Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Joost Schellevis

Redacteur

2011: alles is te hacken

Anonymous en sql-injecties

In 2011 waren Anonymous, AntiSec en LulzSec geen begrippen die grotendeels op 4Chan en weblogs bestonden, maar die je ook bij het lezen van de krant kon tegenkomen. Hack na hack en datalek na datalek werden naar buiten gebracht door deze groepen, door Tweakers.net steevast omschreven als een 'los-vast verband', bij gebrek aan een betere omschrijving.

Wat Anonymous en de aanverwante groepen precies zijn, is moeilijk te zeggen, maar interessanter is wat ze dóen. In 2011 was dat vooral het aantonen van beveiligingsproblemen in websites, waarbij vaak ook persoonsgegevens werden gepubliceerd die dankzij de hack konden worden achterhaald.

Sql-injectie

Het waren doorgaans eenvoudig te vinden kwetsbaarheden. Vrijwel altijd ging het om sql-injecties. Een sql-injectie maakt het mogelijk om via een slecht beveiligde website eigen tekst toe te voegen aan een database-query, waardoor bijvoorbeeld informatie uit een database kan worden getrokken die eigenlijk privé zou moeten blijven. Ook kan vaak informatie worden weggeschreven.

Sql-injecties zijn eenvoudig te voorkomen. Het devies voor ontwikkelaars is eenvoudig: sanitize your database inputs, zoals XKCD in een beroemde comic al stelde. Toch voeren veel ontwikkelaars input van gebruikers rechtstreeks door naar een query.

Dat is iets wat het Sinterklaasjournaal deed, waardoor de gegevens van 13.000 kinderen toegankelijk waren. Net als poppodium Tivoli. En webwinkels. Omroep Llink. Belegger.nl. Nokia. InHolland. De VARA. De NAVO. Een reseller van Comodo. De Politiebond. Een datingsite. Apple. En zelfs de website van de MySQL-databasesoftware zélf.

En het is niet alsof sql-injecties moeilijk zijn om uit te voeren: er zijn talloze tooltjes te vinden die de kwetsbaarheden kunnen opsporen en vervolgens een hele databasedump kunnen maken.

Maar een sql-injectie is nog een spannende technische noviteit, vergeleken met de blunders die sommige bedrijven maakten. Zo zette Vakantieveilingen.nl privégegevens in de html-broncode van pagina's - perfect als json geformat en dus eenvoudig geautomatiseerd te misbruiken. De Woonbond plaatste een administratiemodule voor enquêtes onbeschermd op internet, waardoor iedereen persoonlijke onthullingen van huurders over bijvoorbeeld burenruzies kon opvragen.

Over het algemeen kunnen websites zich redelijk eenvoudig wapenen tegen dit soort basale beveiligingsfouten - beter dan tegen andere bedreigingen, zoals virussen die zijn ontworpen om kerncentrales te ontregelen. We hebben het over Stuxnet.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True