Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

Een hacker is er in geslaagd om via een eenvoudige sql-injectie privégegevens van tienduizenden gebruikers van Tivoli.nl op te vragen. Ook zou de database van het Utrechtse poppodium honderdduizenden e-mailadressen bevatten.

Tivoli logoHet gat in de beveiliging van het Utrechtse poppodium Tivoli.nl is door een hacker die opereert onder het pseudoniem Ingratefully ontdekt en aan Tweakers.net gemeld. Uit zijn verhaal blijkt dat het relatief eenvoudig was om meer dan 100.000 e-mailadressen en bijna 50.000 naw-gegevens van bezoekers van Tivoli.nl op te vragen.

Een van de scripts van de website blijkt vatbaar voor sql-injectie waardoor de honderd tabellen in de database, genaamd tivoli0db, kunnen worden uitgelezen. Het bewijs hiervoor heeft Ingratefully op Pastebin gepubliceerd, al zijn hierbij geen privégegevens vrijgegeven.

Eén tabel met profielgegevens bevat naam, adres, woonplaats en het mobiele nummer van bijna 47.000 mensen en een tabel met nieuwsbriefgegevens bevat de mailadressen van bijna 112.000 mensen. Daarnaast trof Ingratefully nog een tabel aan met gegevens van mensen die een digitale petitie hadden ondertekend: deze tabel bevatte van nog eens 9500 mensen hun naam, woonplaats en mailadres.

Bovendien, zo ontdekte Ingratefully, bevatte de database ook de inlogdetails voor Google Analytics, de inloggegevens van enkele ftp-accounts van de server en de inloggegevens van de smtp-mailserver. "Het is jammer om te zien dat grote websites nog steeds makkelijk te kraken zijn middels simpele sql-injecties", aldus de 'hacker' tegenover Tweakers.net. "Laat dit een bericht zijn richting andere bedrijven en websites: steek geld en tijd in jullie security. De volgende keer is het niet een grey hat maar staan jullie gebruikers tussen de spamlijsten en is je website gedefacet." Verder stelt Ingratefully dat hij geen gegevens uit de database van Tivoli.nl heeft opgeslagen of heeft gewijzigd.

Nadat Tweakers.net Tivoli had ingelicht, heeft het poppodium direct contact opgenomen met Eagerly Internet, het bedrijf dat enkele delen van de website heeft ontwikkeld. Dit bedrijf heeft vervolgens binnen een uur maatregelen genomen om het lek te dichten.

Tivoli-hack

Gerelateerde content

Alle gerelateerde content (27)
Moderatie-faq Wijzig weergave

Reacties (57)

138 Sr (wetboek van strafrecht)

1 Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a door het doorbreken van een beveiliging,
b door een technische ingreep,

c met behulp van valse signalen of een valse sleutel, of
d door het aannemen van een valse hoedanigheid.

[2 Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.


3 Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.


139c Sr

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.


Dus ja, dit is in principe strafbaar. Hoogstens een jaar voor het binnendringen, vier jaren als je gegevens 'steelt'.
Als je de gegevens laat lekken wordt de straf waarschijnlijk nog hoger, dit staat in een ander artikel.

[Reactie gewijzigd door wouter03 op 18 december 2011 21:48]

Of ¤19000,- aan boetes.
Een journalist is net zo strafbaar, vergeet dat niet. Punt alleen is dat het OM / Justitie er meestal weinig mee doen, omdat ze op die manier vaak een makkelijke zaak hebben om andere 'jongens' te pakken.
Tsja, waarom zou je je eigen hoofd bron straffen?

Indirect gebeurt dit wel, maar dan meer in de zin van geldboetes of een bezoekje aan het politiebureau met een goed verhoor.

OT: Jammer dat het nog steeds kan, met een automatisch script een simpele SQL injectie doen om vervolgens de hele db te kunnen inzien. Gelukkig zijn er nog Gray hats in deze wereld, die mensen scherp houden.
Zou niet willen weten wat er gebeurt zou zijn als deze complete db op de zwarte internet markt verkocht zou zijn.
Mooi geval van leuk alles op een machine/OS draaien,en waarschijnlijk is heel de website door een vrijwilliger in elkaar gezet.
Eagerly Internet lijkt me ook zo'n prototype "arty farty trendvolgend desing bedrijf" wat enkel op de looks van de website let , mooie verkoopspraatjes en dito factuurtjes,maar zonder enig benul hoe nu echt een veilige website in elkaar te zetten.
Ze geven nog trainingen ook 8)7
De CMS zat goed in elkaar, echter gebruikte ze een oude versie van de CMS die niet geupdate was. Zo was de versie die op Paard.nl staat (Paard van Troje) niet injectable gezien het een nieuwere versie was.

Wat mij echter wel verwonderde was dat de SMTP, Google Analytics en FTP gegevens in de database opgeslagen stonden. Dit zijn gouden gegevens voor elke hacker en simpeler kon het eigenlijk niet.

120.000 emailadressen zijn namelijk genoeg geld waard, tel daar nog eens 46.000 NAW gegevens en een (te rooten) 150GB VPS bijop en je hebt in principe een goudmijntje.

Mijn Twitter overigens, mochten er Tweakers op de hoogte willen blijven: http://www.twitter.com/Ingratefully.

[Reactie gewijzigd door Ingratefully op 18 december 2011 21:13]

Vind het eigenlijk helemaal niet netjes: de afgelopen maanden hebben de nieuwsdiensten zeer regelmatig gepubliceerd over veiligheidslekken, ook bij Nederlandse websites, waarbij regelmatig over SQL injectie gepraat werd.

Dat had voor elke systeembeheerder een moment moeten zijn om zich af te vragen of de systemen waar hij/zij voor verantwoordelijk voor is, veilig genoeg zijn.

Je kan je website/service nooit 100% gegarandeerd dicht maken - maar je kan wel wat basisvoorzieningen treffen. Een website die nog op zo'n manier als bij Tivoli lek is, voldoet daar wat mij betreft niet aan.
Ik denk niet dat organisaties als Tivoli een systeembeheerder op de payroll hebben staan. Zij besteden een opdracht uit, die wordt prima opgeleverd en draait. Niemand bij Tivoli denkt er bij na dat vanwege voortschrijdend inzicht de site regelmatig even tegen het licht gehouden moet worden: zo'n audit kost serieus geld en bijna altijd volgt er meerwerk uit waar helemaal geen budget voor is. De bouwers voelen zich ook niet verantwoordelijk, zij zijn ondertussen al honderden projecten verder en zijn dit project allang 'vergeten'. Met een onderhoudskontrakt met pro-actief onderhoud is veel te voorkomen maar die zijn ook kostbaar. Kortom, zolang het management zich niet afvraagt of hun website veilig is, zal er geen enkele controle plaats vinden. Voor dergelijk management is een website vergelijkbaar met een brochure: statisch en "if it works, don't touch it".
Zo'n security ommezwaai maak je niet ff in een maandje wereldwijd, daar gaat wel wat langer overheen. Daarnaast, probeer een manager maar eens te overtuigen dat alle oude sites opnieuw bekeken moeten worden op security gebied. Gaat je never niet lukken. Zelfs al waren ze ermee bezig, kan het zijn dat deze site net niet aan de beurt is gekomen.
Je hebt gelijk, in zoverre dat het wat onterecht is om de 'schuld' bij de systeembeheerder te leggen: de verantwoordelijke kan het bedrijf zijn, de manager of wie dan ook.

Maar ik blijf er bij: dit soort fouten komen dusdanig vaak voor dat het wat mij betreft onder grove nalatigheid valt als je dit soort lekken nog hebt op je systeem.
idd..ik heb net mijn spul voor de zekerheid nog eens nagelopen (niet dat ik veel gevoelige data opsla, maar oke)
Als mede gray-hat hacker deel ik de frustratie. Vaak is het zelfs zo dat als je bedrijven belt, en je vraagt om een kleine vergoeding, dat ze aggresief reageren. Ze snappen niet dat je er tijd in hebt gestoken hun te bellen, en een betere analyze te maken van de beveiliging. En vaak worden de gegevens van gebruikers niet op waarde geschat, of de schade van een deface van de site.
Zij vinden dat een bedankje volstaat, terwijl de analyze veel kosten en spam bespaart.
Ook het percentage websites waar men sql injectie kan toepassen is zeer hoog, zelfs bij hostingbedrijven(!), zo heb ik bijvoorbeeld enkele duizenden mailadressen en wachtwoorden 'gevonden' bij een hostingbedrijf.
Vaak is het zelfs zo dat als je bedrijven belt, en je vraagt om een kleine vergoeding
Niet raar lijkt me, om een vergoeding vragen voor iets waar zij nooit om gevraagd hebben kun je ook als agressief bestempelen.
Alleen raar als je niet verder kijkt dan je neus lang is, want als alle gebruikersgegevens op straat liggen kan je toch een mooi imagoprobleem krijgen (en je gebruikers hebben mogelijk nog een veel groter probleem, maar meestal wordt daar helaas niets aan gedaan door de schuldigen). Zie de faal van PSN bijvoorbeeld, als Sony de gevolgen geweten had hadden ze er miljoenen voor over gehad om het te voorkomen.

Beheerders van databases lijken hun verantwoordelijkheid soms niet te kennen als het om geheime gegevens gaat, het is puur voor het eigen gemak.
Natuurlijk moet je verantwoordelijkheid nemen, maar je mag zelf weten welke resources je daar voor inzet. En als hacker mag je best wat vragen voor het leveren van een oplossing, maar niet voor het aanmelden van het probleem.
Of moet je de hacker maar zwijggeld betalen? Eigenlijk is dat gewoon chantage.

[Reactie gewijzigd door Zer0 op 19 december 2011 01:29]

Het blijft moeilijk, aan de ene kant heeft het bedrijf er niet om gevraagd aan de andere kant bespaar je ze ontelbare schade.
Ik vraag me eigenlijk af of je wel strafbaar bent als je op deze manier handelt als hacker, omdat het toch inbreken is ook al help je het bedrijf.
Grey hat activiteiten zijn 'illegaal' maar behoren tot het 'grijze gebied'. De vraag is of een bedrijf aangifte zal doen als jij ze helpt met het beveiligen van een site en niet de informatie misbruikt.
Aangite van wat? dat je ze wees op een potentieel gat in hun beveiliging en dat je aanbied dat te fixen?

De wereld op zn kop, ik zou als tivoli eerder de developer van de site hebben aangesproken en misschien verantwoordelijk gesteld (civielrechtelijk) voor eventuele schade.
Melden is het netst, als ze daarna vragen hoe ze het op kunnen lossen kun je ze een offerte sturen.
Mee eens, vind het ook fijn dat het lek eerst gedicht is voordat het bericht naar buiten is gekomen. Kom daar nog weleens :P Nu zijn mijn mailadres etc niet echt geheim, maar NAW gegevens leg ik liever niet op straat ;)
Dat ze aggressief reageren is niet erg netjes
Maar een vergoeding verwachten is ook een beetje raar want ze hebben nergens om gevraagd
Als mede gray-hat hacker deel ik de frustratie. Vaak is het zelfs zo dat als je bedrijven belt, en je vraagt om een kleine vergoeding, dat ze aggresief reageren.
Tja, raar is dat toch. Jij probeert rustig met hacken en daaropvolgende chantage je brood te verdienen en dan zijn die bedrijven daar niet blij mee...

Heel erg raar allemaal...
Ik citeer:
"Hij die, met het oogmerk om zich [...] te bevoordelen, door bedreiging met [...] openbaring van een geheim iemand dwingt [...] tot de afgifte van enig goed [...] wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vijfde categorie."

Vraag me af in welk mate het wettelijk is om illegaal verkregen informatie te gebruiken om geld te bekomen van een bedrijf. Hetgeen jij doet, is - moreel én strafwettelijk gezien - zeer dicht bij afpersing en chantage. Wees blij dat je nog geen aanklacht aan je been hebt gehad.

[Reactie gewijzigd door Bauknecht op 19 december 2011 10:34]

Fijn dat dit zo netjes is gemeld en pas is gepubliceert nadat het lek verholpen is.
Goed dat er nog steeds hackers zijn die zo handelen en daarmee bijdragen aan de beveiliging. Mijn gegevens zullen namelijk zeker in die db staan ;)
ja ik dacht er net ook even overna, maar wat je dus niet weet is dat je gegevens wellicht al door 10 verschillende hackers zijn buitgemaakt. Maar ik vind het wel goed idd om te lezen dat er direct vaart achter gezet is. :)
Een slimme hacker zal inderdaad gewoon met de buit er vandoor gaan en niets laten merken. Dan blijft de deur netjes open staan en kunnen ze over een maand weer terug te komen om de laatste nieuwe accounts te oogsten.

En alle mensen zich maar afvragen hoe het komt dat ze spam krijgen op een email adres dat ze alleen bij "vertrouwde" websites invoeren.
Reden genoeg om een eigen domein te gebruiken en voor elke website een ander e-mail adres te gebruiken.
Op die manier weet je direct welke site aan t spammen is en kan je en de site op de hoogte brengen / uitschelden en alle mail naar dat adres blokkeren.
Waarom ben je een slimme hacker als je niks zegt? Voor mij ben je dan gewoon een domme hacker.
Genoeg spammers die random email adressen pakken en voor en achternamen in allerlei combinaties uitvoeren om toch de spam door te sturen :)
Genoeg spammers die random email adressen pakken en voor en achternamen in allerlei combinaties uitvoeren om toch de spam door te sturen :)
ongewenst... waarheid is hard soms ;)
Weer 1 in de lange rij. Als systeem beheerder moet je dit toch al lang hebben getest, en dus vraag ik me af of dit wel simpel te testen is, samen met de cross-site scripting en css lekken?

Met een andriod telefoon kan je je eigen netwerk simplel controleren op open poorten, dirs en quest logins, maar is er ook een simpele sql injectie(enzo) test app voor andriod/linux(/windows)? Zo ja, laat ff weten. Ik maak niet vaak websites, maar misschien doe ik dat nog wel eens.
Je hebt Acunetix Web Security Scanner, hierbij voor je een URL in en doet hij een complete scan. Dit geeft een vrij goed beeld van hoe je website ervoor staat. Echter kost het wel ¤2450,- ;)
Wordt een beetje moe van die soort berichten... Who cares...
Zelfde als dat je zegt dat je relatief makkelijk fysiek kon inbreken bij een bedrijf omdat je de deur makkelijk kon openbreken ofzo en in hun archief kon kijken..
Gewoon niet doen en anders oppakken
Gewoon niet doen en anders oppakken
...en wachten op een echte inbreker die er wel stilletjes met mijn spullen vandoor gaat. Dat jij niet wilt weten dat jouw spullen door jan en alleman zonder problemen zijn mee te nemen, wil niet zeggen dat het niet zo is.

Echt ongelooflijk dat er mensen zijn die een misstand liever niet zien dan de misstand aan te apkken. Zelfde verhaal als met het internetfilter om websites met kinderporno te blokkeren: de misstand blijft, alleen zie je het niet meer... "en die kinderen dan?"
"Welke kinderen? Ik zie niets!"
Tuurlijk zijn mijn spullen en andermans spullen te jatten en mee te nemen...dat zal ook nooit veranderen..
dus iemand moet mijn raam thuis maar inslaan zodat ik weet dat dat kan en ze op die manier naar binnen kunnen..?

Je andere vergelijking slaat ook nergens op... Sneu
Ik vraag me af hoevaak het voorkomt dat de 'grey hacker' uiteindelijk toch de data lekt of verkoopt.
Stel dat er een verleidelijk bod op de data wordt uitgebracht, dat wordt de verleiding toch groot, lijkt me.
Dit is echt zo'n 15 minutes of fame bericht. Waarom zou je tweakers.net zelf inlichten dat je een site hebt gehackd?
In ieder geval wel goed dat hij het meldt, en niet misbruikt.
Ook 15 minuten van een webdeveloper/systeem beheerder zijn aandacht. En denk jij dat het voor mij hier stopt? :)
Vast niet, maar ik zou voortaan eerst contact opnemen met het bedrijf, en dan pas de media opzoeken.

Veiliger voor beide kanten.
Nee, het stopt voor jou pas als de politie aan jouw deur staat.

Hacken is zoals je wellicht weet strafbaar. Jouw IP is in elk geval bij Tweakers bekend (immers, jij post hier...). Er is al een aangifte tegen je gedaan (Tivoli meen ik), dus de politie kan vrij gemakkelijk jouw gegevens bij Tweakers opvragen.

Ik denk dat het binnenkort stopt...
precies zoals ik al in een eerdere post heb gezegd ik heb nog nooit een website gezien van nog zo grote bedrijven die goed waren beveiligd.

maar goed lekker met ze "gray hat" ofwel eerst hacken en dan geld vragen voor de gegevens/oplossing aan de persoon//bedrijf dat gehacked is.

das toch triest dat je dit alleen maar voor het geld doet laatst was ik er nog een aan het volgen die kreeg 5 euro van het bedrijf voor het vinden van een vulnerability.
dan wordt je toch gewoon keihard ge*****.

maar goed als hij zo netjes was had hij het als een white hat gedaan en er niets voor gevraagd en ze mond netjes gehouden en ze gewoon geholpen om het probleem op te lossen!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True