Developerforum Nokia gehackt via sql-injectie

Nokia heeft zijn forum voor developers offline gehaald nadat hackers via sql-injectie toegang tot de database hadden gekregen. Van een onbekend aantal accounts zijn privégegevens toegankelijk geweest, zo heeft Nokia in een mail laten weten.

Nokia logo (45 pix)Vorige week meldde ÜberGizmo al dat het developerforum van Nokia was gehackt; de frontpage van het forum was vervangen door een pagina waarin melding werd gemaakt van de hack. De hack blijkt echter groter dan gedacht. Afgelopen nacht mailde Nokia een onbekend aantal leden van het ontwikkelaarsforum dat hun privégegevens toegankelijk zijn geweest.

Nokia zegt dat het aanvankelijk dacht dat het om een klein aantal getroffen accounts ging, maar dat aantal blijkt 'significant groter' dan gedacht. In ieder geval e-mailadressen zijn toegankelijk geweest, en in sommige gevallen ook geboortedata en usernames voor andere internetdiensten. Volgens Nokia zijn wachtwoorden of betalingsgegevens niet toegankelijk geweest. Het developerforum is inmiddels uit voorzorg offline gehaald; Nokia zegt de hack verder te onderzoeken.

Door Joost Schellevis

Redacteur

Feedback • 29-08-2011 09:48
31 • submitter: breinonline

29-08-2011 • 09:48

31

Submitter: breinonline

Lees meer

Hostingprovider Antagonist wil websites klanten automatisch patchen
Hostingprovider Antagonist wil websites klanten automatisch patchen Nieuws van 20 november 2012
Tivoli gaat aangifte doen tegen hacker - update
Tivoli gaat aangifte doen tegen hacker - update Nieuws van 19 december 2011
Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen
Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen Nieuws van 18 december 2011
Steam-forum wellicht gehackt
Steam-forum wellicht gehackt Nieuws van 7 november 2011
Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb
Hackers stalen wellicht persoonsgegevens miljoen leden Smulweb Nieuws van 6 september 2011
Nokia laat gebruikers apps via Ovi-website installeren
Nokia laat gebruikers apps via Ovi-website installeren Nieuws van 26 augustus 2011
Nokia annuleert updates voor enkele Symbian-toestellen -update
Nokia annuleert updates voor enkele Symbian-toestellen -update Nieuws van 26 augustus 2011
Nokia bouwt elementen Android-interface in Symbian
Nokia bouwt elementen Android-interface in Symbian Nieuws van 25 augustus 2011
India wil Nokia's pushmail-dienst monitoren
India wil Nokia's pushmail-dienst monitoren Nieuws van 18 april 2011
Hacker bouwt achterdeur in Symbian S60
Hacker bouwt achterdeur in Symbian S60 Nieuws van 9 december 2010
Nokia begint komende week met Ovi Music in Nederland
Nokia begint komende week met Ovi Music in Nederland Nieuws van 1 september 2010
Nokia: providers moeten sms-hack oplossen
Nokia: providers moeten sms-hack oplossen Nieuws van 2 januari 2009
Meer producten en artikelen
Privacy Nokia Beveiliging

Reacties (31)

-Moderatie-faq
31
29
20
1
0
4
Wijzig sortering
Caelorum 29 augustus 2011 10:39
Kreeg net netjes een e-mailtje.. Toch nog redelijk aangepast aan mijn specifieke situatie
"[...]The database table records includes members’ email addresses and, for fewer than 7% who chose to include them in their public profile, either birth dates, homepage URL or usernames for AIM, ICQ, MSN, Skype or Yahoo. However, they do not contain sensitive information such as passwords or credit card details and so we do not believe the security of forum members’ accounts is at risk. Other Nokia accounts are not affected.
[...]
We are not aware of any misuse of the accessed data, but we have identified that your email address was in one of the records accessed, though it contained none of the optional information, so we believe that the only potential impact to you may be unsolicited email. Nokia apologizes for this incident.[...]"

Ik zal dat verdere onderzoek maar even gaan afwachten dan.. Ik hoop iig dat het niet veel erger is :P

[Reactie gewijzigd door Caelorum op 22 juli 2024 21:52]

djvdorp @Caelorum29 augustus 2011 10:41
Haha, ik kreeg precies dezelfde :')
Gaitie 29 augustus 2011 09:51
veel hacks de laatste tijd. Wat willen ze eigenlijk met de gegevens van al die mensen?
benji83 @Gaitie29 augustus 2011 09:58
Persoonlijke gegevens zijn goud geld waard voor adverteerders.
Bedenk daarbij eens, als ze een database in handen krijgen vol met creditcard informatie? Als het niet goed afgeschermd is, voordat je erachter bent dat je gegevens zijn gelekt hebben zij al vele transacties kunnen doen.
Zyppora @benji8329 augustus 2011 13:05
Voor creditcard-informatie geldt aparte wetgeving die oplegt dat o.a. de verificatiecode op de achterkant van de creditcard nergens opgeslagen mag worden. Daarnaast is de houder van de creditcard nooit aansprakelijk voor fraude met die kaart (tenzij hij dit zelf faciliteert uiteraard) en valt de schade in eerste instantie op de uitgevende partij.
Buggle @Zyppora29 augustus 2011 14:48
Dat eerste wordt al niet toegepast bij bijvoorbeeld Amazon. Daar kun je met je CreditCard betalen zonder die verificatiecode in te voeren. Hetzelfde geldt bij de DeutscheBahn. Dus of niemand houdt zich daaraan, of het is niet verboden.
MSalters @Buggle29 augustus 2011 15:41
Of (derde optie) Amazon factureert bij de creditcard maatschappij zonder die CVC, en accepteert het risico. De CVC dient om het risico voor het bedrijf te verlagen.

Ik vermoed dat Amazon alleen opslaat dat klant X eerder een CVC heeft ingevoerd voor creditcard Y, maar niet welke. Bij vervolgtransacties kunnen ze dat risico waarschijnlijk wel accepteren, alleen niet bij de eerste aankoop.
Dipsausje @MSalters29 augustus 2011 19:23
Nee Amazon vraagt nooit CVV, ook niet de eerste keer, als de uitgever van jou creditcard alleen betalingen met CVV accepteert heb je dan ook pech bij Amazon. Ik neem aan dat dat inderdaad inhoud dat Amazon (een gedeelte van) het risico op fraude overneemt van de credicardmaatschappij.
Amazon.com does not support entering the three-digit CVV code normally found on the back of some cards. If entering the code is required by the issuing bank, your payment may not process successfully.
Verder valt het me op dat er de laatste tijd wel heel veel hack berichten op Tweakers verschijnen, meer aandacht ervoor vanuit Tweakers of gebeurt het ook daadwerkelijk meer de laatste tijd?
Jan-E @benji8329 augustus 2011 10:29
Erg spannend is het niet wat de hackers gevonden hebben. Bij mij was het alleen een mailadres, dat bovendien alleen maar gebruikt werd voor dat forum:
The database table records includes members’ email addresses and, for fewer than 7% who chose to include them in their public profile, either birth dates, homepage URL or usernames for AIM, ICQ, MSN, Skype or Yahoo. However, they do not contain sensitive information such as passwords or credit card details and so we do not believe the security of forum members’ accounts is at risk. Other Nokia accounts are not affected.

We are not aware of any misuse of the accessed data, but we have identified that your email address was in one of the records accessed, though it contained none of the optional information, so we believe that the only potential impact to you may be unsolicited email. Nokia apologizes for this incident.
Verwijderd @Gaitie29 augustus 2011 09:54
Step 1: Find insequre website
Step 2: Hack website
Step 3: Gather private data
Step 4: Sell private information to highest bidder
Step 5: Profit
Mellow Jack @Verwijderd29 augustus 2011 10:33
Lijkt mij dat je dan geen developers forum pakt maar meer een huis tuin en keuken forum
Dan heb je namelijk een veel grotere doelgroep en speciaal gericht op de regio waarin ze opereren

Maar ja misschien is het wel een automatisch systeem wat gewoon alles pakt wat hij pakken kan
Verwijderd @Mellow Jack29 augustus 2011 17:20
Developers zijn ook een gerichte doelgroep dus waarom die niet meepakken?
Ik denk dat er zelfs meer te halen valt dan bij een huis-tuin-keukenforum omdat je via developers wellicht bij info over andere gebouwde sites & projecten kunt komen. Informatie die het hacken daarvan weer wat makkelijker zouden kunnen maken.
Getto @Gaitie29 augustus 2011 09:56
Dat verschilt per hack

-soms willen ze er geld aan verdienen door de database terug te verkopen
-Soms doen ze het voor lol en dan waarschuwen ze het bedrijf dat het een beveiligingslek heeft
-Soms willen ze er iets duidelijk mee maken zoals anonymous probeert

Uiteindelijk is de consument er de dupe van meestal
Iblies @Getto29 augustus 2011 11:36
Ik vind niet dat de consument de dupe is, integendeel.

Volgens mij groeit er nu een generatie developers op die meer aandacht zal gaan besteden aan veiligheid. Vergeet niet dat we van internet steeds meer verwachten, niet alleen basaal ontspannend surfen,
we willen er ook ons aankopen doen, onze geldzaken mee regelen en mail kan ook worden aangemerkt als post.

Het is niet meer dan een vereiste dat het veilig moet zijn en dat is het probleem.
X-DraGoN @Gaitie29 augustus 2011 09:55
Dat zijn correcte persoonsgegevens die ze daarna eventueel kunnen verkopen voor spam te versturen, targeted hacks tov die personen, social engineering... Je hebt 100'en mogelijkgeden met zo een 'juiste' gegevens.
Keiichi 29 augustus 2011 09:53
Dat kleine hobby websites SQL injections mogelijkheden hebben kan ik me nog iets bij voorstellen. (Ik heb MBO stagiares gehad die keken of ze water zagen branden toen ik het begrip 'sql injection' aanhaalde bij simpele php/mysql projecten)

Maar dat er om de haverklap grote websites kwetsbaar zijn sta ik van te kijken. Je zou enerzijds zeggen dat als een bepaalde aanval veel in de media komt, dat andere hun eigen site even goed gaan bekijken of ze zelf wel veilig zijn.
Verwijderd @Keiichi29 augustus 2011 10:19
In dit geval (en in veel van de laatste gevallen) is het een forum. Dat krijgt gewoon veel minder aandacht en prioriteit dan andere online systemen.

Dat er uberhaupt "betalingsgegevens" op een dergelijk forum aanwezig zouden zijn zou mij verbazen.

En zelfs al is men op de hoogte van de kwetsbaarheid dan zal men toch functionaliteit preferen boven veiligheid.
Ik kan het nog sterker vertellen, voor een van mijn klanten (waar ik de database backend voor een website voor ontwikkelde), moest, jawel het moest perse, een bepaalde login worden doorgegeven op een manier dat het hele systeem extreem gevoelig zou maken voor misbruik.
Kwestie van memo'tje schrijven, laten tekenen, zoeken ze het toch lekker zelf uit...
pegagus 29 augustus 2011 10:28
Lekker is dat. Ook ooit aangemeld om QT versie zoveel te kunnen downloaden. Iig nooit wat betaald, dus veel meer dan een e-mailadres zullen ze niet hebben.

Wel apart als je bedenkt dat de kwaadwilligen hetzelfde doen als Google en consorten, zij het de laatsten om een wat meer legale manier en de aangeboden content is ook wat minder nadrukkelijk aanwezig.
Verwijderd 29 augustus 2011 11:21
Ook ik heb de mail aangekregen... Leuk... En ik was er tot op heden nog zo in geslaagd om men account spam vrij te houden... :(
Stampilo 29 augustus 2011 11:37
Ook ik heb de mail gehad, maar tot nu toe heb ik nul spam op het betreffende email adres ontvangen. Het lijkt er dus op dat de email gegevens (nog) niet misbruikt zijn.
bartje 29 augustus 2011 11:56
Ik kreeg vanochtend de mail dat ook mijn gegevens ten prooi zijn gevallen aan de hack, dus als ze dat weten zullen ze ook wel weten hoe groot deze hack is? Ben iig blij dat ze niet bij de wachtwoorden konden komen.
Verwijderd 29 augustus 2011 09:51
De meest basale vorm van alle beveiligingslekken, testen ze daar niet of ?
Mellow Jack @Verwijderd29 augustus 2011 10:31
Is het niet gewoon zo'n standaard forum zoals bijv Burning Board? Ik kan me namelijk voorstellen dat het platform gewoon moet werken maar verder niet belangrijk genoeg is om daar echt veel ontwikkel aandacht aan te besteden, ik denk dat de berichten (en de gebruikers) belangrijker zijn dan het platform op zich. Maar ja dat is inderdaad alsnog geen excuus om het niet te testen
Verwijderd @Mellow Jack29 augustus 2011 14:48
Als ik zo'n forum op zou richten zou ik in ieder geval zeer weinig registratie gegevens vragen om het een minder aantrekkelijk doelwit voor hackers te maken en schadeclaims minimaal te houden en de privacy van de leden optimaal te maken.
Leejjon @Verwijderd29 augustus 2011 16:42
Ik kreeg er ook een mailtje over. Het lijkt een standaard forum pakket waar die fout dus in zat.

[Reactie gewijzigd door Leejjon op 22 juli 2024 21:52]

Xubby 29 augustus 2011 09:51
"Volgens Nokia zijn wachtwoorden of betalingsgegevens niet toegankelijk geweest."
Dat is dan wel weer mooi. Net als de waarschuwings e-mail van Nokia.
RobIII @Xubby29 augustus 2011 09:54
Da's maar net wat je onder "niet toegankelijk" verstaat natuurlijk. Als ze wachtwoorden (worst case: onge-salt) opgeslagen hebben en enkel de (zeg) md5 hash was toegankelijk dan kun je dat natuurlijk ook uitleggen als "niet toegankelijk". Vergeet niet dat ze er altijd alles aan zullen doen 't zo gunstig mogelijk te brengen.

[Reactie gewijzigd door RobIII op 22 juli 2024 21:52]

Webjunkie @Xubby29 augustus 2011 12:28
beetje jammer dat er in die mail werd gelinkt naar eoa peer360.com emailmarketing site.
ik vond het er iig niet echt vertrouwenswaardig uit zien.
Buggle 29 augustus 2011 14:50
Ook al is het verwerpelijk dat een dergelijke hack plaatsvindt, vind ik de reactie van Nokia op dit incident zeer lovenswaardig. Mensen worden aangesproken naar hun specifieke situatie en er wordt meteen duidelijkheid verschaft en verantwoording genomen. De communicatieadeling heeft zeer goed werk verricht. Nu de IT afdeling nog...
(ik vraag me echter af of het hier over betalabs gaat? Of is dit weer een ander forum? If so, ben ik in ieder geval het bewijs dat ze niet alle accounts ingezien hebben, want ik heb geen mailtje ontvangen)

[Reactie gewijzigd door Buggle op 22 juli 2024 21:52]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq