Ook Lebara en Youfone getroffen door Simpel-hack

Bij de hack van Simpel heeft de hacker ook toegang gehad tot databases van andere providers, zoals Lebara en Youfone. Van Simpel-klanten zag de hacker met wie en hoe lang ze hebben gebeld. Het lek zat in de website van Frans Bauer.

De hacker had toegang tot 158 databases op de servers van Aspider, meldt Nu.nl. De hacker, die zijn hack openbaarde via de webcare van Vodafone, heeft mogelijk de databases gedownload van Lebara en Youfone, en van de site van onder anderen René Froger. De hacker kwam daarbij via een lek op de site van zanger Frans Bauer.

Aspider heeft vooralsnog geen commentaar op de kwestie gegeven aan Tweakers.net. Nu.nl claimt de lijst met databases te hebben ingezien. Het is onduidelijk welke gegevens de databases bevatten. Die van Simpel bevatte in elk geval privacygevoelige gegevens, onder meer adresgegevens van klanten en 'verkeersgegevens', info over met wie ze hebben gebeld en ge-sms't tot 2011.

De hack werd zaterdag bekend, toen Simpel diensten op zijn website uit voorzorg afsloot. Het is onduidelijk wie de hacker is. De Nationale Recherche is al een onderzoek begonnen; wellicht heeft dat de hacker ertoe bewogen openheid van zaken te geven over het aantal databases waartoe hij toegang heeft gehad.

Reacties (36)

_Piwi_ 9 juli 2012 16:05

Hoe kan je nu in godsnaam bij alle andere websites / databases komen als 1 website lek is? Dan heeft Aspider zijn beveiliging op de servers ook niet op orde en zijn hun eigenlijk net zo verantwoordelijk voor deze hack.

Geloof dat de hacker nattigheid begint te voelen en eigenlijk zijn handen eraf wil hebben.

TvdW @_Piwi_ • 9 juli 2012 16:10

Er zijn veel 'shared hosts': hosts waar alles binnen één bestandssysteem gedraaid wordt. Op linux heb je dan allemaal tooltjes (suPHP, mod_ruid, file permissies) om dat tegen te gaan maar daar moeten zowel de hosts als de gebruikers zich uiteraard wel aan houden. Een directory listing van "/home" kan haast iedereen wel krijgen, en dan heb je al snel een lijst met alle domeinen op de server.

Daarna is het uiteraard belangrijk dat de gebruiker van die site geen toegang heeft tot andere sites. Als er echter een "0777"-chmod hangt aan een bestand (bijv. "config.php") dan kan iedereen die lezen. En laat dat nou juist meestal het bestand zijn waar de databaseinstellingen in staan.

[Reactie gewijzigd door TvdW op 28 juli 2024 05:20]

postbus51 @TvdW • 9 juli 2012 16:16

Dus in '/home' ook de users-groep als 'gevaarlijk' beschouwen en niet als 0755
instellen

TvdW @postbus51 • 9 juli 2012 16:19

Tja, dan heb je /etc/passwd nog, die altijd minimaal x444 moet hebben

postbus51 @TvdW • 9 juli 2012 17:12

Mss moet je die dan net als ik net als /etc/group alleen voor root laten (r,w)
Doe dit al jaren

Alleen /etc/shadow is door de group 'shadow' te lezen

[Reactie gewijzigd door postbus51 op 28 juli 2024 05:20]

simplicidad @TvdW • 9 juli 2012 16:21

Er zijn veel 'shared hosts': hosts waar alles binnen één bestandssysteem gedraaid wordt.

Vind het op zich al raar dat een provider zijn databases zou hebben draaien op een shared host.

Bedoel zelf ik - met allesbehalve de middelen van een ISP en waarschijnlijk minder kennis - heb een server draaien met mijn eigen IP, afgeschermd, etc. Lijkt mij ergens dat er enorm bespaart is geweest qua middelen.

[Reactie gewijzigd door simplicidad op 28 juli 2024 05:20]

supertheiz @simplicidad • 9 juli 2012 16:37

Je eigen IP en afgeschermd.... Dan kan het nog steeds een shared host zijn.

Zelfs een dedicated server is meestal een shared host:.
Ten eerste is deze over het algemeen op OS niveau gevirtualiseerd en staat er niet echt 1:1 een bak aan de andere kant van de lijn.
Daarnaast draaien de meeste eigen webservers meer als 1 webpagina.

Ik heb zelf ook mijn eigen webserver, daar draaien wel 15 websites (van mij) op.. Wat is het verschil? Het is dan wel mijn eigen server maar voor mijn eigen 15 websites draait er 1 database.

TvdW @supertheiz • 9 juli 2012 16:38

"Dedicated server" is nooit shared*, wat jij bedoelt is een VPS.

*tenzij de eigenaar zelf dingen zit te sharen, natuurlijk

[Reactie gewijzigd door TvdW op 28 juli 2024 05:20]

TvdW @simplicidad • 9 juli 2012 16:38

Het ging hier om een marketingactie. Het zou goed kunnen dat dat was uitbesteed aan een ander bedrijf.

huisman88 @_Piwi_ • 9 juli 2012 16:08

De meeste bedrijven hebben de beveiliging ook niet op orde. Het moet alleen maar geld opleveren en geen geld kosten.

Anoniem: 442878 @huisman88 • 9 juli 2012 18:51

De meeste bedrijven hebben de beveiliging ook niet op orde. Het moet alleen maar geld opleveren en geen geld kosten.

offtopic:
Toevallig kreeg ik vandaag van Inshared een mail dat ze de backoffice hadden aangepast en dat ik bij m'n volgende inlog m'n relatienummer moet gaan invoeren om een nieuw password te laten genereren.

Op zich niet vreemd. Wat wel vreemd is dat dit al op 14-4 gebeurd schijnt te zijn.We zijn nu bijna 2 mnd verder.
Ik heb ze dus een mail gestuurd of ze toevallig niet gehackt zijn

Ze schijven me terug
"Beste meneer M,

Bedankt voor uw mail.

Dat klopt. Wij hebben u deze e-mail gestuurd. We hebben de achterkant van onze website www.inshared.nl vernieuwd. Hierdoor is uw digitale Verzekeringsmap nog beter beveiligd. U moet hier wel eerst voor opnieuw inloggen."

[Reactie gewijzigd door Anoniem: 442878 op 28 juli 2024 05:20]

Herko_ter_Horst

@_Piwi_ • 9 juli 2012 16:12

-n.m.-

[Reactie gewijzigd door Herko_ter_Horst op 28 juli 2024 05:20]

Frozen @_Piwi_ • 9 juli 2012 16:28

Sorry, maar ik stoor mij enorm aan het gebruik van ''hun'' op plekken waar dat niet hoort te staan.
Hun is bezittelijk en niet aanwijzend; je moet zij gebruiken.

Aspider zijn beveiliging op de servers ook niet op orde en zijn hun eigenlijk net zo verantwoordelijk voor deze hack.

kijk eens op deze website: http://www.scrivere.nl/schrijftips/zij-ze-hun-of-hen/

Anoniem: 441506 @Frozen • 9 juli 2012 16:39

*offtopic*
Sommige mensen kiezen ervoor om niks aan hun stijl en schrijfwijze te doen zolang ze hun mening maar overgebracht krijgen. Dat jij hier moeite mee hebt is leuk maar voegt niks toe aan de discussie en is derhalve dus offtopic. Wat stel je voor een apart spellingsforum beginnen?
**

mae-t.net @Anoniem: 441506 • 9 juli 2012 18:29

Dat gebruiken van willekeurige woorden die met een beetje geluk wel ongeveer kloppen, gaat natuurlijk net zo lang goed tot iemand een dubbelzinnige fout maakt en er gigantische misverstanden ontstaan of in het beste geval discussies over wat er nou eigenlijk bedoeld werd.

