Website Dirk, Bas en Digros laat e-mailadressen uitlekken

De gemeenschappelijke website van de supermarktketens Dirk, Bas en Digros gaf per abuis toegang tot e-mailadressen van nieuwsbrief-abonnees. Via het lek kon bovendien toegang worden verkregen tot andere sites van dezelfde websitebouwer.

Goedkoopste van Nederland Het gaat om de website Lekkerdoen.nl, de gezamenlijke website van Dirk, Bas en Digros. Via sql-injectie kon beveiligingsonderzoeker Ingratefully naar eigen zeggen in ieder geval 150.000 en mogelijk zelfs circa 318.000 e-mailadressen benaderen, hoewel er dubbele e-mailadressen tussen kunnen zitten. Volgens de bouwer van de website, het Hoornse bedrijf Montani, waren het er hooguit 50.000.

Ook logingegevens van het adminpaneel waren te benaderen. De wachtwoorden waren gehasht als mysql323 en waren daardoor eenvoudig te achterhalen; het md5-algoritme is al enige tijd achterhaald en via rainbow tables kunnen veel hashes aan plaintext-wachtwoorden worden gekoppeld.

Een van de achterhaalde accounts bleek bovendien van de websitebouwer. Dezelfde combinatie van gebruikersnaam en wachtwoord was ook gebruikt op andere websites van dezelfde maker, waardoor ook kon worden ingelogd op het Drupal-beheerpaneel van onder andere Fiets.com, Megategel.nl en Displaygigant.nl, maar ook op die van de site van bouwer Montani zelf. Daardoor konden onder andere bestanden worden geüpload. Volgens de onderzoeker was het waarschijnlijk mogelijk om PHP Shell te uploaden en wellicht via een exploit root-toegang tot de server te krijgen; hij heeft dat echter niet gedaan.

Het lek zat in een cms dat door Montani zelf was gebouwd; ook een andere website die dat cms gebruikte was daardoor kwetsbaar. Via die site konden circa 10.000 e-mailadressen worden benaderd. "Het probleem is direct na jullie melding onderzocht en verholpen", aldus de directeur van het bedrijf, Jan Boon. Het uniforme adminwachtwoord voor alle Montani-sites wordt vervangen door aparte wachtwoorden per site. Overigens zat er wel een paar uur tussen de melding en het dichten van het lek.

Aanvankelijk zei Boon aangifte te zullen doen tegen de beveiligingsonderzoeker, maar later gaf hij aan zich daar nog over te 'beraden'. "Wat hij heeft gedaan is in principe strafbaar", aldus Boon. De directeur geeft toe dat er een fout in de software zat, maar: "Wanneer ergens een auto met draaiende motor staat, wil dat nog niet zeggen dat je ermee mag wegrijden." Beveiligingsonderzoeker Ingratefully zegt over de mogelijke aangifte: "Aangifte voor het tippen van een datalek? Not again. Je kunt blijkbaar beter blackhat blijven. Ik wil geen schade aanrichten, maar de ogen van bedrijven en webdevelopers openen."

Volgens een andere medewerker van Montani, Jan-Albert Vroegop, is Lekkerdoen.nl zeven jaar geleden ontwikkeld en had de site eigenlijk al vervangen moeten zijn. "Het was ontwikkeld met een minimaal budget en minimale controle", aldus Vroegop. "Daar hebben we nu last van. De module die is gehackt was een haastklus. Zeg maar: gisteren bedacht, morgen online."

Fergus Hoedeman, de ict-directeur van de Detailresult Groep, het bedrijf achter de supermarkten, zegt die informatie niet te kunnen bevestigen. Wel zegt hij het 'fijn' te vinden dat het lek aan het licht is gekomen en inmiddels is opgelost.

IT-banen

Reacties (53)

jeffreytigch 6 maart 2012 15:25

Wat is dat voor een voorbeeld dat de directeur geeft? Als hij het zo metaforisch wil beschrijven: Als er een deur openstaat, wil je toch ook dat iemand zegt dat hij openstaat, inplaats van dat iemand gewoon naar binnenloopt en je tv onder zijn armen mee neemt?

Aangifte doen.. Onzin, die man probeert hun te helpen. Behoorlijk asociaal als je het mij vraagt.

[Reactie gewijzigd door jeffreytigch op 25 juli 2024 04:15]

YopY @jeffreytigch • 6 maart 2012 15:54

En als een inbreker toch naar binnen loopt en je TV meeneemt heb je pech gehad; de verzekering etc betaalt dan niet uit omdat je je deur maar op slot had moeten doen. Volgens mij is de dief dan nog steeds strafbaar, maar toch wordt een belangrijk deel van de schuld bij degene die de deur open laat staan gelegd.

Quad

6 maart 2012 15:48

Aanvankelijk zei Boon aangifte te zullen doen tegen de beveiligingsonderzoeker, maar later gaf hij aan zich daar nog over te 'beraden'. "Wat hij heeft gedaan is in principe strafbaar", aldus Boon.

He wacht even, ik loop vanavond langs de Dirk, en ik weet dat ze dicht zijn, maar toch is er een deurtje open. Ik loop naar binnen, kijk rond, en meld het dan naar de politie dat de deur open staat en vervolgens wil de Dirk mij aanklagen omdat ik geconstateerd heb dat de deur open was en dat ik dan beter had door kunnen lopen?

Kromme vergelijking misschien, maar ik maak het op die manier wel op.

Ik kan ook een groot bord neer hangen met de tekst, achter deur open, pak wat je pakken kan, en ondertussen haal ik ook nog even wat spul weg.
Dat laatste zou het terecht zijn als je aangeklaagd wordt, maar dat is in dit geval toch niet zo?

Gert @Quad • 6 maart 2012 16:04

Waarom moet je naar binnen lopen en rondkijken om te constateren dat een deur openstaat?

Quad

@Gert • 6 maart 2012 18:47

Omdat deze beveiligings expert dat ook heeft gedaan (digitaal).
Hoe kom je anders te weten wat je voor je neus hebt liggen?

Kenzi @Quad • 7 maart 2012 05:16

Als het niet jouw huis is waarom wil je dan naar binnen om te weten wat "je voor je neus hebt liggen". Omdat er toevallig een deur open staat? Je hebt daar binnen niks te zoeken op dat moment. Ja, misschien is het wel zo aardig om even te kijken of je iemand ziet die je erop kan attenderen. Wat deze "hacker" dus ook had kunnen. In plaats van het bedrijf te attenderen gaat hij naar de pers (tweakers in dit geval). Om door te gaan op jouw "kromme" vergelijking zou dat dus hetzelfde zijn als jij de krant belt om te zeggen dat de deur van de supermarkt open staat.
Fijn, iemand leest dat in de krant en denkt, he daar moet ik ff snel heen! Of in dit geval een kiddie die tweakers leest en denkt, daar kan ik wat gegevens halen!

Anoniem: 442878 6 maart 2012 15:42

"Het was ontwikkeld met een minimaal budget en minimale controle", aldus Vroegop. "Daar hebben we nu last van. De module die is gehackt was een haastklus. Zeg maar: gisteren bedacht, morgen online."

7 jaar geleden waren er ook al hackers, black and white. Misschien toch voortaan ook bij een klein budget een goede beveiliging maken. Ik vind bovenstaande uitspraak ook nauwelijks een excuus.Ze denken er bij dat bedrijf "Montani" wel erg makkelijk over. Ondanks dat ze zelf ook een slechte beveiliging hadden.
Nu heeft een goedwillende hacker aangetoont dat de beveiliging niet oke was. Straks komt er een blackhat die dat niet doet.Kortom.

SaphuA 6 maart 2012 15:24

Ik kan niet wachten tot het mogelijk wordt dat een hacker bij justitie kan aankloppen om een dergelijk bedrijf te rapporteren, het bedrijf in kwestie een gigantische boete krijgt en de hacker een vergoeding daarvoor terug krijgt.

[Reactie gewijzigd door SaphuA op 25 juli 2024 04:15]

jeffreytigch @SaphuA • 6 maart 2012 15:32

Precies. Of misschien een middenweg; immuniteit voor het "delict" van de hacker tegenover het bedrijf, in plaats van dat iemand een dienst probeert te doen aan een bedrijf of instantie en daarna ook nog aangeklaagd gaat worden. Dan is de pret er wel vanaf.

Gert @jeffreytigch • 6 maart 2012 15:44

En hoe ga je precies aantonen dat je de gegevens niet al 20x hebt doorverkocht voordat je het rapporteert en immuniteit krijgt?

Blijkbaar had de "onderzoeker" het idee dat er een lek zat, neem contact op met het bedrijf, vraag toestemming, ga aan de slag. Niet eerst hacken en dan achteraf huilen als iemand daar boos over wordt.

Afgezien van dat er genoeg bedrijven zijn die gewoon een beleid hebben te voeren voor certificering, waarbij aangifte bij inbraak standaard onderdeel is.
Bij een van te voren geplande pentest is dat niet nodig, het resultaat is het zelfde. De hacker is binnen, het lek is gevonden, niemand hoeft naar de gevangenis.

veldmuis @SaphuA • 6 maart 2012 15:58

Trek dit nou eens door naar wereld buiten internet? Flinke boetes voor huiseigenaren van woningen waar ingebroken is? Slachtoffer van zakkenrollers? Levert je een hoge boete op, en de zakkenroller krijgt een vergoeding.

Kan toch niet?

SaphuA @veldmuis • 6 maart 2012 16:34

Laten we dan zo eerlijk zijn om het op een reële manier door naar de buitenwereld te trekken

Een ziekenhuis dat zijn belangrijke, persoonlijke dossiers buiten in een kartonnen doos bewaard komt er ook niet zomaar mee weg.

djvdorp @SaphuA • 6 maart 2012 15:58

dat lijkt mij ook een strak voorstel!

Anoniem: 382732 @SaphuA • 6 maart 2012 16:24

Leuk. Maar dan wel consequent en ook je buren kunnen aangeven als die vergeten zijn de deur op slot te doen....

Mike2k 6 maart 2012 15:31

Volgens een andere medewerker van Montani, Jan-Albert Vroegop, is Lekkerdoen.nl zeven jaar geleden ontwikkeld en had de site eigenlijk al vervangen moeten zijn. "Het was ontwikkeld met een minimaal budget en minimale controle", aldus Vroegop. "Daar hebben we nu last van. De module die is gehackt was een haastklus. Zeg maar: gisteren bedacht, morgen online."

Dat is natuurlijk een absoluut non-argument. Dat het een haast klus is is prima maar dat ontslaat je niet van je taak om aan de veiligheid te denken.

Uiteraard is het voor ons allemaal makkelijk praten maar deze meneer maakt zich er ook wel heel erg makkelijk van af...

En Boon...tsja...beetje triest.

[reactie op mrwolf]

Begrijp me niet verkeerd, dit bedrijf is onzorgvuldig geweest, en zo zijn er nog honderden. Maar ben je dan meteen strafbaar? Ik vind van niet.

Dus op het moment dat een bedrijf onzorgvuldig met jouw gegevens omspringt waardoor bijv je creditcard misbruikt wordt is dat oke?

[Reactie gewijzigd door Mike2k op 25 juli 2024 04:15]

mrwolf @Mike2k • 6 maart 2012 15:43

Ik zeg niet dat het oké is, ik zeg alleen maar dat iedereen moord en brand schreeuwt als er iets lekt, en meteen boetes wil laten uitdelen. Ik heb vraagtekens bij dat soort reguleringen.

Als VISA mijn gegevens laat lekken, dan heeft VISA een probleem om de financiële schade die ik oploop te compenseren. Maar het is wel MIJN verantwoordelijkheid dat ik bijvoorbeeld niet één wachtwoord voor al mijn diensten gebruik. Zo heeft iedereen hier een verantwoordelijkheid in, de gebruiker en de dienstverlener. Het is gewoon te makkelijk om alleen naar een ander te wijzen.

De imagoschade die VISA (of Montani in dit geval) oploopt weegt vele malen zwaarder dan een boete van de overheid hoor. Die kijken wel uit in de toekomst!

[Reactie gewijzigd door mrwolf op 25 juli 2024 04:15]

mrdemc @Mike2k • 6 maart 2012 15:48

Daarnaast, als iemand het zo moet afraffelen, dan is het dus een klus geweest die hij blijkbaar niet kon klaren binnen de deadline. In dat geval neem je zo'n klus ook niet aan, DAT zou strafbaar moeten zijn...

styno @Mike2k • 6 maart 2012 20:11

Hey jij werkt niet voor een commercieel bedrijf in een competitieve markt met klanten die hun hand op de knip hebben zeker?

Veiligheid is nou eenmaal vaak een ondergeschoven kindje. In de bestekken die ik lees (die dus door adviseurs van de opdrachtgever geschreven zijn) staat meestal 0,0 in over veiligheid of hooguit een paragraaf. Als je in je aanbieding dan rekening mee gaat houden dat je -zeg- de helft van je budget moet investeren in een solide beveiliging, testen, een continue proces van patching en upgrades voor de levensduur van je applicatie en dan ook nog eens goedkoper moet zijn dan je concurrenten. Nou, als de klant dan niet om veiligheid vraagt, bied je het ook niet aan.

Simpel, anders is er geen brood op de plank.

Dit is hoe het werkt in de praktijk, uitzonderingen daargelaten (banken e.d.).

Severion 6 maart 2012 15:22

Beetje misvormde titel zo, er is niets uitgelekt.

En nog lullig ook dat die Boon aangifte wil doen

, het had een kwaadwillende kunnen zijn, maar nee zijn er eens mensen die iets voor je over hebben...

[Reactie gewijzigd door Severion op 25 juli 2024 04:15]

Dubbeldrank

@Severion • 6 maart 2012 15:40

Lullig dat hij aangifte wil doen? Sorry, maar deze rakkers hebben data gestolen, ze hadden ook even kunnen bellen, mailen or whatever zonder daadwerkelijk iets te doen. Een beveiligingsonderzoeker is geen inbreker, het gebruik van die term in dit bericht is nogal discutabel.

Joshua @Dubbeldrank • 6 maart 2012 16:02

Ik zie nergens dat hij de data gestolen heeft (of uitgelekt), alleen benaderd. Sowieso maak ik op uit het artikel dat de persoon in kwestie het bedrijf gewoon ingelicht heeft voordat het Tweakers.net getipt heeft.

Anoniem: 449030 6 maart 2012 15:21

Ach ja gewoon weer wat excuseren en daarmee is de kous af dan.
Men zou beter een boete systeem invoeren want ze komen er allemaal altijd heel makkelijk vanaf. 7 jaar oud in IT is wel HEEL oud en zeker voor een zaak die online staat;

Dit is hier precies een spelletje om de eerste reactie zonder meer als off-topic te zetten.
Toch raar dat er dan toch discussies op volgen die ten gronde zijn.

[Reactie gewijzigd door Anoniem: 449030 op 25 juli 2024 04:15]

Tazzios @Anoniem: 449030 • 6 maart 2012 15:40

Het vervelende is dat je het als webontwikkelaar niet in de hand heb.
Als de klant voor een dubbeltje op de eerste rij wil zitten door een krap budget aan te houden of door niet te update kun je daar weinig aan doen

Remcoder @Tazzios • 6 maart 2012 15:44

Dan moet de eigenaar van de website maar aansprakelijk gesteld worden, die kan het daarna met de ontwikkelaar uitvechten wie van de 2 daadwerkelijk opdraait voor de kosten.

Anoniem: 449030 @Tazzios • 6 maart 2012 15:49

als je een auto wil bouwen is budget 1 zaak maar de verplichte veiligheid daar kan je gewoon niet rond.
Waarom zou zo iets niet kunnen voor online handel en diensten?

Anoniem: 146875 @Tazzios • 6 maart 2012 15:51

Een haastklus is geen reden om een onveilige site op te leveren. SQL injecties bestonden 7 jaar geleden al en werden al misbruikt. Dezelfde wachtwoorden gebruiken op verschillende sites is ook niet slim, het zijn gewoon een stelletje prutsers. Acht jaar geleden kwam PHP al met PDO om dit soort problemen te voorkomen.

Dhr. Boon heeft mooie praatjes over aangifte maar het is zijn bedrijf die van honderdduizenden klanten gegevens uitlekt dus als er iemand aangeklaagd moet worden is het zijn bedrijf en niet degene die hem wijst op "de auto die met draaiende moter langs de weg staat."

biglia @Tazzios • 6 maart 2012 16:36

Een sql-injectie is wel een fout van de bouwer. Dat heeft niets met budget of snel snel te maken. Zelfs met hopen geld, en een zee van tijd hadden ze die fout waarschijnlijk gemaakt.

Ze hadden de opdrachtgevers een onderhoudscontract moeten aanbieden voor security patches etc. Als ze dat niet willen betalen, dan sta je toch al wat steviger in je schoenen. Bij een auto moet je trouwens ook regelmatig op onderhoud. Doe je dat niet, ben je zelf verantwoordelijk.

styno @biglia • 6 maart 2012 20:02

Een sql-injectie is wel een fout van de bouwer. Dat heeft niets met budget of snel snel te maken. Zelfs met hopen geld, en een zee van tijd hadden ze die fout waarschijnlijk gemaakt.

Dat laatste is natuurlijk een onzin argumentatie.

Ze hadden de opdrachtgevers een onderhoudscontract moeten aanbieden voor security patches etc. Als ze dat niet willen betalen, dan sta je toch al wat steviger in je schoenen.

Weet jij of ze dat wel of niet hebben gedaan? Of gok je maar wat?

Bij een auto moet je trouwens ook regelmatig op onderhoud. Doe je dat niet, ben je zelf verantwoordelijk.

De risico-aansprakelijkheid voor gebrekkige roerende zaken is ingevolge art. 6:173 lid 3 niet van toepassing op motorrijtuigen, aldus de Hoge Raad in 1967. Want anders eis je van elke weggebruiker dat deze een correcte risico inschatting moet kunnen maken op basis van de huidige staat van elk onderdeel van zijn auto. Dat kunnen mensen nou eenmaal niet.

[Reactie gewijzigd door styno op 25 juli 2024 04:15]

Anoniem: 340068 @styno • 7 maart 2012 04:50

[...]
Dat laatste is natuurlijk een onzin argumentatie.

[...]
Weet jij of ze dat wel of niet hebben gedaan? Of gok je maar wat?

[...]
De risico-aansprakelijkheid voor gebrekkige roerende zaken is ingevolge art. 6:173 lid 3 niet van toepassing op motorrijtuigen, aldus de Hoge Raad in 1967. Want anders eis je van elke weggebruiker dat deze een correcte risico inschatting moet kunnen maken op basis van de huidige staat van elk onderdeel van zijn auto. Dat kunnen mensen nou eenmaal niet.

Hoe goedkoper hoe meer risico op dit soort fouten.. PUNT
Een goedkopere, snelle jongen of vriendje van de baas.. Ff een beetje bij beunen.. En wat copy pasten.. Draaien en vangen en klaar is kees

YopY @Anoniem: 449030 • 6 maart 2012 15:52

7 jaar oud in IT is wel HEEL oud en zeker voor een zaak die online staat;

Nee, 7 jaar is niet zoveel als je nagaat dat veel van de kernsystemen bij bijv. banken 30+ jaar oude Cobol meuk is - en ook daarbij is leeftijd geen excuus voor de veiligheid.

En de enige die in dezen een boete zou moeten krijgen is de opdrachtgever; die stelde (blijkbaar) geen eisen aan de veiligheid of privacy van de gebruikers, waardoor de ontwikkelaar geen tijd nam om dit toe te voegen. Je zou ook kunnen stellen dat de ontwikkelaars deze opdracht hadden moeten weigeren, maar dan vindt de opdrachtgever wel een andere partij die het voor dat geld snel kan bouwen.

