Hackers kraken Microsoft Store India

Hackers hebben de website van de Indiase Microsoft Store gekraakt. De frontpage werd vervangen met een mededeling dat de site was gehackt. Bovendien zouden er gegevens, waaronder onversleutelde wachtwoorden, toegankelijk zijn geweest.

De website WPSauce heeft ontdekt dat de website van de Indiase Microsoft Store, waar Microsoft zijn eigen producten verkoopt, was gedefaced. Er werd onder meer een Guy Fawkes-masker getoond. Inmiddels is de defacement weer verwijderd, maar de website is nog niet online; er wordt een boodschap getoond waaruit blijkt dat de website momenteel niet beschikbaar is.

Het Chinese weblog Hackteach schrijft echter dat de hack nog veel verder gaat dan enkel een defacement. Het blog heeft screenshots geplaatst waaruit blijkt dat de aanvallers complete controle hadden over de server waarop de site draaide. Screenshots wijzen erop dat de database met gebruikersgegevens zichtbaar was. De wachtwoorden van gebruikers zouden onversleuteld zijn opgeslagen.

Microsoft heeft nog niet bevestigd dat er daadwerkelijk privégegevens toegankelijk waren. Ook moet nog blijken of die gegevens zijn gestolen.

Microsoft Store India gehackt

Afbeelding: Hackteach

Door Joost Schellevis

Redacteur

Feedback • 13-02-2012 08:49
32 • submitter: Verwijderd

13-02-2012 • 08:49

32

Submitter: Verwijderd

Lees meer

India monitort internetverkeer buiten isp's om
India monitort internetverkeer buiten isp's om Nieuws van 9 september 2013
India wil half miljoen it-beveiligers trainen voor cybersecurity
India wil half miljoen it-beveiligers trainen voor cybersecurity Nieuws van 16 oktober 2012
Nederlandse hacker bekladt Chinese overheidssites
Nederlandse hacker bekladt Chinese overheidssites Nieuws van 15 maart 2012
Mogelijk creditcardgegevens gestolen bij hack Microsoft Store India
Mogelijk creditcardgegevens gestolen bij hack Microsoft Store India Nieuws van 28 februari 2012
Hacker steelt wachtwoorden 338.000 accounts carrièresite
Hacker steelt wachtwoorden 338.000 accounts carrièresite Nieuws van 17 februari 2012
'Hacker steelt e-mailadressen uit database Philips'
'Hacker steelt e-mailadressen uit database Philips' Nieuws van 14 februari 2012
Hackers claimen Foxconn-systemen te hebben gekraakt
Hackers claimen Foxconn-systemen te hebben gekraakt Nieuws van 9 februari 2012
Bug in Windows maakt aanval op gesloten udp-poorten mogelijk
Bug in Windows maakt aanval op gesloten udp-poorten mogelijk Nieuws van 8 november 2011
'RSA-hack trof honderden andere bedrijven'
'RSA-hack trof honderden andere bedrijven' Nieuws van 24 oktober 2011
Meer producten en artikelen
Privacy Websites en community's E-commerce Microsoft Beveiliging Hackers

Reacties (32)

-Moderatie-faq
32
30
15
1
0
13
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 13 februari 2012 08:51
Is dit een officiële website van Microsoft of een retailer?
Kan behoorlijk verschil maken toch?!
MN03 @Verwijderd13 februari 2012 09:21
De website wordt officieel beheerd door Quasar Media (http://www.zdnet.com/blog...6?tag=mantle_skin;content)
]Byte[ @Verwijderd13 februari 2012 09:14
Microsoft Store, waar Microsoft zijn eigen producten verkoopt,
Dit lijkt te suggereren dat het om een eigen site van Microsoft gaat.
hiostu @]Byte[13 februari 2012 09:41
De website is ontwikkeld door een 3rd party voor Microsoft. Helaas heeft de QA afdeling van MS India hier steken laten vallen.
]Byte[ @hiostu13 februari 2012 10:05
[ff totaal irrelevant]
Tja... als het beheer / onderhoud door een 3rd party van de servers van KPN brak is, is het nog steeds een KPN-probleem.
[/ff totaal irrelevant]
Als mijn website (die door een 3rd party gebouwd is en onderhouden wordt) brak is, is en blijft het MIJN probleem als er wat mee mis gaat.
Dat klinkt ongeveer als het brood in de supermarkt blijkt beschimmeld te zijn, en dan klagen dat het in de fabriek fout gegaan is.
hiostu @]Byte[13 februari 2012 10:10
Nee... De klant ziet het misschien zo, maar juridisch is het toch een probleem van de toeleverancier. De supermarkt kan stappen ondernemen richting de leverancier om de schade te verhalen. Zo ook KPN wat je als voorbeeld geeft.

Dat je er klanten mee kunt verliezen en negatieve opinie is een ander verhaal.
]Byte[ @hiostu13 februari 2012 10:37
Dat is nog maar de vraag hoe de contracten zijn opgesteld.
Als een klant mij aansprakelijk wil gaan houden voor het reilen en zeilen van een server... JA, dat kan.
Maar daar gaat ie dan ook voor betalen en ben IK degene die bepaald wat, wanneer en hoe er op die server gewerkt gaat worden.
(of jij moet wat masochistische ideeën hebben en een bokswedstrijd aan willen gaan met de handen op je rug gebonden)
MAX3400
@Verwijderd13 februari 2012 09:15
De whois voor de getoonde URL in het screenshot staat op naam van Microsoft zelf; verder heeft Microsoft geen echte stores zoals Apple dat wel heeft dus je kan er relatief zeker vanuit gaan dat het dus een website + bijbehorende servers waren die aan Microsoft India toebehoren.
CabezaDelZorro @MAX340013 februari 2012 09:21
Microsoft heeft wel degelijk stores zoals die van Apple (in de US in ieder geval). Maar ik heb ook het idee dat de website en bijbehorende servers in dit geval gewoon van Microsoft India zijn.

edit:
Ok, zoals MN03 hier onder ook al zegt, Quasar Media beheerd deze site. (en hebben nu een klant minder lijkt me zo ;) )

[Reactie gewijzigd door CabezaDelZorro op 23 juli 2024 03:26]

Nicap 13 februari 2012 08:57
Het is een officiele microsoft domainname.
Verwijderd 13 februari 2012 09:01
Als dit serieus een 14-jarige is, dan mag Microsoft (of de retailer) zich wel eens achter de oren krabben.

Bovendien, ik vindt het een schande dat de wachtwoorden onversleuteld opgeslagen zijn. Microsoft zou het goede voorbeeld moeten geven. Ik hoop maar dat ze hier iets van geleerd hebben.
freaky @Verwijderd13 februari 2012 12:42
Waarom?

Er zitten bijzonder intelligente 14 jarige tussen.

Hier heb je d'r 1: http://kerneltrap.org/node/1880

Met z'n 13de werkzaam bij een ISP, op z'n 18de kernel maintainer van de 2.4 reeks...

Alleen leeftijd zegt niet zo veel hoor. Er zijn 14 jarigen die al wel even op de universiteit zitten....
josvane 13 februari 2012 09:04
Het blijft mij verbazen dat juist bij dit soort grote jongens de beveiliging slecht geregeld is.

Goed, een hack is soms niet te voorkomen. Maar wachtwoorden zonder encryptie is gewoon not done.

@TimSeve: Al is het een 14 jarige die een maskertje plaats. Het is en blijft een hack.
Xorgye @josvane13 februari 2012 10:25
Grote jongen zijn staat bijna gelijk aan grote organisaties waar het toezicht (bijna) niet (meer) te managen valt.

Hier zie je dat er nog zo veel geroepen kan worden in de ene afdeling van Microsoft, maar dat dit helemaal niets zegt over de beleving in een andere afdeling...
Dat zie je al bij 100+ bedrijven gebeuren...
mjtdevries @Xorgye13 februari 2012 10:41
Er speelt hier natuurlijk nog een ander probleem mee, en dat is dat je in India ook een groter risico hebt dat iemand gewoon omgekocht is om passwords etc te verschaffen.

Ook het loon van goed opgeleide mensen is daar zo laag dat de verleiding om dit soort dingen te doen een stuk groter is.
Bierfustje @Xorgye13 februari 2012 11:05
Voorbeeld gaat nu echter niet helemaal op, aangezien het om een site gaat die volledig in beheer is van een 3e partij.

Je kan MSFT verwijten dat ze geen/teweinig controle hebben uitgeoefend op de technische implementatie bij de 3e partij, maar niet dat MSFT zelf een slechte implementatie gedaan heeft.
eL-Prova 13 februari 2012 12:58
Bronlink <link>.htmlexploited? Wordt hier nu gewoon een exploit mee gestart of? :)
maussie95 @eL-Prova13 februari 2012 16:10
Ik heb het geprobeerd, maar mijn pc is nog niet gecrashed. :P
South_Styler 13 februari 2012 09:04
Dit is een vrij grove blunder van Microsoft, je zou verwachten dat Microsoft het juiste voorbeeld geeft. Misschien hebben ze gedacht dat in India geen hackers actief zijn, het is in ieder geval duidelijk dat ook Microsoft zelf moet uit moet kijken.

Ik vraag me wel af hoe lek het mandje nu daadwerkelijk was
hiostu @South_Styler13 februari 2012 09:45
De site is niet ontwikkeld door MS en wordt niet beheerd door MS. Je kunt in deze MS vooral verwijten dat ze geen goede QA hebben gedaan, maar de partner is verantwoordelijk voor de slechte aanpak.
Dodge-Charger 13 februari 2012 09:10
Is india niet dat land wat altijd inzagen wil zien in gegevens.............
Of denk ik nu te extreem..........
Monochrome @Dodge-Charger13 februari 2012 09:59
Wat bedoel je? Ik snap je reactie niet
ArchNemeziz 13 februari 2012 10:37
Ik weet het niet hoor, maar die website van Hackteach geeft screenshots met Chinese menu's in de verschillende schermen, dat ziet er dan best nep uit! Ook lijkt het me stug dat een bedrijf "New Volume" nog gebruikt als naam voor de harde schijf.
The Jester 13 februari 2012 16:27
Ongelooflijk, dat sites die userdata unencrypted opslaan niet strafrechtelijk worden vervolgd.
SpoinkyNL @TimSeve13 februari 2012 08:58
Als je het artikel goed gelezen had, had je geweten dat de hack nog een stuk verder is gegaan dan alleen een deface
Monochrome @SpoinkyNL13 februari 2012 09:57
Als dat waar is... Hoewel het natuurlijk mogelijk is vind ik het toch te gek voor woorden dat microsoft in een recentelijk ontwikkelde site wachtwoorden nog plaintext opslaat.. Misschien is het gewoon fake.
Auredium @TimSeve13 februari 2012 09:10
Besides the point.

De wachtwoorden waren onversleuteld en ze hadden complete toegang tot de website. Dan had het van mij een 3 jarige Baviaan kunnen zijn. Wat hier aan het licht komt aan informatie is erg belangrijk en als een 14 jarige dat heeft gedaan heeft hij mijn respect!

Een bedrijf zoals Microsoft die het grootste deel van de besturingssystemen leverd zou beter moeten weten. Overigens wel een mooie defacement, beter dan een Turkse vlag ofzo.

[Reactie gewijzigd door Auredium op 23 juli 2024 03:26]

The Van @Auredium13 februari 2012 14:35
Ik denk, dat google (met Android) de grootste leverancier van OS-en is (aantallen).
Qua versies is het MS ook niet, die eer heeft unix (met al zijn varianten)
BlackOwl @The Van13 februari 2012 14:40
Unix is geen leverancier
lezzmeister @Auredium13 februari 2012 16:11
In India is versleuteling standaard gewoon verboden.
Bedrijven kunnen er wel aan maar moeten voor zover ik weet nog gewoon een vergunning gaan halen, lijkt me dat het veel rompslomp en moeite is.

Mogelijk moet je ook de juiste figuren even wat toeschuiven, corruptie komt daar nog wel eens voor.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq