Hacker krijgt door SQL-injectie toegang tot inlognamen en wachtwoorden van ruim 200.000 gebruikers beleggingssite (11/08/15)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Sanoma.

Betrokkenen

"[...] meer dan 200.000 geregistreerde gebruikers [van de website Belegger.nl.]" (Tweakers.net, 11/08/15)

Soort (persoons)gegevens

"In totaal zag [de ontdekker van het lek] 201.953 accounts, waarbij van een groot deel het wachtwoord in plain text was opgeslagen. 'In een andere tabel werd wel gebruikgemaakt van md5-hashing [...]'" (Tweakers.net, 11/08/15)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"[De ontdekker] tipte Tweakers.net dat hij in staat is gebleken via sql-injectie toegang te krijgen tot de database van Belegger.nl. Hierdoor had hij de beschikking over de inlognamen en wachtwoorden van meer dan 200.000 geregistreerde gebruikers. Ook admingegevens van de website waren toegankelijk. Nadat hij uitgever Sanoma hiervan op de hoogte had gebracht, heeft hij contact gehad met de ict-manager. Hoewel er naar aanleiding van dat contact al enkele technische aanpassingen aan de site zijn gedaan en geregistreerde gebruikers een nieuw wachtwoord hebben moeten instellen, constateerde [de ontdekker] dat de database nog steeds toegankelijk was. [...] Volgens de tweaker had hij toegang tot diverse databases op de server van Belegger.nl, waarbij in diverse tabellen gebruikersgegevens stonden opgeslagen." (Tweakers.net, 11/08/15)

Respons van de organisatie

"Belegger.nl heeft zijn ruim 200.000 gebruikers verplicht een nieuw wachtwoord laten instellen onder het mom van onderhoud aan de database. [...] Een zegsman van Sanoma bevestigt tegenover Tweakers.net dat niet alle ontdekte kwetsbaarheden direct zijn gedicht. 'We hebben contact gehad met [de ontdekker van het lek] en naar aanleiding daarvan vorige week al enkele verbeteringen doorgevoerd. Ook hebben we meteen een extra audit laten doen. Een deel van de zaken die hieruit naar voren zijn gekomen zijn eerder al gedicht; het laatste staartje is maandag opgelost.' [...] Sanoma benadrukt dat er al geruime tijd aan een nieuwe website voor Belegger.nl wordt gewerkt die voor 1 oktober het daglicht moet zien. De resultaten van de audit zullen ook bij die nieuwe site worden gecontroleerd. De nieuwe site krijgt tevens een nieuw inlogsysteem dat standaard beschikt over versleutelde wachtwoorden. Bij de huidige database wordt dit nu alsnog gedaan." (Tweakers.net, 11/08/15)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Belegger.nl dwingt nieuwe wachtwoorden af na databasehack (11/08/15)

Zie verder:
Off-site link, opens in new window PrivacyNieuws: Databasehack; Belegger.nl dwingt nieuwe wachtwoorden af (11/08/15)
Off-site link, opens in new window Nu.nl: Database Belegger.nl gehackt (11/08/15)
Off-site link, opens in new window AG: Lek in database Belegger.nl (11/08/16)
Off-site link, opens in new window BoF: Datalek - beleggen is risico's nemen (11/08/16)
Off-site link, opens in new window Rejo Zenger: Belegger.nl lekt gegevens 202.000 gebruikers (11/08/16)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.