Anoniem: 449030 @YopY • 6 maart 2012 16:04

Het is niet om dat men Cobol nog steeds in gebruik heeft dat het hart van de banking draait met 30 jaar oude applicaties, vandaar dat men nog Cobol programmeurs nodig heeft om het zaakje te kunnen laten evolueren en zodat het voldoet aan de laatste regeltjes en wetgevingen allerhande.
Gelukkig is daar ook een evolutie in en deze systemen zijn niet direct bereikbaar via het internet. Zelfs niet als men ebanking doet want dat zijn doorgaans multi-tier applicaties.

thegve @YopY • 6 maart 2012 21:58

Ach kom. Natuurlijk gaat een opdrachtgever onderhandelen over de prijs. Dit is nooit een excuus. De ontwikkelaar heeft enkele grote fouten gemaakt.
De SQL injection fout zou je menselijk kunnen noemen, hetzelfde wachtwoord gebruiken voor alle websites is onverantwoord en slordig.

Anoniem: 340068 @YopY • 7 maart 2012 04:53

Maar is er dan ook niemand die zich bedenkt waarom hij al 7 jaar lang het zelfde onveilige wachtwoord gebruikt als bouwer?

[...]

Nee, 7 jaar is niet zoveel als je nagaat dat veel van de kernsystemen bij bijv. banken 30+ jaar oude Cobol meuk is - en ook daarbij is leeftijd geen excuus voor de veiligheid.

En de enige die in dezen een boete zou moeten krijgen is de opdrachtgever; die stelde (blijkbaar) geen eisen aan de veiligheid of privacy van de gebruikers, waardoor de ontwikkelaar geen tijd nam om dit toe te voegen. Je zou ook kunnen stellen dat de ontwikkelaars deze opdracht hadden moeten weigeren, maar dan vindt de opdrachtgever wel een andere partij die het voor dat geld snel kan bouwen.

een onveilige wachtwoord, is wel wat anders dan een systeem van 30 jaar oud dat nog voldoet aan de eisen

mrdemc @Anoniem: 449030 • 6 maart 2012 15:46

Maar is er dan ook niemand die zich bedenkt waarom hij al 7 jaar lang het zelfde onveilige wachtwoord gebruikt als bouwer?

mrwolf 6 maart 2012 15:31

Ik snap niet waarom mensen ineens boetes willen opleggen als een bedrijf zijn beveiliging niet op orde heeft. Het is toch geen taak van de overheid om dat te controleren?

Als bij jouw lokale kledingzaak wordt ingebroken en de klapper met klantnamen en adressen wordt gestolen, ga je toch niet eisen dat die kledingzaak maar moet betalen?

Begrijp me niet verkeerd, dit bedrijf is onzorgvuldig geweest, en zo zijn er nog honderden. Maar ben je dan meteen strafbaar? Ik vind van niet.

Anoniem: 449030 @mrwolf • 6 maart 2012 15:46

Een boete kan allerlei zijn men moet daarom niet dadelijk denken aan strafbaar zijn en zich moeten verklaren bij het gerecht/overheid.
Wij als consument zouden een vergoeding krijgen via korting of een andere manier, en deze voorwaarden zouden kunnen bepaald worden via een gerechtelijk kader zodat het verplicht is in elke verkoopsovereenkomst via zulke diensten.
Nu ben je de dupe van nalatigheid van een ander en je hebt geen enkel recht, erger nog het bedrijf heeft heel weinig verplichtingen blijkbaar om je gegevens een beetje te beschermen.

Petervanakelyen 6 maart 2012 15:32

Aanvankelijk zei Boon aangifte te zullen doen tegen de beveiligingsonderzoeker, maar later gaf hij aan zich daar nog over te 'beraden'.

Directeur kan beter blij zijn dat zijn database niet online is gegooid. Er is netjes melding van gemaakt en er is niets van gegevens uitgelekt. Veel meer white hat kan je het niet hebben.

Joshua 6 maart 2012 15:35

Ik vind

Wanneer ergens een auto met draaiende motor staat, wil dat nog niet zeggen dat je ermee mag wegrijden.

een slecht voorbeeld van de directeur. Ik zou het eerder vergelijken met bij elke auto naar binnen kijken en als je de sleutel ziet zitten kijken of de deur open is.

[Reactie gewijzigd door Joshua op 25 juli 2024 04:15]

Op dit item kan niet meer gereageerd worden.

Website Dirk, Bas en Digros laat e-mailadressen uitlekken

Lees meer

Sql-injectie en xss: de beste verdediging

IT-banen

Reacties (53)

Sorteer op:

Weergave: