Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 91 reacties

Een hacker is binnengedrongen in de databases van de Piratenpartij. Daarbij is mogelijk ook de ledenadministratie toegankelijk geweest. De partij onderzoekt momenteel nog of er daadwerkelijk gegevens zijn gedownload uit de databases.

PiratenpartijDe hack vond zondag plaats, precies op de dag dat de Piratenpartij een algemene ledenvergadering had, heeft de partij bekendgemaakt. De hacker heeft toegang gehad tot bronbestanden van de website en de databases, aldus de partij. Na de hack was de website enige tijd offline.

"Het bestuur is momenteel bezig om alles uit te zoeken", aldus Dirk Poot, die in 2012 lijsttrekker was van de partij. "Maar het lijkt er op dat de de hacker informatie heeft gehaald uit meerdere databases." Daarbij gaat het onder meer om de ledenadministratie en de webmaildienst van de Piratenpartij.

De partij onderzoekt momenteel hoeveel informatie de hacker daadwerkelijk heeft buitgemaakt en of hij ook toegang heeft gehad tot de ldap-omgeving van de partij. De piraten adviseren leden om hun wachtwoorden voor de maildienst en de ldap-omgeving van de partij uit voorzorg te wijzigen. Het is onbekend of de hacker ook bronbestanden van de website heeft gewijzigd, bijvoorbeeld om een sniffer die tekstinvoer afvangt in te bouwen.

Moderatie-faq Wijzig weergave

Reacties (91)

Onlogisch is het niet.
Ze gebruiken ruk software waar meerdere mensen, ik inclusief, voor hebben gewaarschuwd dat ze het gewoon niet moeten doen. Zeker niet in combinatie met andere informatie over de site en servers die publiek beschikbaar zijn van de piratenpartij, dat maakt t de hacker mogelijk makkelijker.
Zo kan je bijvoorbeeld zonder probleem inzien welke plugins ze allemaal hebben draaien:
https://github.com/Pirate...master/wp-content/plugins
Er hoeft er maar 1 gaar te zijn, en de hacker hoeft geeneens moeite meer te doen om te proberen te kijken of er een kapotte plugin op staat: de github vertelt hem/haar meteen alles wat ze moeten weten. (Verder kan je ook de rest van hun Wordpress broncode bekijken natuurlijk, en zo ook precies zien wat ze draaien; welke gaten er eventueel (nog) inzitten, etc..)
En kan je hier configuraties inzien van bepaalde servers:
https://github.com/Piratenpartij/systems/tree/master/systems
Als daar een fout of lek in zit, kan het ook meteen gezien worden door een kwaadwillende.

Security by obscurity is no security, maar je kan er toch beter voor kiezen om dit soort dingen over te laten aan een wat beperktere groep testers, in plaats van het maar en publique neer te flikkeren.

Dat tevens ook blijkt dat de ledenadministratie niet goed/extra beveiligd is en kennelijk te benaderen is via de normale server stelt ook wel weer wat vraagtekens wie zo snugger is geweest om dat op die manier in te richten. Dat lijkt me niet in overeenkomst met de richtlijnen voor bescherming persoonsgegevens...

De piratenpartij heeft, over het algemeen en met uitzondering van een aantal punten, best een aantal goede standpunten. Die maken ze heel slecht bekend, maar de filosofie is niet verkeerd. Het is de partij zelf die nogal eens wat laat schieten.

Het is constant gelazer met allerlei ruzies, vooral binnen het site/server gedeelte; en dat dit mis zou gaan omdat kennelijk niemand het werkelijk serieus neemt en er allerlei rare keuzes door de strot worden gedrukt zonder de experts te raadplegen... Ja, ik kijk er niet meer van op eigenlijk. Je hoopt dat het niet gebeurt, maar alas: het lijkt op een gevalletje "wie niet horen wilt moet maar voelen", het is alleen erg jammer dat hierbij kennelijk de leden zijn die het 't meeste gaan voelen omdat hun gegevens op straat liggen.

De Piratenpartij moet eens orde op zaken gaan stellen, en voortaan luisteren naar de werkelijk experts in plaats van "wij vinden dit mooi/leuker, dus gaan we hier toch voor; we don't care what you say.".

