Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 150 reacties

De website TheTVDB.com, die door veel mediasoftware wordt gebruikt om informatie over series binnen te halen, is gekraakt. Een hacker slaagde er in 58.000 gebruikersnamen en wachtwoorden binnen te halen.

Via een sql-injectie kon de hacker, die Tweakers.net heeft getipt, gebruikersnamen en wachtwoorden ontfutselen. De wachtwoorden waren slecht gehasht, stelt de hacker: hij slaagde er eenvoudig in om de wachtwoorden van de beheerders te kraken, waarschijnlijk via rainbow tables.

Naast de gegevens van 58.000 geregistreerde gebruikers kon de hacker informatie over 8000 api-gebruikers binnenhalen. De api van TheTVDB.com wordt gebruikt door veel mediacentersoftware, zoals Sick Beard en XBMC, en bijvoorbeeld door de Nederlandse site Bierdopje.com. De website fungeert als een soort wiki: iedereen kan informatie over tv-series toevoegen en verwijderen. De database van de site bevat enkel informatie van gebruikers die zichzelf op de site hebben geregistreerd, dus niet van users die enkel via een programma als Sick Beard of XBMC verbinding maken.

Scott Zsori van TheTVDB.com zegt al enige tijd op de hoogte te zijn geweest van de kwetsbaarheden, maar de ontwikkelaars zouden het 'te druk' hebben gehad met een nieuwe versie van de site om zich op de bestaande versie te richten. Ook zou de bestaande code erg slordig zijn. Zsori heeft nu een aantal checks ingebouwd die sql-injecties moeten voorkomen. Ook zijn uit voorzorg wachtwoorden van beheerders gewijzigd.

Hij zegt 'teleurgesteld' te zijn dat Tweakers.net publiceert over de hack: "Ik denk dat dit een negatief effect op de htpc-community heeft." TheTVDB.com is een vrijwilligersproject met beperkte mankracht, voert Zsori aan. "We hebben maar twee programmeurs die aan dit project werken." Hij is bang dat publiciteit over de hack ervoor kan zorgen dat de site uit voorzorg offline moet, totdat een nieuwe versie is ontwikkeld. Dat zou een paar maanden kunnen duren.

Of de site daadwerkelijk offline gaat, is onduidelijk. Als dat gebeurt, kan sommige mediacentersoftware bijvoorbeeld niet meer automatisch afleveringen van tv-series binnenhalen en kan meta-informatie over series niet meer worden gedownload: niet alle software heeft ondersteuning voor alternatieve informatiebronnen. De hacker die Tweakers.net tipte, heeft de website overigens een week eerder al op de hoogte gesteld, maar daarop werd geen actie ondernomen.

TheTVDB.com lek

Moderatie-faq Wijzig weergave

Reacties (150)

First, I apologize for writing in English. I think many of you can do a better job reading this in English than Google can do translating it into Dutch. :) I also apologize if this post isn't formatted properly. Chrome fails in translating some of the editor functionality.

I'm the founder of TheTVDB and discussed this via email with Joost. I do appreciate his 1 day warning before publishing this article and also his willingness to delay publication until we resolve the issue if necessary. However, I do feel he left out the most important part of my email. Here is the email in its entirety:

Thanks for contacting me. We've been aware of the SQL injection issue for a while, but due to our current code being horrible to work with we've been dedicating all our time to the rewrite of our site instead. I have implemented some simple global checks for injection attacks that should catch many of the security holes. Unfortunately we have neither the time nor manpower to fix all of the issues with the current site unless we completely stop development on the new site.

While I understand the reasoning behind your company publishing this information, I'm still disappointed and I feel it will have an overall negative effect on the HTPC community. Our site remains in operation only because of bandwidth and server donations, otherwise we'd be operating at a $1000+ loss each month. Additionally we have only two programmers working on the project. To be frank, due to the limited funds, time, and the constant headaches this project has caused, a massive attack on our site would probably result in us simply shutting down the site until we're able to bring the new site online (perhaps in a few months?). That may seem harsh, but we all have real jobs and families we need to focus on first and are simply doing TheTVDB as good will toward the community in our free time.


It's not just that we were "too busy" to fix the website, it's that the current code is an absolute mess and due to personal responsibilities we can only dedicate a few hours each week to the project. I actually had an offer from two separate programmers to do a security review and fix of our code. One I never heard from again while the other apologized and told me that if I needed help with the new site instead that he'd be willing to help.

When I started the site years ago I had spare time to put into development. Now I have a young son, an extremely busy job, and a lot of other stuff going on. Despite having hundreds of thousands of users making over a billion hits per month, we receive no financial compensation and very few offers from programmers wanting to help with the site. We'll continue to do what we can do secure the current site, but at a certain point we simply need to go hands-off on it and put our time into our complete rewrite.

I hope this sheds a little more light on the matter.

EDIT:
By the way, those of you that simply scrape using XBMC, Plex, Sick Beard, etc aren't at risk at all. You only have an account on our site if you created one in order to edit records.

[Reactie gewijzigd door szsori op 30 december 2011 11:54]

Maybe a little negative exposure about the security and the state of the project will boost the donations. I also think the publication might be good to get some expert-help. I'm sure many people loves theTVdb for what they are doing, people often don't realize the time and efforts someone puts in.
Nu ben ik vooral benieuwd wat de reden is om juist TVDB te hacken. Het is volledig low-profile target, de user database is niet bijzonder groot en er zit ook geen bedrijf achter dat grof geld verdient. Leuk als je wil aantonen dat de site lek is, maar dan zijn er veel interessantere targets. Verder zie ik op de voorpagina van hun dat de site open source is; dan is het wel zo netjes om meteen ook een fix erbij te geven. Het is immers ook allemaal maar vrijwilligerswerk. Net zoals bij veel open source projecten, de manier om het te verbeteren is door zelf iets bij te dragen.
Waarschijnlijk omdat het heel erg makkelijk was en iets moeilijkers niet lukte. Ik vind het ook een beetje lame om zoiets te hacken.
Iedereen die loopt te zeuren hier, wees blij dat er iemand de moeite neemt om kwetsbaarheden aan het licht te brengen.
We worden aan alle kantem bestookt door nep mails, ongevraagde reclames etc. Doordat beveiliging van sites vaak te over laat, is het simpel om adressen te vergaren.
Ook kan je met zulke gegevens kijken of je op andere sites kan inloggen etc.
Noem het inbraak, noem het stelen. Ik denk dat ingratfully niks steelt, maar blootlegt.
Dus reageer niet zo overdreven
Op het forum van TheTVDB.com kan ik niks vinden over bovenstaande hack vinden, alleen in een berichtje over een outage

Aan de andere kant, sowieso vind ik de beheerder en moderators van TheTVDB maar een rare club - erg autoritair, geen discussie mogelijk, louche adverteringpartners... Maar helaas bieden de meeste mediajukeboxes geen alternatief, dus we moeten het er maar mee doen, en voor wat het is werkt het ook goed
Ondertussen is er een stickey verschenen.
Als je TheTVDB.com niks vind bouw je toch gewoon een alternatief?
Hij is bang dat publiciteit over de hack ervoor kan zorgen dat de site uit voorzorg offline moet, totdat een nieuwe versie is ontwikkeld. Dat zou een paar maanden kunnen duren
Sorry hoor, maar beveiligingsproblemen los je niet op door de hele site opnieuw te bouwen. SQL injecties voorkomen is een kwestie van alle stukken code waar een query uitgevoerd wordt te vervangen door iets dat prepared statements gebruikt, hoogstens een paar dagen werk, hoe groot je codebase ook is.

