Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 189 reacties
Submitter: glennox

Een tweaker heeft grote lekken blootgelegd in Welovesafe.nl, een website voor jongeren. Via een sql-injectie kunnen onder andere e-mailadressen en versleutelde wachtwoorden worden opgevraagd. Ook Zoutzuur.com blijkt kwetsbaar.

Tweakers.net kreeg van tweaker Glennox de melding dat Welovesafe.nl, een website die zich richt op jongeren tussen de 12 en 16 jaar, gevoelig is voor sql-injecties. De tipgever laat weten dat de hele database van de website is uit te lezen. Onder de gegevens bevinden zich circa 18.000 e-mailadressen en gehashte wachtwoorden. De database van Zoutzuur.com, een website die op dezelfde server draait als Welovesafe.nl, blijkt gevoelig voor soortgelijke sql-injecties.

Glennox heeft naar eigen zeggen zowel de eigenaar als de beheerder van Welovesafe.nl, respectievelijk The Young Venture Group en Interact Media, ruim een maand geleden over het probleem benaderd. Verder zou de sitebeheerder Glennox hebben gevraagd om tegen betaling de gaten in het cms-systeem dicht te timmeren, maar hij zou het bod hebben afgewezen omdat dit te laag zou zijn. Ook zou hij te horen hebben gekregen dat er bij de eigenaren verder geen budget is om de gaten in het cms te dichten. "Dit alles is al een maand geleden gebeurd en de website is nog steeds zo lek als een mandje. Daarom zoek ik nu de publiciteit."

Boudewijn Willekes van Interact Media, het bedrijf dat het cms achter Welovesafe.nl en Zoutzuur.com in beheer heeft, bevestigt dat er vier weken geleden contact is geweest met een persoon die de gevoeligheid voor sql-injecties in de websites aankaartte. "Hij heeft ons deels geholpen met het verhelpen van het probleem. Ik ging er dan ook vanuit dat de problemen voorbij waren." Willekes zegt de problemen 'zo snel mogelijk' te zullen verhelpen. Op moment van schrijven is Welovesafe.nl uit de lucht gehaald; Zoutzuur.com is nog wel bereikbaar.

Moderatie-faq Wijzig weergave

Reacties (189)

Waarom zeurt bijna iedereen over het niet aannemen van het bod van de hacker/tweaker om de fout(en) te herstellen?

Zijn de mensen hier zo kortzichtig of zijn het vooral kinderen/jongeren die zelf nog geen (echte) baan hebben en elke euro mooi meegenomen vinden?

Ik ben zelf tekenaar/werkvoorbereider installatie techniek en stel ik kom op een bouw waar ik op de uitvoerder moet wachten. Dan kijk ik wel eens de bouwkundige tekeningen die vaak open op tafel liggen, vind ik namelijk erg interessant!

Nu zie ik een grove bouwkundige fout welke mogelijk grote gevolgen kan hebben (bijvoorbeeld het instorten van het gebouw). Dan meldt ik dit uiteraard aan de verantwoordelijke (de uitvoerder of opdrachtgever).

Deze zullen vast dankbaar zijn voor mijn ontdekking en in het geval van bovenstaand bericht doen zij mij een aanbieding om deze fout te herstellen. Stel dat is €1000,- en stel het kost mij een hele maand (160 uur) om dit te doen. Ik kan mij voorstellen dat vele jongeren denken, €1000,- dat is mooi meegenomen.

Echter, ik zou dit bod niet accepteren want €1000,- delen door 160 werkuren is maar €6.25 per uur. Dat is vele malen lager dan het laagste uur tarief voor een professional, of dat nu voor tekenwerk is, werkvoorbereiding, calculatie of ICT beveiliger!

Dus mijn conclusie is dat ik dit bod echt niet zou accepteren. Niet enkel omdat het bod veel te laag is. Want stel nu, ik accepteer het bod, herstel de fout en het gebouw stort alsnog in. Reken maar dat ze mij als hoofdschuldige aanwijzen of dat nu terecht is of niet want ik heb het originele ontwerp verandert!

Als laatste is het mijn verantwoordelijkheid niet! Ik ga niet over de bouwkundige kant, maar over de installaties en dat is toch wel iets anders.

Nu kom ik een maand later terug en merk ik dat er helemaal niks gedaan is aan de fout! Dan ga ik het echt wel aan de grote klok hangen dat bewoners of werknemers gevaar lopen in dat gebouw vanwege die grove fout waar de verantwoordelijke nog helemaal niks aan gedaan heeft!


Terug naar de hacker/tweaker. Hij heeft precies hetzelfde gedaan, hij ontdekte de fout, melde het netjes, accepteerde het te lage bod niet, merkt een maand later op dat er nog niks gedaan is en heeft het aan de grote klok gehangen.

Als laatste kan je je afvragen mochten de hacker en ik die documenten/site inzien? De tekeningen lagen open op tafel en de site was (blijkbaar) slecht beveiligd?

Eerlijk gezegd doet dat er niet aan toe, want er is in eerste instantie netjes gehandeld en daar zit het hem in. De hacker heeft eerst netjes gehandeld en de verantwoordelijke heeft zijn verantwoording niet genomen!
Dat dus.

Tevens is er een hele markt in het beveiligen van (web)applicaties. Als ze het echt goed wilde beveiligen hadden ze ook het kunnen neerleggen bij dit soort bedrijven.

Nu ik zie dat zelfs bij het afsluiten van de site (dankzij dit bericht) veel problemen voordeden (alleen de index.php aangepast), kan ik ook concluderen dat het een amateuristische organisatie/webmaster is.

Ook zie ik dat de leden absoluut niet veilig waren. Nergens op de site is er een verklaring over de gegevens wat opgeslagen word in de database. Ze konden ook de e-mailadressen verkopen. Zie hiervoor regels.php in Google Cache. Er staat op deze pagina 'meer info binnenkort'. Op T.net: http://tweakers.net/privacy en http://tweakers.net/voorwaarden.

Ik vind het goed hoe hij het heeft opgepakt en hij zal zeker niet de enige zijn. Hopelijk moedigt hij andere aan om het zelfde te doen, en niet wat Lulzsec gedaan heeft.

[Reactie gewijzigd door Qunix op 9 augustus 2011 18:52]

Dit.

Maar dat niet alleen: je moet ook onthouden dat een bedrijf of persoon achter zo'n website ook niet onbeperkt geld heeft. Het kan dus voorkomen dat ze het geld écht niet hebben om grove lekken in hun software te dichten.

Maar vooruit: boontje komt om zijn loontje. Dat is één van de consequenties die je kunt krijgen als je een custom CMS gebruikt, ipv een off-the-shelf product met óf een actieve, al dan niet open source achteban en regelmatige (beveiligings)updates, óf een supportcontract hebt. Het blijft aanprutsen en veel geld kosten als je custom software hebt, en als je het niet kunt betalen of zelf kunt doen moet je er niet mee beginnen.
Groot gelijk. Ik ben een IT consultant. En mijn baas (spijtig genoeg niet ik) krijgt ongeveer 1000 euro per dag dat ik werk.
Dus ik kan mij inbeelden dat, als de eigenaar hier 100 euro voor biedt, hij dit niet aanneemt.
Ik ken persoonlijk een hacker/security expert die echt wel bij de top van de wereld hoort, en die mens verdient meer dan 10k netto (in zijn job en dan nog eens 10k "buitenuit").

Geloof mij, als je goed bent, wordt je betaald... en dan moet je niet afkomen met x00 euro , maar eerder met x000 euro!
Waarom zou melder op dat bod in moeten gaan? Hij heeft al genoeg gedaan om de verantwoordelijke partijen hierop te attenderen en te helpen.

Als er na een maand dan nog niets gebeurd is de publiciteit zoeken een hele goede manier om een fix te forceren. Zolang dat niet gebeuren kunnen ook kwaadwillenden bij die e-mailadressen komen.

Dat de ontwikkelaar dacht dat het al wel gefixed zou zijn is natuurlijk typerend voor deze tijd waar elke script-kiddy maar aan corporate sites kan werken, zonder dat leidinggevenden zicht hebben op de kwaliteit.
Ik ben het hier helemaal met je eens. Ook al zou het bod een hoogte hebben van 10.000 euro. De tipgever heeft geen enkele verplichting jegens deze websites. Er kunnen genoeg redenen zijn om dit niet te accepteren, buiten dat je niet weet hoe dit cms in elkaar steekt en misschien dat er nog wel meer boven water komt. De beheerder heeft zelf de verantwoodelijkheid om het te onderhouden en weet (hopelijk) hoe het één en ander in elkaar zit.

Het is wel weer duidelijk dat met publiciteit net dat "dwingende", "nu moeten we wel" houding naar voren komt.

Edit: Stel dat Glennox op het bod in zou gaan en de door hem ontdekte lekken zou dichten. Wat gebeurt er dan als blijkt dat er nog meer lekken in zitten en niet veel later (met kwade bedoelingen) alsnog gehackt wordt? Reken maar dat de beheerder bij zijn excuus Glennox naar voren haalt.

Edit 2: Een periode van ruim een maand vind ik niet meer passen bij aandachttrekkerij. Hij heeft de beheerder genoeg tijd gegeven. Ik vind 't dan ook kinderachtig om dat in dit geval te benoemen, wat sommigen hier wel doen.

