Miljoenen persoonsgegevens toegankelijk door lekke omroepsites

Door een vatbaarheid voor sql-injectie in een Nederlands contentmanagement-systeem konden databases van publieke omroepen en radiostations worden ingezien. 2,3 miljoen records aan persoonsgegevens waren toegankelijk.

Het lek in de software van internetbedrijf Angry Bytes werd ontdekt door een hacker die Webwereld tipte. De software wordt onder andere gebruikt door omroepen als de KRO, BNN en de NTR, maar ook door Omroep.nl en websites van radio-omroepen als 3FM, Slam FM en QMusic. Door hetzelfde beveiligingsprobleem op de websites te exploiteren, kon hij toegang krijgen tot 2,3 miljoen persoonsgegevens, claimt de hacker.

Een van de getroffen omroepwebsites is die van het Sinterklaasjournaal, schrijft Webwereld, hoewel Angry Bytes dat ontkent. Die site kwam deze week twee keer eerder in het nieuws; dinsdag ontdekte een hacker dat hij de gegevens van 13.000 kinderen kon bemachtigen dankzij sql-injectie en woensdag claimde diezelfde hacker de e-mailadressen van 1,5 miljoen kinderen te hebben kunnen achterhalen. De NTR ontkent dat laatste; hij zou enkel voor- en achternaam hebben kunnen achterhalen. Ook websites van populaire programma's als Spuiten en Slikken, Het Klokhuis en Sesamstraat waren kwetsbaar.

Via het nu ontdekte lek konden in veel gevallen naam, adres, e-mailadres en telefoonnummer worden achterhaald, maar soms ook werkgever, functie of zelfs een foto. In een deel van de gevallen ging het volgens Webwereld om 'gegevens voor dating', al is niet duidelijk wat daarmee wordt bedoeld. Via het lek in de website van Het Klokhuis konden 230.000 'adressen' worden achterhaald, waarbij onduidelijk is of het gaat om e-mailadressen of postadressen. Via de website van 3FM konden een half miljoen namen worden benaderd.

Het beveiligingsprobleem had ook tot gevolg dat wachtwoorden van beheerders konden worden achterhaald. Die waren in sommige gevallen in platte tekst opgeslagen; in andere gevallen waren ze wel versleuteld, maar makkelijk te achterhalen. Webwereld-journalist Brenno de Winter zegt te zijn geschrokken van het lek, en hoopt dat er een nationaal debat over ict-beveiliging komt om het grote aantal securityproblemen aan het licht te stellen.

Update, 15:08: Mede-oprichter Marc Veuger van internetbedrijf Angry Bytes bevestigt de berichtgeving van Webwereld. Het zou gaan om beveiligingsprobleem in de front-end van een oud systeem, dat per abuis nog toegankelijk was. Volgens Veuger behoort de website van het Sinterklaasjournaal niet tot de gehackte sites.

IT-banen

Reacties (52)

Opperpanter2 25 november 2011 15:04

Volgens mij heb ik bij Angry Bytes heb ik 2 jaar geleden ook een open dir ontdekt met functionele ontwerpen, notulen van meetings met de omroepen.

Op dit moment worden hun test sites ook geindexeerd door google:

http://testsite.bvpb.angrybytes.com/

http://www.google.nl/sear...ac436f7e&biw=1280&bih=899

[Reactie gewijzigd door Opperpanter2 op 24 juli 2024 21:30]

zeduude @Opperpanter2 • 25 november 2011 16:09

tja een robots.txt is wel erg ingewikkeld
(laat staan een htaccess die een 301 geeft bij bepaalde user agents)

"Volgens Veuger behoort de website van het Sinterklaasjournaal niet tot de gehackte sites."
ah, die beheren ze dus ook....

nu nog hopen dat ze t boek niet weer verliezen, anders kan die gast die beweert de boel gehakt te hebben de sint een (sql)dump met z'n boek geven..

Opperpanter2 @zeduude • 25 november 2011 18:21

Grappig, ze hebben de testsite van bvbp offline gehaald.

Echter mijn eerste volgende gok leidt me naar een nieuwe test site die openstaat voor de wereld:

http://testsite.ntr.angrybytes.com/

edit: het lijkt een soort algemene testsite zijn. http://testsite.angrybytes.com

[Reactie gewijzigd door Opperpanter2 op 24 juli 2024 21:30]

kimborntobewild @zeduude • 26 november 2011 04:37

tja een robots.txt is wel erg ingewikkeld

Er zijn zoekmachines die dat bestandje negeren.* Als je denkt zo'n bestandje nodig te hebben, dan denk je dat 'security by obscurity' een goed iets is. Dat is het niet.
*: Sterker nog, een nieuwsgierig persoon zal die bestandjes juist onderzoeken om te kijken wat men onder de pet wilt houden.

paradoXical @Opperpanter2 • 25 november 2011 16:45

Zelfs ik heb de moeite genomen op mijn test-server de robots.txt in te vullen.. en dat is gewoon een hobby-server. Dit is wel heel erg knullig :x

Zelfs zonder kennis doe je dit binnen 10 minuten..

[Reactie gewijzigd door paradoXical op 24 juli 2024 21:30]

rolandverh 25 november 2011 15:08

"Webwereld-journalist Brenno de Winter zegt te zijn geschrokken van het lek, en hoopt dat er een nationaal debat over ict-beveiliging komt om het grote aantal securityproblemen aan het licht te stellen." ....
Wat hebben we aan een nationaal debat? Beheerders moeten zich gewoon beter aan de regels houden. De wet heeft al heel lang regels in de wbp enz. maar veel organisaties houden zich er niet aan. Worden ook niet/nauwelijks gestraft voor overtreden van die regels.

tweaker2010 @rolandverh • 25 november 2011 15:14

Wat hebben we aan een nationaal debat?

Ja inderdaad, en wie gaat dat nationaal debat dan voeren? De oorzaak dat veel sites hiervoor vatbaar zijn heeft mij te maken met een gebrek aan kennis en vooral geld. Websites hacken is van alle tijden, maar tegenwoordig schijnt het nogal hip te zijn om zo een lek aan te tonen.

fevenhuis @tweaker2010 • 25 november 2011 15:24

ik denk niet zozeer dat het een gebrek aan geld is maar eerder een gebrek aan animo om de juiste bedragen er voor uit te trekken.

Verwijderd @tweaker2010 • 26 november 2011 10:28

[...]
Ja inderdaad, en wie gaat dat nationaal debat dan voeren?

Nou, jouw overheid natuurlijk!

Alleen eh...
http://tweakers.net/nieuw...en-banden-met-logica.html
Daar staat:

Ict-projecten van de overheid hebben regelmatig te maken met uit de hand lopende kosten. De Algemene Rekenkamer becijferde in 2007 dat de overheid jaarlijks 4 tot 5 miljard euro aan geheel of gedeeltelijk mislukte ict-projecten kwijt is.

Maar verder heb ik er álle vertrouwen in.

Kman 25 november 2011 15:11

Op Angrybytes.com staat bij 'onze tools': 'Zend framework'. Misschien een beetje troll-ish opmerking maar het gemiddelde PHP-driven designbureautje heeft informatiebeveiliging niet bepaald hoog op de prioriteitenlijst staan. En juist met PHP is deze fout erg makkelijk te maken.

Wordt zo onderhand wel tijd dat ook dit soort bedrijven de data beveiliging van hun klanten serieus gaan nemen.. alleen wel naar dat er dit soort acties voor nodig zijn.

Sn0rkel @Kman • 25 november 2011 19:03

Inderdaad. Dergelijke frameworks leveren juist al de tools voor simpele data sanitization en wachtwoord encryptie. Alleen al een simpele aanpassing aan de database-layer in het framewerk (bijvoorbeeld altijd paranoide filtering van input) scheelt je een hoop kopzorgen. Daarom des te genanter dat er unencrypted wachtwoorden in de database zijn gevonden en dat er SQL-injectie mogelijk is.

[Reactie gewijzigd door Sn0rkel op 24 juli 2024 21:30]

hostname @Kman • 25 november 2011 15:53

Nu is het wel zo dat het gemiddelde PHP-driven designbureautje geen Zend Framework gebruikt. De mensen die met frameworks als Zend werken zijn over het algemeen wel wat beter dan de hobbyist die even een siteje in elkaar knutselt.

neothor @Kman • 25 november 2011 15:56

Je kan het ook anders interpreteren. Ze zien de de kwetsbaarheden van php en gebruiken een framework om wat meer zekerheid en controle te krijgen.