[/beste stuurlui]
The new site uses MongoDB and a number of very basic things that weren't done on the old site are being done on the new as we develop it.
Ze waren al ~10 maanden bezig met een nieuwe versie van de site.
Om alle beveiligingen nu ook door te voeren voor de huidige versie kan een hoop tijd gaan kosten.
Met de mankracht die ze hebben, is het dan wellicht sneller om de huidige site offline te gooien en 100% te richten op de nieuwe versie.
Ik vraag me ook wel eens af; zo'n hacker zegt dat ze slecht zijn gehast en algemeen makkelijk te ontfutselen.
Maar is het niet gewoon moeilijk om gegevens te beveiligen?
Ik snap een beetje kip en ei verhaal, maar is het 'hacken' niet gewoon te makkelijk?

Meer hackers dan goede beveiligers..
een beveiliger moet altijd geluk hebben, een hacker moet maar 1x geluk hebben...
je hebt ook altijd meer hackers dan programmeurs,
en die eerste is enkel beperkt door zijn fantasie en kunnen,
de laatste door de fantasie (en budget) van zijn opdrachtgever en de tijdsdruk.
een beveiliger moet altijd geluk hebben,
En kennis.
de laatste door de fantasie (en budget) van zijn opdrachtgever en de tijdsdruk.
En zijn eigen kennis. Het kost echt niet meer tijd om prepared statements te gebruiken ipv mysql_query, of om een password hashing functie te schrijven die sha256 en een salt ipv md5 gebruikt, zeker niet als het om een project gaat dat gewoon jaren duurt / draait. De tijdsdruk valt genoeg mee in de praktijk: als je, als developer, gewoon netjes en proper werkt ipv alles quick & dirty in elkaar hackt, kun je evenveel werk zo niet meer gedaan krijgen, zeker als je project langer dan een week duurt (wat in 99% van de gevallen zo is).

En zelfs dan: niks staat een developer in de weg om het wiel niet opnieuw uit te vinden en een framework te gebruiken die al dit soort problemen zelf uit de weg gaat.
Veel hackers zijn beveiligingsmensen danwel in een vorig leven. (of juist andersom, eerst hakker dan beveiliger). De kennis moet ergens worden opgedaan.

Heb zelf het een en ander te maken gehad met het beveiligen van specifieke applicaties en het punt is gewoon, als beveiliger moet je 1000/1000 dingen goed doen om je werk goed te doen. Als hacker kan je wel 10.000 pogingen doen, als er daar 1 van slaagt is het goed.

Beveiligen is gewoon moeilijker dan hacken. Nu is dat geen reden om te zeggen dat deze mensen geen verantwoordelijkheid hebben. Je weet waar je aan begint en als je een website onderhoud moet je gewoon 110% inzet hebben betreffende beveiliging.

Ik vind het vooral bezwaarlijk dat, indien dit waar is, de hacker contact heeft gezocht en hier niets mee gedaan is. Fouten zullen altijd blijven bestaan, het gaat erom hoe de webmaster (wat een 1990 term :P) ermee omgaat.
Veel hackers zijn beveiligingsmensen danwel in een vorig leven. (of juist andersom, eerst hakker dan beveiliger). De kennis moet ergens worden opgedaan.
Met SQLi is dit echter helaas niet meer het geval. De tooltjes zijn er. Download ze; richt ze op je target et voila. Je hoeft niets te weten van de technieken die 't gebruikt.
Ik vind het vooral bezwaarlijk dat, indien dit waar is, de hacker contact heeft gezocht en hier niets mee gedaan is.
Daar ben ik het mee eens. Een simpel mailtje met "bedankt, we gaan het zo spoedig mogelijk oplossen" zou voldoende zijn.
Ik vraag me ook wel eens af; zo'n hacker zegt dat ze slecht zijn gehast en algemeen makkelijk te ontfutselen.
Maar is het niet gewoon moeilijk om gegevens te beveiligen?
Ik snap een beetje kip en ei verhaal, maar is het 'hacken' niet gewoon te makkelijk?

Meer hackers dan goede beveiligers..
Het is niet perse te makkelijk, maar misschien zijn er op de hele wereld wel enige tienduizenden beveiligers echt goed bezig. Misschien wel honderduizend. Maar er zijn bijna 7 miljard mensen die al dan niet expres iets zouden kunnen doen.

Dat is ook het probleem in gevangenissen. Er zijn tientallen bewakers. Maar die werken per stuk gewoon 40 uur per week en hebben ook andere zorgen zoals het betalen van de hypotheek. Maar in de gevangenis zelf zitten honderden gevangenen die 24 uur per dag 7 dagen per week 52 weken per jaar niets anders te doen hebebn dan te bedenken hoe ze er uit kunnen komen. Dan hoeven ze het niet eens echt te gaan doen. Maar waar moet je anders aan denken daar. En er is er altijd wel een die dan hoort hoe het moet en het probeert.
Maar is het niet gewoon moeilijk om gegevens te beveiligen?
Ik snap een beetje kip en ei verhaal, maar is het 'hacken' niet gewoon te makkelijk?
Nee. Het hashen van een wachtwoord is een kwestie van, in dit geval, $hash = md5($wachtwoord), een eenvoudige functieaanroep. Een geavanceerder hashingalgoritme zou iets zijn als $hash = hash('sha256', $wachtwoord . $salt). Het is echt geen dramatische ingreep (tenzij je natuurlijk op MD5 zit, dan moeten al je gebruikers hun wachtwoord opnieuw instellen). Dat het niet gebeurt is in dit geval is gewoon een kwestie van onkunde en vertrouwen in het oude vertrouwde.
Ik denk dat 't tijd wordt dat we niet iedere willekeurige scriptkiddie met wat tooltjes een podium bieden en een soort heldendom toekennen door hun acties breeduit te vermelden op websites a la tweakers.

Is dit echt nieuws? Iemand die tooltjes van een ander kan gebruiken? Echt? Spannend hoor...
Eens! Voor veel van dit soort kinderen is 'hacken' een soort leuk en spannend spel. Als ze dan succesvol zijn (wat overigens echt niet zo heel erg moeilijk is), dan staan ze te popelen om hun verhaal te doen bij Tweakers of Webwereld.

Negeren is inderdaad de beste manier om ze te demotiveren.
Negeren is inderdaad de beste manier om ze te demotiveren.
Onzin. Als wij er geen druk achter hadden gezet, was de website nog steeds lek geweest. Nu hebben de admins tenminste wat moeite gedaan om wat veiligheidschecks in te bouwen.

