Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

Een aanvaller van twee websites heeft persoonlijke gegevens van 315.000 Nederlanders via het internet openbaar gemaakt. Het gaat onder meer om e-mailadressen, telefoonnummers, adresgegevens en wachtwoord-hashes.

De gegevens zijn buitgemaakt uit de databases van Beauty.nl en Recreatief.nl, schrijft Security.nl. De aanvaller heeft de gegevens integraal op het internet gezet. Behalve om de genoemde gegevens gaat het onder meer om gebruikersnamen en adresgegevens.

De aard van de gegevens verschilt per database; zo bevat die van Recreatief.nl 27.000 wachtwoord-hashes en 23.000 e-mailadressen, en die van Beauty.nl 85.000 e-mailadressen. Bovendien achterhaalde de hacker de login van de ftp-server van Beauty.nl, de logingegevens voor een aanvullende database met nog eens 200.000 e-mailadressen en een aantal logins voor Wordpress-installaties. Tussen de informatie bevonden zich ook adresgegevens van Tweede Kamerleden.

Waarschijnlijk zijn de gegevens achterhaald via sql-injectie. Waarom de aanvaller de informatie openbaar heeft gemaakt, is onbekend. De woordvoerder van het bedrijf achter Recreatief.nl en Beauty.nl was niet bereikbaar voor commentaar.

Update, 15:56: Directeur Rob Kraaijenvanger van Crio, het bedrijf achter de sites, heeft aangifte gedaan tegen de hacker. Als de hacker zich bij hem had gemeld, had Kraaijenvanger geen aangifte gedaan, maar omdat de informatie nu op internet is geplaatst, doet hij dat wel. Kraaijenvanger: "Het lek is gedicht, we zijn nu aan het kijken hoe dit kon gebeuren. We zijn er heel erg van onder de indruk, en vinden het erg vervelend."

Moderatie-faq Wijzig weergave

Reacties (90)

Ik vind dit echt verschrikkelijk zuur , blijf met je poten van mensen hun gegevens af man , we werken allemaal zo hard! Wat is dit voor een hype om mensen hun prive gegevens bloot te geven ... Ik vind dat de straffen omhoog moeten en bedrijven zich beter moeten beveiligen maar die gast moet maar een regime gaan lastig vallen of zo :(
Wat dat betreft had er gewoon geen internet moeten komen.

Geen internet? Niks te plaatsen. Laat staan te hacken.

Zodra dat van belang is, moet de hacker het op het oude spelletje spelen.
Neem een floppy mee en loop het bedrijf binnen.

Edit:
Gepost op twitter. Gepost op sites, Kunnen ze geen IP adress achterhalen? Dan valt er waarschijnlijk wel een rechtzaak aan te spannen.

[Reactie gewijzigd door RPiNut op 13 januari 2012 22:37]

En als je dan bedenkt dat veel mensen voor alles hetzelfde wachtwoord gebruiken staan er ineens heel wat deuren open. Wijzigen dus! Heb mezelf nooit aangemeld op beide sites.
Volgens mij zijn deze gegevens aardig verouderd. Ik heb er een paar gecontroleerd aan de hand van het email adres, en die kloppen niet meer.
Maar weer een reden om Lastpass, Keepass en dergelijke te gebruiken en die programmas (lange) wachtwoorden te laten maken, per site.
Herinnert zich iets met post-it op beelschermen.....
Maar de kans dat iemand jouw specifieke computer aanvalt met als doel jouw wachtwoorden uit een van deze programma's te plukken is erg klein natuurlijk zo klein dat het eigenlijk te verwaarlozen is tenzij je een bekend rijk of beroemd iemand bent (dan is de kans een klein beetje groter)

Het probleem is trouwens nog niet eens een lang wachtwoord of niet (de meeste websites willen een wachtwoord van maximaal 16 karakters hebben en dat is niet echt lang natuurlijk. Je moet er dan ook altijd naar streven om een wachtwoord zo lang mogelijk te maken voor elke website simpel weg omdat meer karakters meer werk is om te achterhalen gezien het aantal combinaties die dan mogelijk zijn.

Daar naast is er eigenlijk maar weinig dat je kunt doen om je te beschermen tegen dit soort dingen anders dan natuurlijk voor iedere site een ander wachtwoord gebruiken en dan bedoel ik natuurlijk niet password1 en password2 etc maar echt iets unieks. Hier voor zijn de boven genoemde wachtwoord generatoren en opslag methode erg handig. Om te beginnen kun je er van uitgaan dat het wachtwoord complex en zo lang mogelijk zal zijn en natuurlijk uniek voor iedere site, maar ook dat je deze niet zo maar vergeet. Alles wat je dan nog wel moet doen is de discipline hebben om ze eens in de zo veel tijd te veranderen.

Uiteindelijk is er maar een echte oplossing en dat is een uniek wachtwoord dat iedere paar minuten/uren veranderd wordt een beetje een RSA key oplossing maar dan met een algoritme dat niet is gekraakt door de Chinezen natuurlijk. Het enige nadeel is dat dat nog al duur is om te doen zeker voor veel verschillende sites, en al helemaal als het sites zijn waar je eens in de paar maanden eens op inlogt.
Sorry hoor maar waar is het probleem? Niet zozeer de lengte of complexheid van wachtwoorden (deze zijn altijd te achterhalen) maar dat sites dermate slecht beschermd zijn en daarnaast ook vaak nog eens de wachtwoorden slecht tot niet encrypten. Het vervelende is dat dankzij deze publicaties van mensen hun wachtwoord op straat komt en dezelfde combinatie vaak ook elders toegepast wordt.
Ja in een ideale wereld had iedereen een complex wachtwoord, uniek per site met een afwijkende gebruikersnaam en veranderde deze om de zoveel tijd. De realiteit is dat beauty.nl niet echt de moeite waard is om dit te doen en dit gaat voor veel gevallen op. En dit zou allemaal eigenlijk niets uitmaken als admins hun werk beter deden. Ja het is terecht dat hij aangifte heeft gedaan maar even naar jezelf kijken zou geen kwaad kunnen. Sterker nog iedere keer als dit in het nieuws komt, geef ik ook aan dat de admin vervolgd zou moeten worden. Toon als admin er maar eens aan dat je je werk gedaan hebt. Hier lijkt het erop dat de wachtwoorden zwak beschermd zijn, uiteindelijk heeft de admin dus verzaakt om de klant zijn veiligheid voorop te stellen, hij is in mijn optiek net zo schuldig. Ik kaart dit voorbeeld vaker aan, als je als woning eigenaar je voordeur laat openstaan geeft de verzekering ook niet thuis.
Imo zouden admins verplicht moeten zijn om alles eraan te doen om mijn gegevens te waarborgen iets wat helaas vaak uitblijft.
De bewering dat 16 karakters voor een wachtwoord niet erg lang is, lijkt me overdreven. Ervan uitgaande dat niet een bestaand woord oid gebruikt wordt, dan zijn met het alfabet zo'n 4.4E22 mogelijkheden. Neemt men de moeite om ook ergens een hoofdletter en een cijfer te gebruiken, dan wordt dit zelfs zo'n 4.8E28 mogelijkheden.
Ik snap ook wel dat veel mogelijkheden afvallen aangezien niet vaak voor een random wachtwoord gekozen zal worden, maar een brute force attack zal een behoorlijke tijd nodig hebben om dit op te lossen.

Zelf kies ik voor serieuze webs altijd het maximaal mogelijke, dus een random wachtwoord, met maximaal toegestane lengte en gebruik makend van alle toegestane karakters, e.e.a. opgeslagen in Keepass.
Tegenwoordig gebruiken mensen tig apparaten om online te zijn. PC op school, werk, thuis (meerdere), tablets, telefoons, telefoon van vrienden etc.. Die programma`s zijn daar niet voor geschikt. Tenminste, ik heb nog geen goede oplossing gevonden.
Sinds kort gebruik ik Lastpass, op aanraden van andere tweakers. Werkt in ieder geval cross-platform en ook op android (tegen een jaarlijkse bijdrage van 12 dollar, dat is het mij wel waard)
Je kunt een programma als Keepass plaatsen in je Dropbox. Dan wordt het wel mooi gesyncroniseerd. Het is dan inderdaad nog niet bereikbaar op telefoons van vrienden oid, maar de vraag is of je dat uberhaubt wel wil...
Ik gebruik zelf roboform, deze is er ook voor ios en android.
Teven kan deze je wachtwoorden synchroniseren met een server.
De wachtwoorden waren wel gehashed, dus er moet nog een handeling plaatsvinden voordat je het wachtwoord kan achterhalen.

Het is interessant om te weten of de wachtwoorden met of zonder een unieke salt zijn gehashed. Zonder unieke salt kan met rainbow tables in een keer veel wachtwoorden worden achterhaald.
Een zoekactie op de hash van het eerste wachtwoord in de CSV van pastebin (d033e22ae348aeb5660fc2140aec35850c4da997) levert een SHA-1 hash van 'admin' op. Dat wachtwoord zal dus niet met een hash gesalt zijn. Een handmatige check van een aantal andere populaire wachtwoorden (welkom, 123456, wachtwoord, etc.) levert echter geen resultaten op.

Het kan zijn dat ik pech heb, het kan ook zijn dat de wachtwoorden verderop in de database wel gesalt zijn. Maar gezien het eerst resultaat acht ik dat niet heel waarschijnlijk :)

Overigens ook interessant is dat alle gebruikers met een emailadres eindigend op @recreatief.nl (medewerkers dus) dezelfde wachtwoordhash (e44f9bc169a2701a46674f43d724fc66eaef2b6a) hebben. Tenzij het een standaard (en voor gebruikers onbekend) wachtwoord is riekt het naar een generiek wachtwoord voor iedereen. Wel makkelijk, als je het dan vergeet is er vast nog wel een collega die het onthouden heeft ;)

Het wachtwoord van de FTP server (zoals op Pastebin genoemd) wordt in ieder geval door 14 andere stafleden gebruikt.

Kortom, de wachtwoorden zijn niet voorzien van een salt.

[Reactie gewijzigd door Zoefff op 13 januari 2012 15:39]

Kan nog steeds een salt zijn alleen voor iedere gebruiker dezelfde korrel zout! ;)
Nope, er wordt zoals gezegd helemaal geen salt gebruikt. Eenvoudig uit te vinden door de wachtwoorden 'admin' of 'crioteam' zoutloos te hashen met SHA-1, dan komen daar bovenstaande hashes uit :)
Bijzonder leerzaam deze discussie.
Ik begrijp hierdoor dat als bedrijven hun site uitbesteden zonder zich op de hoogte te stellen van diverse beveiligingsmethoden, een beetje enthousiaste hacker door simpelweg een beetje te proberen zo binnenwandelt.
Nu is dit voor een bedrijf dat zijn geld verdient met een website wel heeel dubieus.

Weet iemand of er cijfers, percentages zijn, hoeveel dit voorkomt?
Wordt bij de uitbesteding van een community-website besproken welke beveiligingsprotocollen worden gebruikt, en wat de risico's zijn?
Of nemen klanten genoegen met een paar marketingkreten dat de site professioneel beveiligd is?

Als ik jullie reacties lees, lijkt het of het makkelijk goed gedaan kan worden, waarom gebeurt dit niet standaard dan?
Omdat het echt wel heel duur is. De veiligheidsprocedures en -protocols van bedrijven die omgaan met privacygevoelige gegevens en van grote bedrijven worden in mijn ogen een beetje te gemakkelijk geëxtrapoleerd naar een kleine onderneming.

Eerlijk gezegd, veel mensen denken nog niet eens aan de mogelijkheid om digitaal 'bestolen' te worden, of zijn gewoon niet bereid om zo veel geld uit te geven aan zaken die helemaal niet vaak een probleem vormen. Of andersom, dit is wel een van de dingen die minder voor de hand liggen als het gaat om het hele computernetwerk te beveiligen.
Dit is bijna geen nieuws meer, helaas.
Men is altijd heel erg onder de indruk...achteraf.

Maar ach, kijk, weet je, wel, wij lezen hier dus elke dag. En zo'n directeur niet. En de gemiddelde internet gebruiker weet allemaal nauwelijks wat er aan de hand is en hoort slechts af en toe tijdens het NOS journaal eens wat. Dat maakt geen indruk genoeg.

Het is nog veel te weinig nieuws. De ICT is gescheurd in twee delen, de technische mogelijkheden lopen ver vooruit op de bescherming van de gebruikers van de mogelijkheden.

Bedrijven snappen nog steeds niet dat deze virtuele wereld reëel is, dat er daadwerkelijk consequenties zitten aan je on-line bestaan, je on-line bedrijvigheid (website, webshop, on-line gadgetries) en dat die consequenties als zodanig overvloeien in de 'echte' wereld.
De hype duwt bedrijven om on-line producten en services te bieden vanwege de concurrentie druk. Men denkt blijkbaar dat het internet een goedkope, of relatief goedkope manier is van marketing, reclame, informering van klanten en men vergeet blijkbaar dat een goede ICT'er geld kost maar goud waard is. Ik zou als directie toch echt niet in deze situatie willen komen. Ik denk dat het juist reclame is als je serieus werk maakt van je beveiliging en daar als directie wekelijks vinger aan de pols houdt en je ICT afdeling is de afdeling waar je elke dag binne loopt voor een praatje.

Maar goed. Wie ben ik dan nou weer helemaal.
Verbazingwekken dat er wederom een WEB company er weer in tuint.
Sinds 1999 zijn we actief in een zeer dynamische wereld. Zaken die wij van belang vinden bij onze medewerkers zijn:
Flexibiliteit, Betrouwbaarheid, Creativiteit, Inventiviteit, Specialisme en Betrokkenheid.

Dit is ook wat wij zijn en wat we naar onze partners willen uitdragen.
Vraag me trouwens af wat het communicatie protocol is. Want het staat zelfs nergens bij hun op de website. Lijkt er zelfs op dat ze het proberen te verbergen.

Ze doen trouwens ook dagje uit en bedrijfsuitje
:+ Straks gaat er een wijsneus alle kerstkado bonnetjes blokkeren of gebruiken....

Heb er niet echt vertrouwen in de ze communiceren naar hun clienten.
Hebben ze alle gebruikers netjes geinformeerd of niet?
Hebben ze al hun overige klanten geinformeerd (die vatbaar zijn voor dezelfde sql injectie?

[Reactie gewijzigd door kwakzalver op 13 januari 2012 17:18]

Beveiliging wordt daarbij niet opgenoemd... daar zal het probleem dan zitten :+

Maar ik ben het helemaal met je eens, het is potver core-business voor die lui en ze falen erin... 'we zijn onder de indruk'... Onder de indruk van wat? Dat ze de boel zo 'eenvoudig' hebben kunnen stelen? Indrukwekkend hoor... dat zal hij dan toch niet bedoelen? Dan zal de beste man vast 'onder de indruk zijn' van het falen van het bedrijf waar hij voor werkt... Klanten zullen ook vast 'onder de indruk zijn'.
Dit is net zoiets als: je voordeur dicht doen, maar hem vervolgens niet op slot zetten (een voordeur met een deurklink). Vervolgens verbaast zijn dat er iemand binnen komt.
Ja en "ze zijn nu aan het kijken hoe het kon gebeuren"... Nou meneer de sitebeheerder: dat is gebeurt net zoals tientallen andere sites die we zo onderhand bijna dagelijks in de nieuwsberichten lezen.
Misschien is het tijd om onder uw steen vandaan te komen of als verantwoordelijke voor de veiligheid van persoonsgegevens op de eigen site uzelf wat beter op de hoogte houden.

Als je het mij vraagt mogen zulke beheerders onderhand wel de dreiging van vervolging op basis van nalatigheid voelen. Het kan toch niet zo zijn dat er geen actie wordt ondernomen op deze negatieve trend, maar vervolgens wel hard gehuild wordt over die boze hacker die gegevens plaatst.
Ik zat met een soortgelijke reactie in mijn hoofd.
Hoe en waarmee kan ik de websites die ik beheer testen op dergelijke hacks? Ik lees overal dat het redelijk makkelijk te voorkomen is, maar hoe?
Hangt van je taal af, de meeste talen hebben wel een soort escape string functie oid.

Het komt er op neer dat de ingegeven string wordt gecontroleerd op foute SQL tekens.

in php:
http://php.net/manual/en/security.database.sql-injection.php
http:/php.net/manual/en/function.mysql-real-escape-string.php


EDIT: No offence maar als je sites beheert en geen idee hebt waar dit over gaat moet je toch eens overwegen om een cursus coding te gaan volgen. Dit zijn de absolute basis zaken na hello world en helemaal niet nieuw ofzo.

[Reactie gewijzigd door actionInvoke op 14 januari 2012 11:02]

Zoek dan eens op "SQL injection". Er is zoveel over te vinden, ook op GoT.
wie weet heeft die cracker eerst de bedrijven wel ingelicht maar deden ze er niets mee.. tsjah
dan nog lijkt het me niet de bedoeling om de gegevens zomaar openbaar te zetten.
hier hebben de registranten meer last van dan de websites zelf.
Wat dan? Wachten totdat een echte criminele organisatie het misbruikt zonder dat men weet dat er is gehacked?

Nu weet men tenminste dat de informatie gebruikt kan worden en maatregelen nemen.
Naar de media stappen met een melding dat een bedrijf kwetsbaar is, maar ze er niets aan willen doen. Dat is voor elk bedrijf wel genoeg om meteen de reputatieschade te gaan beperken met maatregelen.

En als het puur als "demonstratie" is, kan natuurlijk ook een beperkt aantal gegevens bekend worden gemaakt (het liefst in combinaties waarin niemand er iets aan heeft). Gewoon alle gegevens beschikbaar maken is mogelijk zeer schadelijk voor iedereen die daar een account heeft en helemaal geen blaam treft voor dit lek, en dat is dus sowieso behoorlijk hufterig.
We zijn er heel erg van onder de indruk, en vinden het erg vervelend.
En gaan ze ook een oplossing zoeken voor iedereen die hier schade van ondervindt? Daar hoor ik nooit iets over, namelijk...

[Reactie gewijzigd door bwerg op 13 januari 2012 16:33]

De media begint dit soort klachten ook al gewoontjes te vinden. Tenzij het hele grote bedrijven of de overheid betreft interesseert het ook de media nauwelijks meer.

Maar zelfs dan nog is dit niet goed te praten ! De hacker benadeelt in 1 klap 315.000 mensen die hier helemaal niets aan kunnen doen. Zij winnen hier niets mee, het gehackte bedrijf wint er niets mee en al wat de hacker er mee wint is dat zijn ego gestreeld is.

Nou dat vind ik een erg hoge prijs voor een beetje ego ! :r

[Reactie gewijzigd door T-men op 13 januari 2012 17:35]

Dus als ze niet reageren dan mag het wel ? Vind ik nog steeds van niet, want schaad je hier nu het bedrijf mee of zijn gebruikers ?
Beide in dit geval. Je zou zelfs kunnen stellen dat je de gebruikers strenger straft dan het bedrijf daar deze laatste in ieder geval geen invloed op de beveiliging van de gekraakte sites hebben.
Cracker of hacker?

Hoe dan ook, dit valt niet goed te praten.
Ook al willen die bedrijven niet luisteren er zijn ook andere manieren.
staat toch in het verhaal dat er geen aanklacht tegen de hacker gedaan zou zijn als hij het aan hun gemeld had ipv openbaar maken!

dan nog openbaar maken van gegevens die je van een website pluk is nooit een geldige reden! je speel daarmee met gegevens van prive mensen die niets met de veiligheid van de betreffende website van doen hebben.
Waarom een fout melden hè..? Gewoon zo veel mogelijk verzamelen en online zetten..

Triest gewoon..
Zie hier ook recent op T.net, zelfs als ze het melden willen ze er geld voor zien, welke variant je ook gebruikt.. blijft triest.
Vind het op zich niet heel gek dat iemand die zo'n fout ontdekt bij een website, en dit vervolgens netjes meldt, hier best een vergoeding voor mag verwachten.

Hij heeft er toch ook tijd in gestoken? Ongevraagd misschien maar wel met een omvangrijk resultaat!

Het moet uiteraard niet zo zijn als: vergoeding of ik publiceer het.
Vind het op zich niet heel gek dat iemand die zo'n fout ontdekt bij een website, en dit vervolgens netjes meldt, hier best een vergoeding voor mag verwachten.
Ik vindt dat op zich een goed idee ! _/-\o_

Een bedrijf dat op een correcte manier gewezen wordt op een lek kan zich met die informatie veel ellende en een slechte naam besparen.

Maar om nu te voorkomen dat het recht-op-een-vergoeding een soort chantagemiddel wordt ("geef me een 'vergoeding' van 10 miljoen of ik publiceer het !") lijkt het me dat de vergoeding vooral een breed gedragen redelijke standaard (!) waarde heeft.

Zeg b.v. 10 Euro voor een klein lek tot max. 1000 Euro voor een groot lek.

Spreek dat af in b.v. een code van b.v. de diverse 'veilig web-winkelen' keurmerken zodat het breed gedragen wordt.

Als de code breed geaccepteerd wordt, dan zal op den duur ook de rechter het over gaan nemen als zijnde redelijk en billijk.
Dan geef je de hackers die het voor de sport doen toch de mogelijkheid een prijs te verdienen en de hackers die over de schreef gaan door te grote bedragen kun je met deze code om de oren slaan.
De bedrijven achter de sites waar een lek gevonden wordt krijgen de benodigde gegevens om hun data te beveiligen, zonder dat ze meteen kapot gechanteerd worden.

Iedereen blij !

(nou-ja, behalve de black-hat hacker dan ;) )

Toevoeging:
Wanneer een hacker schade aanricht, dan mag die schade wel van zijn beloning afgetrokken worden. Mocht hij daarbij in de min terecht komen, dan zal de hacker dus met geld over de brug moeten komen.
Hacken-voor-de-sport vereist wel dat je géén schade aanricht !!!

[Reactie gewijzigd door T-men op 13 januari 2012 17:48]

Als de code breed geaccepteerd wordt, dan zal op den duur ook de rechter het over gaan nemen als zijnde redelijk en billijk.
Dat zal natuurlijk nooit gebeuren, hacken is en blijft strafbaar. En een standaard vergoeding afspreken betekent een extra stimulans om te beginnen met hacken, en dat lijkt me niet wenselijk.
  • Hacken + netjes melden = is beloning voor de hacker maar ook de kans om het probleem op te lossen
  • Hacken en de hacker die het netjes meld de cel in gooien
  • Hacken en de hacker probeert via het zwarte circuit een soort van losgeld te krijgen, en is niet genegen door te geven hoe hij de hack heeft gezet. Er valt niets te leren en bij publicatie zijn zowel het bedrijf als ook de onschuldige klanten de dupe
Welke optie denk jij dat de wereld vooruit helpt ?
Die tweede uiteraard.

't Zou mooi zijn als jantje en pietje zelfs al beloond moeten gaan worden om in mijn huis of in mijn computer in te breken, of de zogenaamde 'beveiligingsexpert' uit te gaan hangen.
Iets als een firefox of Chrome bug premium kun je als individueel bedrijf natuurlijk heel goed doen. Dan zeg je in feite tegen de wereld "Dit is een open uitnodiging aan iedereen om op no-bug-no-pay basis pentesting te gaan doen".
zolang het om kleine vergoedingen gaat ben ik het er ook mee eens.
waarom?

Dit soort beveiliging valt niet voor een aannemelijke prijs te checken voor alle bedrijven die op internet verbonden diensten hebben staan. dus als een wild vreemd iemand, voor wat voor reden dan ook, zit te puzzel aan een beveiliging en er door heen komt. Verdient zo een persoon inderdaad voor zijn mijn moeite een beloning.
bespaart het bedrijf geld en de gebruikers zijn gelijk stuk veiliger.

daarnaast stimuleer je dus mensen om beveiligingsproblemen op te zoeken.
net als wat firefox heeft gedaan, beloning voor mensen die ernstige lekken in de software konden vinden, kreeg je volgens mij 1000 dollar voor. jongen van jaar of 16 ( meen ik nog te herinneren ) vond het, erg netjes hoor.
Ik vind het grote onzin en een symptoom van dat "thuiswonende scholieren" denken.

Het is belachelijk om bedrijven te verplichten geld te gaan betalen voor beveiliging. Waarom? Omdat ze het dan zelf ook wel hadden kunnen doen. In tegenstelling van wat de meeste (onervaren?) mensen hier schijnen te denken, zijn de meeste bedrijven prima in staat een site of applicatie te beveiligen. Sterker nog, in theorie kan elk bedrijf elke site zelfs ontzettend goed beveiligen.

Beveiliging is echter nog altijd een functie van geld. En juist dat geld ontbreekt om een systeem goed te beveiligen. Geef de dev afdeling genoeg tijd en geld en ze kunnen echt wel een prima dichtgetimmerd systeem produceren. Dat geld en die tijd moet echter door het management wel beschikbaar gesteld worden en daar zit vaak het probleem. Men wil voor een dubbeltje op de eerste rij van IT zitten en de vruchten plukken van techniek, maar men wil niet de tijd en moeite steken in het ook daadwerkelijk goed gebruiken daarvan. Beveiliging staat niet hoog in het lijstje van de managers en vaak moet de dev afdeling in korte tijd wat in elkaar hacken, omdat de deadline er aan komt en de salesafdeling de klant van alles beloofd heeft.

Het gaat hier niet om scholieren die vier keer per jaar vakantie hebben en alle tijd hebben om rustig wat moois in elkaar te draaien. Er moet geld verdiend worden en beveiliging kost geld.
Dus als iemand jouw huis checked of hij ergens ongevraagd naar binnen kan en hij komt dat daarna bij jou melden, dan mag hij daar dus geld voor vragen.

Volgens mij betaal je iemand voor een dienst als je eerst om deze dienst gevraagd hebt en niet andersom.
Ok, nu moet het eens afgelopen zijn met die onzin. Stel: Facebook gehacked. 3 mensen weten de lek te vinden. 1e 2 vertellen het niet, het bedrijf moet immers naar jou toekomen, 3e gaat er met JOUW gegevens vandoor. Kies maar?
De politie wijst je ook wel op risico's door middel van een voorbeeld, betaal je belasting voor. Ze hebben wel eens acties gehouden dat de politie je ging zakkenrollen, en je dan gelijk je portomonee weer gaf om je aan te tonen dat je niet veilig bezig was.
De politie is toch wel een ander verhaal. Van de politie kan ik nog aannemen dat als zij preventief een deurtje controleren, dat ze dat alleen maar doen om me te helpen. Als een groepje onbekende/pubers/zelfverklaarde-professionals gaat zoeken naar de makkelijkste manieren om in mijn huis (of computer of whatever) te komen, dan zal ik ze sowieso eerder een proces aansmeren, dan dat ik hun ga bedanken of belonen voor baldadig gedrag.
Hij heeft er toch ook tijd in gestoken? Ongevraagd misschien maar wel met een omvangrijk resultaat!
Dus als ik morgen je huis geel verf en om geld kom vragen geef je dat ook?
Weet je hoe men dat noemt in de praktijk? Ongewenste acquisitie.
Opdringerigheid a la callcenters. Bieden je iets aan waar zij niets mee te maken hebben. Het is niet illegaal, maar wel irritant, dus ongewenst (voor de gemiddelde persoon).

Algemeen:
Hoe kan die gast nu het ftp wachtwoord achterhalen met sql injectie??? Lekker slim dan, die beheerders.
Waarschijnlijk zijn de gegevens achterhaald via sql-injectie.
Terecht dat er aangifte gedaan wordt tegen de cracker maar wie gaat Rob Kraaijenvanger (of zijn organisatie) nu eens aanklagen voor nalatigheid als bovenstaande waar is, dit soort bedrijven neemt een loopje met gegevens die aan hun zijn toevertrouwd.
Het wordt eens tijd dat dit soort bedriiven bij aangetoonde nalatigheid stevig worden aangepakt om misschien een keer een voorbeeld stellen.
Als je dat zo nodig vind, dan doe jij toch aangifte tegen het bedrijf? Begin maar eens met het aantonen van nalatigheid.
De gebruikers waarvan de gegevens op straat zijn kunnen deze organisatie aanklagen. Zij zijn de gedupeerden dus hebben daar recht op. Of ze dat doen is natuurlijk een tweede.
Van security.nl:
Ook Kamerleden waren bij de gehackte websites geregistreerd. Het gaat om zo'n twaalf @tweedekamer.nl adressen. Onder andere van CDA-Fractielid Daniëlle Koster en PVV-Kamerlid Hero Brinkman. Van Brinkman staan ook zijn privé e-mailadres en adresgegevens in het bestand vermeld.
Waarom gebruiken ze dat e-mail adres om te registreren op zulke sites? :/

