D9D1E2

Datalekken in Nederland

2013

Gegevens van bijna 123.000 klanten van online gameswinkel toegankelijk door SQL-lek (2013-11-06)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Nedgame.

Verwerking

Online klantendatabase.

Betrokkenen

"[...] bijna 123.000 klanten [...]" [Tweakers, 2013-11-06]

Soort (persoons)gegevens

"In totaal stonden de gegevens van 123.000 klanten in de database van Nedgame. Daarbij ging het onder meer om naam, e-mailadres, huisadres, telefoonnummer en het versleutelde wachtwoord." [Tweakers, 2013-11-06]

Type incident

Beveiligingslek, mogelijk inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Gameswinkel Nedgame kampte met een beveiligingsprobleem waardoor de gebruikersnamen, adresgegevens, telefoonnummers en slecht versleutelde wachtwoorden van bijna 123.000 klanten te downloaden waren. Dat meldt een anonieme bron aan Tweakers. Kwaadwillenden konden de kwetsbaarheid misbruiken om de gegevens van alle klanten te downloaden. Het ging om een zogenoemde sql-injectie, waarbij aanvallers eigen tekst in een sql-query kunnen plaatsen om zo malafide database-queries uit te voeren. [...] Een anonieme bron meldde het beveiligingsprobleem bij Tweakers via de klokkenluiderssite Publeaks, waarmee documenten vertrouwelijk en anoniem naar media kunnen worden gelekt. Tweakers heeft het probleem kunnen verifiëren. [...] De wachtwoorden waren slecht beveiligd: ze waren gehasht met het inmiddels achterhaalde md5-algoritme. Ook werd er geen salt toegepast op de wachtwoorden. Een salt is een extra waarde die aan een wachtwoord wordt toegevoegd voordat het wordt gehasht. Gebeurt dat niet, dan zijn wachtwoorden relatief eenvoudig te achterhalen via rainbow tables. In dit geval bleek dat ook mogelijk. De gebruikersnamen en wachtwoorden waren niet in één keer te downloaden: de uitvoer van het commando dat werd gebruikt voor de sql-injectie was beperkt tot 512 karakters. Wel hadden aanvallers een script kunnen schrijven om de gegevens van elk account één voor één te downloaden." [Tweakers, 2013-11-06]

Respons van de organisatie

"Nadat Tweakers het beveiligingsprobleem meldde bij Nedgame, werd het sql-lek binnen een uur gedicht; het is echter onduidelijk hoe lang het lek precies open heeft gestaan. [...] Het is onduidelijk of er misbruik is gemaakt van het lek. [De eigenaar van Nedgame] zegt dat hij er niet van uitgaat dat dat is gebeurd, maar geeft toe dat dat niet uit te sluiten is. Het bedrijf overweegt nog of het uit voorzorg de wachtwoorden van alle gebruikers zal resetten." [Tweakers, 2013-11-06]

Nasleep van het incident

[Nog onbekend.]

Bronnen

2013-11-06

.