We schieten heel wat dataleknieuwtjes af, maar als een scriptkiddie 58.000 gebruikersnamen, e-mailadressen en wachtwoorden uit een database kan trekken omdat de websitebeheerders een lek (waar ze van af wisten!) open laten staan, dan is dat nieuwswaardig. Die nieuwsberichten blijven we brengen.
Waarom is dat nieuwswaardiger dan een bericht 'Auto staat open met sleutel in contactslot' ? Het potentiele leed dat dat een joyrider met deze auto zou kunnen veroorzaken is vele malen groter.
Het potentiele leed dat dat een joyrider met deze auto zou kunnen veroorzaken is vele malen groter.
Het lek bestaat niet omdat wij er over publiceren. Overigens staat in het artikel dat als het goed is de sqli's zijn opgelost.
Omdat dit Tweakers.net is, niet Blik op de weg.
Omdat ze hier niet alleen zichzelf duperen, maar ook hun gebruikers, die geen inzicht hebben hoe goed een website beveiligd is.
Je metafoor faalt. Je titel moet zijn 'Auto vol prive gegevens staat open met sleutel in het contactslot'. Dan is het wel nieuwswaardig.
Waarom schrijven jullie dan niet:

"Via een sql-injectie kon de scriptkiddie, die Tweakers.net heeft getipt, "

IMO geeft tweakers in haar berichtgeving die kiddies te veel eer, het is niet alsof de kiddie ING heeft gehackt.
dat is al heel lang het probleem. dit soort kiddieś krijgen teveel roem en daardoor worden het arrogante gasten die met dit soort praktijken door gaan en vanzelf criminelen worden omdat ze zich ZO goed voelen dat ze alles denken te mogen
Natuurlijk, als een slot te openen is, dan doe je dat even en hoop je dat iedereen betere sloten koopt? Als er dan blijkt dat de deur een fout heeft, dan moeten we allemaal maar een betere deur kopen? En als er een fout is in de baksteen, dan allemaal maar een nieuw huis? Zodat jij er meer tijd moet insteken? In een echte "realiteit" zo je zomaar opgepakt worde voor hetgeen je gedaan hebt.

Je bent een dief met een moraal, zo lopen er honderden rond.
Scriptkiddie?
Je opmerkingen na de aangifte van Tivoli ("de volgende keer ligt de boel op straat") getuigt niet van verregaande volwassenheid volgens mij.
je tijd gebruiken om in te breken in andermans websiteś is al genoeg bewijs dat meneer ingratefully uit is op aandacht en het niet al te belangrijk vind dat hij zich op andermans terein begeeft waar hij helemaal niet hoort. als je een hacker bent en het doe om bedrijven te waarschuwen hoef je helemaal niet zo ver te gaan als wat hij elke x doet. hij weet namelijk al dat een website vatbaar is voor SQL aanvallen, dus kan hij op dat moment al waarschuwen. waarom eerst alle gegevens jatten en daarna pas praten? en wat gebeurt er met de gegevens die meneer allemaal op zijn pc heeft staan?
Ik had een paar jaar terug al spam gekregen op een uniek email adres wat ik voor TVDB gebruik, dus het is niet de eerste keer dat het database ten prooi valt aan criminelen. Hopelijk zijn er niet teveel mensen die hun gebruikersnaam, wachtwoord en email adres hergebruiken op andere sites, zoals hun bank, paypal, etc.

Hoop wel dat TVDB gewoon door blijft draaien, er is voor veel mediasoftware geen andere manier om de data te bemachtigen voor TV shows.

Edit: Ik heb het hier wel over TheTVDb.X12A09@Voorbeeld.nl type email addressen, waar ik er ongeveer 3000+ van heb voor elk bedrijf/persoon waar ik mee communiceer. En in 10+ jaar nog nooit spam ontvangen, zonder dat het bedrijf/persoon in kwestie ten prooi was gevallen aan hacker of virus. Het systeem heeft zichzelf al waard gemaakt, omdat ik volgens Washington state recht heb op een vergoeding van $500 als een Amerikaans bedrijf mijn gegevens doorverkoopt of niet goed beveiligt heeft en $5000 als dit een Washington state bedrijf betreft (Microsoft, Amazon, Starbucks, etc).

Heb al twee keer buiten de rechtbank om geschikt met bedrijven in Amerika (vaak in ruil voor één van hun produkten), omdat hun database gehackt was en ik er dus onoverkomenlijk bewijs van had. Echter wacht ik nog steeds dat een WA-state bedrijf dit overkomt, zodat ik er een leuke bonus aan overhoud. Als het een buitenlands bedrijf betreft of een persoon, dan laat ik het hun eventjes weten dat ze een probleem hebben en dan creeër ik weer een nieuw uniek email adres.

http://www.atg.wa.gov/ConsumerIssues/Spam/WashingtonLaw.aspx

[Reactie gewijzigd door Ron.IT op 30 december 2011 10:17]

Hoop wel dat TVDB gewoon door blijft draaien, er is voor veel mediasoftware geen andere manier om de data te bemachtigen voor TV shows.

Er is wel een andere manier. TVrage.com is een gelijkaardige website over TV shows met een api
Maarja, dan moet de API van elke mediasoftware aangepast, getest, enz... worden
En tegen dat dat klaar is, zal TVDB terug klaar zijn voor gebruik

[Reactie gewijzigd door Fush op 30 december 2011 09:48]

Sowieso is het geen gek idee om ervoor te zorgen dat software als XBMC en Sickbeard wat flexibel zijn en mensen zelf de URL voor hun scraper API kunnen invoeren. Als je om wat voor reden dan ook geen gebruik wenst te maken van thetvdb.com dan kan je gewoon via een andere API verder.
Wat Fush aangeeft is dat de software die de API consumeert daarvoor aangepast moet worden, omdat beide API's hun informatie in een ander formaat aanbieden. Idealiter zou er een algemene standaard ontwikkeld worden voor film- en TVinformatie API's, maar dat soort processen duren wel even, het is lastig om alle neuzen dezelfde kant op te laten wijzen, zeker aangezien die API's meestal hobby / vrijwilligersprojecten zijn. Niks tegen op vrijwilligersprojecten natuurlijk, maar standaarden ontwikkelen duurt al lang genoeg in de non-vrijwilligerswereld (zie ook: HTML5, Javascript, etc)
Software als SickBeard en XBMC zijn behoorlijk flexibel hoor. SickBeard zou al gebruik moeten kunnen maken van TVRage. XBMC had al een scraper voor TVRage, maar deze is kapot gegaan met een nieuwere versie. XBMC biedt echter genoeg mogelijkheden om je eigen scraper te bouwen, niemand had hier tot nu toe echter zin in voor TVRage omdat TheTVDB goed genoeg werkte.

[Reactie gewijzigd door Tobisas op 30 december 2011 10:29]

XBMC is al volledig flexibel hier in, je kan zelfs in XBMC al TVrage als scraper selecteren.
Ik had een paar jaar terug al spam gekregen op een uniek email adres wat ik voor TVDB gebruik, dus het is niet de eerste keer dat het database ten prooi valt aan criminelen.
Dat heeft weinig met het hacken van de database te maken. Ik heb een keer een email adres gemaakt en binnen minuten kreeg ik er al spam op binnen. Dat is niet omdat ze het adres gevonden hadden, maar omdat ze gwoon naar alles wat min of meer op een email adres lijkt spam stuurden. Het kost immers niets, dus als het niet aan komt, jammer, komt het wel aan, prima.

Dat is ook de reden dat je je nooit af moet melden van spam als ze er om vragen. Want als je dat doet weten ze direct dat het aankomt en zelfs gelezen wordt. Jouw email adres is dan drect 100 maal meer waard geworden. Misschien krijg je dan inderdaad geen spam meer van die afzender. Maar van alle anderen die die lijst gebruiken des te meer.
Dat hoeft niet perse iets te betekenen. Ik heb ooit bij wijze van test eens een e-mail adres aangemaakt en het letterlijk nooit gebruikt. Na een maand zat de mailbox ook vol spam.

