'IEEE plaatste onversleutelde wachtwoorden op ftp-server'

Een van oorsprong Roemeense computerwetenschapper heeft naar eigen zeggen op een openbare ftp-server van de organisatie IEEE, die onder meer standaarden vaststelt, honderdduizend gebruikersnamen en wachtwoorden aangetroffen.

De door Radu Dragusin aangetroffen wachtwoorden waren bovendien onversleuteld, schrijft hij op een speciaal opgezette website. Onder de aangetroffen data vond hij gegevens van medewerkers van onder meer Apple, Google en Samsung, evenals de NASA, de Stanford-universiteit en een groot aantal andere instellingen.

De gegevens waren te vinden in de accesslogs van de webserver, die publiek toegankelijk waren op een ftp-server, claimt de ontdekker. Inmiddels zijn deze niet meer toegankelijk, na een melding van Dragusin, maar ze zouden zeker een maand te zien zijn geweest. Het ging in totaal om 100GB aan serverlogs, oftewel 376 miljoen http-requests.

Onder de gevonden gebruikersgegevens waren ook data van flink wat Europeanen, blijkt uit de analyse van Dragusin, waaronder Nederlanders en Belgen. Het meestgebruikte wachtwoord was '123456', gevolgd door 'ieee2012' en '12345678'. Dragusin zegt, los van de analyse, geen gegevens te zullen vrijgeven.

De IEEE is een wetenschappelijke organisatie met ruim 400.000 leden, die onder meer congressen organiseert en wetenschappelijke literatuur publiceert. Ook stelt de organisatie standaarden vast: zo is de wifi-standaard een door de IEEE vastgestelde, evenals bluetooth.

Door Joost Schellevis

Redacteur

25-09-2012 • 17:44

23

Reacties (23)

23
23
17
1
0
4
Wijzig sortering
De oplossing van de onderzoeker is zoals het hoort. Eerst de betreffende organisatie inlichten dan pas de media. Natuurlijk ongelovenlijk dat een organisatie als IEEE zulke blunders begaat.
Hoe vervelend het ook is een mens maakt éénmaal fouten. Vaak als er fouten worden gemaakt zijn het van die standaard dingen die je gewoon over de hoofd ziet omdat het zo "normaal" is.

Maar goed ben benieuwd wat je verder kan met deze gegevens, ik zie alleen de nut in van een maillijst die je kan verkopen. Weet verder niet wat je met je account kan doen? Heel gevaarlijk de mail adres veranderen ofzo?
Vaak zullen de wachtwoorden ook voor andere doeleinden gebruikt zijn. Aangezien het emailadres van de personen bekend is kun je mogelijk bij hun e-mails, waar je misschien de bank kunt vinden waar dan hetzelfde wachtwoord wordt gebruikt. Niet zo heel waarschijnlijk maar als je het geautomatiseerd weet te doen zul je wel een paar treffers landen.
Ook zouden via de emailadressen andere social-engineering aanvallen gedaan kunnen worden, je kunt bijvoorbeeld de contactpersonen van iemand anders zien en hem een ogenschijnlijk van zijn moeder komende mail sturen. Dat zal vast beter weken dan de "hey, it's me, billy, remember me?" spam/social engineering attacks die ik altijd krijg.
Dat een vage webshop zoiets presteert, ok, maar het IEEE hoort toch echt een heel stuk professioneler te zijn.
En wat te denken van de veelvoorkomende wachtwoorden, zijn die allemaal al gereset of verandert door de leden? Simpele wachtwoorden als '12345678' horen toch niet bij mensen die lid zijn van deze organisatie. (Hoewel staat aangegeven dat deze het meest worden gebruikt staat er niet bij in welke frequentie.)
Als je weet hoe de IEEE wachtwoorden opslaat dan ben je gek als je een serieus wachtwoord daar gebruikt (iig ik gebruik mijn serieuse wachtwoorden op meerdere locaties). Ze slaan alles op in plain text, iig als je wachtwoord vergeten bent sturen ze hem terug in plain text (dus goede kans dat ze hem ook zo opslaan, zeker weten geen hash).

Je moet verplicht twee geheime vragen hebben waarbij je flink beperkte keuze hebt waaruit die kunnen bestaan, dus dat is ook redelijk doelloos.

Van één van hun grotere conferenties weet ik dat je als formaat voor submissies "MS Word" als formaat moet gebruiken. Sowieso vind ik zelfs als fervent office gebruiker (itt bijvoorbeeld LateX) het vreemd om dat niet in iets neutraler formaat te doen, maar belangrijker nog dat "MS Word" een programma is, geen formaat.
Ik zou op conferenties inderdaad iets als TeX verwachten, dat wordt in ons eerste jaar op de uni ook al van de studenten verwacht.
Nou ik weet niet op welke uni jij zit, maar dat valt in de praktijk nogal tegen ;)
Misschien de Universiteit van 1980?
Waarschijnlijk gewoon de user login, om zo de standaarden te kunnen downloaden/inzien. Zal me niets verbazen als jij & ik dit ook gewoon kunnen aanvragen?

Mijn externe wachtwoorden stellen ook niet veel voor, maar die zijn dan ook enkel bedoeld om inderdaad standaarden etc op te vragen...
Slordig, maar ik kan uit het bericht lastig opmaken wat voor problemen dit met zich meebrengt. Liggen er nu andere gegevens op straat of is dit (gelukkig) een slordige fout die vooralsnog zonder veel consequenties afgehandeld kan worden?
Anoniem: 394438 25 september 2012 17:47
Zitten hier ook algoritmes enzovoort bij? Of is het alleen voor een intranet iets?
het gaat alleen om een toegangs log, in een map die onjuist toegankelijk was voor het puliek, zie bron artikel.
Maar wat zit er in de login-gegevens? Inloggen als gebruiker, en dan?
waarschijnlijk de access log van een webserver. Daarin zie je elke URL die door een webbrowser word aangeroepen. Als jij dus ergens gaat inloggen op een website, dan verstuur jij je wachtwoord naar de webserver. Als dit via een GET gebeurd dan komt die data in de URL terecht en dus in de access log.

Dat deze log bestaat is dus het probleem niet, wel dat deze publiekelijk toegankelijk is.
Probleem is wel degelijk dat deze log bestaat, wachtwoorden dienen nooit in plaintext opgeslagen te worden.
Het is meer dat ze in de GET gegevens zitten, zoals Blokker zegt. Je kunt (nou ja, misschien ook wel) niet gegevens encrypted via een GET sturen. Misschien via SSL of creatief met Javascript, maar goed.
GET parameters komen hoe dan ook, wel of geen SSL, unencrypted in het log terecht :)
wachtwoorden dienen nooit in plaintext opgeslagen te worden.
Edit: wachtwoorden dienen nooit in plaintext verstuurd te worden.
Welke idioot maakt er vandaag de dag, of uberhaupt, een aanlogmechanisme via een GET??? Over worst practices gesproken... Verwacht zeker niet dat ze bij IEEE zojuist ooit accepteren en dat zal wel niet de issue zijn. En een accesslog heeft niks te maken met je url requests...

[Reactie gewijzigd door Rollo op 23 juli 2024 19:10]

En een accesslog heeft niks te maken met je url requests
Wat bedoel je? Een accesslog (van een webserver althans) bevat júist de opgevraagde URL's.

Dat het waarschijnlijk om GET-parameters gaat blijkt ook wel uit deze zin:
log entries with password details: 411.308 (of which 17.157 are password reset requests and have no username field)
Hmm mijn hoofd zit waarschijnlijk te veel bij de security access log.. Toch wel weird als er inderdaad in de URL passworden worden geplaatst? Hoe unsafe is dat???
Ik denk dat als het access logt bevat het alleen inloggegevens zijn voor een website van ze.
Een wachtwoord standaard zit er niet in bij IEEE.

Op dit item kan niet meer gereageerd worden.