[Reactie gewijzigd door WhatsappHack op 24 november 2014 18:56]

Twee jaar geleden heeft de Piratenpartij een mailing verstuurd aan 843 leden met alle adressen in de CC in plaats van BCC. Daar zat ook mijn emailadres tussen. En nu dit. Van de PiratenPartij verwacht ik dat ze professioneel zijn met ICT en zorgvuldig omgaan met persoonsgegevens. Maar dat zijn ze niet genoeg, en ze zijn ook nog te klein om iets voor elkaar te krijgen, dus stem ik tegenwoordig D66. Zie ook digitalevrijheidswijzer.nl om te kijken welke partij je beter wel of niet kunt stemmen als je een vrij internet en bescherming van digitale gegevens belangrijk vindt.
Ongeveer de zelfde tijd dat ze die blunder met die mailing maakten is het ze ook niet gelukt om verkiezingsposters naar onderandere mijn woonplaats (naar mij om precies te zijn) te sturen.
Als je wilt dat mensen op je stemmen moet je bekendheid zien te krijgen, en een traditionele maar nog steeds effectieve manier is door posteren.
Ze waren toen waarschijnlijk te druk met bootje varen. (Dat was echt een geval verkeerde prioriteiten stellen).

Toen was het ook met mijn lidmaatschap direct afgelopen.

Mag ik je er overigens aan herinneren dat door de heer L.J. Brinkhorst van D66 we bijna met softwarepatenten zaten nu? Dat heeft ook mijn vertrouwen in D66 ernstig geschaad.
nieuws: Minister Brinkhorst blijft voor softwarepatenten
Maar zoals je ook kan lezen in de 2+ gewaardeerde reacties op dat nieuws: Dat was tegen het standpunt van D66 in, en bekritiseerd door diverse andere partijleden. Brinkhorst kan je misschien ook zien als iemand van een oudere generatie met weinig verstand van ICT die inmiddels is ingehaald door een nieuwe generatie waardoor de kans op herhaling klein is. Maar ik ken Brinkhorst niet goed genoeg om dat met zekerheid te stellen.

Bovendien is er geen andere keuze dan D66 als je vůůr internetvrijheid bent, maar GroenLinks en PvdA te links vindt. Alle "rechtse" partijen prevaleren bestrijding van criminaliteit boven vrijheid.
Kamermeerderheid en kamervragen of niet, hij heeft zo gestemd, tegen het advies in, en het is nooit meer goed gekomen, ondanks aandringen op stem-intrekken etc.
Als D66 toenertijd echt ballen had gehad dan hadden ze Brinkhorst een schop onder zijn kont gegeven voor zijn VVDige gedrag. Maar dat hebben ze niet, dus gaan ze in het mapje sjoemelaars, samen met het hele rechtse blok en de pvda.
Jammer dat er daarom niet veel soeps overblijft.
Tja, zo werkt democratie.

Terug naar on-topic:
Het hele piratenpartij-debacle heeft me ook erg teleugesteld toen.
Wij hebben toendertijd onze eigen posters en flyers laten drukken. Bestuur had beloofd dit te vergoeden (totaalwaarde 400 euro) maar nooit terug gezien.

Heb ook nog op GOGBOT 2012 lopen flyeren. Bestuur had 100 euro voor onderdak en eten voor 4 dagen beloofd. Nooit wat van terug gezien. Mede als resultaat erdoor heb ik 2 anderen eten en treinkaartje naar huis kunnen betalen (plus hun overnachting in Enschede). Als ik een van die niet een flinke zak eten had meegegeven was die verhongerd. En dat terwijl dit vanuit bestuur als officieel besluit was beloofd om per persoon 100 euro beschikbaar te stellen. IMO niet de beste behandeling voor iemand op de kandidatenlijst.

Overigens, die boot, dat was 3 weken lang vakantie vieren op de kosten van de partij ;) Na felle kritiek hebben ze het dit jaar met de EU verkiezingen weer gedaan.

Ik heb 2 jaren lang dit gedrag via de Ledenraad proberen te laten veranderen. Is me niet gelukt en heb toen ook in oktober dit jaar de eer aan mezelf gehouden. Heb wel betere dingen te doen met mijn tijd.
Helaas wil D66 onze soevereiniteit weggeven aan europa, anders zou ik daar misschien ook wel op stemmen.
Dat is logischer dan je denkt.