Stel dat TVDB ermee stopt dan komt er wel snel een alternatief hoor. Al hoop ik natuurlijk ook dat TVDB gewoon blijft natuurlijk.
omdat ik volgens Washington state recht heb op een vergoeding van $500 als een Amerikaans bedrijf mijn gegevens doorverkoopt of niet goed beveiligt heeft en $5000 als dit een Washington state bedrijf betreft (Microsoft, Amazon, Starbucks, etc).
...

http://www.atg.wa.gov/ConsumerIssues/Spam/WashingtonLaw.aspx
Ik zie in dat artikel nergens iets staan over het doorverkopen/slecht beveiligen van email lijsten. Kan je me de juiste richting op wijzen? (googlen levert mij niets op..)
Edit: Ik heb het hier wel over TheTVDb.X12A09@Voorbeeld.nl type email addressen, waar ik er ongeveer 3000+ van heb voor elk bedrijf/persoon waar ik mee communiceer.
Voor accounts bij Amazon of Redcoon of iets dergelijks gebruik ik ook gelijkaardige e-mailadressen. Maar voor privé personen? Hoe houd je dat in godsnaam bij? Dat wil zeggen dat je een ander afzendadres opgeeft per mail dat je stuurt? Stuur je dan nooit mails naar meerdere personen tegelijk? Of zijn daar tooltjes voor?

edit: typo

[Reactie gewijzigd door Waking_The_Dead op 30 december 2011 15:25]

Ik blijf hetzelfde email adres gebruiken.

Gaat voornamelijk volledig automatisch voor personen en kost mij letterlijk enkele seconden per bedrijf.

Voorbeeld bedrijf:

Ik wil iets kopen bij WinkelA.com, dan druk ik één van de multimedia knoppen in op mijn toetsenbord die ik heb aangepast en na inloggen wachtwoord zit ik meteen in mijn mailserver controle menu om email adres aan te maken. Dan creeër ik WinkelA.X12@voorbeeld.nl en laat deze doorsturen naar super.geheim@voorbeeld.nl, wat dus mijn daadwerkelijk POP3 account is (WinkelA.X12 is een nieuw POP3 account met auto-forwarding naar mijn hoofd POP3 account). Omdat ik volledige controle heb over mijn server heb ik wat aanpassingen gemaakt, dus ik hoef alleen maar "WinkelA" in te typen en een "WinkelA.X12@voorbeeld.nl" willekeurig adres wordt voor mij gegeneert en meteen via wat JavaScript code in mijn clipboard gekopieërt, zodat ik het via CTRL+V zo kan plakken in het "type je e-mail adres in" veld van WinkelA. De emails van de aankopen komen daarna keurig in mijn éné POP3 account binnen, maar ik kan keurig zien dat het naar "WinkelA.X12@voorbeeld.nl" is gestuurt en kan ook gewoon Outlook/Thunderbird/etc filters aanmaken om de email dan te sorteren in aparte folders indien gewenst.

Voorbeeld persoon:

Ik stuur ze naar http://voorbeeld.nl/nieuw.contact en via ReCaptcha controle vullen ze hun gegevens in, en het bovenstaande wordt automatisch gedaan voor mij, ik krijg dan een email in een aparte box en als ik dan de akkoord link aanklik dan wordt willekeurig email account (half gebaseerd op de persoon zijn naam) zoals bij bovenstaand bedrijfs voorbeeld aangemaakt en een auto email wordt naar die persoon gestuurt vanuit dat email adres. Hun hoeven dan in de toekomst alleen maar op "reply" te drukken, en hetzelfde geld voor mij. Mijn Outlook ik zo ingestelt dat ik SMTP verstuur onder een geheim account, en mijn "From:" veld wordt automatisch aangepast naar het "To:" veld wat de persoon gebruikt had om mijn te emailen (op een werkend adres). In sommige gevallen doe ik de stappen voor een persoon, zoals ik dat ook voor een bedrijf doe.

In beide gevallen blijf ik dus dat éné nieuwe email adres gebruiken voor communicatie met het bedrijf of persoon, todat er dus wat mis gaat. Krijg wel eens van die emails van kennisen die dan niet weten hoe ze BCC moeten gebruiken of zelf een virus te pakken krijgen.

Dus als ik dan een Viagra/etc email binnen krijg op Waking.The.Dead.XR4@voorbeeld.nl, dan stuur ik jouw een email (standaard brief die ik heb in Engels en Nederlands) met grofweg "volgens mij heb je een virus gehad want je hebt mij spam gestuurt vanaf jouw email adres naar 'Waking.The.Dead.XR4@voorbeeld.nl', hier zijn wat links om je computer te scannen via Kaspersky, etc en anders kan ik je helpen via TeamViewer om het probleem op te lossen, etc, etc"

En als dat dus door een Amerikaans bedrijf gedaan wordt, dan stuur ik hun een standaard brief dat ik ze in Washington state small claims court kan slepen en recht heb op $500, maar dat ik geen probleem heb als ze een rechtzaak willen voorkomen en willen schikken voor een schappelijk bedrag of eventueel een produkt wat ik anders toch koop willen sturen. Is me dus twee keer overkomen en beide keren heb ik produkten ontvangen. Het is me eigenlijk niet zo zeer om dat te doen, das gewoon een extra bonus, maar 'financieël risico' blijft de beste manier om het vooral bij bedrijven door te laten dringen dat ze hun computer beveiling in orde moeten houden en niet als ondergeschikte moeten zien.

Mijn Microsoft, Target, Amazon, Starbucks en talloze andere WA-state bedrijf email adressen die ik gebruik voor communicatie met die bedrijven voor aankopen en informatie zijn echter in 10+ jaar nog nooit prooi gevallen aan spam, dus die $5000 rechtzaak die dan mogelijk is, blijft een droom :+
Ondanks dat je een vrijwilligers project runt wil niet zeggen dat je dan minder aan de veiligheid hoeft te doen.. Je hebt wel een soort van verantwoording naar je gebruikers vind ik.
Dat maakt het niet minder crimineel om het te doen.... het gaat hier om een vrijwilligersproject/community waar duizenden mensen gretig gebruik van maken / nodig hebben. Het gaat niet om een overheid (die iets fout gedaan kan hebben), of een bedrijf waar hij ontevreden om is.... dit is gewoon hacken om het hacken. Als meneer nobel was, had hij het aangegeven en geholpen met de fixes, zodat de gebruikersdata nu niet op straat lag.

arresteren die gast !

- natuurlijk zouden alle sites goed beveiligd moeten zijn ongeacht klein of groot, bedrijf, overheid of community.... utopia.
Dus ik zou gearresteerd moeten worden omdat ik netjes meld dat 58.000 gebruikers gegevens en 8.000 API gegevens op straat lagen?

8.000 sites waarvan zeker weten een x% hetzelfde wachtwoord voor de site admin heeft als voor het API gebruikers account.

Ik kreeg geen reactie van de webmasters kant en het is pas gefixt toen Tweakers contact met ze heeft opgenomen. Iedere week kwamen er rond de 1000 accounts bij en dus ook 1000 emailadressen waarop nieuwe spam verstuurd kan worden.

Beetje krom, is het niet?

Ingratefully
Als die 8000 website op hun eigen website wel goed salten dan ligt hun wachtwoord niet op straat!
Via raibow tables bekom je immers niet het oorspronkelijke wachtwoord en is het gekraakte wachtwoord dan ook volkomen onbruikbaar voor elke andere site die wel goed salt.
Defacen zou alsnog mogelijk zijn, tevens is het ook niet zo lastig om een PHP shell of andere ongein te uploaden. Ik weet genoeg malafide scripts die alsnog heel wat kunnen achterhalen of schade kunnen toebrengen aan de gebruiker zijn computer.
Dus ik zou gearresteerd moeten worden omdat ik netjes meld dat 58.000 gebruikers gegevens en 8.000 API gegevens op straat lagen?
Nee, je zou opgepakt moeten worden omdat je weer met je tengels aan spullen van een ander zit.
Nee, ik toon aan dat andere mensen aan de spullen van andere kunnen zitten.

Heb ik de gebruikers gegevens gepubliceerd? Nee.
Heb ik 58.000 e-mailadressen gebruikt voor een spam mailingslist? Nee.
Heb ik op een andere manier de informatie uit de databases gebruikt? Nee.

Heb ik netjes aan de webmaster gemeld dat er een lek in de site zit? Ja.
Is deze lek daarna gefixt of heb ik enige response gehad? Nee.

Dan is het enige wat je nog kan doen om tot de webmaster door te dringen en andere webmasters te waarschuwen contact op nemen met media als Tweakers en dan wordt het inderdaad gefixed.
Leuk, maar allemaal niet van toepassing. Je hebt je onrechtmatig toegang verschaft tot een systeem van een ander, wat strafbaar is en vervolgt zou moeten worden.
Je bedoeling kunnen meewegen voor een strafmaat, maar imo is het een plicht van justitie om dit soort zaken voor de rechter te brengen. Laat die maar uitspraak doen of je goed of fout bent.
Leuk, maar allemaal niet van toepassing. Je hebt je onrechtmatig toegang verschaft tot een systeem van een ander, wat strafbaar is en vervolgt zou moeten worden.
Je bedoeling kunnen meewegen voor een strafmaat, maar imo is het een plicht van justitie om dit soort zaken voor de rechter te brengen. Laat die maar uitspraak doen of je goed of fout bent.
Is het niet raar dat de aandacht nu volledig op de hacker komt te liggen? Ja, die handelt juridisch twijfelachtig, maar vanuit een nobel doel: om beveiligingsproblemen aan het licht te brengen. Het is net zo goed strafbaar om gegevens niet goed te beveiligen, maar daar ga je volledig aan voorbij!
Het is net zo goed strafbaar om gegevens niet goed te beveiligen, maar daar ga je volledig aan voorbij!
Ten eerste vraag ik me af of dat zo is, en zo ja, dan doe je aangifte bij Justitie of begint zelf een rechtszaak. Dat een ander de wet overtreed geeft je geen enkel recht dit zelf ook te doen.
Ten eerste vraag ik me af of dat zo is
Ja, dat is zo.

Enfin, ik vind het raar dat een hacker die juist geen misbruik heeft gemaakt van gegevens, voor de rechter zou moeten komen, zeker nu hij er juist voor heeft gezorgd dat anderen geen misbruik meer van deze lekken kunnen maken. Erg zwart-wit en star.

[Reactie gewijzigd door Joost op 30 december 2011 18:41]

[...]
Ja, dat is zo.
Links om het te onderbouwen?
Links om het te onderbouwen?
Sla de wet bescherming persoonsgegevens er maar op na.
Artikel 13

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen
Is het nou zo'n moeilijk te accepteren idee dat het verplicht is om verwerkte persoonsgegevens goed te beveiligen?
misschien een onderbouwing waarom het zo is? keihard durven zeggen dat het zo is is leuk maar zonder enige vorm van onderbouwing natuurlijk kansloos.

en hoe weet jij nu zo zeker dat de hacker geen misbruik maakt van de gegevens? heb jij gezien dat de beste man geen backup gemaakt heeft van de gegevens, en dat hij alle gegevens volledig verwijderd heeft nadat hij het kenbaar gemaakt heeft?

jij mag dan zo naief zijn dat je het gelijk geloof als ingratffuly zegt dat hij er geen misbruik van maakt maar bijna elke hacker is onbetrouwbaar (anders zit je namelijk niet te snuffelen in de spullen van een ander) en ik vraag me dus af of alle gegevens wel zo veilig zijn.

Probleem is op de website opgelost en meneer ingratfully kan rustig zijn gang gaan zonder dat er gelijk naar hem gekeken word omdat hij zo betrouwbaar en behulpzaam is geweest en ondertussen worden al onze gegevens lekker misbruikt.
De vraag is of artikel 138ab dan ook wel helemaal klopt.
Hoezo niet? Er staat nergens dat je niet schuldig bent als je de gegevens niet misbruikt
Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
Je hebt de gegevens gedownload, dus voldoe je al aan de eisen. Dat je ze niet misbruikt heb is een goede reden om je geen vier jaar te geven, maar maakt je niet onschuldig.
Dat is gewoon struisvogelpolitiek. Als hij het niet meldt dan kraakt een ander het wel die het niet meldt maar mogelijk wel de gegevens misbruikt. Vgl. met Xs4all: die looft een beloning uit voor wie hun servers weet te kraken.
Hoe bedoel je dit .. Iedereen zit aan die site, hij ontdekt een kwetsbaarheid, en de media is momenteel het medium om de site onder druk te zetten om de kwetsbaarheden op te lossen. Als je een site maakt, en je hanteert persoonsgegevens, heb je een verantwoordelijkheid.

Beter een eerlijk iemand die erachter komt, dan een groep als Anonymous of zo, die er ook daadwerkelijk misbruik van maken.

[Reactie gewijzigd door xoniq op 30 december 2011 13:26]

Arresteren die gast?

>De hacker die Tweakers.net tipte, heeft de website overigens een week eerder al op de hoogte gesteld, maar daarop werd geen actie ondernomen.<

Deze "gast" heeft wel aangegeven dat er een lek was. Jij en ik weten beide niet wat er precies besproken is maar wellicht heeft hij ook geholpen met wat eraan te doen was. Uit het artikel blijkt al dat de ontwikkelaars het "te druk" hadden. Dit is wat er mis is, niet degene die laat zien wat de beveiligingsissues met de website zijn.

Zoals je zegt is 100% beveiliging vrijwel onmogelijk, dus zou deze site juist blij moeten zijn dat iemand het probleem bij hen aangeeft zonder de lijst meteen op pastebin o.i.d. te zetten. Als er dan geen actie ondernomen wordt dan snap ik dat deze persoon de media opzoekt om zo'n site te dwingen er iets aan te doen.
Er ligt door deze hacker niets op straat, hij geeft alleen aan wat kan gebeuren. Wees blij dat'ie dat op zo'n manier doet i.p.v. de gegevens voor minder legale doeleinden te gebruiken.
Tja kip en ei.
Als alle gebruikers nou eens doneerden, zouden ze geld hebben om hieraan te kunnen spenderen. Aangezien de gemiddelde user op internet alles gratis wilt en niet snapt wat er aan de achterkant moet gebeuren en hierom niet doneert..... = zeer beperkt budget.
Als een groot bedrijf als sony met $$ in overvloed, een compleet it-team etc dit kan overkomen is dit voor non profit zeker niet verwonderlijk.

En een hacker noem ik dit niet, script kiddie met teveel vrije tijd. Die zich nu lekker opg**lt aan het feit dat er sites zijn die over hem publiceren. Geen aandacht aanbesteden. We zetten toch ook niet elke winkeldief online met de melding kijk ik heb bij v&d gejat.
Basis beveiliging kost geen tijd hoor. Even je passwords salten voor je ze hashed is zo op de gok ongeveer 10 seconden programmeerwerk. Ik kan weer fijn wat wachtwoorden gaan veranderen nu. |:(
Idd, dit is echt gewoon basis wat je moet doen met elke website die een login hebben. Hashen die troep, zorgen dat het veilig opgeslagen wordt.

of je nou een simpel project doet of wat dan ook...
Volgens WHOIS records is thetvdb.com actief sinds 2007. Toen was MD5 nog een prima manier om je passwords te hashen (er voor 't gemak van uit gaande dat MD5 hier gebruikt is). Wikipedia meldt me dat in 2009 een paper geschreven is hoe dit te "kraken" was.

