'IEEE plaatste onversleutelde wachtwoorden op ftp-server'

Een van oorsprong Roemeense computerwetenschapper heeft naar eigen zeggen op een openbare ftp-server van de organisatie IEEE, die onder meer standaarden vaststelt, honderdduizend gebruikersnamen en wachtwoorden aangetroffen.

De door Radu Dragusin aangetroffen wachtwoorden waren bovendien onversleuteld, schrijft hij op een speciaal opgezette website. Onder de aangetroffen data vond hij gegevens van medewerkers van onder meer Apple, Google en Samsung, evenals de NASA, de Stanford-universiteit en een groot aantal andere instellingen.

De gegevens waren te vinden in de accesslogs van de webserver, die publiek toegankelijk waren op een ftp-server, claimt de ontdekker. Inmiddels zijn deze niet meer toegankelijk, na een melding van Dragusin, maar ze zouden zeker een maand te zien zijn geweest. Het ging in totaal om 100GB aan serverlogs, oftewel 376 miljoen http-requests.

Onder de gevonden gebruikersgegevens waren ook data van flink wat Europeanen, blijkt uit de analyse van Dragusin, waaronder Nederlanders en Belgen. Het meestgebruikte wachtwoord was '123456', gevolgd door 'ieee2012' en '12345678'. Dragusin zegt, los van de analyse, geen gegevens te zullen vrijgeven.

De IEEE is een wetenschappelijke organisatie met ruim 400.000 leden, die onder meer congressen organiseert en wetenschappelijke literatuur publiceert. Ook stelt de organisatie standaarden vast: zo is de wifi-standaard een door de IEEE vastgestelde, evenals bluetooth.

Lees meer

IT Banen

Deel je skills voor jouw droombaan Meld je aan!

IT trainingen bij Computrain

Reacties (23)

Bartmanz
25 september 2012 17:50

De oplossing van de onderzoeker is zoals het hoort. Eerst de betreffende organisatie inlichten dan pas de media. Natuurlijk ongelovenlijk dat een organisatie als IEEE zulke blunders begaat.

V-rg
@Bartmanz • 25 september 2012 18:05

Hoe vervelend het ook is een mens maakt éénmaal fouten. Vaak als er fouten worden gemaakt zijn het van die standaard dingen die je gewoon over de hoofd ziet omdat het zo "normaal" is.

Maar goed ben benieuwd wat je verder kan met deze gegevens, ik zie alleen de nut in van een maillijst die je kan verkopen. Weet verder niet wat je met je account kan doen? Heel gevaarlijk de mail adres veranderen ofzo?

_Pussycat_
@V-rg • 25 september 2012 22:06

Vaak zullen de wachtwoorden ook voor andere doeleinden gebruikt zijn. Aangezien het emailadres van de personen bekend is kun je mogelijk bij hun e-mails, waar je misschien de bank kunt vinden waar dan hetzelfde wachtwoord wordt gebruikt. Niet zo heel waarschijnlijk maar als je het geautomatiseerd weet te doen zul je wel een paar treffers landen.
Ook zouden via de emailadressen andere social-engineering aanvallen gedaan kunnen worden, je kunt bijvoorbeeld de contactpersonen van iemand anders zien en hem een ogenschijnlijk van zijn moeder komende mail sturen. Dat zal vast beter weken dan de "hey, it's me, billy, remember me?" spam/social engineering attacks die ik altijd krijg.

AxzZzeL
25 september 2012 18:05

Dat een vage webshop zoiets presteert, ok, maar het IEEE hoort toch echt een heel stuk professioneler te zijn.
En wat te denken van de veelvoorkomende wachtwoorden, zijn die allemaal al gereset of verandert door de leden? Simpele wachtwoorden als '12345678' horen toch niet bij mensen die lid zijn van deze organisatie. (Hoewel staat aangegeven dat deze het meest worden gebruikt staat er niet bij in welke frequentie.)

Sissors
@AxzZzeL • 25 september 2012 20:44

Als je weet hoe de IEEE wachtwoorden opslaat dan ben je gek als je een serieus wachtwoord daar gebruikt (iig ik gebruik mijn serieuse wachtwoorden op meerdere locaties). Ze slaan alles op in plain text, iig als je wachtwoord vergeten bent sturen ze hem terug in plain text (dus goede kans dat ze hem ook zo opslaan, zeker weten geen hash).

Je moet verplicht twee geheime vragen hebben waarbij je flink beperkte keuze hebt waaruit die kunnen bestaan, dus dat is ook redelijk doelloos.

Van één van hun grotere conferenties weet ik dat je als formaat voor submissies "MS Word" als formaat moet gebruiken. Sowieso vind ik zelfs als fervent office gebruiker (itt bijvoorbeeld LateX) het vreemd om dat niet in iets neutraler formaat te doen, maar belangrijker nog dat "MS Word" een programma is, geen formaat.

marcoverhoog
@Sissors • 26 september 2012 08:51

Ik zou op conferenties inderdaad iets als TeX verwachten, dat wordt in ons eerste jaar op de uni ook al van de studenten verwacht.

jopiek
@marcoverhoog • 26 september 2012 09:00

Nou ik weet niet op welke uni jij zit, maar dat valt in de praktijk nogal tegen

sumac
@jopiek • 26 september 2012 09:59

Misschien de Universiteit van 1980?

dog4life
25 september 2012 19:50

Waarschijnlijk gewoon de user login, om zo de standaarden te kunnen downloaden/inzien. Zal me niets verbazen als jij & ik dit ook gewoon kunnen aanvragen?

Mijn externe wachtwoorden stellen ook niet veel voor, maar die zijn dan ook enkel bedoeld om inderdaad standaarden etc op te vragen...

Pixeltje

26 september 2012 09:01

Slordig, maar ik kan uit het bericht lastig opmaken wat voor problemen dit met zich meebrengt. Liggen er nu andere gegevens op straat of is dit (gelukkig) een slordige fout die vooralsnog zonder veel consequenties afgehandeld kan worden?

Webmail
25 september 2012 17:47

Zitten hier ook algoritmes enzovoort bij? Of is het alleen voor een intranet iets?

402720
@Webmail • 25 september 2012 17:51

het gaat alleen om een toegangs log, in een map die onjuist toegankelijk was voor het puliek, zie bron artikel.

Webmail
@402720 • 25 september 2012 17:53

Maar wat zit er in de login-gegevens? Inloggen als gebruiker, en dan?

Blokker_1999

Verenigde staten
Privacy

@Webmail • 25 september 2012 18:13

waarschijnlijk de access log van een webserver. Daarin zie je elke URL die door een webbrowser word aangeroepen. Als jij dus ergens gaat inloggen op een website, dan verstuur jij je wachtwoord naar de webserver. Als dit via een GET gebeurd dan komt die data in de URL terecht en dus in de access log.

Dat deze log bestaat is dus het probleem niet, wel dat deze publiekelijk toegankelijk is.

Kompaan
@Blokker_1999 • 25 september 2012 18:21

Probleem is wel degelijk dat deze log bestaat, wachtwoorden dienen nooit in plaintext opgeslagen te worden.

Rwesterh
@Kompaan • 25 september 2012 18:28

Het is meer dat ze in de GET gegevens zitten, zoals Blokker zegt. Je kunt (nou ja, misschien ook wel) niet gegevens encrypted via een GET sturen. Misschien via SSL of creatief met Javascript, maar goed.

Glashelder

@Rwesterh • 25 september 2012 19:46

GET parameters komen hoe dan ook, wel of geen SSL, unencrypted in het log terecht

kajdijkstra
@Kompaan • 25 september 2012 19:55

wachtwoorden dienen nooit in plaintext opgeslagen te worden.

Edit: wachtwoorden dienen nooit in plaintext verstuurd te worden.

Rollo
@Blokker_1999 • 25 september 2012 18:57

Welke idioot maakt er vandaag de dag, of uberhaupt, een aanlogmechanisme via een GET??? Over worst practices gesproken... Verwacht zeker niet dat ze bij IEEE zojuist ooit accepteren en dat zal wel niet de issue zijn. En een accesslog heeft niks te maken met je url requests...

[Reactie gewijzigd door Rollo op 25 september 2012 19:01]

CodeCaster
@Rollo • 25 september 2012 21:42

En een accesslog heeft niks te maken met je url requests

Wat bedoel je? Een accesslog (van een webserver althans) bevat júist de opgevraagde URL's.

Dat het waarschijnlijk om GET-parameters gaat blijkt ook wel uit deze zin:

log entries with password details: 411.308 (of which 17.157 are password reset requests and have no username field)

Rollo
@CodeCaster • 26 september 2012 11:35

Hmm mijn hoofd zit waarschijnlijk te veel bij de security access log.. Toch wel weird als er inderdaad in de URL passworden worden geplaatst? Hoe unsafe is dat???

Rwesterh
@Webmail • 25 september 2012 17:49

Ik denk dat als het access logt bevat het alleen inloggegevens zijn voor een website van ze.

Weyland
25 september 2012 18:03

Een wachtwoord standaard zit er niet in bij IEEE.

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers