Hackers stelen logingegevens Apple-site

Hackers claimen admingegevens van een website van Apple te hebben buitgemaakt. Het zou gaan om een site die werd gebruikt voor enquêtes. Dezelfde hackersgroep ontfutselde zondag logingevens van een Nederlandse datingsite.

Apple logoDe hackersgroep AnonymousIRC claimt op Twitter admingegevens van een Apple-website te hebben gekraakt. Het gaat om loginnamen en versleutelde wachtwoorden; daartussen zitten ook de accountnamen 'root' en 'admin'. De buit betrof data die in de 'users'-tabel van mysql was opgeslagen.

De groep omschrijft de kraak zelf als 'niet erg ernstig'. Volgens The New York Times gaat het om een website die door Apple werd gebruikt om enquêtes af te nemen. Er zijn voor zover bekend geen gegevens van klanten buitgemaakt.

AnonymousIRC was afgelopen weekend ook verantwoordelijk voor het hacken van Pepper.nl, een datingsite van RTL. Een database-dump met onder andere e-mailadressen en gehashte wachtwoorden vond zijn weg naar Pastebin.

Door Joost Schellevis

Redacteur

04-07-2011 • 10:14

87

Reacties (87)

87
73
46
0
0
8
Wijzig sortering
De groep omschrijft de kraak zelf als 'niet erg ernstig'. Volgens The New York Times gaat het om een website die door Apple werd gebruikt om enquêtes af te nemen. Er zijn voor zover bekend geen gegevens van klanten buitgemaakt.
Beetje kort door de bocht. Als je weet hoeveel mensen dezelfde login / password voor bijna alle accounts gebruiken dan zijn er wel degelijk Apple klantgegevens buitgemaakt.
-edit-
Dit gaat natuurlijk alleen op als de 'users' in de tabel mensen zijn die de enquete hebben ingevuld, zoals itsme al stelde.

[Reactie gewijzigd door Sn0zz op 24 juli 2024 03:20]

Dan ga je er van uit dat je moet inloggen voor een enquete.
Bij de meetste enquete's krijg je een unieke hyperlink.

Het zou in dit geval ook kunnen gaat om logingegevens van de beheerder van de server.
Het gaat om loginnamen en versleutelde wachtwoorden; daartussen zitten ook de accountnamen 'root' en 'admin'. De buit betrof data die in de 'users'-tabel van mysql was opgeslagen.
Daar heb je dan weer gelijk in. Ik was er van uitgegaan dat 'users' om de mensen ging die de enquete hadden ingevuld, maar dat hoeft natuurlijk niet.
Er staat dat er geen klantgegevens zijn buitgemaakt. De wachtwoorden zijn waarschijnlijk zodanig gehasht dat ze niet terug te krijgen zijn zonder salt oid, maar daar doe ik een wilde gok.
En als je nu eerst even in de data dump had gekeken en het artikel hebt gelezen dan had je begrepen dat het hier om een MySQL database ging die ze gebruiken voor enquetes :) . In die hele dump zitten maar 27 usernamen in, waarvan de meeste zo te zien ook nog system accounts zijn: http://pastebin.com/tkmZDG9m
Als zulke grote software bijblijven gehackt worden. Zit er dan niet gewoon een fout in de mysql of de php software zelf, inplaats van dat het ligt aan de beveiliging van het desbetreffende bedrijf?
Een "fout" in PHP/MySQL is dat het ontzettend makkelijk is om verkeerde, kwetsbare SQL code te schrijven. Het is eng als je bedenkt hoe vaak je het volgende tegenkomt, wagenwijd open voor SQL-injection:

$sql = "SELECT * FROM user WHERE userId = ".$_GET['userId'];

Een alternatief is bijvoorbeeld gebruik maken van prepared statements, maar dit is voor een beginnende ontwikkelaar toch net een stapje meer werk.
Betekent dit dat de website/databasebouwers die worden ingehuurd niet goed zijn opgeleid?

Of dat de bedrijven/websites in kwestie te weinig geld uit (willen) geven aan goed personeel?

Of is goed personeel gewoon veel te duur en niet beschikbaar?
Tja, grote kans dat het probleem een combinatie is van alledrie punten.. In een fatsoenlijk project zal gebruik gemaakt worden van een database abstractie laag/class, die ervoor zal zorgen dat de database calls allemaal netjes worden geparametriseerd.. Maar de (nieuwe) werknemers moeten dan wel goed begeleid worden bij het gebruik van deze laag.

Maar ook merk je dat tijdens het ontwerpen van een applicatie te weinig aandacht is besteed aan security, zodat dit er achteraf nog bijgebouwd moet worden. Beveiliging moet al bij de ontwerpfase in het denkproces worden mee genomen, wil deze effectief zijn.
Niemand (op luchtverkeersleiders na) wordt opgeleid om geen fouten te maken, mensen worden opgeleid om zo min mogelijk fouten te maken. En daar laatstgenoemde nog steeds menselijk is, zul je dit altijd blijven houden.
Betekent dit dat de website/databasebouwers die worden ingehuurd niet goed zijn opgeleid?

Of dat de bedrijven/websites in kwestie te weinig geld uit (willen) geven aan goed personeel?

Of is goed personeel gewoon veel te duur en niet beschikbaar?
Je vergeet er eentje die ik vaak tegenkom:

- de opdrachtgevers zijn niet bereid de extra uren die benodigd zijn om de boel secure te programmeren / op te zetten te betalen. Security checks / audits zijn vaak het eerste waar op beknibbeld wordt, helaas.
Mee eens, eigenlijk zou PHP/MYSQL zo in elkaar moeten zitten, dat een sql injectie niet mogelijk is.

Maar ik bedoel, je verwacht van apple wel dat ze hier rekening mee gehouden hebben.

Ze hebben immers met OSX bewezen dat ze veilig kunnen programmeren. (Ja oké, op een paar kleine foutjes na dan).

War ik meer bedoel is, zouden er niet meer fouten in de core van php/mysql zitten? En niet in de core van de desbetreffende website's
En hoe moet mysql dan weten welk gedeelte van de query ge-escaped moet worden, en welk deel niet? ;)
Het feit, dat alle informatie meteen publiekelijk beschikbaar gesteld wordt zorgt er in mijn ogen voor, dat de intenties van deze hackersgroeperingen niet als zuiver gezien mogen worden. Ik heb er geen problemen mee dat er hackers zijn die de beveiliging van grote sites aan de kaak stellen en naar buiten komen met informatie hierover, maar om dan nu ook meteen de inloggegevens te publiceren....

Het lijkt wel alsof de etiquite van de hackers compleet verloren is gegaan....
Anoniem: 96523 @e_balk4 juli 2011 10:35
Inderdaad, "vroeger" kwamen hackers in het nieuws met de melden dat ze iets hadden gehacked en lieten dan screenshots zien van bijvoorbeeld de database structuur, maar verborgen alle persoonlijke gegevens.

Ook werd er eerst contact opgezocht met de eigenaar, zodat deze het lek kon dichten waarna er een bericht de wereld in ging met gedetailleerde informatie over de hack.
Ondertussen waren alle kopieën verwijderd en werden de hackers vriendelijk bedankt door "het slachtoffer".

Tegenwoordig is het gewoon in het wilde weg tegen benen trappen en hopen dat men wat raakt. En na PSN-gate wil opeens iedereen in het nieuws komen, dus doen ze het allemaal op de "foute" manier.

Helaas zijn een hoop bedrijven nog steeds erg laks als het gaat om het dichten van lekken. Zo heb ik al een half jaar toegang tot verschillende websites (hetzelfde CMS) gemaakt door één bedrijf. Deze heb ik al meerdere malen gemaild en gebeld, maar ze doen er niets aan. Misschien moet ik het ook maar even op PasteBin zetten...
Ik lees niet dat ze hier gegevens hebben gepubliceerd (een paar dagen geleden wel).

Ik geloof niet dat de grey-hat hackers ethiek verdwenen is. Kennelijk is de combinatie van simpele hacktools en fikse publiciteit erg aantrekkelijk voor kids die hun 20 minutes of fame zoeken, maar dat staat imho los van de hackers community.

Wat ik veel zorgelijker vind is dat het risico op imagoschade kennelijk niet genoeg is om bedrijven voldoende in beveiliging te laten investeren. Misschien moet aan die kant ook maar eens wat met strafrecht gedaan worden, want vanzelf doen de bedrijven kennelijk niet genoeg. Scriptkiddies kan je proberen aan te pakken, maar als je dat al lukt: zolang er zo veel publiciteit mee te winnen is zullen er altijd weer nieuwe klaar staan. Liever aanpakken aan de bron: lekke sites.
Wat ik veel zorgelijker vind is dat het risico op imagoschade kennelijk niet genoeg is om bedrijven voldoende in beveiliging te laten investeren.
Tsja, het ironische is natuurlijk dat voor het komende jaar ofzo, elke hack nogal flauw afsteekt tegen de PS3 hack.

En iets heel anders: Wat je natuurlijk per definitie niet in de media ziet, zijn de sites die op dit moment *niet* gehackt worden, omdat er door de eigenaren *wel* in beveiliging is geinvesteerd.
heeft dit nog wel enige nut, straks hebben ze van iedereen van elke website het wachtwoord en gebruikers naam. het is net of ze er een sport van maken,
Dat is het toch nu al? Wat is nu het nut van pepper.nl login gegevens te showen? De draak steken met mensen die daar zitten? Laten zien dat het kan?
Ach als de media er geen aandacht meer aan schenkt stopt het vanzelf. Ik denk dat het vooral om de roem voor een dag gaat.
Wordt wel een beetje moe van al die 'hackergroepen' die menen dat ze de weerloze burger moeten beschermen tegen het kwaad van het kapitalistische westen, ofzo.

Sorry hoor, maar het schiet zijn doel nu een beetje voor bij naar mijn idee. Ga weer lekker mohaa spelen of worms ofzo, maar blijf met je poten van andermans spullen af. Dit heeft naar mijn idee niets meer te maken met het blootleggen en helpen dichten van beveiligingsproblemen maar gaat gewoon om de lol, het geld of de status.

Even door de zekerheid; mijn mening heeft niks te maken met Apple of Microsoft; ik vind het gewoon te ver gaan. Als het de website van Boels was geweest, of Microsoft, of wie dan ook had ik hetzelfde geschreven.

[Reactie gewijzigd door Pixeltje op 24 juli 2024 03:20]

Zo te zien heeft apple de site al offline gehaald :)
ja gehacked worden heeft veel te maken met hoe populait iets is .
vroeger waren mensen altijd op ms aan zeiken en apple mensen lachte je recht in je gezicht uit als je windows had . en nu is apple populair en is ook de dupe van hackers ..
ja zo zie je maar het gaat er niet om wie beter is of niet het heeft allemaal voor en nadelen is maar nu is het hopelijk wel afgelopen met het eeuwige gezeur apple is beter dan ms etc .. want dat is natuurlijk de trend tegenwoordig ..
Ik kon zaterdagavond de appstore niet meer in. Ik kreeg de melding om mijn accountwachtwoord te resetten. Met veel pijn en moeite is dit gelukt uiteindelijk gelukt.
Hopelijk nu weer safe voor een tijdje.
Deze hack heeft NIETS maar dan ook NIETS met de Appstore en dergelijke te maken. Er zijn enkel wat gebruikersnamen en wachtwoorden van de server gehackt, waarvan geeneens bekend is of deze nog wel actief zijn.

Maarja, nieuws is nieuws he...
Het zijn admin accounts. Voor het beheren van bijvoorbeeld enquêtes, etc.
Wat zou het nieuws halen denken jullie? Een hackergroep die braaf een beveiligingsfout meld bij een internationaal bedrijf, of die gegevens publiekelijk maakt zodat dit daadwerkelijk in het nieuws komt en mensen geïnformeerd worden over de schijnveiligheid van internet. Een 'digitale veiligheidsbubbel' als het ware.


Als dit eerste zou gebeuren horen wij er niets van. Bedrijven gaan geen vuile was buiten hangen, da's slecht voor de reputatie en imago van een merk.

Maar misschien zwets ik ook maar wat. Ik ben geen expert. 8)7

Op dit item kan niet meer gereageerd worden.