Ik ben met je eens dat het flauw is om over spelfoutjes te zeuren, maar als tweaker zal je weten dat betekenisfouten en syntaxfouten in de ICT (dus ook in gesprekken over ICT) erg vervelend uit kunnen pakken.

Overigens kon dat overbrengen van die mening wel eens tegenvallen. Bij zo'n klein foutje als hier niet, maar iemand die er helemaal met de pet naar gooit is meestal vrij ongeloofwaardig in een discussie.

On-topic: Die hack wijst op een wel erg knullige beveiliging. Uit de berichtgeving is mij niet helemaal duidelijk of het nu om de eigen administratie gaat of om iets van een marketingfirma. Dat laatste is net zo erg, maar wel een stuk begrijpelijker gezien de reputatie van de gemiddelde 'vlugge jongens' die daarachter zitten.

[Reactie gewijzigd door mae-t.net op 28 juli 2024 05:20]

CMG 9 juli 2012 16:10

Heel slecht dat alle databases met de zelfde credentials te benaderen waren... normaal hoor je voor elke DB een eigen l/p te gebruiken zodat dit soort dingen niet kan gebeuren.

supertheiz @CMG • 9 juli 2012 16:43

Normaal zet je hem volgens mij ook op 'alleen te bereiken als localhost' Dan kan je hem alleen maar benaderen vanuit een website die op dezelfde server draait.

Als ik de nieuwsberichten lees krijg ik de indruk dat hij gewoon via remote de database heeft kunnen bereiken.

borft @supertheiz • 9 juli 2012 18:09

uhm, normaal draai je je web server niet op dezelfde machine als je database, dat schaalt natuurlijk voor geen meter!

darkfader @borft • 9 juli 2012 23:47

dan zullen de wachtwoorden uit de php scripts geplukt zijn oid.

GiLuX 9 juli 2012 16:19

beetje de schuld van die getroffen bedrijven zelf.

laten 5 offertes maken en kiezen dan de goedkoopste zonder er bij stil te staan waarom de goedkoopste aanbieding nu eigenlijk precies zoveel goedkoper is dan de rest.

en dan zit je wat later dus opeens met deze gebakken peren.

je zou zeggen dat het kaf zich wel van het koren heeft gescheiden inmiddels maar blijkbaar wil men goedkoop en zal men dus goedkoop krijgen.
aan de andere kant, wellicht is dit nu juist waarom dit soort belbedrijven goedkoper zijn dan de rest en zijn de klanten van deze bedrijven net zo goed de sjaak omdat ze goedkoop uit wilde zijn... dus ja.. als je je auto laat fixen door een goedkope beun de haas zonder deze eerst eens flink door te lichten dan moet je ook niet zeuren als je wielen er opeens afvliegen.

alien8ed @GiLuX • 9 juli 2012 17:10

Bij auto's heeft de overheid zelf een verplichte door RDW gecertificeerde monteurs uitgevoerde APK ingevoerd.
Computeren en websites publiceren mag iedere lamer zonder verdere controles.

White Hat Hackers vullen dit gat, maar worden vervolgens zelf vervolgd...
Recht is iets kroms dat gebogen is..

PS: Nee, info aan de concurrent geven is niet lief, maar het zorgt wel dat de boel serieus wordt opgepakt. Er zijn helaas genoeg verhalen bekend over eerlijk gemelde hacks die gewoon doodgenegeerd worden.

Anoniem: 310408 @alien8ed • 9 juli 2012 18:16

PS: Nee, info aan de concurrent geven is niet lief, maar het zorgt wel dat de boel serieus wordt opgepakt. Er zijn helaas genoeg verhalen bekend over eerlijk gemelde hacks die gewoon doodgenegeerd worden.

Dan stap je daarna toch naar Tweakers of weet ik wat voor andere nieuws site? Als je het aan een concurent geeft ben je gewoon een enorme sukkel. Zeker als je dat daarna nog tracht recht te praten.

