Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: breinonline

Nokia heeft zijn forum voor developers offline gehaald nadat hackers via sql-injectie toegang tot de database hadden gekregen. Van een onbekend aantal accounts zijn privégegevens toegankelijk geweest, zo heeft Nokia in een mail laten weten.

Nokia logo (45 pix)Vorige week meldde ÜberGizmo al dat het developerforum van Nokia was gehackt; de frontpage van het forum was vervangen door een pagina waarin melding werd gemaakt van de hack. De hack blijkt echter groter dan gedacht. Afgelopen nacht mailde Nokia een onbekend aantal leden van het ontwikkelaarsforum dat hun privégegevens toegankelijk zijn geweest.

Nokia zegt dat het aanvankelijk dacht dat het om een klein aantal getroffen accounts ging, maar dat aantal blijkt 'significant groter' dan gedacht. In ieder geval e-mailadressen zijn toegankelijk geweest, en in sommige gevallen ook geboortedata en usernames voor andere internetdiensten. Volgens Nokia zijn wachtwoorden of betalingsgegevens niet toegankelijk geweest. Het developerforum is inmiddels uit voorzorg offline gehaald; Nokia zegt de hack verder te onderzoeken.

Moderatie-faq Wijzig weergave

Reacties (31)

Kreeg net netjes een e-mailtje.. Toch nog redelijk aangepast aan mijn specifieke situatie
"[...]The database table records includes members’ email addresses and, for fewer than 7% who chose to include them in their public profile, either birth dates, homepage URL or usernames for AIM, ICQ, MSN, Skype or Yahoo. However, they do not contain sensitive information such as passwords or credit card details and so we do not believe the security of forum members’ accounts is at risk. Other Nokia accounts are not affected.
[...]
We are not aware of any misuse of the accessed data, but we have identified that your email address was in one of the records accessed, though it contained none of the optional information, so we believe that the only potential impact to you may be unsolicited email. Nokia apologizes for this incident.[...]"


Ik zal dat verdere onderzoek maar even gaan afwachten dan.. Ik hoop iig dat het niet veel erger is :P

[Reactie gewijzigd door Caelorum op 29 augustus 2011 10:40]

Haha, ik kreeg precies dezelfde :')
veel hacks de laatste tijd. Wat willen ze eigenlijk met de gegevens van al die mensen?
Persoonlijke gegevens zijn goud geld waard voor adverteerders.
Bedenk daarbij eens, als ze een database in handen krijgen vol met creditcard informatie? Als het niet goed afgeschermd is, voordat je erachter bent dat je gegevens zijn gelekt hebben zij al vele transacties kunnen doen.
Voor creditcard-informatie geldt aparte wetgeving die oplegt dat o.a. de verificatiecode op de achterkant van de creditcard nergens opgeslagen mag worden. Daarnaast is de houder van de creditcard nooit aansprakelijk voor fraude met die kaart (tenzij hij dit zelf faciliteert uiteraard) en valt de schade in eerste instantie op de uitgevende partij.
Dat eerste wordt al niet toegepast bij bijvoorbeeld Amazon. Daar kun je met je CreditCard betalen zonder die verificatiecode in te voeren. Hetzelfde geldt bij de DeutscheBahn. Dus of niemand houdt zich daaraan, of het is niet verboden.
Of (derde optie) Amazon factureert bij de creditcard maatschappij zonder die CVC, en accepteert het risico. De CVC dient om het risico voor het bedrijf te verlagen.

