D9D1E2

Datalekken in Nederland

2012

Kwetsbaarheid website voor SQL-injectie geeft toegang tot 125 andere websites (12/03/13)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Spoorwegmuseum, BIC Multimedia.

Verwerking

Website, beheertools.

Betrokkenen

Onduidelijk, mogelijk gaat het om mensen die zich via de getroffen sites op een nieuwsbrief hebben geabonneerd.

Soort (persoons)gegevens

"[De ontdekker van het lek] schat in totaal toegang te hebben gehad tot in ieder geval 100.000 e-mailadressen, waarvan de helft uit de database van het Spoorwegmuseum kwam." [Bron]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"Een beveiligingsonderzoeker ontdekte het beveiligingsprobleem. Hij bemerkte niet alleen dat het Spoorwegmuseum kwetsbaar was voor sql-injectie, ook kon hij via het cms inloggen op het ftp-account van de website. Daar bleek een upload-script te staan dat hij vervolgens gebruikte om een tool te uploaden waarmee hij via php shell-commando's kon uitvoeren. Dit bleek niet alleen toegang te verschaffen tot alle bestanden op de Spoorwegmuseum-site, maar ook tot die van 125 andere websites. Onder meer de broncode van de websites en database-backups waren toegankelijk, onder andere van de site van de VVV Maastricht, maar vooral van kleinere sites. Dat was het gevolg van slecht ingestelde permissies; normaliter hoort dat niet te kunnen. Hetzelfde lek was aanwezig op de website van museum Het Domein, van dezelfde ontwikkelaar, en ook in dat geval waren circa 125 andere websites kwetsbaar." [Bron]

Respons van de organisatie

"Volgens [de] directeur van BIC Multimedia, dat de sites ontwikkelde, is het beveiligingsprobleem inmiddels opgelost. 'In september is er ook al iemand binnengedrongen in ons cms', aldus [de directeur]. Dat zou echter los hebben gestaan van het jongste probleem. Volgens hem en een andere medewerker van het bedrijf deed het probleem met de uploadfunctie zich voor door een verhuizing, waarna htaccess-bestanden niet meer werden geaccepteerd. Volgens BIC treft echter ook de hostingprovider, e-Quest, blaam; die had zijn permissiesysteem niet goed afgedicht, waardoor ook andere websites toegankelijk waren. [De] directeur van e-Quest zegt echter: 'Volgens mij proberen ze nu de bal naar ons door te spelen, maar zij hebben bij ons een webserver staan.' Later geeft hij echter toe die claim niet te kunnen onderbouwen; er staan ook andere sites op de server. [De directeur van e-Quest] stelt ook dat geen naw-gegevens toegankelijk waren, maar dat is in strijd met de claims van [de beveiligingsonderzoeker]. [De directeur] stelt vragen bij de expertise van de beveiligingsonderzoeker, wil weten wie er achter [diens pseudoniem] schuilgaat en dreigt zelfs met aangifte. De directeur zegt de dupe te zijn geworden van het beveiligingslek in het Spoorwegmuseum. 'Anders was die onderzoeker nooit op de server gekomen.' Volgens een andere medewerker van e-Quest waren de permissies onjuist omdat BIC daar om vroeg. 'Bepaalde grote klanten willen dat, dat vinden ze handiger', zegt hij. 'Wij willen het liever niet.'" [Bron]

Bronnen

Tweakers.net: 125 websites kwetsbaar door lek in site Spoorwegmuseum (12/03/13)
[Open link in dit venster | Open link in nieuw venster]

.