Binnen een paar weekjes staat ie voor een rechter en kan hij bezien of die zijn kromme redenaties kan volgen. Het zal in elk geval ervoor zorgen dat de rechter zich geen zorgen hoeft te maken over de moraal van deze hacker. Die is niet bepaald netjes.

bantoo 9 juli 2012 16:11

Die van Simpel bevatte in elk geval privacygevoelige gegevens, onder meer adresgegevens van klanten en 'verkeersgegevens', info over met wie ze hebben gebeld en ge-sms't tot 2011.

Lekker is dat als je bij die clubs lid bent, weet ook direct de hele wereld met wie je in contact staat en op welk moment, en maar blijven voorhouden dat ze je privacy serieus nemen.

Anoniem: 64119 9 juli 2012 16:16

Ik zit zelf ook bij Lebara maar heb wel een anoniem prepaid kaartje wat ik bewust niet heb geregistreerd vanwege privacy toestanden zoals dit...........

ravenger 9 juli 2012 16:17

Nou, weten we ook weer dat we bij Aspider niets te zoeken hebben wat hosting betreft. Wat een prutsers; voor het gerecht ermee wegens nalatigheid.

snrwo1 9 juli 2012 16:44

wat verwacht je van een bedrijf dat zich "SIMPEL" noemt?

Anoniem: 428562 9 juli 2012 18:14

VPS, saas, cloud enz zijn de nieuwe verdien modellen van de ICT dienstverlening maar de kwaliteit en de beveiliging holt intussen met stappen achteruit.

endemion 9 juli 2012 16:06

Als een Hacker dit soort informatie verzamelt is het erg maar wanneer de overheid deze informatie wil hebben vinden we dat prima! Dat is toch meten met 2 maten of niet soms?

supertheiz @endemion • 9 juli 2012 16:41

3 maten:
Aan Facebook etc. geven we deze informatie vrijwillig.

En facebook verzamelt al die data echt niet omdat ze het nu eenmaal leuk vinden. Nee, ze verkopen het en daarmee verdienen ze best wel veel geld.

Huidig internet, met:
1: Hackers.
2: Overheid
3: Google, Facebook, etc.

Als Wilhelm Zaisser het zou hebben meegemaakt.... Die zou zich een slag in de rondte hebben gelachen.

Atomsk @endemion • 9 juli 2012 17:40

Nee. Als de overheid jou verdenkt van iets strafbaars, kunnen ze je bel- en surfgedrag monitoren. Een hacker maakt zich waarschijnlijk niet zo druk om jouw vermeende criminele activiteiten, maar meer om hoe hij er zelf geld aan kan verdienen (of wat voor reden hij/zij ook kan hebben). Dit is net zo'n kromme vergelijking als gevangenisbewaarders met gijzelnemers gelijkstellen.

Verder denk ik niet dat er veel mensen zijn die het prima vinden wanneer de overheid ze afluistert, dus wat dat betreft slaat je stelling ook al nergens op.

Zoefff @endemion • 9 juli 2012 16:12

Lekker makkelijk. Daarom hebben we een wetboek en maken we afspraken en regels wat wie met welke gegevens mag doen.

De overheid heeft inderdaad meer bevoegdheden. Ze mag onder bepaalde omstandigheden informatie inzien die een burger niet (zomaar) mag inzien. Ze mag ook onder bepaalde omstandigheden regels -zoals verkeersregels- overtreden. Zolang dit maar wel binnen de afspraken valt en bovendien ook controleerbaar is.

Het is natuurlijk heel leuk om de link tussen overheid en $random hacker te leggen, maar het raakt uiteindelijk kant noch wal om dergelijke vergelijkingen te maken waarbij je alle context totaal negeert.

edit:
Dank @ commentaar hieronder

[Reactie gewijzigd door Zoefff op 28 juli 2024 05:20]

Groentenman 9 juli 2012 16:08

Reactie Frans Bauer: Heb je even voor mij... Maak een lek voor mij vrij...

Op dit item kan niet meer gereageerd worden.

Ook Lebara en Youfone getroffen door Simpel-hack

Lees meer

Reacties (36)

Sorteer op:

Weergave: