Hacker verkrijgt door SQL-injectie grote hoeveelheid e-mailadressen en NAW-gegevens van poppodium (11/12/18)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Tivoli, Utrecht.

Betrokkenen

Bezoekers / gebruikers van Tivoli.nl.

Soort (persoons)gegevens

"Eén tabel met profielgegevens bevat naam, adres, woonplaats en het mobiele nummer van bijna 47.000 mensen en een tabel met nieuwsbriefgegevens bevat de mailadressen van bijna 112.000 mensen. Daarnaast trof [de hacker] nog een tabel aan met gegevens van mensen die een digitale petitie hadden ondertekend: deze tabel bevatte van nog eens 9500 mensen hun naam, woonplaats en mailadres. Bovendien, zo ontdekte [de hacker], bevatte de database ook de inlogdetails voor Google Analytics, de inloggegevens van enkele ftp-accounts van de server en de inloggegevens van de smtp-mailserver." (Tweakers.net, 11/12/18)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Een hacker is er in geslaagd om via een eenvoudige sql-injectie privégegevens van tienduizenden gebruikers van Tivoli.nl op te vragen. [...] Het gat in de beveiliging van het Utrechtse poppodium Tivoli.nl is door een hacker [...] ontdekt en aan Tweakers.net gemeld. Uit zijn verhaal blijkt dat het relatief eenvoudig was om meer dan 100.000 e-mailadressen en bijna 50.000 naw-gegevens van bezoekers van Tivoli.nl op te vragen. Een van de scripts van de website blijkt vatbaar voor sql-injectie waardoor de honderd tabellen in de database, genaamd tivoli0db, kunnen worden uitgelezen. Het bewijs hiervoor heeft [de hacker] op Pastebin gepubliceerd, al zijn hierbij geen privégegevens vrijgegeven. [...] Verder stelt [de hacker] dat hij geen gegevens uit de database van Tivoli.nl heeft opgeslagen of heeft gewijzigd." (Tweakers.net, 11/12/18)

Respons van de organisatie

"Nadat Tweakers.net Tivoli had ingelicht, heeft het poppodium direct contact opgenomen met Eagerly Internet, het bedrijf dat enkele delen van de website heeft ontwikkeld. Dit bedrijf heeft vervolgens binnen een uur maatregelen genomen om het lek te dichten." (Tweakers.net, 11/12/18)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen (11/12/18)

Zie verder:
Off-site link, opens in new window Rejo Zenger: Poppodium lekt honderdduizend adressen (11/12/20)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.