Daarnaast is dit een taal onafhankelijk probleem.

pizzafried @Kman • 26 november 2011 10:27

bij de webdevelopment bedrijven waar ik werk werd gehamerd op het feit dat mysql injection moest worden voorkomen en het gebruik van mysql_real_escape _tring e.d....of bedoelde je dat niet bij php driven design bureautjes??

Oerdond3r 25 november 2011 16:50

Je zult ze vast hier ook weer tegenkomen: Mensen die zeggen dat hackers maar 'moeten stoppen met hacken' en kwetsbare systemen met rust moeten laten.

Sorry hoor, maar als grote bedrijven zo onzorgvuldig omgaan met persoonsgegevens (vatbaar zijn voor sql-injecties betekent dat de code geschreven is door amateurs die in ieder geval geen kaas hebben gegeten van simpele beveiliging, ik kan het weten), moeten dan hun verantwoordelijkheid afleggen en het liefst nog alle slachtoffers compenseren.

Ik ben tenminste blij dat een van die hackers het tenminste nog naar het nieuws brengt. (misschien waren er al wel 25 voor hem?)

Verwijderd 25 november 2011 16:54

Niet iedereen is geboren om degelijke web-sites te bouwen.
Dit is echter wel een klassieke beginners fout zeg.

En reken er op dat deze sites niet voor een paar tientjes gebouwd zijn.

SHAME ON YOU !!!!

- peter -

25 november 2011 15:41

Nou, het wordt hoog tijd dat dit "hacken" strafbaar wordt gesteld!

Beveiligingsprobleem of niet, het is ook niet toegestaan om te proberen de gevel in te rammen van een winkel of ie wel sterk genoeg is, of dat de ene deur nu net wat minder sterk is dan de andere.

Ik vind dat de politiek in moet grijpen!

Je kan toch niet van elke webdeveloper verwachten dat ie compleet compleet compleet alles dicht kan bouwen? Als dit zo doorgaat wordt de hele markt kapot gemaakt, omdat "hackers" gewoon hun ding mogen doen. Niet dat ik pleit voor incompetentie, maar je kan ook overdrijven.

[Reactie gewijzigd door - peter - op 24 juli 2024 21:30]

Heedless @- peter - • 25 november 2011 15:56

2.3 Miljoen persoonsgegevens die beschikbaar zijn. Ik ben blij dat iemand dat heeft ontdekt zodat het gat gedicht kan worden.
Er is nu toch niets ergs gebeurd? De hacker heeft aangegeven dat het lek er is en misschien wat data aangedragen als bewijs. Hij heeft het (voor zover bekend) niet online gezet, verkocht, misbruikt etc. wat andere minder vriendelijke hackers misschien wel gedaan zouden hebben. Danzij deze kan dat nu voorkomen worden.

De vergelijking met de gevel rammen gaat niet op: er is nu geen schade toegebracht aan de website, hooguit aan de ego's van de makers. Vergelijk het liever met even aanbellen om er op te wijzen dat er een raam open staat.

X-Stuff @Heedless • 25 november 2011 16:46

Dat het nu bekend is geworden wil niet zeggen dat daarvoor geen hackers van deze lek gebruik hebben gemaakt.

wildpicture @- peter - • 25 november 2011 16:36

Van een webdevelopper mag je dat wel verwachten. Hij biedt immers zijn diensten daarvoor aan, over het algemeen tegen betaling. Als hij niet competent genoeg is om veilige sites te bouwen, moet hij eerst maar eens gaan bijscholen. De tijd dat iedere puber even wat sites bouwde is wel voorbij. Als er persoonlijke gegevens opgeslagen worden, moeten er ook zware eisen aan beveiliging gesteld worden.

Van de opdrachtgever mag verwacht worden dat hij hier rekening mee houdt en dit van de bouwer eist.

tormentor1985 @- peter - • 25 november 2011 17:21

Ik vind niet dat het strafbaar moet zijn als iemand test of de beveiliging in orde is alvorens hij zijn order plaatst of in dit geval zijn persoonsgegevens invult. Jij zou zelf toch ook niet een tv van 1000 euro bij een winkel kopen die zijn facturen in een lade onder de balie legt? Die facturen mag je ook niet pakken maar het is toch interessant voor inbrekers om ze 'te pakken te krijgen' ook al moeten ze even een manier zoeken hoe.

Mede hierom test ik zelf alle websites waar ik orders plaats op veiligheid. Ik voer in vele velden query's in om te kijken of deze correct escaped worden voordat ik mijn order daadwerkelijk plaats.

Dat is het minste wat je moet doen. Daarnaast kan je natuurlijk kijken of eventuele javascript's niet op de verkeerde manier misbruikt kunnen worden. Bijvoorbeeld het downloaden van een factuur d.m.v. javascript. Het moet natuurlijk niet mogelijk zijn een factuur te downloaden die niet voor jou bestemd is. Zo zijn er vele puntjes die niet goed kunnen zijn in een winkel.

[Reactie gewijzigd door tormentor1985 op 24 juli 2024 21:30]

Verwijderd @- peter - • 26 november 2011 01:52

want strafbaar maken is natuurlijk de uiteindelijke beveiliging en is het onmogelijk te hacken ineens.
maar sql injections is toch al iets langer bekend dan 3 weken?

het gaat om persoonsgegevens.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 21:30]

_BladE2k_

@computerjunky • 25 november 2011 15:20

Dat is natuurlijk wel een erg kort-door-de-bocht statement. Natuurlijk is het zo dat als je niets op internet zet, er ook niets af te halen valt, maar er zijn genoeg legitieme redenen waarom een bepaald deel van je persoonlijke informatie nodig is. Dit is echter geen vrijbrief om dan 'je privacy kwijt te zijn', integendeel het is zelfs verplicht dat een organisatie / instelling betrouwbaar en conform de richtlijnen met je gegevens omgaat.

Helaas is het echter zo dat security nooit het meest belangrijke element geweest is van het Internet. Echter door de toenemende (nog steeds!) populairiteit van het internet begint dit een steeds veeleisender onderwerp te worden, immers is internet vrijwel niet meer weg te denken in het dagelijks leven. Dit kost echter extra tijd en investering om beveiliging up-to-date te houden. Bedrijven en instanties geven echter liever geen geld uit om een bestaand concept te verbeteren, zeker als het gaat om beveiliging, immers kost dit (veel) geld en de kans dat het mis gaat is erg klein. Die kans is een risico dat ze nemen en wanneer het misgaat, zoals in de newspost, dan is het op de blaren zitten.

Om dit goed te reguleren denk ik dat de overheid een bepaalde verantwoordelijkheid moet afdwingen voor elk bedrijf/instantie die het noodzakelijk acht om persoonlijke informatie op te slaan. Dit kan onder andere onder druk van een dwangsom of dergelijke. Natuurlijk heeft dit alles ook een keerzijde; bedrijven zullen dit willen afdwingen bij de partijen die zij inschakelen om het te programmeren en deze zullen mogelijk minder geneigd zijn in zee te gaan met betreffende bedrijven. Een economisch gevolg is dus ook niet uit te sluiten. Dat het echter opgelost dient te worden lijkt me duidelijk.

computerjunky @_BladE2k_ • 25 november 2011 15:31

Dit is echter geen vrijbrief om dan 'je privacy kwijt te zijn', integendeel het is zelfs verplicht dat een organisatie / instelling betrouwbaar en conform de richtlijnen met je gegevens omgaat.

maar het feit blijft dat het meer regel dan uitzondering is.
en brdrijven mogen ook geen prijsafspraken maken maar ook zonder woorden gebeurd dat best wel vaak als je het mij vraagd.
dus nee het hoord niet maar je mag niet verbaasd zijn als het wel gebeurd we weten het immers allemaal.

boto @computerjunky • 25 november 2011 23:43

offtopic:
wil je alsje-alsje-blieft een nederlands lesje nemen? Alles leuk en aardig maar wanneer je geen hoofdletters gebruikt en 'mij vraagd' en 'hoord' gebruikt word ik toch wel een beetje gek. En gebruik ook 'ns een komma:

'zet het er dan niet op punt uit'. een komma was leuk geweest!

[ontopic]
een sql injectie? really? hoe silly moet jij zijn om nog steeds geen DBAL te gebruiken?
[/ontopic]

Edit typo

[Reactie gewijzigd door boto op 24 juli 2024 21:30]

kimborntobewild @_BladE2k_ • 26 november 2011 04:23

atuurlijk heeft dit alles ook een keerzijde; bedrijven zullen dit willen afdwingen bij de partijen die zij inschakelen om het te programmeren en deze zullen mogelijk minder geneigd zijn in zee te gaan met betreffende bedrijven. Een economisch gevolg is dus ook niet uit te sluiten.

Dat is geen keerzijde; dat is juist positief! Veiligheid moet voorop staan.
Wanneer begrijpt men nu eens dat 'economie' een hol woord is. Het gaat NIET om economie. Het gaat om je leefmilieu en om het milieu in het algemeen (waar anderen dan alleen de ik-persoon van kunnen genieten).
'Economie' is in de huidige praktijk weinig anders dan wat rekensommetjes maken.

mystic101 @kimborntobewild • 26 november 2011 11:12

[...]

Dat is geen keerzijde; dat is juist positief! Veiligheid moet voorop staan.
Wanneer begrijpt men nu eens dat 'economie' een hol woord is. Het gaat NIET om economie. Het gaat om je leefmilieu en om het milieu in het algemeen (waar anderen dan alleen de ik-persoon van kunnen genieten).
'Economie' is in de huidige praktijk weinig anders dan wat rekensommetjes maken.

Leuk om te horen dat de wereld vooral laatste jaren is gegijzeld door een hol begrip.

Verder is de opmerking '..de ik-persoon van kunnen genieten..' mij geheel niet duidelijk.

Donny K. @computerjunky • 25 november 2011 16:37

@computerjunky

Heb je wel eens wat besteld via een webshop?
I rest my case.

computerjunky @Donny K. • 26 november 2011 14:58

ja vaak zat en dan is het mijn keuze om het in te vullen

Donny K. @computerjunky • 2 december 2011 11:50

Je zal toch echt je adres in moeten vullen, anders weten ze niet waar ze je pakketje heen moeten sturen. En soms moet je zelfs je telefoonnummer achterlaten. Toegegeven, je kan daar onzin invullen, maar de kans dat je bestelling aankomt is daardoor wel kleiner.

Verwijderd 25 november 2011 15:02

"laten uitlekken" is heel wat anders dan wat hier is gebeurd.

Getto @Verwijderd • 25 november 2011 15:25

Als je tegenwoordig je systeem niet goed beveiligt tegen SQL injecties dan heb je bijna een zekerheid dat er dit gehoord(vooral bij dit soort stichtingen/bedrijven)

mad_max234 25 november 2011 15:54

In gemiddeld telefoonboek staat meer info, adres, naam, fax en telefoon. We moeten ook niet te panisch worden op persoonsgegevens die toch meestal al tientallen jaren te achterhalen waren. Zo zijn er nog veel meer wegen waar je naam en adres te achterhalen valt. Met google streetview kan je ook gelijk even kijken welke auto er op de oprit staat en in wat voor huis je woont.

Word pas vervelend als je ID nummer hebben of zelfs een gestolen paspoort of ID kaart, rest is toch wel te achterhalen zoals naam en adres.

codebeat @mad_max234 • 25 november 2011 17:44

Je vergeet 1 groot detail: Telefoonboek is niet geautomatiseerd.

Verwijderd @codebeat • 26 november 2011 05:22

Je vergeet detelefoongids.nl en deomgekeerdetelefoongids.nl (of zoiets dergelijks) op deze sites kun je van bijna alle nederlanders de gegevens opvragen

codebeat @Verwijderd • 26 november 2011 18:33

Ik snap wat je zegt, dan had ie dat erbij moeten zetten ;-)

Robbbbbbbb 25 november 2011 15:55

Is het tegenwoordig een rage om overal een SQL-injector eroverheen te laten lopen?!

RobertMe @Robbbbbbbb • 25 november 2011 16:05

Dat er zoveel SQL injection wordt toegepast is misschien zorgwekkend, maar dat er zoveel SQL injection mogelijk is, is nog zorgwekkender. Het is zo ontzettend makkelijk om je te beveiligen tegen SQL injection. Elke programmeertaal heeft wel iets om het te voorkomen, maar toch zijn er nog zoveel sites waarbij SQL injection gewoon mogelijk is. Dat vind ik toch een stuk zorgwekkender dan dat iemand deze gegevens achterhaald (middels SQL injection) en netjes meld dat het mogelijk is.

[Reactie gewijzigd door RobertMe op 24 juli 2024 21:30]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (52)

Sorteer op:

Weergave: