Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Een hacker die toegang had verkregen tot servers van de Piratenpartij heeft vermoedelijk veel meer data buitgemaakt dan alleen de ledenadministratie. Ook databases van het forum, de webmaildienst en Etherpad waren vrij toegankelijk voor de nog onbekende aanvaller.

Dat meldt de Piratenpartij op zijn website na een eerste 'quick scan'. Volgens de partij blijkt uit een eerste inventarisatie dat de aanval door een hacker veel verder is gegaan dan toegang tot het ledenbestand. Ook diensten als het forum, webmail en Etherpad, waarmee meerdere gebruikers aan documenten kunnen werken, zouden als getroffen beschouwd moeten worden.

De Piratenpartij meldt verder dat in de ledenadministratie weliswaar naw-gegevens en e-mailadressen stonden, maar dat er geen bankgegevens waren opgeslagen. Een getroffen ldap-server gaf de aanvaller toegang tot data als gebruikersnaam, naam en e-mailadres. Wachtwoorden zouden niet zijn ingezien en bovendien versleuteld zijn.

Volgens de politieke partij moeten leden en gebruikers van zijn diensten de komende tijd rekening houden met phishingmails en andere aanvalsmethoden. Ook wordt door de Piratenpartij dringend geadviseerd om wachtwoorden te wijzigen en eventuele verdachte mails die opduiken te delen met het bestuur van de partij.

Maandag werd bekend dat de servers van de Piratenpartij afgelopen zondag zijn aangevallen op het moment dat de politieke beweging een algemene ledenvergadering had belegd. In eerste instantie werd door een bestuurslid gemeld dat in ieder geval de ledenadministratie door de aanvaller was benaderd. De partij heeft aangifte van de hack gedaan.

Moderatie-faq Wijzig weergave

Reacties (38)

"Wachtwoorden zouden niet zijn ingezien en bovendien versleuteld zijn."

Oftewel: het zou best kunnen dat de hackers ook de wachtwoorden hebben. Als ik met zo'n zinsconstructie aankom bij een klant dan krijg ik toch echt meteen de wind van voren.
sterker nog, net op de Ledenraadsvergdering een scoop meegekregen. Blijkt dat de hacker in kwestie gewoon een wachtwoord en login had om binnen te komen.

Niks mysql injecties en dat soort shizzle. Niks wachtwoorden raden of whatever. Gewoon een menselijke fout, of een leak ;)

Dus ik zie ze hierover geen aangifte doen tenzij ze zichzelf echt voor blok willen zetten of een scapegoat zoeken.
Ze kunnen alleen met 100% zekerheid zeggen wat er wel gedaan/gezien is (hier is bewijs van). Enige manier om met 100% zekerheid te zeggen of iets niet ingezien is, is als die data toen nog niet bestond of op een geheel geisoleerd, onbereikbare plaats staat (zoals een losgekoppelde usb disk bijvoorbeeld). Wat ze met de zinsconstructie aangeven is dat er geen enkel bewijs is dat deze data wel ingezien is, in tegenstelling tot de overige data welke met zekerheid wel benaderd is.

Het enige wat ik mis in de communicatie is hoe er is ingebroken (en wat hier nu tegen gedaan gaat worden). De opstelling en insteek van de piratenpartij maakt ze natuurlijk wel een erg interessant doelwit voor een hack.
Wellicht weten ze het zelf nog niet (zeker), of het is nog steeds mogelijk om op die manier in te breken.
Begrijpend lezen is toch niet zo moeilijk? Wachtwoorden zouden niet zijn ingezien, en daarnaast zijn die wachtwoorden ook nog eens versleuteld. De hackers zouden dus geen bruikbare wachtwoorden gestolen kunnen hebben.
Fatsoenlijk een reactie geven schijnt ook een uitdaging te zijn.

Indien wachtwoorden "versleuteld" zijn kunnen ze nog achterhaald worden, echter als de wachtwoorden "digested" (salted+hashed) zijn, niet meer. Dit isdus afhankelijk van de methode die LDAP gebruikt.

Dit is eigenlijk de onderliggende vraag.
Een klant zou het verschil niet zo snel horen, maar je weet dat als de implementatie niet goed gebeurt je aansprakelijk gehouden wordt.
Wat hadden ze dan moeten zeggen volgens jou?
de servers van de Piratenpartij afgelopen zondag zijn aangevallen op het moment dat de politieke beweging een algemene ledenvergadering had belegd.

Ik denk dat het iemand van binnenuit is, die ergens niet mee eens is, of mediageil is. Als iets gebeurd op zondag TIJDENS de vergadering is dit een statement en niet louter toeval volgens mij.
Het blijft natuurlijk puur speculatie, maar ik lees over veel ruzie binnen de partij door de bijna anarchistische organisatievorm. Zo'n hack als deze past dan wel binnen die context.

NotHere in 'nieuws: Hacker had toegang tot ledenadministratie Piratenpartij'
Quote van de piratenpartij site: Piraten zijn creatief, nieuwsgierig en niet tevreden met de status quo. Ze dagen het systeem uit, zoeken haar zwakheden en zoeken en vinden manieren om die te corrigeren. Piraten leren van hun fouten.

Nu alleen het gaatje dichten en de cirkel is rond. Je zou bijna gaan denken dat ze het zelf geweest zijn.

Mooier kan het toch bijna niet?

Edit: typo

[Reactie gewijzigd door klaafstra99 op 25 november 2014 08:39]

Ja inderdaad

Eigenlijk wel flauw dat ze aangifte hebben gedaan i.p.v. uitnodigen om het nu opnieuw te proberen.
Waarom is dat flauw? Als jouw onrecht wordt aangedaan doe je toch ook aangifte? Suggereer je soms hypocrisie aan het adres van de PP?

Dit is geen white hacking geweest maar een doelbewust hack van iemand of van een groep die zo te zien werkelijk overal waar ze bij konden komen ook rondgekeken hebben.

Ik snap die trend niet om alle hacking wit te wassen. Hacking is crimineel. Punt. Uit. En dan mogen er zogenaamde hackers zijn die het om een goede reden doen, prima, kan ik nog mee leven. Maar we gaan niet stelselmatig alle hacking bespreken alsof het misschien wel helemaal niets voorstelt. Dat is immoreel. Als het over jouw gestolen fiets gaat dan piep je wel anders. En dat mag ook auto zijn of je lievelingsgadget.
Als je het mij vraagt....
"Als jouw onrecht wordt aangedaan doe je toch ook aangifte?"
Bijna nooit.
"Suggereer je soms hypocrisie aan het adres van de PP?"
Een beetje wel.
"Als het over jouw gestolen fiets gaat dan piep je wel anders. En dat mag ook auto zijn of je lievelingsgadget."
Ik heb al lang geleden mijn les geleerd en sindsdien is er niets meer van mij gestolen.

De rest sloeg niet op mijn reactie of was een verkeerde aanname dat hacken minder erg zou vinden dan fietsendieven. (Hackers vind ik zelfs veel irritanter dan fietsendieven)

[Reactie gewijzigd door Jaco69 op 25 november 2014 21:18]

Je moet nooit je eigen gedrag als maatstaf nemen voor de wereld. Dat jij geen aangifte doet betekent niet dat als een ander dat wel doet ze "flauw" zijn. Ik denk bovendien dat je liegt. Ik denk dat als iemand jouw iets vreselijks aandoet, jouw helemaal in elkaar slaat en je wakker wordt op de IC, je wel aangifte doet.

Hoe jij verder omgaat met de zwaarte van het misdrijf is aan jouw. Fiets gejat vind je minder erg. Fijn voor je :-)

Waar staat ie?
Het ging om de piraten partij.

Als jij niet kan inzien waarom ik ze een beetje flauw vind jammer dan. Ik ga je niet proberen om te praten of zoals jij nu al 2 keer doet... makkelijke reacties geven op dingen die je nooit gezegd heb.

Hieronder staat wel een goed argument van M.I.
Ja inderdaad

Eigenlijk wel flauw dat ze aangifte hebben gedaan i.p.v. uitnodigen om het nu opnieuw te proberen.
Aangifte doen moeten ze wel om geen enorme flater bij de mainstream media te slaan. Dat wil nog niet zeggen dat ze die hackers voor hufters uitmaken voor wat ze hebben gedaan.

Als ze dat niet deden gaven ze het signaal af dat ze er toch niks mee doen en ze die 'criminelen' hun gang laten gaan.

Hacks van je systeem om te laten zien dat een systeem stuk is, is één ding, maar bewust de privacy van onschuldige omstanders schenden en moedwillig een proces verstoren is een tweede. Dat is niet meer hacken, maar computercriminaliteit, en hacks zijn daarbij alleen een tool.
Plus, als het "gewoon" een hack was geweest om aan te tonen dat hun systeem lek was, hadden ze denk ik geen aangifte gedaan en dat duidelijk uit kunnen leggen in de media.

Ik kan nergens vinden dat het hier ging om een dergelijke hack. Het gaat hier gewoon om stelen van gegevens, en natuurlijk doe je dan aangifte.
Dat wil nog niet zeggen dat ze die hackers voor hufters uitmaken voor wat ze hebben gedaan.
Maar dit waren geen goedwillende hackers. Anders had de hacker melding gemaakt bij de Piratenpartij dat de boel niet op orde was. Echter is dat niet gebeurt. Nu moeten de leden dus alert zijn volgens de partij op phising pogingen e.d.. De hack was dus kwaadwillend.

Uitnodigen om het opnieuw te proberen is denk ik dan ook niet aan de orde.
Kan ook een strategie zijn, waarbij ze min of meer melden dat ze de controle niet volledig in eigen hand hebben. De bewijslast om aan te voeren wat ze zoal gedaan hebben en verantwoordelijk voor kunnen worden gehouden wordt dan 'proxy-achtig'.
Aangifte doen moeten ze wel, tenzij alle leden vinden dat dat niet hoeft. Niet alleen de partij is slachtoffer, maar ook hun leden, hun informatie is immers gelekt.

Stel dat het gedaan is door een andere partij dan is het belangrijk dat de onsderste steen boven komt en dat moet dus worden onderzogt door de digitale recherche.
Als jij een archief vol gegevens van een aantal duizend mensen in je huis hebt liggen, en ik breek in met enige reden om die meuk allemaal mee te nemen en eventueel te verkopen, dan doe jij geen aangifte want jij bent een echte vent en je lost zelf je problemen op? Kom je dan met een gun achter me aan om me in mijn bakkes te schieten?
Pvv -partij voor de vrijheid- belangrijkste uitspraak: Wij willen geen moslims in dit land. Dat noem ik nou ook niet echt vrijheid.

Conclusie: Je moet de partijnamen niet letterlijk nemen. De naam piratenpartij is niet gekozen omdat ze illegale dingen willen doen. Zij staan voor digitale vrijheid en openheid.
The pirate's code is more like guidelines anyway.
Zeggen ze hier nu zelf dat piraten hackers zijn? 8)7

Na alle moeite om onderscheid te maken tussen de twee....
Of het is onze eigen AIVD geweest? Die zullen ook best wel geïnteresseerd zijn in die data. Zouden die trouwens om dat te verbergen ook phishingmails e.d. gaan versturen?
Het lijkt me nl nou ook weer niet, dat ze de buitgemaakte data gaan verkopen.
Dus mochten de leden hier verder geen gevolgen van merken dan zou dat best zo wel eens kunnen zijn.
Zijn de wachtwoorden "encrypted" of "digested" vraag ik mij dan af... Ik weet niet wat het standaard gedrag is van LDAP.
Volgens mij is dit gedaan om de partij te vernederen. Ze zijn gehacked tijdens de algemene ledenvergadering en dat terwijl ze juist de overheid brekritiseren van gebrek aan IT kennis.

On the plus side tonen ze een schoolvoorbeeld van hoe je met een hack omgaat. Ze hebben iedereen direct geinformeerd en hebben een uitgebreid overzicht gestuurd met wat voor soort data er mogelijk van je gestolen is.

[Reactie gewijzigd door 11supplier op 25 november 2014 08:47]

Tja, als iemand een steen door de ruit van je auto gooit en je smartphone jat, sta JIJ natuurlijk ook ontzettend voor lul. Want je hebt niet eens een gepantserd voertuig... oh oh oh wat dom.
Werkelijkheid is, dat naarmate de complexiteit en de omvang van informatiesystemen toeneemt, de kans op fouten (en dus misbruik daar van) groter wordt.
Ik vind dat de piratenpartij helder gecommuniceerd heeft. Het is iig geen gevalletje "pr0d@m!n"
Ik denk dat jij pretendeerd IT kennis te hebben dat een hack wel gevoeliger licht dan bij een partij die dat niet doet.

Daarnaast waarom zou jij als hacker een kleine partij targetten die (en hiervoor hulde) weinig over zijn leden opslaan?
De inlichtingen diensten zullen misschien niet rechtstreeks bij die hack betrokken zijn, maar die piraten partij was wel lange tijd al een doorn in het oog van de gevestigde macht.overheid en andere politieke partijen. Dus uit die hoek zou een eventuele hacker ook kunnen komen, of opdracht hebben gekregen.......
Nu helemaal, nu is gebleken dat ze hun digitale zaken niet op orde blijken te hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True