De VVD is fundamenteel wantrouwender dan D'66. Dat wantrouwen bij de VVD leidt tot de wens voor meer afluisteren door de AIVD, maar ook meer wantrouwen richting de EU. D'66 in vergelijking gelooft dat 't allemaal niet zo'n groot probleem is als de VVD doet voorkomen. Ze vertrouwen de burgers meer, maar ook de EU bureaucraten.

De keuze tussen de VVD en D'66 hangt dus behoorlijk samen met je mensbeeld.

Als je wťl gelooft dat Nederlanders te vertrouwen zijn, maar nŪet dat Europeanen te vertrouwen zijn, dan pas beter bij de PVV als bij VVD of D'66.
Ik denk dat mensen en europeanen over het algemeen best te vertrouwen zijn. Maar dat is geen reden om onze soevereiniteit weg te geven.

D66 zal zeggen dat het europese politieke process dan soepeler verloopt en wij daardoor ook meer macht krijgen. Maar in de praktijk blijkt dat helemaal niet te kloppen. Schaalvergroting heeft vaak helemaal niet de positieve gevolgen die men belooft, fuserende gemeente, scholengemeenschappen, verzorgingstehuizen, banken. Het leidt ook allemaal tot grote problemen.

Daarbij hoef je om die voordelen te behalen je soevereiniteit niet weg te geven. Ook al lijkt het dan of die landen/groepen onderling het niet eens kunnen worden. Vaak is daar juist goede reden voor, verschillende landen/groepen hebben namelijk verschillende belangen. D66 wil die belangen opofferen voor een belofte die niet waar gemaakt wordt.

Het gaat mij dus niet om vertrouwen maar om realistisch zijn.

[Reactie gewijzigd door crackletinned op 25 november 2014 09:36]

VInd het wel een stukje ironie dat een club van toch vooral techneuten en slimme mensen gehackt wordt. Inside job?

(ben zelf lid/donateur PP, maar zelfspot mag best he :-))
Eerder een outside job om een punt te maken, lijkt mij persoonlijk.
Maar je zou zomaar gelijk kunnen hebben.

Er wordt hier inderdaad gewoon een punt gemaakt.
Die gasten die zoveel om tech en veiligheid online geven zijn de hak gezet.
Wel interessant om te weten door wie.

Mijn steun hebben ze nog steeds.

Het is ansich wel ironisch, dat de partij die het meest opkomt voor onze digitale rechten en vrijheden nu het hardst moet vechten om zelf niet aangevallen te worden.
Dat zal ook wel een gedachtengang van de aanvallers geweest zijn, misschien.
Tja iedereen kan gehacked worden. Wel goed dat ze er eerlijk en snel over communiceren.
Piraterij gaat over schending van copyright, ze claimen niet de perfecte ICT in handen te hebben.
Perfecte IT bestaat ook niet, zelfs niet bij een perfecte portomonnee en een perfecte deadline voor de implementatie ;)
Ironisch? Natuurlijk.
Maar gezien de zeer beperkte middelen en de vrijwillige basis waarop de piraten werken, vind ik het niet zo heel erg kwalijk.
Dus jij vergeeft het de Nederlandse afdeling van de Piraten Partij dat het een zooitje amateurs zijn?

Ik niet. Dit is het zoveelste bewijs van incompetent gedrag dat een democratie onwaardig is.

Als ze niet eens hun eigen beginselen kunnen uitvoeren dan houdt het toch gewoon op? Wat voegen deze mensen nu nog toe aan het politieke bestel? De uitgangspunten van de Internationale Piratenpartij worden door andere partijen in het Nederlandse bestel voldoende afgedekt en de ellelange lijst met blunders en amateurisme van deze partij maakt ze overbodig.
Of het vrijwillige basis is of professioneel, de boodschap is ga goed met data om van anderen en doe er alles aan om data te beschermen.

