men professionelere manieren van benaderen moet zoeken. Achteraf aanbieden om kosteloos de lekjes dicht te maken vind ik heel erg slap... als je er zoveel verstand van hebt, dan kan je ook vast wel een klein rapportje opsturen naar zo'n bedrijf met je meningen en bevindingen... en dan eventueel met toestemming van eens een keer kijken wat er allemaal mis is.

[Reactie gewijzigd door MicGlou op 30 mei 2011 10:39]

Het moet niet gekker worden... straks kan een inbreker nog als verweer aanbrengen dat hij eigenlijk alleen maar wou aantonen hoe makkelijk de voordeur open te krijgen is. Het is dus eigenlijk allemaal voor de goede zaak; uw spulletjes krijgt u terug, kunnen we daarna ook nog even om de tafel gaan zitten om over nieuwe deuren en sloten te spreken.
Dat is dus precies wat de politie in Leiden gaat doen:
http://www.telegraaf.nl/b..._Politie_breekt_in__.html
Lol, dat is natuurlijk wachten op de eerste aangifte wegens diverse delicten door de agenten, en de eerste agent met bijtwonden.....

Reacties van een aantal rechtsgeleerden: http://www.westonline.nl/nieuwsitem/51452

[Reactie gewijzigd door Zer0 op 30 mei 2011 19:29]

Het is maar de vraag hoe het bedrijf reageert op de melding dat hun site is gehacked. Ik vermoed dat het bedrijf zoiets heeft van ja ja je lult maar raak :) Wanneer je gelijk bewijs materiaal geeft dan schrikken ze wel eventjes en gaan ze het probleem gelijk verhelpen.

Dat deze persoon iets heeft gestolen vind ik niet zo'n extreem probleem aangezien hij of zei hier nog niks mee heeft gedaan... Hier in de NL ben je onschuldig totdat wordt bewezen dat je schuldig bent ipv de USA waar het wel eens andersom is :P dus ik geef hem het voordeel van de twijfel omdat hij het anders niet publieke had gemaakt

[Reactie gewijzigd door Mellow Jack op 30 mei 2011 10:48]

Dus als ik het goed begrijp is het niet erg als ik als inbreker jou plasma TV jat zolang ik hem maar niet aanzet? Logica..... Net zoals het meenemen van een plasma scherm is het meenemen van die database met email adressen gewoon verboden. Of je er nu wel of niet wat mee doet.
Nee ik vind het niet erg wanneer iemand mijn plasma tv jat, hem mee neemt, een briefje neerlegt met de melding dat hij hem heeft gestolen incl de melding dat hij hem kosteloos terug komt brengen op het moment dat ik zijn advies opvolg en de volgende keer mijn deur gewoon netjes op slot doet

Zoiets heb ik liever dan wanneer iemand mijn plasma tv steelt en ik die tv nooit meer terug zie ;)
Beide gevallen vind ik net zo vervelend. Je hebt van andermans spullen af te blijven, dan is er helemaal geen beveiliging nodig! Dat zou een hoop tijd en geld schelen op de wereld als jatten/inbreken niet bestond.
Jij kan het misschien slap vinden om het achteraf kosteloos aan te bieden, maar als er geen misbruik wordt gemaakt, wordt er meestal gewoon niets aan gedaan, en dit geld voor zowel grote bedrijven als kleine ...

PSN is gekraakt omdat ze dachten dat ze geen prooi werden voor hackers en dat het daarom voldoende beveiligd was, echter waren er ... euhm ... hoeveel info te vinden ... nou genoeg denk ik zo hé en zijn ze dus wel zwaar gehacked.

En van kleinere bedrijven/site ken ik er ook wel een paar.

Net hetzelfde als hoeveel er geen Windows updates doen ... Steeds met als uitvlucht: het werkt toch! ... Nou net hetzelfde probleem, die gebruikers gaan pas updaten als ze iets ernstig voor hebben. En dan is het meestal te laat.


Een hacker die dus laat zien dat er iets zwaar mis is, zelf niets met de gevoelige informatie doet en daarna het wilt oplossen (kosteloos) vind ik _/-\o_


Edit: De boodschap van de hacker had natuurlijk wel wat netter gekund ...

[Reactie gewijzigd door Tom V op 30 mei 2011 10:55]

Ach, hacker is tegenwoordig een term die door mening persoon wordt misbruikt, dit klinkt meer als een cracker.
Wat ik erger vind is dat er zo laconiek wordt gedaan over het probleem wat oa door deze crack (en die van psn e.a) duidelijk naar voren komt: wijdverbreide nalatigheid wat betreft gegevensopslag en beheer, iets wat imho een stuk erger is dan al die cracks die plaatsvinden.

immers: de nalatigheid is de noodzakelijke voorwaarde voor het probleem, zonder nalatigheid zouden crackers weining te doen hebben. Zou me niet eens verbazen als duinrell voor zulke geintjes vervolgd kan worden (dat kunnen ze dan wel weer verhalen).
Aangifte? Try to find him mate. Hij heeft neem ik aan toch wel een offshore vps die geen logs heeft? Hem vind je niet of je moet 'm kennen;)
#whois XCRYPT0.COM

Het is echt zo moeilijk niet. Aangifte zal er wel niet zijn, want tjah, het verhaaltje loopt voor duinrell redelijk af. Maar toch. minder ego, meer kennis.

<quote>

De tools/tutorials die je hier kan vinden zijn alleen voor leerdoeleinden en mogen uitsluitend alleen worden gebruikt op eigen risico. Als je deze regel<br />overtreedt, zijn de eventuele juridische gevolgen niet<br />voor ons maar voor jezelf

</quote>

Dat is uiteraard voor iedereen zo, dus ook voor jullie.
jij hebt echt nog nooit NCIS LA gekeken hea? een Offshore VPN betekent niet dat je onvindbaar bent hoor. het is alleen een stuk lastiger en je verbinding is gecodeerd dus de datastroom is niet uit te lezen. je kan echter wel zien dat er data wordt verstuurd en als die timing overeen komt met het getraceerde adres van de VPN die bepaalde dingen heeft gedaan op bv. duinrell.nl dan kom je al een heel eind.

bovendie spreekt meneer "vloeiend" nederlands dus dan heb al gelijk een beperking tot 16,5 miljoen inwoners. en dat is opzich niet heel veel als je weet dat een heel g root gedeelte gelijk al afvalt.

opsporing kan je moeilijk maken, maar niet helemaal voorkomen.
Ik vraag me vaak af of dit soort quasi-grote bedrijven uberhaupt wel bewust zijn van de risico's van gegevens opslaan. Het gebeurt regelmatig dat er een toch redelijk grote database gehacked wordt. Letten die mensen gewoon niet op? Ze verkopen per slot glijbanen, geen digitale diensten of zo. Het lijkt mij nonchalance...
Onwetendheid, waar door de betrokken IT-bedrijven dan misbruik van gemaakt wordt door een incompleet product te leveren. Helaas staat er blijkbaar nog niet standaard in websitecontracten dat als er een lekje is, de maker aansprakelijk gehouden wordt voor alle schade, en gedwongen wordt de boel alsnog te fiksen. Dat maakt redelijk vlot een einde aan dit soort praktijken.
Meestal staat er standaard in dat ze niet aansprakelijk gehouden kunnen worden voor de verdere schade.

Op zich nogal logisch, meestal zijn fouten ook niet op 1,2,3 te vinden.
Of men gebruikt software van 3e partijen.
Ook kan het schadebedrag nogal snel en hard oplopen.

Dat zijn eerder doelstellingen die de klant in het contract moet opnemen.
Evenals verdere ondersteuning.
Maar goed, dat is meestal te duur voor de klant dus dan doen ze dat niet.
Misbruik zou ik het niet direct willen noemen. Soms denk ik ook wel eens bij sommige klanten van: "Nou, dat zou ik toch iets meer gaan beveiligen". Maarja, dat kost ook wat. En elke manager heeft altijd de mond vol van "Ja beveiliging erg belangrijk blablabla" maar zo gauw het geld gaat kosten is het toch ineens niet zo belangrijk meer. Echter, gebeurt er een keer iets en loopt bedrijf/school X imago schade op, dan blijkt ineens dat de sky de limit is.
Gaat toch niet werken. Lekken zullen altijd te vinden zijn, afhankelijk van wat een hacker kan en wil doen. Dat maakt redelijk vlot een einde aan zo'n beetje elke websitebouwer.
Kan ook pure ontwetendheid zijn. Vaak zie je dat dit soort bedrijven puur vertrouwen op IT dienstverleners. En dan kan je erg raar in de kijker komen te staan....
Ach ik heb het helaas vaker gezien bij grote bedrijven. Dit zijn vaak management beslissingen waar de IT geen tot weinig inspraak in heeft. Vaak komt de directeur van de IT dienstverlener eventjes langs om een commercieel praatje te houden waar ze net doen alsof ze de beste van de wereld zijn en ze super veel ervaring hebben met grote projecten. Helaas kunnen de werknemers deze praatjes niet altijd waarmaken waardoor je uiteindelijk een halfbakken product krijgt zonder dat ook maar iemand het doorheeft want de look en feel zijn wel geworden wat de directie in eerste instantie voor ogen heeft gehad.
Dat is een erg sportieve hacker, zeg! Eerst het probleem aan het licht brengen, vervolgens aanbieden om kostenloos te helpen!
Je kunt je afvragen of dat wel per se slim is. Hoe weet het bedrijf dat er geen achterdeur wordt ingebouwd?
mag toch wel hopen dat het bedrijf wat zijn hulp aanneemt toch wel enige kennis van code heeft ;)
en hebben ze die niet dan zullen ze die moeten inhuren. Doen ze dat niet dan kan Xcrypt0 in zijn vuistje lachen en het bedrijf heel erg zwart maken ;)
Tja want als hij geld zou vragen voor zijn diensten dan was hij aan het afpersen...
Toch goed om te zien dat er ook nog hackers zijn die het niet doen om een bedrijf onderuit te halen, zoals bij Sony is gebeurd. Hacken om beveiligingslekken aan te tonen kan dus blijkbaar nog wel.
Bij Sony lag daar al een oorlogsverklaring van Sony. Duinrell heeft de hackersgemeenschap nooit iets misdaan voor zover ik weet.
Dat zou maar eens het geval moeten zijn. Dan heeft Duinrell het wel erg bont gemaakt.
het publiekelijk maken van de hack en daarbij nog multiminded afkraken noem ik toch wel degelijk 'een bedrijf onderuit halen'..
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True