Ja, ze hadden hun hashes moeten seeden, of een sterker hash algoritme moeten gebruiken, maar doe nu niet alsof ze alle security protocollen compleet genegeerd hebben.
http://en.wikipedia.org/wiki/Md5#Collision_vulnerabilities
In 1996, collisions were found in the compression function of MD5, and Hans Dobbertin wrote in the RSA Laboratories technical newsletter, "The presented attack does not yet threaten practical applications of MD5, but it comes rather close ... in the future MD5 should no longer be implemented...where a collision-resistant hash function is required.
In 2005, researchers were able to create pairs of PostScript documents[24] and X.509 certificates[25] with the same hash. Later that year, MD5's designer Ron Rivest wrote, "md5 and sha1 are both clearly broken (in terms of collision-resistance)."[26]
m.a.w, toen de site gebouwd werd hadden de developers security niet in het achterhoofd: MD5 wás lange tijd de de facto standaard bij het hashen van passwords, zeker in de PHP community. Ik kan het wel begrijpen hoor, de developers bleven gewoon bij wat ze kenden. En daar komt nog bij: Hoeveel mensen verwachten nu echt dat hun site gehackt gaat worden terwijl ze het aan het bouwen zijn?

Ja, tegenwoordig wel natuurlijk, maar in 2007 nog niet (echt). Zeker niet bij een vrijwilligersproject voor het 'goeie doel' zoals deze site.
Ze waren op de hoogte van sql-injecties en hebben het niet opgelost. Dan negeer je in mijn optiek toch echt alle mogelijke security-protocollen.
Ik weet niet exact wanneer ik ben begonnen met PDO (en dus prepared statements) te gebruiken met PHP. Maar dat lag wel rond die tijd. Dan heb je instant-geen last van SQL injections.

Het kost niets extra om prepared statements te gebruiken en je bent wel beveiligd tegen injections, easy, quick fix met grote (positieve) gevolgen.
/zeikmodus

PDO is een tool wat SQL injection veel makkelijker tegen kan gaan, mits goed gebruikt. Zo kan je ook SQL injection tegen gaan met mysql_* door simpelweg mysql_real_escape_string te gebruiken.

PDO maakt dit wat makkelijker.
Tja, het is niet alsof het een bedrijf is, die mensen hebben ook een leven en hebben ook prioriteiten. Vergeet ook niet dat elke wijziging weer getest moet worden en ook eerst gekeken moet worden wat de gevolgen zijn van de wijzigingen.

Vergeet ook niet dat het de afgelopen weken feestdagen zijn geweest waarbij mensen dus ook andere verplichtingen hebben, en als je dus in zo'n tijd als hacker dus iets meldt en je geeft ze niet genoeg tijd, dan ben je IMHO net zo lame.

@daan.timmer:
Tja, oh omdat JIJ in die tijd daarmee begon moet iedereen dat ook maar hebben gedaan.
kost niets? het kan dus wel betekenen dat je heel je site moet vervangen, en dat kost wel degelijk heel wat tijd. Vergeet namelijk niet dat iedereen zo zijn of haar specialiteiten heeft, en is het niet sql-injections, dan is het wel een ander beveiligings lek, want sql-injections is bij lange na niet het enige hoe men hele sites hackt tegenwoordig..
Ook moet je niet vergeten dat in dit soort situaties vaak iets is begonnen door mensen die amper iets van (web)development weten en gewoon leuk hun ideeen willen uitwerken en zo steeds kleine stukjes leren.
Het is dus allemaal niet zo simpel als sommige tweakers denken omdat ZIJ toevallig wel hun interesse daar hebben liggen en ook dag en nacht daarmee bezig zijn.

[Reactie gewijzigd door SuperDre op 30 december 2011 15:54]

In die 4 jaar tijd moet toch wel iemand op het idee zijn gekomen om te gaan salten?

Heb je al een bestaande userbase is het iets meer werk, maar ik weet zeker dat je als je een beetje degelijk kunt programmeren, dit in 15 minuten kunt inbouwen. Oude MD5 hashes pakken, die salten en nog een keer hashen met sha256.

Natuurlijk, dat je bij zoiets niet gaat werken met tokens, ssl verbindingen en meer van dat soort grappen, is logisch. Maar dit is gewoon basisonderhoud van een website.
Ik kan weer fijn wat wachtwoorden gaan veranderen nu.
Als je bedoelt dat je ook op andere websites je wachtwoord moet veranderen, dan mag je ook je hand in eigen boezem steken:
Het wordt namelijk OOK aangeraden om voor elke site een ander password te gebruiken EN je password regelmatig te wijzigen.
De website heeft een verantwoordelijkheid maar jij als gebruiker hebt dat ook.
Doe jij dat dan?

Natuurlijk, het is ook eigen verantwoordelijkheid. Maar eigenlijk zou die als backup moeten dienen voor als de primaire beveiliging faalt. Tegenwoordig zijn mensen op honderden plaatsen aangemeld. Je kunt niet overal een nieuw wachtwoord voor hebben. Ik heb alles wat met mijn HTPC te maken heeft hetzelfde wachtwoord gegeven wat ik verder nergens anders gebruik. Ik loop er verder geen risico mee, maar irritant is het wel.

Die hand in eigen boezem is een beetje een dooddoener hier. Zeker als je ziet wat voor lompe fouten ze bij TheTVDB gemaakt hebben. SQL injection niet beveiligen én niet fatsoenlijk hashen. Dan vraag je er natuurlijk gewoon om. Een site met zoveel gebruikers heeft gewoon verantwoordelijkheid te nemen.
Ik ken inderdaad weinig mensen die dat doen. Toch is het raadzaam om voor websites een ander wachtwoord te nemen dan je e-mailadres en pay-pal account bvb. Het ergste wat een hacker dan kan doen is je username en password op een andere website proberen en dat kan dan weer minder kwaad. Als hij met het hacken van 1 site je wachtwoord van je e-mailadres en pay-pal binnen krijgt maak je het hem ook wel heel gemakkelijk.
Jammer dat dat niet bij alle diensten mogelijk is trouwens. Bij Xbox live bijvoorbeeld is het dezelfde account als je e-mailadres (als je hotmail/live gebruikt). Zelf heb ik dan nog de domme fout gemaakt hetzelfde wachtwoord voor mijn PSN account te gebruiken waardoor ik toch 2 wachtwoorden moest veranderen na die hack (en dat is er 1 teveel ;))
Stilaan begin ik wel te denken om voor elke site een disposable e-mailadres te gebruiken. Dan krijg ik ook geen spam binnen als ze een forum of site hacken. Het nadeel is dan weer dat ik geen bericht krijg als ik een pm ontvangen heb.
Je kan ook hetzelfde e-mailadres gebruiken, maar met een achtervoegsel. Ik weet niet vanbuiten welke e-mailproviders dit allemaal ondersteunen, maar bv. GMail doet dit alleszins wel.

Stel, je e-mailadres is huppeldepup /at/ gmail.com
Voor een site als thetvdb geef je dan als e-mailadres huppeldepup+thetvdb /at/ gmail.com o.i.d. op.