Het "hardenen" van de bron bestanden, laat eenvoudig niet toe dat er wijzigingen worden gemaakt, dan wel dat deze gelogd worden. Hier zijn open source mogelijkheden voor te vinden.
Linux is gratis en vrij, dus die beperkte middelen maken niet uit. Er is blijkbaar geen enkele (ethische) hacker / tweaker / beveiligingsexpert te motiveren om deze partij bij te staan. Iets dat toch wel wat zegt over deze club.
Het maakt in ieder geval pijnlijk duidelijk dat IT security overal een groot issue is.
En inderdaad is Piratenpartij nog een klein clubje met heel goede bedoelingen maar beperkte mogelijkheden. Dus als nou meer mensen dat erg genoeg vinden en (actief) lid worden van PP,
kan de partij misschien dit soort incidenten ontgroeien ;)
(En ja, ik ben al lid, dus mijn gegevens liggen al op straat :P)

[Reactie gewijzigd door alien8ed op 24 november 2014 13:48]

Dat het tijdens de ledenvergadering gebeurde zal wel geen toeval zijn, maar gepland...
Gevaltje, "hackers gaan voor systemen, geheime diensten gaan voor systeembeheerders". De vermoedelijke grote aanhang onder ITer's, maakt dit intressant voor diensten die een totaal plaatje van deze mensen willen hebben. Op zichzelf zou een radicale partij, zoals de piratenpartij, ook al in de gaten gehouden worden door diensten, maar die hebben ook nog wat fisieke mogelijkheden.
De PP in de gaten houden? De AIVD heeft niet eens genoeg budget om de Syriegangers in de gaten te houden. Zelfs al zou de PP op de AIVD watchlist staan (wat me sterk lijkt), dan nog staan ze ergens in de staart van die lijst. Zelfs de PvdD staat hoger op die lijst (want bekende verbanden met aanslagplegers)
Ik doelde ook niet op de AIVD omdat die ook andere middelen tot zijn beschikking heeft in Nederland, in tegenstelling tot een buitenlandse mogendheid. Overigens, het lijd geen twijfel dat de PP op de watchlist staat, want zo wat alles en iedereen staat op de watchlist. Ik denk dat je een geheime dienst in de war haalt met een politie afdeling. De politie heeft een vermoeden van een strafbaar feit nodig, een geheime dienst niet. Fundamenteel is eigenlijk iedere geheime dienst een bedreiging voor de democratie, omdat een democratie radicale ideeŽn een platform geeft, maar die vervolgens met argument deradicaliseerd, terwijl een geheime dienst de radicalen poogt dwars te zitten en weg te stoppen, waardoor verdere radicalisering optreed.
Als software engineer ben ik toch altijd nieuwsgierig naar hoe (en hoe makkelijk) hackers binnen weten te komen bij dit soort sites. Zeker aangezien het niet lijkt op de zoveelste niet up to date zijnde PHP applicatie.
Toch jammer. Piraten partij moet een technisch onderlegde partij zijn en dit soort incidenten suggereren het tegendeel. Ik heb al eerder een mail van de gehad over een probleem met hun forumsoftware. Soortgelijk incident.
Ik ben lid geweest van de partij, maar vanwege hun oneindige interne gesteggel ben ik er vorig jaar uitgestapt. Het grootste probleem is waarschijnlijk dat niet, zoals bij de meeste partijen, de partijfilosofie centraal staat en beheerd wordt door de organisatie; bij de PP staan juist de leden centraal. Een nobel streven, maar in de praktijk werkt het niet.

Alle iniatieven moeten van random leden komen. Wat gebeurt er als twee (groepen) leden het niet met elkaar eens zijn? Er is geen enkele manier aanwezig om dat op te lossen, het verzandt keer op keer in modderslingeren. De hele partij bestaat uit kliekjes waar je tussendoor moet maneuvreren in de hoop dat je zelf niet tussen een ruzie belandt.

Hoe dan ook, ik ben al een tijd geen lid meer, maar kreeg een paar weken terug nog wel een mail van ze "hey je moet je contributie nog betalen!" Ze hebben me dus blijkbaar nog altijd in hun database staan, die mogelijk gehackt is. Geen fijne gedachte.
Ik dacht al dat het aan mij lag. Ik kreeg ook die betaal-contributie-mail terwijl ik me al had uitgeschreven. Dus mijn gegevens zijn ook fijn bekend bij de hacker.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True