[Reactie gewijzigd door Sentienel op 9 augustus 2011 14:39]

Iemand heeft zojuist de databases verwijdert...
Table 'zoutzuur_db1.linkout_links' doesn't exist

Eigenaar wou met de noorderzon vertrekken blijkbaar want volgens:
http://www.sitedeals.nl/w...zoutzuur-com-te-koop.html

Staat het domein te koop, en dat is nog maar net geleden. Vrees dat hij dacht; snel verkopen voordat het te laat is.

reactie van de seo-persoon / gedeeltelijk ontwikkelaar van zoutzuur (dus niet de eigenaar) :
Ik heb al een tijdje een nieuwe versie van Zoutzuur klaar liggen voor Marcel, elke bieder mag ervan uit gaan dat de website bugvrij wordt opgeleverd bij overname. Laatste puntjes ben ik momenteel nog met Marcel aan het nalopen en de verbeterde versie kan (na uitgebreid testen) binnenkort ook op de live omgeving worden geïnstalleerd.


aangezien de website toch offline is:
De pagina nieuws.php?id=$var was kwetsbaar, er werd blijkbaar geen input gecontroleerd en elke noob met Havij of basis SQL kennis kon de database 'zoutzuur_db1' van de server afhalen inclusief ongeveer 40 tabellen.

Ook search.php handelde zijn requests niet goed af, maar Havij gaf aan dat Time-Based Injection hier soelaas kon bieden.

Voor T.net
Snap niet dat dit hier behandeld wordt, ik bedoel het is blijkbaar een amateuristische site die de zaakjes niet op orde heeft.
Dat Sony, DIGID, Rabobank, ING, noem maar op gehacked word, en dat er dan melding van wordt gemaakt. Ala, maar alsjeblieft verdoe jullie tijd niet aan zulke kansloze website's.

[Reactie gewijzigd door TelefoniQ op 9 augustus 2011 14:46]

...
Voor T.net
Snap niet dat dit hier behandeld wordt, ik bedoel het is blijkbaar een amateuristische site die de zaakjes niet op orde heeft.
Dat Sony, DIGID, Rabobank, ING, noem maar op gehacked word, en dat er dan melding van wordt gemaakt. Ala, maar alsjeblieft verdoe jullie tijd niet aan zulke kansloze website's.
Nu is de probleem-ste niet alleen zoutzuur.com, maar ook welovesave.nl en het bedrif Interact Media, dat nauwelijk aandacht voor de beveiliging lijkt te hebben.
Het gaat hier wel om "18.000" bevestigde privé e-mail adressen!

Juist voor Tweakers.net is dit nieuws. Hier hangen heel wat mensen rond die werken en/of geïntereseerd zijn in de ict.
En dit is een heel actuele kwestie, de beveiliging van andermans gegevens!
Juist deze 'kansloze' websites zijn een gemakkelijke prooi en ook daar mag wel eens wat meer bewustzijn komen voor de problemen die hun dataverzamelingen kunnen opleveren.
Zojuist even in de Google cache rondgesnuffelt watvoor site dit nou zou zijn.

Out of nowhere klikte op de cache-pagina door naar een nieuwsberichtje. Die kreeg ik dan ook gewoon semi te zien.

Zoutzuur.com is niet down, de index.php is aangepast.
Deze link is nog bereikbaar op moment van schrijven: http://www.zoutzuur.com/nieuws.php

Mooi prutswerk :)

Update: de index.php doet het ook gewoon. Het lijkt erop dat er gewoon een index.html is bijgezet. Kennelijk staat die iets hoger in de DirectoryIndex :)

[Reactie gewijzigd door EnigmA-X op 9 augustus 2011 15:56]

Die pagina's doen het ondertussen niet meer. Het lijkt toch dat de site ( zij het dan beetje per beetje ) offline wordt gehaald.
Lijkt er eerder op alsof er iemand T.net heel goed aan het volgen is...
Beetje zware chantage.

Ze hebben geen geld, zeker niet voor een hoog bod uit te brengen voor een fix. De problemen openbaar maken staat op zich dan quasi gelijk aan zelf de sitegegevens te rippen want je weet dat elke malafide programmeur met lulzsec allures zich erna op die database gaat storten.

[Reactie gewijzigd door Psychnosiz op 9 augustus 2011 16:13]

Ik heb helemaal nooit om geld gevraagd. Laat dit duidelijk zijn, ze kwamen zelf met het bod. Deze heb ik alleen afgewezen omdat ik niet een complete website ga beveiligen voor 25 euro. Ook is er met tweakers voordat dit artikel geplaatst werd contact opgenomen met de Interact media. Hierop had de eigenaar nogmaals kunnen reageren en actie hebben kunnen ondernemen. Binnen 2 seconden kan je een website offline halen.(welovesafe was al offline voordat dit artikel geplaatst werd)

Dat hij dat niet gedaan heeft voor zoutzuur is niet mijn probleem hij heeft immers al een maand de tijd gehad om orde op zaken te stellen door de website te beveiligen of de versie van het cms systeem te updaten wat zijn programeur klaar had liggen.

Ook heb ik meerdere malen telefonisch contact gehad met interactmedia en welovesafe
Deze hebben aangegeven de lekken op de website zeer schokkend te vinden. Als ze je dat tegen je zeggen mag je toch hopen dat ze de boel gaan beveiligen. Tenminste stel je dan je gebruikers op de hoogte via email of plaats een melding op de website.

[Reactie gewijzigd door glennox op 9 augustus 2011 16:45]

Ik heb helemaal nooit om geld gevraagd.
Ze hebben jou ook nooit gevraagd of je bij ze wilt inbreken. En toch heb je dat gedaan. En het is strafbaar. Zoals ik al eerder heb gezegd, wees blij dat ze je niet aangegeven hebben en je een bod hebben gedaan om het te fixen. Dat je het bod afslaat is je goed recht, maar ga nou niet de zielepiet uithangen en rechtvaardigen dat je publiek gaat, omdat ze onwillig bleken de zaak binnen jouw ultimatum te fixen. Ten eerste zijn ze jou nul komma nul verantwoording schuldig en doen hun zaken in hun eigen tempo. Of dat naar jouw mening laat is of niet, dat geeft jou geen recht om op deze manier te handelen.

Ik kan me trouwens goed voorstellen dat ze niet klakkeloos geldzakken aan hackers bieden die weten binnen te dringen. Dan zetten ze daar een toon mee die meerderen zullen proberen te exploiteren en dan is het hek van de dam. Een slimme ondernemer voorkomt dat.

[Reactie gewijzigd door Poops_McGhee op 9 augustus 2011 17:20]

Bekijk het anders,

Jij koopt een loods, jij besluit daar alle persoonlijke spullen van 18 duizend mensen hier op te slaan. Allemaal leuk en aardig.

Er komt op een dag een totaal onbekende meneer naar je toe en zegt: Hey, je achter deur staat open, Misschien moet je die maar eens dicht maken zodat niet iedereen de spullen van deze 18 duizend kan meenemen.

Zou je dan ook je deur nog een maand open laten staan?
Of zou je dankbaar zijn dat die persoon persoon je op een "lek" wijst en de deur vervolgens zelf dicht maken.

Als je dan na een maand de deur nog niet dicht gemaakt hebt, ben je toch echt verkeerd bezig, of niet dan?

Als jij als 1 van die 18 duizend mensen daar spullen hebt staan en je weet niet dat er een deur openstaat en ze nemen je spullen mee, voel je je nogal genaaid denk ik zo. Ik denk dat daarom de tweaker contact opgenomen heeft met zowel de beheerder als met tweakers.net, zodat die mensen ook weten waar ze recht op hebben.

[Reactie gewijzigd door hawker op 9 augustus 2011 17:53]

Als er nog nooit iemand naar binnen gelopen is om spullen uit die loods te halen, dan is er toch geen probleem? Als die "vriendelijke" meneer de eerste is die dat doet, dan is de risico analyse snel gemaakt. Het is maar 1 enkel geval. Als die "vriendelijke" meneer daarna de hele stad vertelt dat er uit mijn loods makkelijk spullen te halen zijn, omdat ik hem te weinig geld heb geboden (waar hij zelf niet om heeft gevraagd) om er een slot op te zetten, dan maakt die "vriendelijke" meneer mijn risico een stuk groter. Wie is dan de gevaren factor? Ben ik dat als loodsbeheerder of is hij dat als klokkenluider?
Als niemand van jouw lek weet, dan komt ook niemand kijken.

[Reactie gewijzigd door Poops_McGhee op 9 augustus 2011 19:27]

Dat is behoorlijk naief. De volgende keer is het een cracker en wordt de boel gestolen.
Daarnaast ben je VERPLICHT de persoons-gegevens goed te beveiligen.
Beter niks zeggen en ze lekker laten rotten zeker? Terwijl de mogelijkheid er blijft en niet gefixed word.
Lekkere mentaliteit, het gaat hier wel om 1000'en mail adressen etc.
Maar jij vindt dat natuurlijk niet erg :)
Inbreken op websites is wel een goeie mentaliteit? Schei toch uit. Het risico begint bij de inbrekers. Zolang die er niet zijn hoef je ook niks te beveiligen. En als er toch weer een heikneuter is die zo nodig moet inbreken, dan loopt ie zelf ook een risico. Had ie dat bij mijn website gedaan, dan had ie na zijn contact met mij contact gehad met de politie. Wat ik verder met mijn site doe is MIJN verantwoording en NIET die van hem of van wie dan ook. En als ik er niets aan doe, dan is het niet aan hem om eigen rechter te gaan spelen. Over lekkere mentaliteit gesproken.
En toch kan ik me in jou verhaal goed vinden, maar ik denk dat de wereld die jij beschrijft helaas niet meer mogelijk is. In dit geval wanneer je kijkt naar de website veiligheid van bezoekers en geregistreerde, heeft Glennox goed werk verricht. :)
Dit is helemaal geen chantage. Als de website beheerders geen geld hebben om dit soort elementaire fouten in hun website te repareren is de enige ethisch verantwoorde optie de hele website maar offline te halen.

Maar in plaats van dit te doen wilden ze gewoon doorgaan met het exploiteren van een onveilige website die de gegevens van de gebruikers in gevaar brengt. Dan is dit de enige manier om de website beheerders toch te bewegen dit probleem op te lossen.
Geen geld? De CMS bouwer heeft genoeg geld:
http://www.interactmedia.nl/klanten.html
En erkend dat de knul geholpen heeft.

Je zou je kapot moeten schamen als leverancier dat je zoiets niet grondig onderzoekt of desnoods laat onderzoeken door bedrijven zoals: http://www.pine.nl/
Vergelijking:

Een huur-appartementencomplex is beveiligd met een pas.
Jij pakt je bibliotheekpas, haalt 'm door de gleuf en wat blijkt: de deur gaat open.

Jij gaat naar de verhuurder, meldt dat de deur eenvoudig te openen is met een pas van de bieb, waarop de verhuurder zegt: ow, kan jij er voor zorgen dat dat niet gebeurd, hier heb je 25 euro
Een nieuwe cardreader met pasjes koop jij niet voor 25 euro dus jij zegt: nee, laat maar.

Na een maand, haal je je pas nog eens door de reader en wat blijkt: hij gaat nog steeds open. De verhuurder zorgt er dus nog steeds voor dat het pand niet veilig is.

Dus wat doe jij: de krant bellen.
Geen chantage voor de verhuurder en de verhuurder zorgt er eindelijk voor dat hij doet wat hij zijn bewoners belooft.
Wat netter was geweest is om een dag van te voren te melden dat je het in de publiciteit gaat gooien zodat ze de site vast offline kunnen halen.

edit: negeer dit, ik ben te lang aan het typen geweest, het is hierboven al weerlegt.

[Reactie gewijzigd door MrAngry op 9 augustus 2011 16:34]

Daar hebben ze wat mij betreft 1 maand lang de tijd voor gehad.
"Het bod was te laag"

Dus dan zoek je de publiciteit op? Verder onderhandelen is niet aan de orde geweest is dan mijn vraag?

Aan de andere kant, we zien niet wat de notificatie was, als hier alle details in zaten....is het gewoon knap stom van de beheerder dat de lekken nog steeds niet gedicht zijn.

[Reactie gewijzigd door KillaZ op 9 augustus 2011 14:05]

Natuurlijk! Websites beveiligen is gewoon werk hoor, waarom zou je dat gratis doen?


Ik vind het overigens schofterig dat bedrijven zo slecht met onze privacy omgaan. Anonymous/LulzSec brengen dat op vervelender wijze aan het licht, Glennox doet dat netjes, waarna blijft dat bedrijven er gewoon schijt aan hebben.

Prima actie om de publiciteit te zoeken!
als we mogen vergelijken met de 'nette hacker' die onlangs de duinrell website hackte en daarna de eigenaars inlichte vind ik dat deze hacker een hele nette manier van werken heeft ...

vziw geen 'domme admien joe zuig'-boodschappen op de site gezet of meteen publiek gegaan ... neen, hij heeft het gewoon netjes gemeld.
Dan krijgt hij zelfs een aanbod van de eigenaars (wss in de trend van; hey jongeman; voor x00 euro mag je onze site maken) en dat heeft hij dan geweigerd.
ofwel omdat hij een gewone scriptkiddie is en dus buiten het gebruiken van wat hack-tools niets kent van html/php/Sql, of anders omdat het bod werkelijk te laag was (bv 100 euro voor een ganse site als ze bv denken dat het "toch maar" een kerel van 16 jaar is ofzo)

verder heeft hij dan nog een maand gewacht (wat lang is als je weet dat er gaten zijn en niemand er niets aan doet) nadat hij de eigenaars toch al informatie had gegeven (zonder te betalen dus!) om ze op weg te helpen zodat ze de site konden herstellen.

na die maand bleek het nog steeds niet hersteld en dan komt onze hacker naar buiten met het probleem; zonder de data te stelen en/of op bittorrent of andere locatie te publiceren...

awel; ik hoop dat er veel it-bedrijven meelezen, want deze meneer heeft de juiste ethische waarden die iemand met verantwoordelijkheid over andermans data moet hebben; als hij meer is dan een scriptkiddie zijn zo'n mensen degene waarvan je wil dat ze over je data waken...
Oh ja, die duinrell hacker, ik ben zijn naam kwijt, was gewoon een tenenkrommende loser. Ongelovelijk wat dat jochie hier kwam spuien op tweakers.

Maar dat maakt deze hacker niet per definitie zo netjes.
Ik vind geld vragen voor de oplossing, vervolgens geen genoegen nemen met het bedrag en "dan maar gaan publiceren" eigenlijk helemaal niet netjes, ongeacht dat daar een maand tussen zit.

Vergelijk het even met een huis. U bent inbreker beveiligingsexpert en komt de geachte bewoner even vertellen dat zijn huis absoluut niet veilig is afgesloten: Je kan zo naar binnen. De bewoner is dankbaar en wil dat wel verhelpen, en ach, waarom niet met de persoon die zo aardig was om dit aan te kaarten.

Vervolgens wil deze persoon een X bedrag hebben voor het herstellen wat de bewoner niet wil (of kan) betalen en dan is de reactie van de beveiligingsexpert:

"Ja....nou dan zet ik wel even een bord in de tuin dat je hier makkelijk kan inbreken.
Maar ik zeg niet hoe hoor!! nee, dat zou on ethisch zijn. |:( "

Ik denk dat sommige mensen even wat langer na moeten denken over wat er zo ethisch is aan bepaalde hack activiteiten.
Want eigenlijk is er maar een vorm van "hacken" echt acceptabel in mijn ogen en dat is als je in opdracht van een bedrijf (Of particulier, maar dat zal minder voorkomen) de beveiliging gaat testen en in die vorm gaat 'hacken'.
Het zomaar in de wilde weg hacken van publieke nodes bij bedrijven die daar niet om vragen vind ik namelijk al per definitie dubieus en de intentie eigenlijk flinterdun.
De motivatie is dan troebel en je status als inbreker redelijk evident.

Deze hacker prijzen als ethische man alleen omdat hij geen informatie publiekelijk heeft gemaakt vind ik maar tot op beperkte hoogte toepasbaar: Mijnheer hangt wel aan de grote klok DAT de websites onveilig zijn en waar de zwakte ongeveer zit. Ik zou als bedrijf een hele nare smaak van in de mond krijgen als ik net deze persoon te verstaan heb gegeven dat hetgeen hij wil hebben als vergoeding voor zijn (tot op zekere hoogte zelfgecreërde werkzaamheden) te hoog is er dan naar de media gestapt zal worden zodat heel NL weet dat de websites onveilig zijn. Een contructie als deze ruikt naar afpersing.

Nee, ik ben het niet met de halleluja roepers eens wat betreft deze actie.
Het is niet de eerste keer dat iemand de vergelijking maakt met een inbreker die je netjes komt vertellen dat je sloten niet goed werken.

Die vergelijking is fout omdat wat er achter die sloten zit is niet de persoonlijke eigendommen van een particulier, maar een database met gegevens over andere mensen.

Bedrijven hebben een verantwoordelijkheid om jouw privé gegevens te beveiligen. Dat ze daarbij wel eens een foutje maken kan gebeuren, maar dan ben ik wel heel blij als dat gevonden word door iemand die simpelweg even het bedrijf een berichtje stuurt om ze te laten weten dat er iets niet in orde is.

Als dat bedrijf vervolgens zegt "oh, bedankt voor de tip. als we jou 200 euro geven, kom je het dan even fixen?" ben ik minder blij.

1. Het bedrijf wil iemand die ze niet kennen aan de beveiliging van van mijn privé informatie laten knoeien.
2. Een dergelijk laag bedrag (ga ik vanuit, gezien hij het bod geweigerd heeft) laat zien dat ze er niet veel om geven.
3. Nadat de hacker geweigerd heeft om het voor ze te fixen besluit het bedrijf om er gewoon niks mee te doen. Mijn privé informatie is nog steeds gevoelig voor de volgende hacker die dit gat ontdekt. De volgende hacker is misschien niet zo aardig om ze te laten weten dat er wat aan de hand is.

Als ik er achter kom dat ik via een SQL injectie alle privé gegevens van tweakers (inclusief prive berichten en wachtwoorden) kan bemachtigen denk ik dat jullie allen ook een stuk blijer zijn als ik Tweakers.net een berichtje stuur met een bod dat ze kunnen aannemen of weigeren.Als Tweakers mij vervolgens negeert is niemand hier blij - want voor hetzelfde geld komt er een ander langs die de zelfde ontdekking doet en de database in een torrent online gooit.
Om je metafoor even door te trekken. Wat weerhield de huiseigenaar die wist van de onveilige situatie ervan een andere beveiligingsexpert in de arm te nemen. Ik lees ook dat er wel wat overleg is geweest over de onveiligheden tussen de hacker en de siteeigenaar.

Ik vind de hacker wel etisch. Hij brengt een probleem aan het licht en geeft de eigenaar een maand te tijd om het te fixen. Liever zo dan een sql dump op een torrent site met alle gevolgen van dien.

Wat stel jij dan voor? Dat de hacker ieder bod, hoe ridicuul laag deze ook is, had moeten accepteren en de fout had moeten herstellen?
Ook als de achterdeur open staat is het nog onfatsoenlijk om binnen te wandelen en de boel leeg te roven.
dat heeft hij dus NIET gedaan, maar het bedrijf zou blij moeten zijn dat iemand met goede bedoelingen het meldt.

ALleszins, stel je even in de plaats van de hacker/scriptkiddie in kwestie: hij heeft (naar zijn acties te beoordelen) gedaan om goed te doen. Het bedrijf wil niet horen, dus is het tijd om de klanten in te lichten dat ze moeten opletten voor bedrijf X, want ze willen niet fixen.

Dan publiceer je dat, en wordt je door de publieke opinie door zovelen als "crimineel" beschouwd. Wat denk je dat de gevolgen zijn voor deze hacker? er zijn er 3:
1. hij hackt verder en zegt niks, dus ook geen slechte kritiek en na X tijd wordt de site gehackt door minder "ethische" hackers of wordt zelf evil hacker om zo toch beveiligingsgaten dicht te krijgen. Dit werkt, cfr PSN en nog zoveel anderen.
2. hij stopt (yeah right)
3. hij negeert dit (maar voor hoe lang kan je dat) en doet gewoon zijn goed werk door

Ik koos na een aantal maal toch voor 1... Als ze het niet "the easy way" willen leren, dan maar the hard way, maar privacy is niet iets waar je als website maker licht over gaat!

DUS... of je accepteert/steunt deze manier, OF je creeert LulzSec-style mensen

Your call...
http://harry.enzoverder.be/oldulyssis/manifesto.txt
Ook als de achterdeur open staat is het nog onfatsoenlijk om binnen te wandelen en de boel leeg te roven.
Het is nog onfatsoenlijker om je mik dicht te houden als je die deur open ziet staan }:O
Ik stel voor dat de hacker niet aan de media zijn verhaal gaat doen hoe onveilig bepaalde websites zijn en dat zodoende heel nederland die informatie heeft.
In de beveilging kennen ze een term onder de noemer "attack surface" en "penetration level". De attack surface slaat op hoe (potentieel) onveilig een systeem is. Strengere firewall: kleinere attack surface. Core installatie van Windows Server ip vanilla: kleinere attack surface. "penetration level" slaat op het aantal aanvallen. Hoe bekend zijn bepaalde vulnerablities en hoe vaak worden deze misbruikt.

Het spreek vanzelf dat je de attack surface zo klein mogelijk wil en de penetratie graad zo laag mogelijk.

Wat deze 'hacker' doet is moedwillig publieke maken dat op een systeem de attack surface groot is en tegelijk de penetration level verhogen door deze informatie te verspreiden.
Zonder dat hij daadwerkelijk informatie openbaar maakt doet hij wel degelijk schade toebrengen. Iedereen met basis in security snapt dit. Ik snap nogmaals al het ethische gelul om deze persoon heen niet.

[Reactie gewijzigd door lenny_z op 9 augustus 2011 16:53]

Ik snap jou niet helemaal, ik ben geen lid van deze sites, maar zou het wel fijn vinden dat een lek opgelost zou worden als de informatie je aangereikt wordt.

en zeker binnen 4 weken.. Ze hebben alle tijd gekregen

Ik heb liever dat deze tweaker het publiek maakt, dan dat over een week of 3 een lulzsec er mee weg loopt en een mooi zipje op de welbekende torrents sites zet..

mocht je huis onveilig zijn en dit wordt aangegeven door een beveiligingsexpert, dan los je de problemen op, en wacht je zeker geen 4 weken aangezien je iedere nacht wakker ligt als je ook maar iets hoord.

Zo hadden deze webmasters zich ook moeten voelen over de gevoelige data van hun gebruikers.
het belangrijkste verschil met je eigen huis is dat het hier gaat om data van anderen. Je eigen huis mag je van mij doe en laten wat je wilt, als je informatie van anderen beheert dan mag je dat niet 4 weken open en bloot op inet laten staan.
jij hebt precies geen flauw idee hoe log bedrijven kunnen zijn, he!? ik werk voor een bank momenteel, hier kost alles tijd... veel tijd, en al zeker als het geld kost!
Ethisch gelul... Zo kan je het natuurlijk ook noemen als je daar niet in onderlegd bent. Je hebt een basis in beveiliging en wilt dat graag laten zien, maar geen in ethiek, neem ik dan maar aan. Dat zou ik in jouw geval dan wat minder etaleren.

Zonder met beveiligingstermen te gaan smijten: Mensen weten zolangzamerhand toch wel dat slecht beveiligde systemen hoe dan ook een keer aangevallen gaan worden. Zo niet dan zouden ze het op z'n minst toch moeten weten.

Je komt dan logischerwijs toch in de discussie terecht hoe je netjes met die problematiek omgaat, of jij dat nou leuk vind of niet. Ik vind zelf een maand wel op het randje, ik ken gevallen waar een half jaar of een jaar werd gewacht. Tegen de eigenaars zeggen en vervolgens verdergaan met je leven is ook niet persé ethisch verantwoord als die eigenaars de ernst van het probleem kennelijk niet in kunnen schatten en hun klanten daar vroeg of laat alsnog de dupe van worden als jij niets doet. Ergens zal dus een middenweg gezocht moeten worden.

[Reactie gewijzigd door mae-t.net op 9 augustus 2011 17:55]

Om je metafoor even door te trekken. Wat weerhield de huiseigenaar die wist van de onveilige situatie ervan een andere beveiligingsexpert in de arm te nemen. Ik lees ook dat er wel wat overleg is geweest over de onveiligheden tussen de hacker en de siteeigenaar.

Ik vind de hacker wel etisch. Hij brengt een probleem aan het licht en geeft de eigenaar een maand te tijd om het te fixen. Liever zo dan een sql dump op een torrent site met alle gevolgen van dien.

Wat stel jij dan voor? Dat de hacker ieder bod, hoe ridicuul laag deze ook is, had moeten accepteren en de fout had moeten herstellen?
In ieder geval geen lekken die nog niet gedicht zijn naar buiten brengen, hiermee roep hij eigenlijk alles scriptkiddie op, hij weet net als jij en ik dat er nu meer hackers het gaan proberen. Ik vind dat mensen die dit soort berichten naar buiten brengen medeverantwoordelijk zijn voor de extra gevolgen die daaruit volgen.
omdat een ANDER schijt aan bescherming van zijn klant gegevens heeft, en de "hacker" dit na melden en wachten naar buiten brengt is de hacker fout?

Ja dag !!... don't kill the messenger heet dat.... dan kun je net zo goed tweakers of welk nieuws gever wel de schuld geven omdat het een platform bied voor dit soort meldingen...

Of wil je dat er ook bijv. totaal niets gedaan wordt met meldingen dat (jouw) bankgegevens gehackt en gekraakt kunnen worden (of al zijn)...
Ik ga volgende week bij alle bejaarden in de buurt inbreken. Ik steel niks, maar kijk alleen of ze hun bankgegevens wel achter slot en grendel bewaren (papiertjes met pincodes, etc) en of hun slot op de deur wel goed is. Vervolgens ga ik bij iedereen langs, en bied aan om tegen betaling hun spullen beter te beveiligen en nieuwe sloten aan te leggen. Kunnen/willen ze me niet genoeg betalen, dan publiceer ik een lijst op internet, bij de AH en het buurthuis, van alle bejaarden die hun zaakjes niet op orde hebben. Tevreden over weer een goede daad voor de samenleving loop ik fluitend weg.

In goed Engels heet zoiets ook wel een Protection Racket.

[Reactie gewijzigd door Dreamvoid op 9 augustus 2011 20:08]

juist, ja... website makers zijn vergelijkbaar met bejaarden en mindervaliden.
We praten hier over bedrijven die geld krijgen om websites te maken en om die veilig te maken. Dus als jij de mentaliteit van bejaarden en mindervaliden gelijk stelt aan dat van bedrijfsleiders... dan heb je gelijk, maar een compleet F*ck'ed up beeld van de wereld
@ Dreamvoid .... en toen ging je er volledig aan voorbij dat hij hen zeker wel de tijd heeft gegeven om hier iets aan te doen.

Zooals loorLTD zegt, de verantwoordelijkheid voor de gegevens ligt bij de eigenaar van de website.
Hoe traag een bedrijf ook is, dit is basis beveiliging en zou al lang opgelost moeten zijn. Dat deze bedrijven geen budget over hebben voor beveiliging is helaas iets wat veel voorkomt. Er zijn teveel mensen die gegevens van anderen beheren die denken dat dat allemaal geen kwaad kan. De typische 'het is toch niet van mij' instelling.

"Hij heeft ons deels geholpen met het verhelpen van het probleem. Ik ging er dan ook vanuit dat de problemen voorbij waren."
Bewijst maar weer dat er weinig aandacht voor beveiliging is. Dit is waarschijnlijk maar een woordvoerder, maar dit bedrijf kan echt wel wat meer motivatie gebruiken.
Om nog even verder te gaan op de metafoor... Als een huiseigenaar ervoor kiest om zijn huis niet fatsoenlijk te beveiligen dan moet hij dat zelf weten. Het verhaal wordt wel anders als het bijvoorbeeld een garagebedrijf is waar bijvoorbeeld auto's van klanten staan. In dat geval kunnen bij een inbraak namelijk ook de belangen van klanten geschaad worden als hun auto's bij de inbraak worden weggehaald.

Iets soortgelijks treedt op bij een website die niet zorgvuldig omgaat met de inloggegevens van de bezoekers. Doordat de website schijnbaar makkelijk te kraken is/was, kunnen gegevens van gebruikers worden buitgemaakt.

Ik weet niet wat je met een account op zoutzuur.com kan; ik had nog nooit van de site gehoord. Maar ongeacht waar zoutzuur.com voor bedoeld is, het lekken van wachtwoorden is altijd problematisch omdat veel gebruikers hun wachtwoorden hergebruiken op verschillende sites. Bijvoorbeeld op een webshop waar je na inloggen met één klik kunt bestellen.
Dan kun je stellen dat dat onzorgvuldig is van die gebruikers maar ga een n00b maar eens uitleggen dat hij verkeerd bezig is met zijn enkele wachtwoord.
Als deze tweaker het alleen bij Tweakers heeft gemeld, dan is dat heel netjes. Tweakers zal eerst onderzoek doen en contact zoeken met de site voordat ze iets plaatsen.

Het contact zoeken met Tweakers is dus een extra drukmiddel om er voor te zorgen dat die site toch echt beter met zijn beveiliging moet omgaan.
lenny, deze jongen heeft geen geld gevraagd voor het oplossen van de problemen, dit bedrijf heeft hem gevraagd om de problemen tegen betaling op te lossen en dat heeft hij geweigerd (de reden doet er niet eens toe).

Verder ben ik het met je eens. Waarom zou je een site hacken? Waarom zou je publiceren dat een site niet goed beveiligd is als blijkt dat de eigenaar het probleem niet wil of kan oplossen?
Maar dat maakt deze hacker niet per definitie zo netjes.
Ik vind geld vragen voor de oplossing, vervolgens geen genoegen nemen met het bedrag en "dan maar gaan publiceren" eigenlijk helemaal niet netjes, ongeacht dat daar een maand tussen zit.
De hacker heeft niet om geld gevraagd. Volgens dit bericht heeft de eigenaar van de site geld geboden om het probleem op te lossen. De hacker had echter geen zin in om voor dat bedrag te gaan werken, en het is zijn goed recht om de klus dan te weigeren. De eigenaar van die website kan ook een andere programmeur inhuren.
Beveiliging is echter duur en hij heeft schijnbaar geen zin om er voldoende voor te betalen.
Met bijna elke alinea van jou ben ik het met je eens.

Alleen, over het algemeen moeten we ons toch bedenken dat deze knul een hacker is.
Zou jij als bedrijf deze jongeman jou website en alle data toevertrouwen?

Ik denk dat de knul er met een real-life bezoekje wel een korte opdracht had kunnen krijgen en misschien meer dan € x00,- voor hebben gekregen.
Maar over het algemeen denk ik niet dat de hackers, zelfs die mèt goede bedoelingen, zullen worden aangenomen. Omdat de bedrijven natuurlijk nooit een extern persoon durven in te huren.

Als er genoeg hackers op deze manier toch een baan krijgen, komt er binnenkort een oplichter die zich ook goed voordoet, maar ondertussen de hele database kopieert naar zijn USB-stickje voor "laters".
tsja wat maakt het uit, hij had toch alle gegevens al van de sites? :S
Ik zou hem niet afwijzen op het feit dat hij een beveiligingslek aan de kaart stelt. Je kan nooit iemand 100% vertrouwen en de manier waarop hij dit heeft afgehandeld schaad het vertrouwen naar mijn idee niet.

Dus omdat je een lek aangeeft moet je het ook zelf repareren? Als je er achter komt dat de vuilnisman je vuilnisbak niet geleegd heeft dan bel je toch ook, dan ga je toch ook niet gelijk nog even alle volle vuilnisbakken ophalen en die als nog legen??

Mensen geven in vertrouwen (in theorie dan, in de praktijk denkt men er niet over na) hun gegevens af. Ik vind het terecht dat ze na een 2e kans nu op hun nummer gewezen worden. Dit soort mensen houd je scherp ;)
Met bijna elke alinea van jou ben ik het met je eens.

Alleen, over het algemeen moeten we ons toch bedenken dat deze knul een hacker is.
Zou jij als bedrijf deze jongeman jou website en alle data toevertrouwen?
Iedere professional met verstand van PHP en (My)SQL is in staat dit soort websites te kraken, maar om ze een hacker te noemen in de volledige zin waarin hij normaliter gebruikt wordt is gewoon overdreven. Technisch gezien is hij een hacker, maar de negatieve connotaties dat dat met zich meebrengt zijn hier waarschijnlijk onverdiend.
Ik denk dat de knul er met een real-life bezoekje wel een korte opdracht had kunnen krijgen en misschien meer dan € x00,- voor hebben gekregen.
Bij een bedrijf dat het in eerste instantie geen veelvoud van honderd euro maar slechts 25 euro waard vind? Think again.
Maar over het algemeen denk ik niet dat de hackers, zelfs die mèt goede bedoelingen, zullen worden aangenomen. Omdat de bedrijven natuurlijk nooit een extern persoon durven in te huren.
Wat bedoel je daar precies mee? Ze
Als er genoeg hackers op deze manier toch een baan krijgen, komt er binnenkort een oplichter die zich ook goed voordoet, maar ondertussen de hele database kopieert naar zijn USB-stickje voor "laters".
Tsja sorry hoor, maar dat is natuurlijk je reinste bangmakerij. Met zulke opmerkingen zijn twee dingen héél erg mis: Ten eerste doe je onterecht alsof alle hackers slechte bedoelingen hebben. Ten tweede ga je voorbij aan het feit dat er tussen normale werknemers óók oplichters kunnen zitten.

Helaas zijn er meer mensen (in het bedrijfsleven) die zo denken als jij. Een goede vriend van me is eens met de dood bedreigd door de directeur van een bedrijfje uit de buurt. Hij had ook SQL Injecties gevonden en heeft dat direct aangekaart bij het betreffende bedrijf. Die nodigde hem uit om het te laten zien, en is toen uiteindelijk weggestuurd maar niet voordat dat hem duidelijk is gemaakt dat het hem zijn leven zou kosten als er iets van uitlekte. Dat vond hij natuurlijk niet zo leuk, en de politie ook niet. Wie is er nou in en in slecht in dat verhaal? De hacker?
Wat bedoel je daar precies mee? Ze
Wat bedoel JIJ met "ze?"
Ik zie het niet staan hoor, of zat je zelf ergens aan te denken wat het allemaal kon betekenen?
Tsja sorry hoor, maar dat is natuurlijk je reinste bangmakerij. Met zulke opmerkingen zijn twee dingen héél erg mis: Ten eerste doe je onterecht alsof alle hackers slechte bedoelingen hebben. Ten tweede ga je voorbij aan het feit dat er tussen normale werknemers óók oplichters kunnen zitten.
Ja, hackers zijn, zoals je zelf al zei iets anders dan mensen die php kennen.
Dat verschil zegt al genoeg over wat ik te zeggen heb op deze reactie.
Helaas zijn er meer mensen (in het bedrijfsleven) die zo denken als jij. Een goede vriend van me is eens met de dood bedreigd door de directeur van een bedrijfje uit de buurt. Hij had ook SQL Injecties gevonden en heeft dat direct aangekaart bij het betreffende bedrijf. Die nodigde hem uit om het te laten zien, en is toen uiteindelijk weggestuurd maar niet voordat dat hem duidelijk is gemaakt dat het hem zijn leven zou kosten als er iets van uitlekte. Dat vond hij natuurlijk niet zo leuk, en de politie ook niet. Wie is er nou in en in slecht in dat verhaal? De hacker?
Dat je een eigen verhaal opgooit die al de realiteit weerspiegelt en dan nog niet de realiteit ziet zegt meer over jou, dan over de goedwillende beveiliger die dat lek vond of de gene die de hacker met de dood bedreigt.
Zou jij als bedrijf deze jongeman jou website en alle data toevertrouwen?
Alle data heeftie al dus wat is het probleem :+
om nog maar eens de deur-analogie erbij te halen.

als iemand merkt dat het slot van je deur niet meer goed afsluit en het vrouwtje dat er woont kan amper toekomen en wil je geven wat ze kan om het te fixen, dan ga je niet een maand later met een gigantisch bord langs een hoofdweg staan met de melding dat er makkelijk bij in te breken is
again... het gaat hier niet om een persoon maar om persoonsgegevens van klanten van een bedrijf. Dat is een groot verschil!
je kan het vergelijken met de kluis van een bank. Daar ligt geld in van klanten.
Zou jij niet willen dat de kluis van de bank goed beveiligd is, en dat ALS er iemand de kluis kan kraken en je dat meldt, de bank dat probleem ook fixt? En bij weigering iedereen inlicht dat er een probleem is, zodat de klanten hun geld/gegevens daar tijdig kunnen weghalen.
Of heb je liever dat er gewacht wordt tot een andere inbreker de hele kluis leeghaalt?
Ik vind dan ook dat Glennox hiermee aardig de schijn tegen zich krijgt door na een te laag bod afgeslagen te hebben, de publiciteit op te zoeken.
Hij heeft zichzelf partij in de situatie gemaakt toen hij aanbood tegen betaling de problemen op te lossen. Hiermee staat hij niet meer neutraal in de situatie.
Na een afgeslagen bod de media opzoeken is dan niet de meest frisse actie om het maar zachtjes uit te drukken.
wellicht een misintepretatie.

Zoals ik het lees heeft hij het niet aangeboden om het te dichten maar heeft de eigenaar een bod gedaan om hem het te laten dichten.

Jezelf aanbieden of gevraagd worden is een behorlijke crucieele nuance.
De gehele website was lek. Dus niet alleen het nieuwssysteem wat ze hadden.
Onder anderen het admin panel was lek, ook het agenda systeem wat ze hadden.

Het zou sneller geweest zijn om een compleet nieuwe website te bouwen dan alle fouten te gaan opsporen en te verdiepen in hun ERG slordige code.

Ik ben als eerste op zoutzuur.com uitgekomen. Hier heb ik de desbetreffende lek in gevonden. Bij toeval kwam ik welovesafe tegen en zag dat het een kopie was van zoutzuur.com Dus heb ik precies dezelfde injection geprobeerd.

Ook had ik deze actie al verwacht toen ik het lek melde. Dat ze direct de website offline haalde en het probleem gingen oplossen. Ook heb ik ze gemeld dat de complete website lek was.

Ik loop hier geen enkele schade van op maar 18.000 wel en daarvoor moet dit opgelost worden.
Zoutzuur.com is inmiddels "wegens onderhoud" uit de lucht. Goed nieuws dus. Het lijkt erop dat ze ook bij die website de ernst inzien.

Op dit moment is er onderhoud op de website. Wij zijn spoedig weer online.

Excuses voor het ongemak,

[Reactie gewijzigd door fonsoy op 9 augustus 2011 15:50]

het is prima dat je de mensen helpt.
maar wat ik wel laag vind is dat jij het bedrag niet accepteert
voor het bekent maken dat hun website niet in orde is

ik weet niet om wat voor bedrag het maar het is wel mooi mee genomen
natuurlijk.
ik persoonlijjk had het wel geaccepteert wees blij dat ze je vragen om te helpen
misschien had je zelfs een baan aan kunnen over houden (misschien niet zeker)

maar goed ze zijn er nu mee bezig om het beter te maken misschien dat ze het nu wel beter maken wie weet
Ik weet niet hoe oud jij precies bent maar ik snap heel goed dat je niet ieder bod aanneemt dat ieder bedrijf maar doet omdat het "mooi meegenomen is". Het is vrij normaal dat als jij een bepaald niveau van kennis hebt dat daar gewoon een prijskaartje per uur aan hangt.

Het is gewoon slordig dat in eerste instantie de website en database niet veilig zijn opgezet en dat nu een maand later de website maar offline is gehaald omdat het fixxen blijkbaar lastig is en onmogelijk in een kort tijdsbestek.
De gehele website was lek. Dus niet alleen het nieuwssysteem wat ze hadden.
Onder anderen het admin panel was lek, ook het agenda systeem wat ze hadden.

Het zou sneller geweest zijn om een compleet nieuwe website te bouwen dan alle fouten te gaan opsporen en te verdiepen in hun ERG slordige code.
Dan kan ik het begrijpen dat als de site-beheerder je 100 euro biedt om het te fixen dat jij zegt: Nee bedankt.

En dan nog gratis en voor niks de maker van de site toch op weg helpen. (held :D )

Waarom zitten al die mensen te zeuren over dat bod?

Als je goed leest is:
1. dat hele systeem zo lek als een mandje. (lees: veel werk)
2. Weet jij heel niet wat die beheerder als bod gedaan heeft. (zal wel niet al te geweldig veel zijn geweest gok ik zo)
3. hij kreeg een bod om het te verhelpen hij heeft er dus niet zelf om gevraagd dus het is aan Glennox zelf om er op in te gaan of niet.

[Reactie gewijzigd door 3DDude op 9 augustus 2011 16:24]

Bij deze mag jij contact opnemen om het te fixen. Hij werd GEVRAAGD met een kleine vergoeding.
Daarbij mag de 'hacker' voor zichzelf uitmaken of hij
-de skills heeft
-de tijd heeft
-de vergoeding de moeite vindt
-de verantwoordelijkheid wil

Want het ligt wel erg in de verwachting van 'hee je hebt het gefixed, en nog is het lek!'. De gare reactie van de eigenaar van de site nu bevestigd dit al. We hadden het toch opgelost? SURE

En nu kan de site wel ineens plat... Onverantwoord gedrag. Gewezen worden op gigantisch lek en lekker negeren... Tot het in de media komt.

[Reactie gewijzigd door Rinzwind op 9 augustus 2011 16:54]

wat bezielt je eigenlijk om sql injecties te gaan doen? Als er een huis staat ga je toch ook niet met je sleutels kijken of je naar binnen kan komen.
als iemand mijn slot met gemak hackt, daarna aanbelt en laat zien hoe makkelijk hij mijn slot kon hacken en mij aanraadt vlug een nieuw slot te installeren ben ik hem/haar erg dankbaar - al doet hij iets illegaals. hij heeft me wel een mogelijke beroving bespaard!

de dunne lijn tussen illegaliteit en ethiek ;)

[Reactie gewijzigd door bazkie_botsauto op 9 augustus 2011 16:33]

Nee, maar wanneer het slot van mijn bank lijkt op het slot dat thuis heb, zou ik ook even kijken of ik het niet zo open kan maken.

Ik wil toch weten of mijn geld daar wel veilig ligt.
wat bezielt je eigenlijk om sql injecties te gaan doen? Als er een huis staat ga je toch ook niet met je sleutels kijken of je naar binnen kan komen.
Wat bezielt je om deze informatie (en andere informatie hier op tweakers) hier te komen lezen, sterker nog, op te reageren...stel je voor dat je iets leest over boot rom kraken, andere iphone hack....dan ben je meteen medeplichtig aan een illegale handeling... :+

[Reactie gewijzigd door IoorLTD op 9 augustus 2011 19:53]

En jij maakt je druk om zijn karma die hij misschien onterecht verdient? Hij is wel on-topic, hij ligt zijn actie toe. Misschien had je wat meer detail willen hebben, dan moet je dat vragen.

Ik vind het prima zo, een bedrijf mag in zijn handjes klappen dat het door glennox goedaardig is ontdekt en niet door iemand "kwaadaardigs". Publiceren is in mijn ogen puur bedoeld om de bezoekers te informeren.
Dat het de tweaker is waarover het gaat betekent dat het informatie uit de eerste hand is (weliswaar zonder wederhoor ;)). Die informatie is doorgaans aanmerkelijk betrouwbaarder dan iemand die via via misschien iets heeft gehoord. Dat is zeker een hoge waardering waard.
Ongeacht de inhoud van zijn reactie is het altijd interessant om te lezen wat de persoon om wie het draait, zelf te melden heeft. Zijn reactie is daarom net zo belangrijk als het nieuwsitem zelf waar hier over wordt gediscussieerd.
Verder zou de sitebeheerder Glennox hebben gevraagd om tegen betaling de gaten in het cms-systeem dicht te timmeren, maar hij zou het bod hebben afgewezen omdat dit te laag zou zijn.
Klopt helemaal ja. En dat je een SQL injectie kan doen betekend nog niet dat je iemands systeem compleet kan beveiligen. Al helemaal niet als het om zo'n slecht beveiligde site al deze gaat.

Ik weet niet wat Glennox wel of niet kan maar hij heeft wellicht het bod afgewezen omdat hij het probleem niet kan oplossen voor ze. Zeggen dat het bod te laag is staat dan een stuk professioneler en zo laat je je niet in je kaarten kijken. :)

Vind het wel een goede actie van hem. Belachelijk dat iemand jou gegevens niet goed beveiligt. Als je gegevens opslaat van mensen dan ben je verplicht om ze ook goed te beveiligen.
Ik weet niet wat Glennox wel of niet kan maar hij heeft wellicht het bod afgewezen omdat hij het probleem niet kan oplossen voor ze.
Leuk, die aannames van mensen die Glennox helemaal niet kennen. Iemand die SQL injecties gebruikt is per definitie een scriptkid hier op Tweakers lijkt wel.

Ik vind het een goede actie van je Glennox. De reactie van de organisatie maakt pijnlijk duidelijk dat de eisen die men stelt aan overheidssystemen onderhand eens door moet worden getrokken naar alle commerciële ondernemingen. Jij wilt klantgegevens opslaan? Prima, maar als tijdens een security audit zakt krijg je een boete van '? x aantal klanten'.

Misschien dat men dan niet eerder aan e-business begint voordat er 'budget' is voor de security. Belachelijk dat men gewoon durft te zeggen 'er is nu even geen geld voor de beveiliging van 18.000 man'.
Ah, te snel gelezen inderdaad.
Mijn excuses aan Glennox voor de misinterpretatie en de veel te snelle veroordeling als gevolg.
STEL dat hij het zo aannemen en zelfs gratis doen.
Wat gebeurt er dan als er nog een andere sql injection gevonden wordt? wie is er dan in fout? Want hey... het bedrijf heeft jou aangesteld om het te maken en jij hebt het niet gedaan.

Neenee... zoiets WIL je gewoon niet aannemen als hacker! dit is voor devellopers die de code geschreven hebben om dat te fixen. ZIJ hebben fouten gemaakt, ZIJ moeten fixen!
"Ik vind dan ook dat Glennox hiermee aardig de schijn tegen zich krijgt door na een te laag bod afgeslagen te hebben, de publiciteit op te zoeken."

Misschien is hem euro 25,- en een kop koffie geboden ...? :+
Ik kan het niet fixen, maar zou zo'n bod ook hebben afgeslagen. :)

[Reactie gewijzigd door Xubby op 9 augustus 2011 14:41]

dan mag jij voor een kwartje me auto komen wassen :+
Verder zou de sitebeheerder Glennox hebben gevraagd
Dat staat er niet, juist het omgekeerde.

Hij wijst iemand erop dat zijn beveiliging zo lek is als een zeef, die zegt dan is goed fix het maar. We betalen je er X voor, waarom hij zegt dat het te weinig is.

Ik kan mij goed voorstellen dat het een laag bedrag is geweest en dat meneer Glennox geen zin heeft zijn vrije tijd voor Jan en alleman op te offeren.

Als het een reëel bod was geweest dan waren de problemen na een maand wel opgelost. Als hij het te laag vond en het was een reëel bedrag dan hadden ze vast iemand anders kunnen vinden, maar zoals de beheerder aangeeft willen zijn klanten niet betalen.

Een maand vind ik toch wel een reële tijd om verder wat mensen te informeren dat de gegevens die zijn hebben achtergelaten bij Interact Media alles behalve veilig zijn.

Wat ik mij afvraag, is dit niet in strijd met de algemene voorwaarden? Daar staat toch in dat zij zuinig met je gegevens omgaan normaal en niet aan derde verstrekken. Ik vind willens wetens een slechte beveiliging aanhouden dan in strijd met die voorwaarden.
? Het is niet alsof Glennox de enige op de wereld is die het kan repareren hoor? Daarnaast, het is al een maand geleden dus het is ook niet zo dat ze niemand anders hebben kunnen zoeken.
Wat een onzin verkondig je hier. Een SQL injectie uitproberen is zo gedaan. Zoals al eerder gezegd: was het een reëel bod geweest dan had eventueel iemand anders het wel binnen een maand aangenomen. Ik vind een maand een faire termijn. Als er na een maand totaal niets gebeurd is dan is de site in kwestie gewoon kwalijk bezig. Heb je liever dat je gegevens voor het oprapen liggen voor kwaadwilligen?
- troll - als je dan de text niet leest reageer dan ook niet... en dan krijg je nog een +1 ook (als ik je niet naar -1 mod)...

in het artikel staat duidelijk dat de beheerder een bod heeft gedaan - en dat de beheerder steld dat zijn klanten geen geld hebben voor dit soort fixes - ergo meer dan een paar tientjes zal er niet geboden zijn...

nu vermoed ik dat je werkelijk geen idee hebt wat een website kost (aan tijd).. maar als het geen joomla is - dan kan het fixen van problemen aanzienlijk lastiger worden dan een apt-get update joomla ... of curl /var/sites/www/idiots.nl/httpdocs/admin.update.php

voor 2 tientjes een een krat pils ga ik ook geen sites zitten reparen voor een of andere lamball

[Reactie gewijzigd door i-chat op 9 augustus 2011 14:53]

Blijkbaar had hij genoeg vrije tijd om gaten in beveiligingen van websites te zoeken.
Nou en? We gaan toch ook niet van iemand die lid is van een voetbalclub is ook maar teveel vrije tijd heeft en daarom maar vrijwillig het vuilnis moet gaan ophalen? Is het hele punt van een hobby niet dat je iets doet wat je zelf leuk vindt in je eigen vrije tijd?
Gezien het feit dat het na een maand nog steeds lek was, heeft niemand het bod geacepteerd.
Conclusie: het bod was onrealistisch laag.
In zo'n geval is publiciteit een goede motivatie voor de "klant" om toch de knip te trekken.
Al is het bod 10 miljard, als hij meer wil hebben moeten ze het zelf doen of iemand anders zoeken.

Het gaat niet om het bod, het gaat erom dat websites (bijna structureel) laks zijn mbt veiligheid.
In zo'n geval is publiciteit een goede motivatie voor de "klant" om toch de knip te trekken.
Zoiets heet in vaktermen "afpersing".

[Reactie gewijzigd door Dreamvoid op 9 augustus 2011 19:50]

afpersing:
Nederlandse wet:
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het tenietdoen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt, als schuldig aan afpersing, gestraft met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie.
Belgische wet:
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordeelen, door geweld of bedreiging met geweld iemand dwingt hetzij tot de afgifte van eenig goed, dat geheel of ten deele aan dezen of aan een derde toebehoort, hetzij tot het aangaan van ene schuld of het tenietdoen van eene inschuld, wordt, als schuldig aan afpersing, gestraft met gevangenisstraf van ten hoogste vier en twintig jaren.

Mijns inziens heeft hij NIETS gevraagd wat hem niet toebehoort en dwingt de hacker hier NIETS af om zichzelf te bevoordelen. Dus...: FAIL try again...
Ik weet niet hoeveel werk er in gaat zitten, maar je gaat niet dagen bezig voor een paar tientjes. Er is blijkbaar geen budget, dus heeft onderhandelen dan ook weinig zin.

Ze willen het wel gefixed hebben, maar het mag niks kosten... Tjaaa... Als het te duur is gebeurt er ook niks aan, dus ik vindt het niet meer dan terecht dat deze tweaker de media opzoekt.
Als de site er niets aan wil doen en Glennox daar zelf verder geen schade aan oploopt, waarom zoekt hij dan de publiciteit op? Beetje kinderachtig. Als je wilt dat sites goed beveiligd zijn en gebruikers meer veiligheid bieden, dan steun je ze ook ondanks een lage financiele opbrengst. Komt mij meer over als een op winstbejaagde "moraalridder". Heb je ze gewezen op de zwakheden van de site en de mogelijke gevolgen daarvan aangegeven? Dan heb je je taak als eerzaam burger toch gedaan? En als je niet genoeg geld geboden wordt, dan laat je het toch lekker rusten? Waarom nou die domme aandachttrekkerij om de publiciteit op te zoeken? Ik snap dat niet.
Omdat er veel persoonlijke informatie mogelijk op straat ligt. Op zijn minst hebben de gebruikers van de site het recht om dat te weten.

Als de site er niets aan wil doen: so be it. Maar dan moeten die gebruikers wel de mogelijkheid hebben om hun informatie te verwijderen.
En dat had hij anders niet gedaan als hij genoeg geld had gekregen. Wat is het punt van afweging om dat publiek te maken? Waarschijnlijk dus de poen. Er staat jammergenoeg ook nergens vermeld wat er geboden is en waar Glennox geen genoegen mee nam. Misschien verwacht hij wel veel te veel en vroeg een onredelijk bedrag.
Ik zou graag van Willekes willen horen wat er geboden is.
Ik kreeg 25 euro geboden om de lek eruit te halen. Hierop heb ik gemeld dat de complete website lek is en dat ik dit niet voor 25 euro ga doen. Aangezien het nog makkelijker was geweest om een compleet nieuwe(veilige) website te bouwen.
Zoals je kunt lezen in TelefoniQs reactie hierboven was de nieuwe (veiligere) versie al zo goed als klaar en moest er alleen nog een laatste betaling plaatsvinden. Ik weet niet of de eigenaar je dat verhaal ook verteld heeft? Maar dan lijkt het me logisch dat ze verder niet met jou in zee wilden.
Ik geloof namelijk niet dat die 25 euro het probleem was.

[Reactie gewijzigd door tweaker2010 op 9 augustus 2011 16:05]

Ja en dat beweert die programmeur NU inmiddels na het hele verhaal doorgenomen te hebben.
En hij beweert dat hij het lokaal op zijn hardeschijf heeft staan.. (tsjah no offence maar zo kan ik ook wel dingen roepen :P ) Maar hij moet nog betaald worden... dus de nieuwe versie is nog niet online, juist.

Verder zou het Marcel Lin van die sitedeals (die de zoutzuur.com website dus wil verkopen) sieren als hij dat hoe dan ook zelf aankaartte bij het aanmaken van de verkoop. Want ik kan het niet ergens in zijn eigen post op sitedeals terug vinden dat als je zoutzuur.com overneemt je een volledig nieuwe website eigenlijk krijgt...

@t Poops_McGhee hieronder: juist wat denk je zelf? meerdere hebben het nu geprobeerd en de hele website blijkt zo lek als een mandje, dat is dus niet 'even te fixen'. Maar gaat je aanzienlijk wat tijd kosten. Dus weinig kans dat een andere programmeur het zou doen voor 25 euro (die vragen dat namelijk per uur -> wacht dat is eigenlijk weinig, die vragen meer dan 25 euro per uur :P ) . Ik geef Glennox groot gelijk..
Dus jouw reactie slaat nergens op...

[Reactie gewijzigd door 3DDude op 9 augustus 2011 16:44]

Speciaal voor de gelegenheid maar even een account aangemaakt hier, want wat jij hier rond loopt te bazuinen is natuurlijk nergens op gebaseerd. Het is heel verstandig je eigen mening af en toe achterwege te laten ;-)

Ik ben dus 'die programmeur', maar ik ben niet 'de programmeur'. Ik ben benaderd door Marcel en heb al meerdere zaken voor hem geprogrammeerd. Klein half jaar geleden vroeg hij mij of ik zoekmachinevriendelijke URLs wilde inbouwen in zoutzuur.com.

Nadat ik de website eens had bekeken heb ik direct de veiligheidslekken aangekaart en deze mocht ik ook verhelpen. Marcel zelf heeft een tijdje minder inkomen gehad waardoor het overzetten van de beveiligde versie op zich heeft laten wachten. Het is gewoonweg pech dat er nu bijna op het laatste moment alsnog wat mis is gegaan. Marcel heeft gisteren het restant betaald omdat hijzelf nu ook het liefst zsm de website online wilt hebben. Ik hoop dat we niet te vlug zijn aangezien ik de website nog niet heb laten testen en ik dus niet hoop dat er nog steeds ergens een lek zit.

En 'no offence', maar jij bent diegene die dus dingen roept. Zowel op mijn hardeschijf als op een andere locatie op het internet staat een exacte kopie van de beveiligde versie van Zoutzuur.com (in zoverre ik hem heb kunnen beveiligen natuurlijk).

Ik heb totaaaaaaaaaaaal geen baat bij hetgeen ik in dat topic vermeld heb (het is nu ook weggehaald zie ik..) en vond het alleen maar eerlijk om diegene die de website kocht ook de beveiligde versie mee te geven. Het zou jou sieren om je niet onderbouwde mening voor je te laten in plaats van mij indirect af te schilderen hier als iemand die wat loopt te liegen.

'Die andere programmeur' (red. Ik) heeft ook inderdaad geen € 25,- hiervoor gekregen maar meer. Maar ik denk dat Glennox met de eigenaar van welovesafe.com heeft gesproken en niet met die van Zoutzuur.com.

