Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Submitter: robb_nl

Hackers hebben de website van de Indiase Microsoft Store gekraakt. De frontpage werd vervangen met een mededeling dat de site was gehackt. Bovendien zouden er gegevens, waaronder onversleutelde wachtwoorden, toegankelijk zijn geweest.

De website WPSauce heeft ontdekt dat de website van de Indiase Microsoft Store, waar Microsoft zijn eigen producten verkoopt, was gedefaced. Er werd onder meer een Guy Fawkes-masker getoond. Inmiddels is de defacement weer verwijderd, maar de website is nog niet online; er wordt een boodschap getoond waaruit blijkt dat de website momenteel niet beschikbaar is.

Het Chinese weblog Hackteach schrijft echter dat de hack nog veel verder gaat dan enkel een defacement. Het blog heeft screenshots geplaatst waaruit blijkt dat de aanvallers complete controle hadden over de server waarop de site draaide. Screenshots wijzen erop dat de database met gebruikersgegevens zichtbaar was. De wachtwoorden van gebruikers zouden onversleuteld zijn opgeslagen.

Microsoft heeft nog niet bevestigd dat er daadwerkelijk privégegevens toegankelijk waren. Ook moet nog blijken of die gegevens zijn gestolen.

Microsoft Store India gehackt

Afbeelding: Hackteach

Moderatie-faq Wijzig weergave

Reacties (32)

Is dit een officiële website van Microsoft of een retailer?
Kan behoorlijk verschil maken toch?!
De website wordt officieel beheerd door Quasar Media (http://www.zdnet.com/blog...6?tag=mantle_skin;content)
Microsoft Store, waar Microsoft zijn eigen producten verkoopt,
Dit lijkt te suggereren dat het om een eigen site van Microsoft gaat.
De website is ontwikkeld door een 3rd party voor Microsoft. Helaas heeft de QA afdeling van MS India hier steken laten vallen.
[ff totaal irrelevant]
Tja... als het beheer / onderhoud door een 3rd party van de servers van KPN brak is, is het nog steeds een KPN-probleem.
[/ff totaal irrelevant]
Als mijn website (die door een 3rd party gebouwd is en onderhouden wordt) brak is, is en blijft het MIJN probleem als er wat mee mis gaat.
Dat klinkt ongeveer als het brood in de supermarkt blijkt beschimmeld te zijn, en dan klagen dat het in de fabriek fout gegaan is.
Nee... De klant ziet het misschien zo, maar juridisch is het toch een probleem van de toeleverancier. De supermarkt kan stappen ondernemen richting de leverancier om de schade te verhalen. Zo ook KPN wat je als voorbeeld geeft.

Dat je er klanten mee kunt verliezen en negatieve opinie is een ander verhaal.
Dat is nog maar de vraag hoe de contracten zijn opgesteld.
Als een klant mij aansprakelijk wil gaan houden voor het reilen en zeilen van een server... JA, dat kan.
Maar daar gaat ie dan ook voor betalen en ben IK degene die bepaald wat, wanneer en hoe er op die server gewerkt gaat worden.
(of jij moet wat masochistische ideeën hebben en een bokswedstrijd aan willen gaan met de handen op je rug gebonden)
De whois voor de getoonde URL in het screenshot staat op naam van Microsoft zelf; verder heeft Microsoft geen echte stores zoals Apple dat wel heeft dus je kan er relatief zeker vanuit gaan dat het dus een website + bijbehorende servers waren die aan Microsoft India toebehoren.
Microsoft heeft wel degelijk stores zoals die van Apple (in de US in ieder geval). Maar ik heb ook het idee dat de website en bijbehorende servers in dit geval gewoon van Microsoft India zijn.

edit:
Ok, zoals MN03 hier onder ook al zegt, Quasar Media beheerd deze site. (en hebben nu een klant minder lijkt me zo ;) )

[Reactie gewijzigd door CabezaDelZorro op 13 februari 2012 10:47]

Het is een officiele microsoft domainname.
Als dit serieus een 14-jarige is, dan mag Microsoft (of de retailer) zich wel eens achter de oren krabben.

Bovendien, ik vindt het een schande dat de wachtwoorden onversleuteld opgeslagen zijn. Microsoft zou het goede voorbeeld moeten geven. Ik hoop maar dat ze hier iets van geleerd hebben.
Waarom?

Er zitten bijzonder intelligente 14 jarige tussen.

Hier heb je d'r 1: http://kerneltrap.org/node/1880

Met z'n 13de werkzaam bij een ISP, op z'n 18de kernel maintainer van de 2.4 reeks...

Alleen leeftijd zegt niet zo veel hoor. Er zijn 14 jarigen die al wel even op de universiteit zitten....
Het blijft mij verbazen dat juist bij dit soort grote jongens de beveiliging slecht geregeld is.

Goed, een hack is soms niet te voorkomen. Maar wachtwoorden zonder encryptie is gewoon not done.

@TimSeve: Al is het een 14 jarige die een maskertje plaats. Het is en blijft een hack.
Grote jongen zijn staat bijna gelijk aan grote organisaties waar het toezicht (bijna) niet (meer) te managen valt.

Hier zie je dat er nog zo veel geroepen kan worden in de ene afdeling van Microsoft, maar dat dit helemaal niets zegt over de beleving in een andere afdeling...
Dat zie je al bij 100+ bedrijven gebeuren...
Er speelt hier natuurlijk nog een ander probleem mee, en dat is dat je in India ook een groter risico hebt dat iemand gewoon omgekocht is om passwords etc te verschaffen.

Ook het loon van goed opgeleide mensen is daar zo laag dat de verleiding om dit soort dingen te doen een stuk groter is.
Voorbeeld gaat nu echter niet helemaal op, aangezien het om een site gaat die volledig in beheer is van een 3e partij.

Je kan MSFT verwijten dat ze geen/teweinig controle hebben uitgeoefend op de technische implementatie bij de 3e partij, maar niet dat MSFT zelf een slechte implementatie gedaan heeft.
Bronlink <link>.htmlexploited? Wordt hier nu gewoon een exploit mee gestart of? :)
Ik heb het geprobeerd, maar mijn pc is nog niet gecrashed. :P
Dit is een vrij grove blunder van Microsoft, je zou verwachten dat Microsoft het juiste voorbeeld geeft. Misschien hebben ze gedacht dat in India geen hackers actief zijn, het is in ieder geval duidelijk dat ook Microsoft zelf moet uit moet kijken.

Ik vraag me wel af hoe lek het mandje nu daadwerkelijk was
De site is niet ontwikkeld door MS en wordt niet beheerd door MS. Je kunt in deze MS vooral verwijten dat ze geen goede QA hebben gedaan, maar de partner is verantwoordelijk voor de slechte aanpak.
Is india niet dat land wat altijd inzagen wil zien in gegevens.............
Of denk ik nu te extreem..........
Wat bedoel je? Ik snap je reactie niet
Ik weet het niet hoor, maar die website van Hackteach geeft screenshots met Chinese menu's in de verschillende schermen, dat ziet er dan best nep uit! Ook lijkt het me stug dat een bedrijf "New Volume" nog gebruikt als naam voor de harde schijf.
Ongelooflijk, dat sites die userdata unencrypted opslaan niet strafrechtelijk worden vervolgd.
Als je het artikel goed gelezen had, had je geweten dat de hack nog een stuk verder is gegaan dan alleen een deface
Als dat waar is... Hoewel het natuurlijk mogelijk is vind ik het toch te gek voor woorden dat microsoft in een recentelijk ontwikkelde site wachtwoorden nog plaintext opslaat.. Misschien is het gewoon fake.
Besides the point.

De wachtwoorden waren onversleuteld en ze hadden complete toegang tot de website. Dan had het van mij een 3 jarige Baviaan kunnen zijn. Wat hier aan het licht komt aan informatie is erg belangrijk en als een 14 jarige dat heeft gedaan heeft hij mijn respect!

Een bedrijf zoals Microsoft die het grootste deel van de besturingssystemen leverd zou beter moeten weten. Overigens wel een mooie defacement, beter dan een Turkse vlag ofzo.

[Reactie gewijzigd door Auredium op 13 februari 2012 09:58]

Ik denk, dat google (met Android) de grootste leverancier van OS-en is (aantallen).
Qua versies is het MS ook niet, die eer heeft unix (met al zijn varianten)
Unix is geen leverancier
In India is versleuteling standaard gewoon verboden.
Bedrijven kunnen er wel aan maar moeten voor zover ik weet nog gewoon een vergunning gaan halen, lijkt me dat het veel rompslomp en moeite is.

Mogelijk moet je ook de juiste figuren even wat toeschuiven, corruptie komt daar nog wel eens voor.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True