Ik vermoed dat Amazon alleen opslaat dat klant X eerder een CVC heeft ingevoerd voor creditcard Y, maar niet welke. Bij vervolgtransacties kunnen ze dat risico waarschijnlijk wel accepteren, alleen niet bij de eerste aankoop.
Nee Amazon vraagt nooit CVV, ook niet de eerste keer, als de uitgever van jou creditcard alleen betalingen met CVV accepteert heb je dan ook pech bij Amazon. Ik neem aan dat dat inderdaad inhoud dat Amazon (een gedeelte van) het risico op fraude overneemt van de credicardmaatschappij.
Amazon.com does not support entering the three-digit CVV code normally found on the back of some cards. If entering the code is required by the issuing bank, your payment may not process successfully.
Verder valt het me op dat er de laatste tijd wel heel veel hack berichten op Tweakers verschijnen, meer aandacht ervoor vanuit Tweakers of gebeurt het ook daadwerkelijk meer de laatste tijd?
Erg spannend is het niet wat de hackers gevonden hebben. Bij mij was het alleen een mailadres, dat bovendien alleen maar gebruikt werd voor dat forum:
The database table records includes members’ email addresses and, for fewer than 7% who chose to include them in their public profile, either birth dates, homepage URL or usernames for AIM, ICQ, MSN, Skype or Yahoo. However, they do not contain sensitive information such as passwords or credit card details and so we do not believe the security of forum members’ accounts is at risk. Other Nokia accounts are not affected.

We are not aware of any misuse of the accessed data, but we have identified that your email address was in one of the records accessed, though it contained none of the optional information, so we believe that the only potential impact to you may be unsolicited email. Nokia apologizes for this incident.
Step 1: Find insequre website
Step 2: Hack website
Step 3: Gather private data
Step 4: Sell private information to highest bidder
Step 5: Profit
Lijkt mij dat je dan geen developers forum pakt maar meer een huis tuin en keuken forum
Dan heb je namelijk een veel grotere doelgroep en speciaal gericht op de regio waarin ze opereren

Maar ja misschien is het wel een automatisch systeem wat gewoon alles pakt wat hij pakken kan
Developers zijn ook een gerichte doelgroep dus waarom die niet meepakken?
Ik denk dat er zelfs meer te halen valt dan bij een huis-tuin-keukenforum omdat je via developers wellicht bij info over andere gebouwde sites & projecten kunt komen. Informatie die het hacken daarvan weer wat makkelijker zouden kunnen maken.
Dat verschilt per hack

-soms willen ze er geld aan verdienen door de database terug te verkopen
-Soms doen ze het voor lol en dan waarschuwen ze het bedrijf dat het een beveiligingslek heeft
-Soms willen ze er iets duidelijk mee maken zoals anonymous probeert

Uiteindelijk is de consument er de dupe van meestal
Ik vind niet dat de consument de dupe is, integendeel.

Volgens mij groeit er nu een generatie developers op die meer aandacht zal gaan besteden aan veiligheid. Vergeet niet dat we van internet steeds meer verwachten, niet alleen basaal ontspannend surfen,
we willen er ook ons aankopen doen, onze geldzaken mee regelen en mail kan ook worden aangemerkt als post.

Het is niet meer dan een vereiste dat het veilig moet zijn en dat is het probleem.
Dat zijn correcte persoonsgegevens die ze daarna eventueel kunnen verkopen voor spam te versturen, targeted hacks tov die personen, social engineering... Je hebt 100'en mogelijkgeden met zo een 'juiste' gegevens.
Dat kleine hobby websites SQL injections mogelijkheden hebben kan ik me nog iets bij voorstellen. (Ik heb MBO stagiares gehad die keken of ze water zagen branden toen ik het begrip 'sql injection' aanhaalde bij simpele php/mysql projecten)

Maar dat er om de haverklap grote websites kwetsbaar zijn sta ik van te kijken. Je zou enerzijds zeggen dat als een bepaalde aanval veel in de media komt, dat andere hun eigen site even goed gaan bekijken of ze zelf wel veilig zijn.
In dit geval (en in veel van de laatste gevallen) is het een forum. Dat krijgt gewoon veel minder aandacht en prioriteit dan andere online systemen.

Dat er uberhaupt "betalingsgegevens" op een dergelijk forum aanwezig zouden zijn zou mij verbazen.

En zelfs al is men op de hoogte van de kwetsbaarheid dan zal men toch functionaliteit preferen boven veiligheid.
Ik kan het nog sterker vertellen, voor een van mijn klanten (waar ik de database backend voor een website voor ontwikkelde), moest, jawel het moest perse, een bepaalde login worden doorgegeven op een manier dat het hele systeem extreem gevoelig zou maken voor misbruik.
Kwestie van memo'tje schrijven, laten tekenen, zoeken ze het toch lekker zelf uit...
Lekker is dat. Ook ooit aangemeld om QT versie zoveel te kunnen downloaden. Iig nooit wat betaald, dus veel meer dan een e-mailadres zullen ze niet hebben.

Wel apart als je bedenkt dat de kwaadwilligen hetzelfde doen als Google en consorten, zij het de laatsten om een wat meer legale manier en de aangeboden content is ook wat minder nadrukkelijk aanwezig.
Ook ik heb de mail aangekregen... Leuk... En ik was er tot op heden nog zo in geslaagd om men account spam vrij te houden... :(
Ook ik heb de mail gehad, maar tot nu toe heb ik nul spam op het betreffende email adres ontvangen. Het lijkt er dus op dat de email gegevens (nog) niet misbruikt zijn.
Ik kreeg vanochtend de mail dat ook mijn gegevens ten prooi zijn gevallen aan de hack, dus als ze dat weten zullen ze ook wel weten hoe groot deze hack is? Ben iig blij dat ze niet bij de wachtwoorden konden komen.
De meest basale vorm van alle beveiligingslekken, testen ze daar niet of ?
Is het niet gewoon zo'n standaard forum zoals bijv Burning Board? Ik kan me namelijk voorstellen dat het platform gewoon moet werken maar verder niet belangrijk genoeg is om daar echt veel ontwikkel aandacht aan te besteden, ik denk dat de berichten (en de gebruikers) belangrijker zijn dan het platform op zich. Maar ja dat is inderdaad alsnog geen excuus om het niet te testen
Als ik zo'n forum op zou richten zou ik in ieder geval zeer weinig registratie gegevens vragen om het een minder aantrekkelijk doelwit voor hackers te maken en schadeclaims minimaal te houden en de privacy van de leden optimaal te maken.
Ik kreeg er ook een mailtje over. Het lijkt een standaard forum pakket waar die fout dus in zat.

[Reactie gewijzigd door Leejjon op 29 augustus 2011 16:51]

"Volgens Nokia zijn wachtwoorden of betalingsgegevens niet toegankelijk geweest."
Dat is dan wel weer mooi. Net als de waarschuwings e-mail van Nokia.
Da's maar net wat je onder "niet toegankelijk" verstaat natuurlijk. Als ze wachtwoorden (worst case: onge-salt) opgeslagen hebben en enkel de (zeg) md5 hash was toegankelijk dan kun je dat natuurlijk ook uitleggen als "niet toegankelijk". Vergeet niet dat ze er altijd alles aan zullen doen 't zo gunstig mogelijk te brengen.

[Reactie gewijzigd door RobIII op 29 augustus 2011 09:56]

beetje jammer dat er in die mail werd gelinkt naar eoa peer360.com emailmarketing site.
ik vond het er iig niet echt vertrouwenswaardig uit zien.
Ook al is het verwerpelijk dat een dergelijke hack plaatsvindt, vind ik de reactie van Nokia op dit incident zeer lovenswaardig. Mensen worden aangesproken naar hun specifieke situatie en er wordt meteen duidelijkheid verschaft en verantwoording genomen. De communicatieadeling heeft zeer goed werk verricht. Nu de IT afdeling nog...
(ik vraag me echter af of het hier over betalabs gaat? Of is dit weer een ander forum? If so, ben ik in ieder geval het bewijs dat ze niet alle accounts ingezien hebben, want ik heb geen mailtje ontvangen)

[Reactie gewijzigd door Buggle op 29 augustus 2011 14:52]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True