Al met al klopt er vrij weinig van het verhaal wat hier geplaatst is geworden en ook klopt er vrij weinig van reacties als de jouwe. Enige wat er nu gebeurd is door het hier te melden is dat een of andere grapjurk de database heeft verwijderd :-) Dus achteraf heeft niemand er nog wat aan gehad en is er alleen maar meer verneukt geworden door het te plaatsen.
Voor dat bedrag zou ik het ook zeker niet doen. Zeker gezien 't gemiddelde uurtarief dat al minimaal is.
Goeie keuze, en goed werk om de publiciteit op te zoeken. Dit soort dingen kunnen niet, ongeacht of jij het nou fixt voor hen, of dat ze een andere partij zoeken, voor 25 euro wens ik ze heel erg veel succes..
25 euro :D zelfs een nieuw slot voor een fiets kost meer - als je enige veiligheid wilt.
Fietsslot voor 25 euro is nog beter capabel om een website te beveiligen dan hun zelf. Daarmee wil ik zeggen, voor die 25 euro kunnen ze beter een fietsslot kopen dan een programmeur proberen in te huren...

Ik vind het gewoon ronduit belachelijk dat dit nodig is -de publiciteit opzoeken- om voor andere mensen de veiligheid van gegevens te kunnen garanderen..
lol dat is gewoon beschamend weinig
Je hebt het lek toch ook vrijwillig en kosteloos voor ze opgezocht? Wees blij dat ze je wat bieden om het te fixen in plaats van dat ze je aangeven bij de politie wegens inbraak op hun servers.

*zucht*.... meningmodders...

[Reactie gewijzigd door Poops_McGhee op 9 augustus 2011 16:31]

Netjes dat hij gewoon de beheerder op de hoogte heeft gebracht en zelfs geholpen heeft het te dichten. Maar vraag me af waarom hij dan een aanbod afslaat omdat het te laag zou zijn en alsnog de media opzoekt. Als je goed bezig bent maak het dan ook zo af :)

De beheerder zelf weet waarschijnlijk vrij weinig over de aanvallen en gaten in zijn website en denkt dus dat het verholpen is zoals je terug kan lezen.

[Reactie gewijzigd door ro3lie op 9 augustus 2011 14:04]

ik kan me zo voorstellen dat als ze zeggen, ik bied je 2 tientjes.. dat je zo iets zegt als...

ja sorry voor dat geld ga ik dat echt niet doen, maar als je nu eens naar google.com?p=sql+exploits surft en naar jeeigenwebsite.nl/veiligphpsqlenmeer/ dan moet je al een heel end komen...

echt hulp zal het niet zijn maar eerder een paar goed bedoelde aanweizingen...

dat is heel wat anders dan eerst helpen en het dan niet afmaken...
Dus..... even heeel simplistisch:

Jij staat met panne langs de weg (motorblok opgeblazen), jij weet niet wat er aan de hand is, ik stop om te kijken of alles goed is (doen nog maar weinig mensen tegenwoordig). We kijken samen onder de kap, ik zeg je wat er stuk is en hang even aan de lijn met de meneer van de wegenwacht om door te geven waarom jij niet verder kunt rijden.

Volgens jouw redenatie zou ik ook meteen maar even je motorblok moeten reviseren en helemaal in orde maken (liefst kosteloos, want ik weet wat er stuk is en dan kan ik het natuurlijk ook heel vlot fixen). :+

;)
Ik snap niet dat bedrijven/instanties zo slordig om kunnen gaan met andermans persoonlijke gegevens. Ik zou zeggen: wil je (persoons)gegevens bewaren moet je een bepaald keurmerk hebben (in te vullen door CBP aan welke eisen dat moet voldoen). Bij aanmelden dat je gegevens gaat bewaren komt er een audit op je beveiliging. Goed gekeurd? Mooi, hier je keurmerk tot de volgende audit (6 maanden / 1 jaar). Gaat bedrijf de fout in: weg vergunning voor minstens 1 jaar, wachten tot de volgende audit. Gaat bedrijf stiekem zonder keurmerk aan de gang of worden de gegevens doorverkocht op de zwarte lijst en mag nooit meer persoonsgegevens opslaan. Zijn we allemaal een stukje veiliger toch?
Op abstract niveau is het een heel mooi idee.

Maar de vraag is hoe je het gaat (laten) controleren. Je hebt dan namelijk niet alleen mensen nodig die iets (lees: veel) weten van injectie in sql en/of php, maar ook alle andere bazillion verschillende talen.

Verder zal je richtlijnen moeten gaan publiceren over wat wel...maar vooral wat ook niet veilig is. Dat levert een bijzondere berg bureaucratisch gedoe op, waarmee je waarschijnlijk de belastingdienst wel gaat overtreffen :)

Verder kom je waarschijnlijk klem te zitten met internationale wetgeving. Wat nu als ik mijn profielensite ga hosten vanuit Senegal?

Kortom, ik denk niet dat je zoiets kunt opleggen. Een keurmerk bouwen voor veiligheid, waarbij een site/shop/whatever zich *kan* aansluiten (en in ruil daarvoor wat betaalt) lijkt me haalbaarder. Punt is dat je daarmee weer in een commercieel gebied terecht komt en dat daarmee onze overheid direct geen interesse meer heeft :)
Maar de vraag is hoe je het gaat (laten) controleren. Je hebt dan namelijk niet alleen mensen nodig die iets (lees: veel) weten van injectie in sql en/of php, maar ook alle andere bazillion verschillende talen.

Er zijn genoeg IT bedrijven die dit kunnen, anders gaat de overheid maar controleurs opleiden & inzetten (zou voor henzelf ook niet verkeerd zijn) en creëert werkgelegenheid.
Ik moet toch ook verplicht mijn auto APK laten controleren? Zo kan ik nog wel 1000 voorbeelden bedenken.

Verder zal je richtlijnen moeten gaan publiceren over wat wel...maar vooral wat ook niet veilig is. Dat levert een bijzondere berg bureaucratisch gedoe op, waarmee je waarschijnlijk de belastingdienst wel gaat overtreffen :)

CBP heeft die richtlijnen al. zie: http://www.cbpweb.nl/Pages/home.aspx

Verder kom je waarschijnlijk klem te zitten met internationale wetgeving. Wat nu als ik mijn profielensite ga hosten vanuit Senegal?

Kan meegenomen worden in de overweging: als jouw bedrijf niet gevestigd is in NL kom je ook niet in aanmerking voor zo'n keurmerk. Alle Nederlandse burgers er op wijzen dat gegevens achterlaten op site's zonder keurmerk (I.e. in het buitenland) geen goed idee is.

Kortom, ik denk niet dat je zoiets kunt opleggen. Een keurmerk bouwen voor veiligheid, waarbij een site/shop/whatever zich *kan* aansluiten (en in ruil daarvoor wat betaalt) lijkt me haalbaarder. Punt is dat je daarmee weer in een commercieel gebied terecht komt en dat daarmee onze overheid direct geen interesse meer heeft :)

Als ik morgen mensen wil opereren mag ik dat zomaar? Nee, ik ben daartoe niet opgeleid c.q. bevoegd.

Als ik morgen een vrachtwagen wil besturen mag dat zonder opleiding/juiste rijbewijs? Nee, ik ben daartoe niet opgeleid c.q. bevoegd.

Als ik morgen een website wil beginnen met een database erachter waar ik b.v. NAW gegevens + e-mailadres + CC info op ga zetten van bezoekers/klanten en de boel niet goed beveilig mag dat? Antwoord is blijkbaar ja :?
Nee dit mag dus niet (wet bescherming persoonsgegevens). Handhaving is een 2e......
Ik vind dat bedrijven zich moeten verzekeren tegen schade door krakers en lekken. De verzekeringsbedrijven gaan dan vanzelf security-audits eisen. Doe je dat niet dan wordt de verzekering onbetaalbaar duur.
Verplicht verzekeren? voor iets wat ze toch niet kost?
Volgens mij krijgt niemand die een account had bij deze websites een schadevergoeding.
Gevolg: verzekering is niet meer dan administratiekosten ...

Of dacht je dat de verzekering het dichten van het lek zou bekostigen?
Een verzekering die vrijwillig dingen gaat betallen ...
Gevolg: verzekering is niet meer dan administratiekosten ...


Het echte probleem hier is dat er nauwelijks iets bekend is over de wet bescherming persoonsgegevens.
Als ik aanbieders van ssl certificaten mag geloven mag je niet eens een contact-formulier op een site hebben staan wanneer dit niet over een beveiligde verbinding gaat ...
Ik ben ook maar eens op zoek gegaan naar informatie over het verwerken van persoonsgegevens. Het beste wat ik kan vinden zijn pdf bestanden van het CBP en die zijn vooral gericht op 'professionals'.

Met zoveel onduidelijkheid, hoe kun je dan verwachten dat privacy en beveiliging serieus genomen wordt door mensen die een leuk forumpje of iets dergelijks onderhouden?
De database van Zoutzuur.com, een website die op dezelfde server draait als Welovesafe.nl, blijkt gevoelig voor soortgelijke sql-injecties.
Is deze site echt lek, of komt dit doordat welovesafe lek is? Op het moment dat beide sites op dezelfde DB server draaien en het DB account van de ene server toegang heeft tot de DB van de andere site kunnen daarvan ook alle gegevens worden uitgelezen. Dat betekend dan nog niet dat zoutzuur lek is, maar wel dat de DB server slecht geconfigureerd is (een login voor alle websites, of verschillende logins die wel van andere DBs mogen lezen)
SQL-injections zitten in de server-side code (ASP/PHP/etc). Dus ja dat betekend dat zoutzuur.com ook lek is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True