PM's e.d. komen dan wel gewoon binnen op je gewoon adres. Wordt het adres gebruikt voor spam, dan zet je gewoon een filter op die alle mail naar huppeldepup+thetvdb /at/ gmail.com rechtstreeks weggooit.
Ah, cool! Die functie kende ik niet. Bedankt, ga ik zeker eens bekijken :)
Als spammer zou ik een eenvoudige check inbouwen die alles achter de + eraf haalt en naar de overgebleven alias @gmail.com een e-mail stuurt.
Ik heb gewoon een gouden regel, vanaf wanneer er betaald kan worden met het account heb ik een ander paswoord, alle andere fora's zijn altijd hetzelfde paswoord. Kunnen ze enkel posten , en voor de rest niets. Dus gewoon gezond verstand : Steam, AppleID en PayPal hebben allemaal een andere wachtwoord, sites hebben allemaal hetzelfde paswoord.
Bij mij exact hetzelfde, mijn wachtwoorden voor mijn Apple ID, Steam, PayPal, Ebay en Mijn ING hebben bij mij veel ingewikkeldere wachtwoorden en per stuk verschillend.
Tja je kunt ook lastpass gebruiken en voor elke site een ander willekeurig wachtwoord gebruiken, dan maakt 't niet uit als er ergens een wachtwoord lekt. Het is dat je tegenwoordig niet anders meer kunt dan zo te werk gaan.
yeah right, 'even je passwords salten', misschien dat je het niet weet, maar ook dat is binnen een paar seconde tegenwoordig gekraakt..
Zover ik weet is dit onzin, behalve als je hele webserver gekraakt is kan niemand in je script kijken en dus je salt weten. Bron please, ik ben geinteresseerd!
In principe moet je nu niet je wachtwoord veranderen als al die andere sites wel goed salten.
Immers via rainbow tables zal niet je originele passwoord maar slechts een met identieke hash bekomen worden.
Als de andere websties wel goed salten geeft jouw passwoord + salt daar een andere hash dan die de hacker bekomen heeft en zit je nog steeds safe.
Ooit gehoord dat men ook wel eens dezelfde username voor meerdere sites gebruikt? Als je dan ook net hetzelfde wachtwoord hebt dan doet de beveiliging van de andere site er niet toe .. de combi gebruiker/wachtwoord zijn dan hetzelfde en dus snel uit te proberen. Dat het een onvoorzichtigheid van de gebruiker is ben ik met je eens ;)

Dat men bij TheTVDB.com geen tijd hadden lijkt me een behoorlijk non-excuus daar het echt minimaal programmeerwerk en dus tijd is wat je voor de extra beveiliging moet investeren *mompelt iets over prioriteiten stellen*

[Reactie gewijzigd door Yucko op 30 december 2011 12:29]

Nee, dat is net het punt: je wachtwoord is niet gekraakt (en is ook niet te kraken): de hacker heeft enkel een wachtwoord dat dezelfde hash geeft als jouw wachtwoord, hij heeft NIET jouw origineel wachtwoord en zal dan ook nooit kunnen aanmelden in jouw naam, zelfs al heeft hij je gebruikersnaam, op een andere website als deze website wel goed salt, zijn wachtwoord en jouw wachtwoord geven namelijk op die andere website door de salt een andere hash.

Ik raad je aan eens te bestuderen hoe wachtwoorden worden opgeslagen als mijn uitleg niet duidelijk is.
Hoe bedoel je, wachtwoorden? Heb je meerdere accounts op die site, offeuh.... gebruikte je dat wachtwoord op meerdere sites? :o.
ik zou zeggen bied je hulp aan.
is altijd zo makkelijk gezegt vanaf de zijlijn.
Als je zelf aan beveiliging zou doen hoef je nu hooguit maar 1 wachtwoord te veranderen, namelijk alleen op die ene website die 'gehackt' is.... Ik gebruik op iedere site een uniek en volstrekt willekeurig wachtwoord. Hoef ik ook niet al het nieuws te volgen of er een site gehackt is waarna mijn twitter account bijvoorbeeld voor spam misbruikt gaat worden. Beveiliging is ook een taak van de gebruikers zelf!
Aan de andere kant, de eigenaar van een dergelijke website beheert een database met users en dient dan ook die verantwoordelijkheid te nemen. Het budget mag dan beperkt zijn en je kunt geen state of the art programmeurs inhuren, dan moet je toch gaan afvragen of je wel de juiste persoon bent om een dergelijk project te runnen.

Natuurlijk is het mooi dat mensen op vrijwillige basis websites als TheTVDB en ik moedig dat ook zeker aan, maar if you can't handle the heat, stay out of the kitchen! Vrijwillige iniatieven zijn lovenswaardig, maar je moet wel kunnen meedraaien met ontwikkelingen binnen je sector.

Een advocaat kan aansprakelijk gesteld worden voor fouten die hij beroepsmatig maakt, bedrijven in de horeca kunnen gesloten worden als ze niet voldoen aan de eisen die de wet aan horecabedrijven stelt - ook als het slechts een familiebedrijfje is die er een mager inkomen uit halen. Waarom zou dit niet zo moeten zijn binnen de ICT-branche?
moet je toch gaan afvragen of je wel de juiste persoon bent om een dergelijk project te runnen.
Dat is de boodschap die de Belgische bevolking aan de regeringsvormers gaf na een jaartje regeringsvormen :p
Rustig aan, grote kans dat die scriptkiddie een keer een database heeft gevonden waar jouw emailadres in staat, of een wachtwoord dat jij ook voor andere zaken gebruikt.
Het mag dan misschien makkelijk zijn Havij te gebruiken, het leed dat je bespaart door hier tijd aan te besteden is redelijk groot vindt ik. Of neem je liever zelf de moeite dit probleem aan te pakken?
Je zou eens moeten weten hoeveel webhosters de beveiliging niet op orde heeft!
Die gebruikers zijn net zo verantwoordelijk als de beheerders IMHO. Gebruiken zonder terug te investeren is gevaarlijk.

Beheerders van projecten met veel gebruikers en weinig developers hebben een constant mankracht probleem.
Mee eens.

"Hij zegt 'teleurgesteld' te zijn dat Tweakers.net publiceert over de hack: "Ik denk dat dit een negatief effect op de htpc-community heeft.""

Ja, natuurlijk, je gaat nu niet je site verdedigen door te zeggen "onze beveiliging is niet in orde, maar dit is omdat we maar 2 man hebben die daar aan werken". Nee, maakt geen donder uit, als je site niet veilig is, wil men daar zijn gegevens niet kwijt. Zo simpel is het.
Helemaal eens. Wat een slap excuus van die Scott Zsori :o
Dat lijkt me wat kort door de bocht, openssl is bv ook op vrijwillige basis, en als je dat al "NOOIT" kan vertrouwen houd het wel een beetje op.
Ah. Dus je mag bv. linux ook niet vertrouwen, ookal draait het halve (onderschatting) internet op linux?
Ik zie geen reden waarom vrijwilligerswerk per definitie minder veilig zou zijn dan van een willekeurig bedrijf. Het is niet omdat je vrijwilliger bent dat je iets minder goed doet of minder bekwaam bent dan een werknemer van een willekeurig bedrijf. En ook de controle van een vrijwilligersorganisatie is zeker niet persé minder goed dan dat van een bedrijf.

[Reactie gewijzigd door varkenspester op 30 december 2011 11:59]

Als ik dit nieuwsartikel lees gaat het hier dus om een whitehat hacker?(Hij heeft vooraf gewaarschuwd dat er een lek was. Hier is geen reactie op gegeven dus laat hij het ze gewoon knetterhard zien).

Ik vind het wel wat vreemd dat de eigenaar aan komt zetten met:
Scott Zsori van TheTVDB.com zegt al enige tijd op de hoogte te zijn geweest van de kwetsbaarheden, maar de ontwikkelaars zouden het 'te druk' hebben gehad met een nieuwe versie van de site om zich op de bestaande versie te richten.
Beetje onzin.. Zolang de nieuwe versie er nog niet is is de website dus gewoon kwetsbaar. Haal deze dan zolang offline of fix hem.
Net zoals
Hij is bang dat publiciteit over de hack ervoor kan zorgen dat de site uit voorzorg offline moet, totdat een nieuwe versie is ontwikkeld. Dat zou een paar maanden kunnen duren.
Omgekeerde wereld. Je moet offline om een kwetsbaarheid, niet om de publicatie daarover. Eigenlijk staat er: "als we het in de doofpot stoppen heeft niemand er last van", en dat is natuurlijk niet zo.
Eerder grey hat: een white-hat hacker wordt specifiek ingehuurd en geïnstrueerd om een website te hacken, en zal zich altijd stilhouden, in ieder geval tot de kwetsbaarheid opgelost is.
Ja dit vond ik ook vreemd. Zeker omdat het tegengaan van een SQL-injectie geen rocket-sience is. Zelf heb ik maar beperkt ervaring met websites icm databases (alleen PHP icm MySQL), maar ik weet dat met eenvoudige code SQL-injecties moeilijker/onmogelijk zijn. Waarom die twee programmeurs niet even één a twee uurtjes vrij kunnen maken om dit te fixen is mij ook een raadsel.
Stel, jij laat je achterdeur altijd open staan, wat heb je dan liever:

- Dat er een persoon inbreekt die zegt: "je achterdeur staat open, dat is voor inbrekers erg makkelijk." Hij steelt niets. Vervolgens checked deze persoon een week later weer, en ziet dat je er niets aan doet, waardoor deze maar in de publiciteit brengt dat jou achterdeur openstaat. Dan moet je er wel wat aan doen, maar gelukkig voordat er echte inbraakschade is.

OF

- Op een nacht wordt je opgeschrikt door een inbreker die heel je huis leeghaalt, omdat jij je achterdeur open had laten staan.

Deze persoon heeft dus niet eens slecht gehandeld.
Ach je kan het ook anders brengen:

De politie waarschuwt dat je veiligheidssloten moet gebruiken want de sloten die jij hebt zijn zo open te maken door een inbreker. Je bent zelf niet zo handig en hebt het geld niet om daar even een mannetje voor te laten komen. Moeten we de inbreker dan maar gelijk geven dat hij inbreekt?

Dit soort projecten hebben een beperkte hoeveelheid middelen. Ik zeg niet dat ze de juiste keuzes maken maar dat feit wordt hier eigenlijk nergens goed belicht.
SQL-injecties staan meer gelijk aan een open deur dan aan wat minder veilige sloten. Sowieso zijn er de laatste tijd heel veel berichten over SQL-injecties naar buiten gekomen, dat je toch wel mag verwachten dat elke beheerder zijn applicaties na loopt als hij maar enigszins het idee heeft dat er ergens SQL-injecties mogelijk zijn. En zoals al eerder is gezegd, SQL-injecties zijn zeer eenvoudig te verhelpen. Het had ze nog geen uur hoeven kosten om dit te repareren. Om je even de handelingen te illustreren die ze moeten doen (uitgegaan van php, in andere talen zal dit vrijwel gelijk zijn):
-zoek in al je bestanden naar mysql_query
-plaats mysql_real_escape_string om alle variabelen in de queries heen.
Ze hadden bij wijze van spreken hun buurjongen kunnen vragen om dit te doen, zonder dat hun buurjongen ook maar enig verstand van programmeren had.

Overigens, wat misschien nog wel het meest fundamentele verschil is tussen zo'n site en dit voorbeeld is dat het niet om je eigen huis gaat, maar om een 'pakhuis' met allemaal gegevens over andere mensen. Daarvoor verwacht je toch ook dat deze sowieso al veiligheidssloten heeft?
Je moet eerder de stelling maken dat je "er gewoon om vraagt" als je je deur(en) niet op slot zet. Het is een kleine moeite om ze wel op slot te doen (Sleutel er in en omdraaien), ditzelfde geld ook voor de websites (code aanpassen om ze IIG minder gevoelig te maken voor SQL injecties.

De hacker heeft de gegevens, maar heeft er (als ik het zo lees) geen kwade bedoelingen mee.

Zie het een beetje alsof een inbreker een stuk fruit uit je fruitmandje meeneemt en een briefje achterlaat met "Je achterdeur stond open, ik heb even wat fruit mee genomen". Niks bijzonders, natuurlijk wel vervelend voor de eigenaar maar niet op zo'n wijze dat hij of zij er echt grootschalige schade onder lijd. Stel je voor dat de hacker echt op de gegevens uit was. Deze had hij zo gehad..
als je thuis bent mag je gewoon je deuren en ramen open laten staan, Ook 's nachts. want je bent gewoon thuis.

diefstal/inbraak kan je op geen enkele mannier rechtvaardigen.
In grote lijnen is je vergelijking wel redelijk, maar in het eerste geval heb jij dus graag dat iemand je achterdeur open ziet staan, doodleuk je woonkamer in komt, en je daar gaat vertellen wat er mis is met je beveiliging? Knappe inbreker die dat lef heeft.

Daarbij, in de publiciteit brengen door te zeggen 'Site X heeft een lek', is een stuk minder heftig dan 'de achterdeur van huis X zit nooit op slot'. De beveiliging van een server zit een stuk complexer in elkaar dan een achterdeur, dus die vergelijkingen zijn wat dat betreft wel wat riskant.
@jroz2001, daar ben ik het dus niet helemaal mee eens en moet ik @zovty tot op zekere hoogte gelijk geven.

Als ik mijn achterdeur open laat, bijvoorbeeld omdat toegang tot de achterkant vanaf de openbare weg vrij moeilijk is en risico op inbraak vrij klein is, dan is dat mijn zaak. Een buurman mag mij hiervan op de hoogte stellen, maar dit wereldkundig maken is niet aan hem. Dat heet bemoeien. Volgens mij is dit ook 'aanzetten tot misdrijf'. Want als hij het niet wereldkundig had gemaakt, was er misschien nooit ingebroken via de achterdeur.
Tot zover het oneens zijn.
Het is wel iets anders als ik bijvoorbeeld spullen van derden in huis heb die mij dit toevertrouwen. In dat geval kan men de buurman alleen prijzen als hij de derden op hoogte stelt dat hun spullen niet veilig bij mij staan omdat de achterdeur open staat. Als de derden dit geen probleem vinden, dan is het ook in dit geval aan de buurman geen zaak om dit vervolgens wereldkundig te maken.

Dus de hacker had het in het artikel pas goed gedaan, als hij de gebruikers van de website op de hoogte had gebracht. Dan was het aan de gebruikers om actie te ondernemen. Zijn taak als hacker was dan volbracht.

Dit geldt dus ook voor Tweakers.net. Ook omdat TheTVDB.com vrijwilligers werk is, had Tweakers.net hulp kunnen aanbieden. Misschien een Tweaker in te zetten die de aanpassing zou willen doen. Een artikel op Tweakers.net na het dichten van de lek zou vele malen mooier zijn "Hacker en Tweakers.net helpt TheTVDB.com met het dichten van een lek", dan alleen de hacker de gelegenheid geven zijn gevonden lek wereldkundig te maken.

[Reactie gewijzigd door Eric167 op 30 december 2011 14:31]

maar er zijn wel dingen gestolen, je vergelijking gaat dus niet op

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True