[Reactie gewijzigd door Quisho op 13 januari 2012 15:12]

Om te beginnen omdat ze dat lekker zelf mogen weten, en ten tweede waarschijnlijk juist zodat hun privé-adres niet zo makkelijk bekend raakt.
De vraag is, wat doet Hero Brinkman uberhaupt op beauty.nl? :)
De vraag is, wat doet Hero Brinkman uberhaupt op beauty.nl? :)
Hij leek ooit op Henk Bleker, dus het helpt wel ;)
Alvast excuses voor mijn taalgebruik. Zie andere posts van mij en zie dat ik over het algemeen redelijk netjes communiceer :D

Maar goed:
Dit is nou verd*mme precies het probleem. White hats doen zo hun best om te laten zien dat het belangrijk is om dit soort zaken boven water te halen en dan verkloot deze hacker het weer door inhoudelijk te publiceren.

Ik ben vorige week in het openbaar een database tegengekomen met bijna 100.000 adressen van Nederlanders inclusief betalingsgegevens. Niks geen hacken dus. Dat heeft niet op Tweakers gestaan. Waarom niet? Omdat ik het bedrijf netjes mail en dan vertel wat er aan de hand is. Ze hebben vervolgens niet gereageerd en het lek gedicht. Dat ze niet reageren is hun goed recht maar een bedankje had gekund.

Ik hoop dat deze hacker een representatieve straf krijgt!
Ik ken het ook als beveiligingsadviseur...
Als mensen eens zouden weten hoeveel er gestolen kan worden... ik denk dat er dan wat meer zou worden nagedacht over de wachtwoorden die je kiest en websites die je gebruikt.
Het is dat ik nij mijn eigen hostingbedrijf de lekken mar uit de systemen heb gehaald, maar beveiliging is en blijft problematisch, ook bij webhosters ed.
Op dit soort sites gebruiken mensen vaak hetzelfde wachtwoord. Het bericht had ik voor de pauze al gelezen op Nu.nl, maar dat er gelekte data van de site is gehaald is niet eens op de website van Recreatie.nl te vinden.
De gebruikers hebben ook niet (allemaal) een mail hiervan ontvangen.
Het enige wat ik heb ontvangen is een standaard nieuwsbrief een paar dagen geleden.

Mijn gegevens komen overigen niet voor in de CSV lijst, zou dit een gedeelte van de lijst zijn of komt de info ergens anders vandaan?

edit: oh jawel, kom toch op de lijst voor. :+

[Reactie gewijzigd door Kiswum op 13 januari 2012 15:32]

aan de string van het wachtwoord te zien, is het vrij gemakkelijk te kraken. Misschien kan tweakers dit doen, aan gezien ze ervaring mee hebben.
Knappe jongen als jij aan een hash kan zien of het makkelijk of moeilijk te kraken is ;). Misschien zit er nog wel een leuk saltje ingebakken ook.

Het maken van goede wachtwoorden is ook voor een leek heel gemakkelijk. Neem gewoon iets dat je goed kan onthouden en varieer wat met tekens. ditismijnwachtwoord is bijvoorbeeld het wachtwoord voor facebook, maak daar D1t1$MijnWach7woord-facebook van, dan is het echt niet zomaar te kraken. Zonder passwordmanager kom je dan een heel eind.

Dan heb je ook nog alternatieven als http://www.passwordcard.org/nl, voor mensen die liever iets fysieks in handen hebben.
De kans dat er salt gebruikt wordt is idd mogelijk, maar niet gangbaar.
Aan de lengte kan je raden dan het een SHA1

Een aantal hashes in een webpagina geplakt, op submit gedrukt. En heb van een aantal account het wachtwoord. Het wachtwoord is aannemelijk, aangezien de gebruikersnaam er in staan.

Dus wat ik al zei," De wachtwoorden zijn vrij gemakkelijk te kraken." :)

[Reactie gewijzigd door wica op 13 januari 2012 16:26]

Bedoel je nu dat jij hashes kan zo uit het blote hoofd kan uitlezen?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True