Hacker verkrijgt 18.000 e-mail adressen en gehashte wachtwoorden met SQL injectie; tweede website op dezelfde server op dezelfde wijze kwetsbaar (11/08/09)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★ (alle informatie over het datalek komt uit een bron)

Organisatie

The Young Venture Group (eigenaar Welovesafe.nl); eigenaar Zoutzuur.com; Interact Media (beheerder cms Welovesafe.nl en Zoutzuur.com).

Betrokkenen

Mensen die zich hebben geregistreerd bij de website Welovesafe.nl. Mogelijk ook mensen die zich hebben geregistreerd bij de website Zoutzuur.com.

Soort (persoons)gegevens

"De tipgever laat weten dat de hele database van [Welovesafe.nl] is uit te lezen. Onder de gegevens bevinden zich circa 18.000 e-mailadressen en gehashte wachtwoorden. De database van Zoutzuur.com, een website die op dezelfde server draait als Welovesafe.nl, blijkt gevoelig voor soortgelijke sql-injecties." (Tweakers.nl, 11/08/09)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Een tweaker heeft grote lekken blootgelegd in Welovesafe.nl, een website voor jongeren. Via een sql-injectie kunnen onder andere e-mailadressen en versleutelde wachtwoorden worden opgevraagd. Ook Zoutzuur.com blijkt kwetsbaar." (Tweakers.nl, 11/08/09)

Respons van de organisatie

"[De ontdekker van het lek] heeft naar eigen zeggen zowel de eigenaar als de beheerder van Welovesafe.nl, respectievelijk The Young Venture Group en Interact Media, ruim een maand geleden over het probleem benaderd. Verder zou de sitebeheerder [de ontdekker] hebben gevraagd om tegen betaling de gaten in het cms-systeem dicht te timmeren, maar hij zou het bod hebben afgewezen omdat dit te laag zou zijn. Ook zou hij te horen hebben gekregen dat er bij de eigenaren verder geen budget is om de gaten in het cms te dichten. "Dit alles is al een maand geleden gebeurd en de website is nog steeds zo lek als een mandje. Daarom zoek ik nu de publiciteit. [...] van Interact Media, het bedrijf dat het cms achter Welovesafe.nl en Zoutzuur.com in beheer heeft, bevestigt dat er vier weken geleden contact is geweest met een persoon die de gevoeligheid voor sql-injecties in de websites aankaartte. "Hij heeft ons deels geholpen met het verhelpen van het probleem. Ik ging er dan ook vanuit dat de problemen voorbij waren." [...] zegt de problemen 'zo snel mogelijk' te zullen verhelpen. Op moment van schrijven is Welovesafe.nl uit de lucht gehaald; Zoutzuur.com is nog wel bereikbaar." (Tweakers.nl, 11/08/09)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Tweaker legt lekken in Welovesafe.nl en Zoutzuur.com bloot (11/08/09)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.