Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
Nederlandse Politiebond.
Gebruikers van de website van de Nederlandse Politiebond.
"[...] alle inlognamen, gecodeerde wachtwoorden en een aantal volledige namen [...] Gelukkig voor de gebruikers lijken [de inlognamen] gekoppeld aan het lidmaatschapsnummer. De inlognamen bestaan enkel uit cijfers waardoor deze niet direct te koppelen zijn aan personen. De gelekte wachtwoorden in de database zijn nog versleuteld met MD5. Toch blijken deze wachtwoorden, zeker met behulp van rainbow tables, vrij eenvoudig te kraken waarop een kwaadwillende op eenvoudige wijze toegang kan krijgen tot bijna alle accounts van de vakbond. Eenmaal ingelogd krijgt een inbreker wel toegang tot profielgegevens. Een andere gestolen en gepubliceerde database geeft slechts een lijst van medewerkers zonder overige informatie. Wel zijn hier direct de volledige namen van alle medewerkers van de Politiebond te zien, dit kan zou handig kunnen zijn voor social engineering. In de lijst van medewerkers staan overigens ook wat onzin zoals bijvoorbeeld 'Keine Ahnung'." (WebWereld, 11/07/05)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"Hackers van het los-vaste collectief Anonymous hebben de website van de Nederlandse Politiebond gekraakt en de volledige database op de website PasteBin gezet, dat tipt de anonieme hacker 'Goo' aan Webwereld. [...] Webwerelds tipgever laat weten dat de databaseserver van de Nederlandse Politiebond een verouderde versie van MySQL draaide. Mede daardoor wist het hackersverbond de server van de vakbond te kraken. De groep deed dat met behulp van een sql-injectie. [...] Een tweede anonieme tipgever laat Webwereld dinsdagavond laat weten dat hij zonder enige moeite 614 van de 773 wachtwoorden in de gelekte database heeft weten te kraken. Deze tipgever, die geen lid is van Anonymous en ook geen hacker genoemd wil worden, heeft de gegevens online geplaatst." (WebWereld, 11/07/05)
"Dinsdagmiddag werd Tweakers.net getipt over een beveiligingslek in de website van de Nederlandse Politiebond, een vakbond voor medewerkers van de politie. Het bleek mogelijk om op een bepaalde pagina aan een variabele eigen sql-queries toe te voegen." (Tweakers.net, 11/07/06)
"In een eerste reactie laat een zegsman de Nederlandse Politiebond weten dat de hack volgens de technici van de bond niet zo serieus is ' de wachtwoorden zijn immers gecodeerd', zo stelt hij. Nadat hij van Webwereld hoort dat een aantal eenvoudige wachtwoorden met een druk op de knop gekraakt is belooft hij toch dat de bond serieus naar de hack zal kijken. 'We gaan er in ieder geval voor zorgen dat zoiets niet meer gebeurt', zegt de woordvoerder. Hij vindt het vooral vervelend omdat veel mensen wachtwoorden toch hergebruiken. Dat de vakbond als inlognaam een anoniem nummer gebruikt is daarbij een flinke meevaller. Cybercriminelen zullen dan een extra stap moeten zetten om een e-mailadres aan een wachtwoord te koppelen. [...] In afwachting van een oplossing voor het probleem heeft de Nederlandse Politiebond inmiddels haar hele website offline gehaald." (WebWereld, 11/07/05)
"De Politiebond beloofde Tweakers.net het lek zo snel mogelijk te dichten. Woensdagmorgen, toen andere media al over het beveiligingsprobleem gepubliceerd hadden, bleek het beveiligingsprobleem echter nog steeds te bestaan. Een ontwikkelaar die in opdracht van de Politiebond werkt, [...], beweerde tegenover Tweakers.net dat het beveiligingsprobleem was opgelost. 'Alle variabelen worden opgeschoond met de mysql_real_escape_string-functie', aldus [de ontwikkelaar]. Die functie is bedoeld om variabelen op te schonen voordat ze in een sql-query worden gebruikt. Toen [...] werd verteld dat het manipuleren van sql-queries nog steeds eenvoudig mogelijk was - wat er op duidt dat de betreffende functie niet of onjuist wordt gebruikt - beloofde de ontwikkelaar om nogmaals naar het probleem te kijken. Een uur later is de gehele website van de Politiebond uit voorzorg offline gehaald. Daarmee kon echter niet worden voorkomen dat een gedeeltelijke dump van de database, met lidmaatschapsnummers, namen en wachtwoorden, op Pastebin verscheen. Volgens [de ontwikkelaar] gaat het daarbij gaan om gegevens uit een oudere database, voor een webapplicatie die niet meer werd gebruikt. 'Deze applicatie is ooit online gezet en vervolgens niet meer bijgewerkt', aldus [de ontwikkelaar]. Volgens hem gaat het om een database die dinsdag al offline is gehaald en die los stond van de huidige website. Dat komt niet overeen met de bewering van de hacker, die stelde dat de kwetsbaarheid op de nieuwspagina kon worden gevonden. De kwetsbaarheid zit volgens [de ontwikkelaar] in ieder geval niet in een verouderde versie van MySQL, zoals andere media meldden." (Tweakers.net, 11/07/06)
Eerste publicatie:
WebWereld: Database Nederlandse Politiebond gelekt - update (11/07/05)
Tweakers.net: Politiebond haalt site offline na hack (11/07/06)
Zie verder:
PrivacyNieuws: Database Nederlandse Politiebond gelekt (11/07/05)
Rejo Zenger: Databank Nederlandse Politiebond gelekt (11/07/05)
BoF: Datalek - ook bij Politiebond gegevens niet veilig (11/07/11)
PrivacyNieuws: Politiebond.nl nog steeds zo lek als een mandje (11/07/11)
WebWereld: Politiebond.nl nog steeds zo lek als een mandje (11/07/11)
