Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties

Een aantal hackers, opererend onder de naam AntiSec NL, heeft inloggegevens van de websites Pcicase.nl en Procase.nl gepubliceerd op Pastebin. De nog onbekende groep heeft ook de website van een kerkgenootschap aangevallen.

AntiSec NL lijkt een splintergroepering van het losvaste AntiSec-collectief en is sinds zondag actief op Twitter. Dinsdagnacht publiceerde de groep vermeende inloggegevens van klanten die gebruik zouden maken van de websites Pcicase.nl en Procase.nl. AntiSec NL zou de data hebben bemachtigd door gebruik te maken van een kwetsbaarheid in een Microsoft SQL-server. Het bedrijf achter beide websites, het in Breda gevestigde Pcicase B.V. liet aan Tweakers.net weten nog niet op de hoogte te zijn van een hack op zijn site, maar dat het de zaak nader zou onderzoeken.

Naast het publiceren van klantgegevens stelt AntiSec NL ook verantwoordelijk te zijn voor het defacen van Bronkerk.nl, een website van een kerkgenootschap. Ook zijn de inloggegevens van deze website in een Pastebin geplaatst.

Welk doel de hackers voor ogen hebben, is volstrekt onduidelijk, evenals uit hoeveel leden de groep bestaat. In diverse landen, waaronder Brazilië, zijn inmiddels splintergroeperingen van de AntiSec-beweging ontstaan. Een groot deel daarvan zou bestaan uit Anonymous-leden, terwijl ook sympathisanten van het inmiddels opgeheven LulzSec deel zouden uitmaken van de AntiSec-beweging. De losvaste collectieven stellen websites aan te vallen uit weerzin tegen beveiligingsbedrijven die zich schuldig maken aan censuur.

Gerelateerde content

Alle gerelateerde content (26)
Moderatie-faq Wijzig weergave

Reacties (130)

Het posten van die gegevens, ze leren het ook nooit..... ga met het bedrijf praten over een oplossing, kaart een lek aan bij de ontwikkelaar van een applicatie, dump niet de gegevens van onschuldige gebruikers.

Bedrijven luisteren echt wel als je ze een redelijk timeframe geeft en wat druk op de ketel zet. Ik heb tientallen webmasters op SQL-injectiemogelijkheden gewezen, 9/10 keer is het binnen enkele dagen opgelost. Als ze je niet geloven stuur je ze een paar gegevens ter verificatie, repareren ze het lek niet dan stap je ermee naar de media, bijv. door geblurde screenshots te posten.

Dit zijn mediageile kleuters die met een 13 in een dozijn tooltje wat gegevens buitgemaakt hebben en deze klakkeloos op pastebin gegooid hebben, niet de werkwijze van een grey/white-hat hacker, eerder die van een scriptkiddie.... toch noemt men dit tuig 'Hacker', waardoor de white/grey-hats/security experts in een kwaad daglicht worden gezet.

Het doel van je actie moet zijn dat het lek gedicht wordt, niet schade aanrichten bij gebruikers en bedrijven om de frontpage van T.net te halen.
Het bedrijf achter beide websites, het in Breda gevestigde Pcicase B.V. liet aan Tweakers.net weten nog niet op de hoogte te zijn van een hack op zijn site, maar dat het de zaak nader zou onderzoeken.
Hoe moeilijk kan het zijn, check je /var/log/mysql/ en je weet genoeg, queries als 'SELECT * FROM users' moeten toch wel opvallen.... en ja, er zijn scriptjes die de logs voor je checken en een mailtje sturen als er iets onverwachts gebeurt, een grote omgeving kan niet zonder IPS (intrusion prevention system) of op zijn minst een IDS (intrusion detection system). Je systemen scannen met een Vulnerability scanner (zoals Nessus) voordat je live gaat (en om de zoveel tijd) is ook een vereiste.

Dit bedrijfje is zeer incompetent, de site is weliswaar weer online, maar het lek zit er nog, typ maar is ' in het zoekveld..... de kassa moet rinkelen ten koste van de klantgegevens, daar zou ik dus niets kopen.

[Reactie gewijzigd door donny007 op 29 juni 2011 13:01]

Hier kan ik dan weer geen respect voor hebben. Dat je beveiliginslekken aan het licht wil brengen op deze manier kan ik begrijpen, maar dat je dan inloggegevens van (onschuldige) gebruikers gaat publiceren vind ik niet helemaal correct. Die gebruikers kunnen er niks aan doen, maar zijn er als puntje bij paaltje komt wel de dupe van. Laat dan gewoon zien dat er iets mis is in de software en laat de systeembeheerder het oplossen.
Maar als je zo'n paste maakt, komt het bedrijf vervolgens met:

"Het bedrijf achter beide websites, het in Breda gevestigde Pcicase B.V. liet aan Tweakers.net weten nog niet op de hoogte te zijn van een hack op zijn site, maar dat het de zaak nader zou onderzoeken."

Dan blijkt toch dat het heel erg nodig is dergelijke dingen te doen. Als je niet zo'n pastebin maakt kom je immers niet op het nieuws en word het probleem dus niet in de bekendheid gebracht. Kennelijk is het bedrijf al niet in staat te achterhalen dat er is ingebroken, zelfs niet als dit op het internet staat, totdat iemand van het nieuws langs komt met vragen.

Dat is juist het doel van deze groeperingen: de beveiligingsproblemen aan het licht brengen. Dat lukt je niet als je alles braaf uit het nieuws houd en intern laat oplossen. Juist door het op deze manier te doen, zullen ook bedrijven die (nog) niet zijn aangepakt langzaam wakker worden en de beveiliging gaan verbeteren.

De reden van alle beveiligingsproblemen is immers dat al deze bedrijven nooit werden aangevallen en dus niks te vrezen hadden. Niks te vrezen betekend geen investeringen in de beveiliging om het op acceptabel niveau te krijgen.
Want kijk nou zelf naar het dagelijks leven... hoeveel mensen nemen extra sloten/inbreekalarm NADAT er is ingebroken, in plaats van gewoon te zorgen dat het altijd in orde is.

[Reactie gewijzigd door Xanaroth op 29 juni 2011 10:38]

Dan blijkt toch dat het heel erg nodig is dergelijke dingen te doen. Als je niet zo'n pastebin maakt kom je immers niet op het nieuws en word het probleem dus niet in de bekendheid gebracht.
Deze script-kleuters hadden er ook voor kunnen kiezen om een gedeelte van de gegevens weg te laten ofwel te anonimiseren.

Criminelen die op deze manier te werk gaan om beveiliginsproblemen aan de kaak te stellen mogen ze wat mij betreft keihard aanpakken.

[Reactie gewijzigd door Dlocks op 29 juni 2011 10:42]

Even wat bronnen:

http://pastebin.com/aA5qEuSw

Het lijkt er op dat de site al vijfdagen gelden gehackt is.
Mooi gevonden. Komt trouwens ook overeen met de datum in het screenshot wat in het artikel is geleverd. De hack is blijkbaar uitgevoerd in de avond.

Volgens mij is er trouwens gebruik gemaakt van een backtrack variant (gezien de naam van de machine, BT). Daarnaast lijkt er gebruik gemaakt van een live-cd aangezien er onder root in is gelogd (standaard voor de live cd van BT).

Alles gebaseerd op assumpties btw.
Ja en het lijkt ook alsof hij gewoon een script-kiddie is. Gehackt d.m.v de simpelste SQL Injectie die je kan verzinnen. Metasploit open in een schermpje(erg bekend onder de scriptkiddos) en bookmarks van aircrack-ng handleiding(wifi netwerk hacking suite)...
Even los van een oordeel over de actie, dat zou de motivatie voor het aanpassen van de website grotendeels teniet doen als er toch geen volledige gegevens gepubliceerd worden ;)
Kom op zeg, ze posten (weet niet of dat in deze specifieke situatie ook het geval is) ook volledige gebruikersnamen , wachtwoorden, NAW-gegevens etc.. Totaal overbodig.

Gegevens op een dusdanige manier posten zodat derden (lees: andere script-kleuters) er niets mee kunnen doen voldoet prima om het nieuws te halen en ervoor te zorgen dat het bedrijf wat gehackt is aan te sporen om ASAP maatregelen te nemen.

En als script-kleuters het toch noodzakelijk vinden om op termijn alle gegevens te posten doe het dan in meerdere stappen. Dus eerst bijvoorbeeld alleen gebruikersnamen posten. Lost het bedrijf het probleem niet op dan na x-aantal dagen meer gegevens posten. Weer niet opgelost na x-aantal dagen nog meer gegevens posten. Etc.

Haal je ook gelijk meerdere keren met één hack het nieuws. En het lijkt erop dat het nieuws halen het enige doel is van deze script-kleuters.
Als een bedrijf, een professioneel bedrijf! Die gebruik maakt van een webshop of dergelijke intranet dan verwacht ik wel dat mijn wachtwoord in ieder geval op de database word opgeslagen met een md5-hash (minimaal).

Op dit moment kan ik ervan uitgaan dat de lijst die ze nu publiceren wachtwoorden bevatten die gegenereerd zijn. Al zijn ze gegenereerd, men moet altijd denken aangevaren als sql-injection en beveiliging. Hoe klein je bedrijf dan ook mag zijn.

In dit geval is er nauwlijks wat aan de server gedaan (gezien ze een bug gebruiken in MS sql), lijkt mij een oude bug en niets iets wat MS zomaar een paar jaar laat zitten ivm dat ze makkelijk een sql dump kunnen maken. Updaten van een server is altijd van groot belang en dan vooral security fix/patches. (elke beginnende ict-er weet dat)

Ik kan niet genoeg nadruk op beveiliging leggen als men van plan is gegevens online op een website vastlegt. Vele bedrijven die gebruik maken van een opensource systeem of dergelijke vertrouwen de software zodanig dat ze niet op de hoogte zijn van eventuele kansen of gevaar dat ze slachtoffer worden van een sql-injection, een bug of een fout in de software (MS sql database).

Sommige bedrijven huren studenten in die hun stage doen om bijv een website te maken. studenten hebben niet veel ervaring om alles zo goed mogelijk dicht te timmeren en ik vind dat je daarvoor iemand moet inhuren die er verstand van heeft (kost geld maar dan heb je ook tenminste meer garantie dat de beveiliging goed geregeld is).

De klant is immers koning, bedrijven die hun beveiliging niet op de rit hebben staan zullen anno 2011-2012 zwaar onder druk worden gezet. Dit is ook wel een positief punt, andere bedrijven zullen dan ook naar hun eigen website kijken hoe hun beveiliging in elkaar steekt en dat zal ertoe leiden dat wij tweakers meer werk krijgen ;-).

Spreekwoord: de een zijn dood is andermans brood
Achja, het feit dat dergelijke hackers een hoop gegevens in hun bezit hebben is uiteraard geen incentive om de security aan te scherpen.

Of toch?
Inderdaad. Je hebt weinig tot niks te vrezen van dit soort pastebins.

Waar je voor moet vrezen, aangezien het hacken zo simpel is en zo vaak in het nieuws is: hoeveel hacks worden er NIET bekend gemaakt omdat er echte criminelen achter zitten?

Criminelen die datzelfde lek dagelijks/wekelijks/maandelijks gebruiken. Geen melding is geen fix, dus ze kunnen een scriptje schrijven om die server regelmatig even leeg te trekken kwa informatie. Die informatie zie je niet terug in Pastebin, dat zie je pas terug als je ineens een BKR registratie hebt of iets dergelijks omdat je ID is misbruikt.
Heb vaak genoeg gehoord dat bedrijven niks doen met waarschuwingen van hackers.

Even voor alle duidelijkheid: ik sta niet achter de acties van deze groepering.
Nou, ik vermoed dat de gebruikers van die sites wel even een grote mond moeten opentrekken dan. Ik moet het niet hebben dat mijn gegevens open en bloot op het internet zwerven!

Het nadeel is dat er dus eerst ergens bekend gemaakt moet worden waar er (gedeeltelijke) gebruikersinfo staat zodat de media het oppakt..maar tegelijkertijd een berichtje richting het bedrijf zelf (nobele hackers?) kan er niet meer vanaf?

Wat je nu krijgt dat de gebruikers niet alleen boos zijn vanwege de crappy beveiliging, maar ook tegen de hackers die een slechte naam krijgen omdat ze -alle- info maar klakkeloos op het web pleuren. Dat lijkt mij niet de manier van doen: maak kenbaar dat je de gegevens hebt en ga niet alles lekker open en bloot overal op pleuren waar ander volk met beroerde bedoelingen er nog ff lekker misbruik van maken kan..voor dat soort praktijken kan ik geen goed woord opbrengen hoor.
Wanneer een bedrijf in het nieuws komt, met dat de site (weer) gehacked is en dat er (weer) gegevens zijn buitgemaakt en gepubliceerd is voor een bedrijf erg genoeg. Dit moet in een bedrijf rede genoeg zijn voor aanpassingen/verbeteringen, mocht dit niet uit het potje beveiliging te financieren zijn, moeten ze eens naar het marketing potje gaan zoeken om centen uit te kunnen geven. Als jij een dergelijk bedrijf nodigt hebt, je hebt er enkele gevonden, dan typ je toch even de naam in bij google(?) komen er dan eerst 5 artikelen over dat ze weer eens gehacked zijn, dan zou ik verder zoeken...
Het plaatsen van gegevens kun je toch ook beperken tot bijvoorbeeld de eerste 3 records uit de database en de (volledige) sitemap van de server bijvoorbeeld?

En dan nog is het de vraag of het bedrijf zelf iets aan de beveiliging kan doen of dat het bij een provider ligt. Als de gebruikte software, bijvoorbeeld een open-source webwinkel, zo lek is als een (winkel)mandje dan kun je toch moeilijk de schuld leggen bij de provider, dan is het nog altijd het risico voor het bedrijf die de webspace huurt en zijn eigen dingen er mee doet.
idd, ik heb het idee dat er steeds meer van dit soort faal groeperingen opbloeien, ik word een beetje moe van dit soort scriptkleuters met een aandachtstekort.

Als ze de boel zouden hacken om lekken aan het licht te brengen en er zo voor te zorgen dat gegevens van mensen niet op straat komen te liggen, waarom zouden ze dan de gegevens uitgeven?

Ik vind dat dit soort dingen harder aangepakt mogen worden, een flinke taakstraf en 5 jaar verbod om ook maar naar een computer te kijken lijkt mij een goeie om mee te beginnen.
Bij herhaling gewoon de cel in. Of is dat erg extreem?
Dan blijkt toch dat het heel erg nodig is dergelijke dingen te doen. Als je niet zo'n pastebin maakt kom je immers niet op het nieuws en word het probleem dus niet in de bekendheid gebracht.
Onzin wat mij betreft. Als je bekend maakt dat je ze hebt, dan wordt hier heus ook uitgebreid over bericht. En als je dan al iets publiekelijk maakt, ben je net zo geloofwaardig als je enkel een gebruikerslijst publiceert in plaats van de volledige inloggegevens.

Het is ondermaats, zielig, en verre van "heel erg nodig" om gebruikersnamen EN wachtwoorden te gaan prijsgeven van nietsvermoedende en volstrekt onschuldige mensen.

Het doel van deze groeperingen gaat al lang voorbij aan "het aan het licht brengen". Dit is gewoon rel schoppen uit kinderlijk amusement.

edit: komaan, geef toe: een kerkgemeenschap? Welke eer valt daar nog aan te halen?

[Reactie gewijzigd door MatthiasDS op 29 juni 2011 10:45]

Je zult je verbazen hoeveel grote gemeenschappen er zijn met een intranet. Sommige kerken hebben hun hele ledenbestand online staan, waar je pas bij kunt als je ingelogd bent. Dus ja, daar zit ook privé-data wat bruikbaar is.
En hoeveel van die kleine clubs kunnen zich een volledig IDS/IPS systeem veroorloven om te zien dat ze uberhaupt gehacked zijn ? Of verwacht je dat iedereen elk moment zijn server/access/router logs in de gaten houdt om maar zeker te zijn dat er niets mis is ?

Het doel van deze groeperingen is het equivalent van Charles Manson in de jaren 70 die zou zeggen dat hij het deed om aan te tonen dat huizen niet veilig zijn.
Als je je geen duur systeem kan veroorloven zal je op een andere manier moeten oplossen, als je een dergelijke service aanbiedt is het onacceptabel dat je niets aan intrusion detection doet.

Laten we eerlijk zijn, zo ingewikkeld is het niet, een behoorlijke router kan al logs bijhouden, je servers kunnen logs bijhouden en veel applicaties kunnen zelf ook nog logs bijhouden. Als je geen automatisch systeem kan veroorloven kan je zelf met simpel wat GREP commando's op een Linux bak/Cygwin gemakkelijk je logs filteren. In powershell kan je vergelijkbare commando's uitvoeren.
Ik wil je de logs van mijn server wel eventjes opsturen (en daar staat toch echt niets interessants op). Kraken zullen ze de bak niet snel aangezien ik een zelf gebakken web-server heb draaien en de meest script-kleuters standaard zwakheden uitproberen. Daar staan de logs dan ook vol mee. Zoiets als http://........./web.php?password=admin wat toch echt niet gaat werken aangezien er geen PHP draait. Waar ik dus een beetje ziek van wordt is dat er dagelijks naast mij misschien 1 of 2 personen de site bezoeken, er wel ongeveer 100 requests van zogenaamde script-kleuters komen. En nu moet ik volgens jou uit die 100 verschillende hack pogingen gaan lopen uitvogelen wie er nu precies op die machine is geweest (als dat al lukt) ? Het liefst zou ik er middel tegen willen gebruiken, zoals: jij doet als hacker een nutteloze http-request op mijn machine, dan kun je 100 nutteloze requests naar jou machine terug verwachten. Respect heb ik voor echte hackers, die dus ondanks dat mijn web-server niet een standaard web-server is, toch de volledige root-toegang vekrijgen op mijn machine. De rest is gewoon hack-vee ... achter de andere schapen aanlopen.
Ze hadden gewoon 1 maand hiervoor contact moeten opnemen met het bedrijf en aangeven dat je de gegevens 1 maand later gaat publiceren. Het is 1 e-mail of telefoontje en het zorgt ervoor dat de complete Tweakers community begrip voor je heeft. Dit geeft het bedrijf gelijk de tijd om de problemen aan te pakken maar het zorgt ook voor een bepaalde druk om het aanzien van hun klanten niet te verliezen
"Kennelijk is het bedrijf al niet in staat te achterhalen dat er is ingebroken, zelfs niet als dit op het internet staat, totdat iemand van het nieuws langs komt met vragen."

Ik ben het ook helemaal niet eens met de manier waarop deze actie is ondernomen, maar laten we eerlijk zijn, pcicase had en heeft nog steeds z'n zaken erg slecht op orde.

Nu ze net gehacked zijn op een erg simpele manier staat hun site al terug online, maar je moet voor de gein eens in hun zoekveldje een single quote typen.
Ze hebben dus gewoon een even kwetsbare site terug online gegooid zonder enig nieuwsbericht of waarschuwing op hun site
Maar als je zo'n paste maakt, komt het bedrijf vervolgens met:

"Het bedrijf achter beide websites, het in Breda gevestigde Pcicase B.V. liet aan Tweakers.net weten nog niet op de hoogte te zijn van een hack op zijn site, maar dat het de zaak nader zou onderzoeken."

Dan blijkt toch dat het heel erg nodig is dergelijke dingen te doen.
Nonsens, er blijkt helemaal niks.
Dat ze zeggen dat ze het via een hack hebben buitgemaakt wil niet zeggen dat dat zo is.
Usenet zit vol met trojans die je autocomplete-passwords uit browsers trekken en terugsturen naar iemand.

Daar doe je helemaal niks tegen als bedrijf - dat ligt compleet aan de user die bij je inlogt / die thuis trojans draait.
Je kunt gewoon het bedrijf mailen.

De rest van je verdediging voor deze kleuters slaat dan nergens op, sorry.
Dan blijkt toch dat het heel erg nodig is dergelijke dingen te doen. Als je niet zo'n pastebin maakt kom je immers niet op het nieuws en word het probleem dus niet in de bekendheid gebracht. Kennelijk is het bedrijf al niet in staat te achterhalen dat er is ingebroken, zelfs niet als dit op het internet staat, totdat iemand van het nieuws langs komt met vragen.
Kan ook heel goed zonder de gebruikersgegevens openbaar te maken. In het verleden zijn er meerdere hackers geweest die lekken hebben gevonden en die dan melden aan de beheerders en die de lek dan gaan dichten. Hier lijkt totaal geen contact zijn gelegd met de sites om het lek te dichten voordat ze publiciteit opzochten, het gaat hun dus niet om de lek te dichten!. Heb geen enkel goed woord voor deze mensen over, zijn alleen maar op rottigheid uit, het bewijs is hun manier van handelen!

Kijk als beheerders nu nalatig zijn en niet reageren op de lek die ze op een presenteerblaadje krijgen aangereikt, dan zou ik de rede snappen. Maar dan nog keur ik het af hoe dit soort groepjes mensen de gegevens van de gebruikers die er niks mee te maken hebben openbaar worden gemaakt met alle gevolgen van dien voor die gebruikers.

Ze pakken niet alleen de beheerders/makers van de site, maar ze vallen JIJ en IK ook aan, de gebruikers zijn ook het doelwit van deze groepjes! En die gebruikers hebben er nu juist helemaal niks mee te maken.
Want kijk nou zelf naar het dagelijks leven... hoeveel mensen nemen extra sloten/inbreekalarm NADAT er is ingebroken, in plaats van gewoon te zorgen dat het altijd in orde is.
Aha... Tja zo kan je het ook zien...

Dus jij heb:
- extra (gecertificeerde) sloten op je deuren
- biometrische toegangscontrole
- dieveklauwen gemonteerd
- braakwerend glas rondom in je huis
- inbraak- & brandmeldsysteem
- extra brandblussers
- spinklerinstallatie
- blusdekens
- en ga zo maar door...

Allemaal onder het motto: "om te voorkomen VOOR dat er wat gebeurd"?

Zowel particulier als ook bedrijven maken een afweging in kosten en baten.
Dat bedrijven dit vervolgens vaak lijken te doen ten koste van veiligheid is ronduit FOUT. (en als ze prutswerk hebben opgeleverd is dat net zo fout)
Maar als dit soort prutsers (iets anders kan ik ze niet noemen) op deze manier omgaan met privegegevens zijn ze in mijn ogen 10 keer meer fout dan de bedrijven.

Als ze een statement willen maken, kunnen ze dat ook doen door:
- het bedrijf zelf eerst op de hoogte te brengen
- als ze niet reageren door het publiekelijk in de media bekend te maken
- als het bedrijf daarna nog niet reageert, te dreigen dat ze de dumps openbaar zullen maken (waarbij de privegegevens wel eerst geanonimiseerd zijn)

Die gastjes hebben gewoon geen benul waar ze mee bezig zijn.
Zelf hebben ze hun mond vol over anderen over de soms belabberde veiligheid van sommige systemen, maar verder lijkt diezelfde regel van veiligheid niet op hunzelf van toepassing te zijn.
In mijn opinie is dit pure baldadigheid en semi-crimineel gedrag. Wanneer ze het goed zouden doen zouden ze:

1) De hack doen;
2) Bedrijf op de hoogte stellen van het probleem;
3) Wachten tot bedrijf het lek gefixed heeft;
4) Bij uitblijven 3 de publiciteit zoeken met de melding dat bedrijf niet naar ze geluisterd heeft.

Maar NOOIT de gegevens publiceren.
Dat niet alleen, ik vind het gewoon schandalig dat hun 'targets' nu zelfs op willekeur worden geselecteerd blijkbaar. Nu moeten dus zelfs kleine bedrijven en kerkgemeenschappen geloven aan dit soort onzin...? dat gaat echt te ver 8)7

De grote jongens even op de feiten wijzen heb ik absoluut respect voor, kleinere met een iets te grote mond misschien ook nog wel... maar laten ze aub blijven bij de bedrijven welke zich betrekken in de rare praktijken waarmee de bekende acties begonnen zijn... dat leek tenminste nog enigszins op een protest. Nu wordt het gewoon hacken om te hacken en worden gegevens van onschuldige bedrijven en/of personen op straat gegooid... als men zo bezig gaat dan is men denk ik wel in staat om 95% van de website neer te halen... wat bewijs je dan nog?
Ik kan je mening begrijpen, maar ik zie het anders. Naar mijn mening zou IEDERE persoon/instelling/vereniging die met persoonsgegevens werkt die gegevens goed moeten beschermen. Gebrek aan kennis is geen excuus, dan moet je je inlezen voor je ergens aan begint. Volgens mij is de hele AntiSec club er op uit om er voor te zorgen dat men zich wel twee keer bedenkt voor ze iets onbeveiligd live gooien en dat standpunt kan ik goed begrijpen.
Als dat de enige reden zou zijn dan hadden ze de gegevens integraal naar de beheerders van de betreffende sites kunnen mailen en een persbericht uit kunnen doen met daarin bijvoorbeeld alleen de eerste paar karakters van ieder veld van een aantal records. Dan is voor "de wereld" duidelijk dat het systeem inderdaad lek is/was maar liggen de gegevens van gebruikers (die niet gaan over beveiliging en die niet vantevoren kunnen ruiken of die op orde is) niet op straat.

Het publiceren van alle gegevens wekt in ieder geval de schijn dat het inderdaad gaat om de hack zelf, zonder enig altruistisch achterliggend motief. Beetje proberen grote broer LulzSec na te doen, maar dan bij kleine onbelangrijke sites omdat het scriptje daar wel werkt.
Ik ben het hier met je eens. Zo lijkt het eerder op diefstal en de gestolen waren op marktplaats te koop zetten.

Wat misschien wel een goed idee is, is om het gemakkelijker te maken om deze lekken op een veilige wijze te melden, zonder zelf aangeklaagd te worden voor inbreker. Immers, je kunt een lek ontdekken op een relatief onschuldige wijze (joomla admin standaard wachtwoord b.v.), of door er actief naar op zoek te gaan (sql vulnerabilities etc.).

Ja, er is nog genoeg te doen in IT land....
Die mening kan ik volledig begrijpen en deel ik zelfs, maar aan de andere kant is het probleem dat veel beveiligingsbedrijven er lak aan hebben en als ik vrienden moet geloven arrogant reageren als je een kwetsbaarheid meldt, om vervolgens die kwetsbaarheid ofwel na lange tijd ofwel gewoon nooit te dichten.

Als je constant bot vangt kan ik me voorstellen dat je op een gegeven moment tot de conclusie komt dat publiciteit de enige weg is om die bedrijven een realitycheck te geven...zelf keur ik het niet goed dat onschuldige mensen er de dupe van worden maar zoals vaker gezegd word bij dit soort artikelen...de uiteindelijke schuld ligt nog altijd bij de beveiligers die hun zaken niet op orde hebben.
Nee dus, de uiteindelijke schuld ligt uiteindelijk bij diegene die alsnog de kwetsbaarheid exploiteert / het brakke raampje forceert. Misschien dat de verzekering minder/niet uitkeert maar dat pleit de inbreker niet vrij. En er is nog steeds een groot verschil tussen "publiciteit" en "alle gegevens op straat gooien". Net zoals er een verschil is tussen een webwinkel voor pc-onderdelen en DigiD of OV-Chipkaart sites, waar voldoende gegevens bekend zijn om identiteitsfraude mee te plegen.

Het "hacken" van een webwinkeltje lijkt op puur vandalisme, zieken om het zieken en de aandacht.
Als je bot vangt bij de organisatie die de beveiliging van z'n klantgegevens niet op orde heeft dan neem je contact op met die klanten en pleurt niet zomaar al hun gegevens op het net. Daarmee laat je zien dat het je totaal niet is te doen om de veiligheid van persoonsgegevens te bevorderen. Maar waarschijnlijk was het te moeilijk een scriptje te schrijven dat de personen uit het buitgemaakte databeesje een mailtje verstuurd met daarin hun bevnidingen.
Mee eens.

Tsja. Lekken in de beveiliging aantonen door in te breken.

Lijkt me te billijken waar het grote bedrijven betreft die slordig zijn met hun beveiliging. Maar zoals andere posters al schreven: laat de gebruikers daar dan niet de dupe van worden, en geef precies aan hoe je binnengekomen bent. Anders ben je je morele rechtvaardiging kwijt.

Denk eens aan "normale", fysieke, inbraak. Als bedrijf kon (kan?) je een afspraak maken met een agent die met je om het bedrijfsgebouw loopt en de zwakke punten in je (bouwkundige) beveiliging aanwijst. Dat zijn er vaak nogal wat. Van cylindersloten die uitsteken buiten de borgplaat tot sloten die je met een standaardsleutel kan openen tot cylindersloten die je met een simpele jimmy kan openmaken tot bovenlichten tot losliggende objecten naast de enkelglas ramen. Genoeg dat als die agent kwaad gewild had, hij/zij simpel had kunnen inbreken.

Wat zouden mensen die zo gemakkelijk doen over computer-inbraken ervan denken als ik eens door hun buurt zou struinen en in hun huis zou inbreken, hun kamers overhoop halen, en lekker fototjes van mijn bezoek en hoe ik binnen gekomen ben op het Internet zou publiceren? Voor ' the lulz' zogezegd? Dat is namelijk wat die computer inbrekers in feite doen.

Als ze dat nou doen bij de gemeentelijke sociale dienst, de plaatselijke bank, het belastingkantoor, en het politiebureau, dan kan ik dat nog wel waarderen. Doen ze dat bij de groentenboer op de hoek, in een woonerf, of in een bejaardentehuis, dan niet meer.
Ja precies zo denk ik erook over, dit soort pubers moeten hard gestraft worden voor het vrij geven van de gegevens.

Dat je een lek of wat dan ook aan het licht brengt is goed maar vervolgens hele zooi op inet zetten net als die lulsec doet gaat gewoon tever.
Hier kan ik dan weer geen respect voor hebben. Dat je beveiliginslekken aan het licht wil brengen op deze manier kan ik begrijpen, maar dat je dan inloggegevens van (onschuldige) gebruikers gaat publiceren vind ik niet helemaal correct. Die gebruikers kunnen er niks aan doen, maar zijn er als puntje bij paaltje komt wel de dupe van. Laat dan gewoon zien dat er iets mis is in de software en laat de systeembeheerder het oplossen.
ik denk dat de webmasters vergeten was om Windows Update te doen, weet je hoe oud deze beveiligings gat is? Die is al een jaar oud. En een firewall en security audit laten doen is ook veel te duur denk ik. Wat ik WEER frapant is dat de info van de gebruikers WEER ongecodeerd als platte tekst wordt opgelsagen... Denk toch dat de wet is moet worden aangepast... Alle persoonlijke data verpicht encrypten.
Ja, absurd , de sites van een kerk en een bedrijf dat behuizingen verkoopt,
echt high-profile aan de kaak stellen van security firma's is dit, stelletje
pubers die aandacht willen.
Hoe kan ik dan weer geen respect hebben voor de inbrekers die in je vakantie je huis leegroven omdat je per ongeluk een klapraam op een kiertje hebt laten staan ;)
Hoe kan ik dan weer geen respect hebben voor de inbrekers die in je vakantie je huis leegroven omdat je per ongeluk een klapraam op een kiertje hebt laten staan ;)
Betere vergelijking is, dat je een papiertje op je voordeur hebt met "ik ben met vakantie"
En ze gaan zoeken onder de deurmat en vinden de voordeur sleutel. ;)
Een betere vergelijking zou zijn om te stellen dat je ramen hebt waarvan bekend is dat ze gemakkelijk van buiten te openen zijn als je geen latjes aan de buitenkant plaatst en dan gewoon die latjes niet plaatsen. Natuurlijk heeft de inbreker die er gebruik van maakt schuld maar de verzekering zal een stuk minder of zelfs niets uitkeren omdat jij je zaken niet op orde hebt.
"Het bedrijf achter beide websites, het in Breda gevestigde Pcicase B.V. liet aan Tweakers.net weten nog niet op de hoogte te zijn van een hack op zijn site, maar dat het de zaak nader zou onderzoeken."

8)7 -- Ben persoonlijk niet zo'n fan van de werkwijze en de manier waarop, maar gezien wat hier boven staat is het blijkbaar toch nodig.
Nee, wat "nodig" zou zijn, is het bedrijf informeren over het lek. Niet alle gegevens op straat gooien van gebruikers.
Ooit geprobeerd? Als je dit "normaal" meld dan antwoorden ze arrogant en doen ze er niets aan. Ik heb 2-3 jaar geleden al een kwetsbaarheid aan hyves gemeld, het zit er nog steeds in...

Op deze manier komen de betreffende bedrijven geljik in de publiciteit, waardoor ze je niet meer kunnen sussen.

De gegevens stonden overigens al op een systeem wat voor hackers beschikbaar is, de wachtwoorden zijn over het algemeen gehashed. Alleen hackers kunnen grootschalige schade met deze bestanden aanrichten, maar hackers konden in de eerste instantie al bij deze gegevens.

Ook is de schade voor de consumers is meestal klein, je kunt immers alle paypal transacties terugdraaien bijvoorbeeld.
Ooit geprobeerd? Als je dit "normaal" meld dan antwoorden ze arrogant en doen ze er niets aan. Ik heb 2-3 jaar geleden al een kwetsbaarheid aan hyves gemeld, het zit er nog steeds in...
Dus er is geen middenweg? Het is of alle gegevens (NAW, gebruikersnamen, wachtwoorden etc.) online zetten of een bedrijf alleen een mailtje sturen? Andere effectieve mogelijkheden bestaan dus niet? :/

[Reactie gewijzigd door Dlocks op 29 juni 2011 11:28]

[...]
Dus er is geen middenweg? Het is of alle gegevens (NAW, gebruikersnamen, wachtwoorden etc.) online zetten of een bedrijf alleen een mailtje sturen? Andere effectieve mogelijkheden bestaan dus niet? :/
Als je er nog 1 weet , I am all ears :)
Ik zou zeggen, lees alle reacties even door.
Inderdaad, het komt echt over alsof de eerste reactie iets in de trend van "Hebben wij een MS SQL Server???" is geweest :P Gewoon weer zo'n CRM systeempje die ze in licentie hebben genomen :P

Ik vind het wel slecht van deze heren/dames dat ze niet eerst even contact hebben opgenomen
Wat had je dan verwacht?
Dat ze blijkbaar een kwetsbaarheid in hun webserver/-site opstelling hebben, deze niet kunnen oplossen, maar wel in staat zijn om het gebruik daarvan te detecteren en een automatisch mailtje naar de beheerder te sturen?

Ik denk toch echt dat ze dan de kwetsbaarheid hadden weggenomen of misbruik onmogelijk hadden gemaakt 8)7
Het was dus in ieder geval een goede hack, waarbij geen firewalls of andere beveiligingssoftware is getriggerd.

Klinkt een beetje als inbreken in een huis met alarm en weg weten te komen zonder braakschade en alarmmeldingen...
SQL injectie staat los van je firewall ;)
Sommige firewalls doen DPI...
En dan nog? Wat heeft dat te maken met een SQLi? Je weet zelf ook toch wel dat je dan al langs de Firewall bent en je een normale HTTP request stuurt? Dit kan afgevangen worden dmv enkele programmeer regels en heeft totaal niks met je firewall te maken aangezien hetgeen wat je submit (SQL Syntax oid) niet verschilt van een normale submit wanneer je scant met DPI
Dat hoeft dus niet als je de definitie van firewall breed neemt. Tuurlijk komt het dan uiteindelijk neer op een proxy of iets dergelijks.

Voorbeeld:
http://www.barracudanetwo...n-controller-overview.php

Ze noemen het een "Web application firewall" en het voorkomt onder andere "SQL-Injection".
(Of het een goede oplossing is is een andere vraag)

[Reactie gewijzigd door ReenL op 8 juli 2011 09:38]

Ik begin ieder begrip voor Hackers hierdoor te verliezen, waar eerder nog Whitehat hackers in het nieuws kwamen, zijn dit toch echt berichten die kant nog wal lijken te raken. Er worden gegevens openbaar gemaakt, zonder ook maar een statement met een reden.

Het hacken opzich is niet zo'n probleem, als de hackers in kwestie hierna contact opnemen met de makers/beheerders van de website om ze de kans te geven de kwetsbaarheden te corrigeren en de hackers niet aan de haal gaan met gegevens van die websites.

De ene groep na de andere gaat los en nu zijn gebruikers daar de uiteindelijke dupe van.
Even waarschuwen dat je wel op de website van bronkerk kan kijken, alleen als je doorscrollt dan staat er een heel ranzig plaatje. Maar op die website is door de hackers geschreven:
You were warned, this is what you deserved.
Dus wellicht dat ze wel degelijk zijn gewaarschuwd. Zonder verder een oordeel uit te spreken over de actie.
dit lijkt meer op scriptkiddies/crackers.

wel treurig dat die schijnbaar zo makkelijk bij gebruikersgegevens kunnen komen, hebben al die bedrijven dan echt een bord voor hun kop als het gaat om beveiliging of kan ze het gewoon niets schelen?
Pfff... het begint erg te lijken op een stel kleuters met de instelling van "ik doe het omdat ik me verveel".
Snap niet goed wat je wilt bewijzen door een kerk genootschap aan te vallen of een relatief kleine webwinkel.


Edit: Oja, gefeliciteerd, je/jullie hebben de frontpage gehaald. Ga nu maar weer in een hoekje zitten en op je duim zuigen, ben je net zo nuttig voor de maatschappij, maar heeft tenminste niemand last van je.

[Reactie gewijzigd door Sneezzer op 29 juni 2011 10:28]

't Is vakantie tijd, tussen het oprichten van hosting bedrijfjes door doen ze ook nog wat exploits misbruiken.
het begint erg te lijken op een stel kleuters
Aan hun grammatica en spelling zou je ook niet denken dat ze veel ouder zijn dan 8.
Nee, lekkere copycats. Online vandalisme begint het te worden.

[Reactie gewijzigd door Wolfos op 29 juni 2011 10:31]

Dat viel mij ook meteen op. Hun Engelse taalvaardigheid is niet de beste en het zijn niks meer dan copycats. Dit heeft niks te maken met de #antisec beweging volgens mij. Dat was toch bedoeld om regeringen/overheden aan te vallen?
Het wordt tijd om een stel kwajongens eens een paar woensdagmiddagen een stevig potje te laten schoffelen in het park.
Valt me op dat sinds het hele WikiLeaks verhaal er veel meer 'hackers-incidenten' zijn.
Alsof er op wereld niveau allemaal hackers zijn wakker geworden met als insteek zo veel mogelijk van zich laten merken om zo maar hun eigen werk te creëren.
Ten slotte hoe meer incidenten hoe meer beveiligers er nodig zijn, hoe meer hackers een baan aangeboden krijgen?
Zou zou een redenering kunnen zijn... niet de mijne!
Nee dr is helemaal geen toename in de hackers incidenten de media is dr op gefixeerd en de kids vinden het leuk om aandacht te krijgen. Dit resulteert in een berg doelloze nieuws berichten die telkens weer neerkomen op het feit dat de beveiliging 3 x niks is :) (op 1 of 2 uitzonderingen na)
Valt me op dat sinds het hele WikiLeaks verhaal er veel meer 'hackers-incidenten' zijn.
Dat heb je met alle hypes. Hyperventilatie ? Oh, dat heb ik ook. ADHD ? Heb ik ook.
O, ik ga ook op hyvers, twitter, feestboek.

O, ik ga ook hacken
LulzSec heeft een punt willen maken door middel van bedrijven aan te vallen en andere instellingen. Wat is eigenlijk zie als een soort protest actie waar ze een punt willen duidelijk maken. Daar kan ik nog wel respect voor opbrengen dat ze sommige acties gedaan hebben, maar het is en blijft niet goed te keuren. Ook bij dat ziekenhuis hebben ze een stevig punt gemaakt. Dat de beveiliging bij bedrijven bij zowel hun website als systemen te wensen laat is wel duidelijk merkbaar en zal waarschijnlijk nog veel erger zijn. Het zou zeker een goede wezen dat er meer word georiënteerd op het gebied van beveiliging. Misschien meer mensen opleiden en een bepaalde functie geven om dit soort gevallen te voorkomen?

Wat betreft deze zaak. Dit is meer een trieste groepering die op het succes van een vorige groep wilt borduren. Over welke religie het dan ook gaat, het plaatsen van vunzige afbeeldingen doe je gewoon niet op zo'n website. Het tuigt van onvolwassenheid en is duidelijk kinderlijke amusement (zoals hier boven al eerder gezegd). En wat hebben ze verkeerd gedaan dat je hun website plat moet trekken en de gegevens moet publiceren? Dit is meer griefing dan dat het kan gezien worden als een punt duidelijk maken.

Dit doet me overigens ook denken aan de tijd dat ik nog op Invision Power Board 1.3.1 draaide die diverse SQL beveiligingslekken hadden en dat mensen je forum gingen kraken en vunzige afbeeldingen plaatsten omdat het "grappig" was.
het moge duidelijk zijn dat men nog veel verder gaan.
ik hoop dat al die domme luie bedrijven niet langer hun hoofd in het zand steken, maar iets gaan doen aan ICT security
Het gaat er niet om dat een bedrijf lui is, het komt al heel gauw voor dat een bedrijf bezuinigd op IT-gerelateerde producten met als gevolg dat ze gemakkelijk te prooi vallen. Daarnaast is bij veel bedrijven de juiste kennis niet in huis. Dat heb ik bij diverse bedrijven al aan gegeven door ze een folder te geven met informatieve details, over hoe ver sommige dingen kunnen gaan met de huidige technologie.

Er moeten gewoon cursussen komen voor bedrijven en informatieve uitnodigingen waar bij dingen gewoon uitgelegd worden zodat verdere fouten gewoon voorkomen kunnen worden. Ze denken er vaak te makkelijk over. "Ik heb toch een firewall en anti-virus, mij gebeurd niks!".
Koop jij altijd de beste sloten voor je huis? Of ga je voor een goedkoper model en hoop je dat er geen dieven (Ja, dit zijn net dieven) langskomen?
Die deface is echt hilarisch NSFW :P. Niet op de nyan roepende kat en linkjes eromheen klikken als je epilepsie hebt.

Ontopic: Ik vind het niet leuk voor de mensen wiens gegevens naar buiten komen. Aan de andere kant dwingt dit websitebeheerders wel stringentere maatregelen te nemen, omdat ze anders hun klanten gewoon verliezen. Bij ddos hoeft dat nog niet het geval te zijn...
Oooh.....
Is dat dat het!
Ze verlenen de website eigenaren eigenlijk een dienst?
Goh, dat heb ik nou nooit begrepen.
Dus dat doen al die anderen ook?

- vandalen : de gemeente inlichten dat er iets schort aan de kwaliteit van de voorzieningen?
- inbrekers : huiseigenaren attenderen op de zwakkere plekken van hun woning?
- al qaida : de VS wijzen op het feit dat het World Trade Center geen anti-vliegtuig beveiliging had?

Kom op zeg! Zal ik je maar met een honkbalknuppel op je hoofd slaan om aan te tonen dat je toch echt een helm had moeten dragen?
Mwah als dr een enorme kans bestaat op een aanval met vliegtuigen (hiermee bedoel ik dat je zo'n aantrekkelijk target bent dat je bijv met 90% zekerheid kan zeggen dat het gebeurd) vind ik het inderdaad wel heel erg slecht dat hier niks tegen is gedaan. In het geval van jou voorbeeld hebben ze alleen flinke speculatie gehoord dus dan is het niet slim om een AA gun boven op de WTC te zetten (want dan konden ze dat op elk gebouw doen :P)

Hetzelfde geldt in deze gevallen... Natuurlijk is het niet netjes en ook niet slim maar als website beheerder kan je niet boos worden op deze heren aangezien het JOU fout is geweest dat je de deur open hebt gelaten.

Als voorbeeld heb ik laatst een blog gelezen van iemand die onwijs pissed was dat personen dmv een SQLi in een search box zijn root wachtwoord van de DB heeft kunnen verwijderen. Ik vind dat hij niet moet zeiken en gewoon ervoor had moeten zorgen dat de user waarmee hij zoekt in de database alleen lees rechten heeft op de tabellen waarin hij moet zoeken en sowieso geen schrijfrechten mag hebben.

Dus vind ik het goed? Nee ik vind het een zeer kwalijke zaak! Is het hard nodig? Ja dat is het zeker aangezien enorm veel webdesign bedrijven niet weten waar ze mee bezig zijn (slechte CRM software) of geen zin hebben in het investeren in goed geprogrammeerde programma's (de werking is het belangrijkste en de rest boeit niet)... (dit zijn vaak management beslissingen dus je kan de programmeurs vaak niet de schuld geven)

[Reactie gewijzigd door Mellow Jack op 29 juni 2011 11:11]

Ga maar niet naar bronkerk.nl... staan niet zulke smakelijke plaatjes op..
Wss richten die "hackers" zich op hun onmiddellijke omgeving.
In elk geval begint het vervelend te worden, zijn targets genoeg waarbij ze normale mensen niet storen. Maar die skills hebben ze niet, dat is ondertussen duidelijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True