D9D1E2

Datalekken in Nederland

2014

Configuratiefout in website voetbalpool geeft toegang tot slecht versleutelde wachtwoorden van 250.000 gebruikers (2014-06-24)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Flexvoetbal.

Verwerking

Online voetbalpool.

Betrokkenen

"[...] 250.000 gebruikers. [...] Naast de eigen websites van Flexvoetbal, die samen ruim 300.000 accounts hebben, bevatte de database ook logingegevens van bedrijven die bij Flexvoetbal een voetbalpool hebben laten opzetten. Daaronder waren onder meer Ziggo, Wehkamp, Ahold, hotelketen Ibis, bouwbedrijf DuraVermeer en de winkelketens CentralPoint en Electroworld." [Tweakers, 2014-06-24]

Soort (persoons)gegevens

"In de database zijn 400.000 account-records te vinden, maar volgens [...] Flexvoetbal zijn daaronder ook testaccounts, niet geactiveerde accounts en dubbele accounts. Zeker is wel dat het om minimaal 250.000 unieke accounts gaat. [...] De database bevatte onder meer wachtwoorden van gebruikers [...]" [Tweakers, 2014-06-24]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"Het bedrijf Flexvoetbal bleek de logingegevens van zijn MySQL-server in de subdirectory /static/ te hebben geplaatst, ontdekte [een Tweakers-lezer]. Wie die subdirectory bezocht, kreeg een lijst met verschillende bestanden, waarvan een de logingegevens voor de database bevatte. De MySQL-server bleek extern te benaderen, waardoor een kwaadwillende toegang had kunnen krijgen tot de gegevens van zeker 250.000 gebruikers. Het is niet bekend of dat is gebeurd. [...] De site gebruikte md5 om de wachtwoorden te hashen, maar dat algoritme is achterhaald. Bovendien waren de wachtwoorden niet voorzien van een salt, waarmee kan worden voorkomen dat ze via rainbow tables kunnen worden achterhaald. Een steekproef van Tweakers wijst uit dat het in veel gevallen inderdaad mogelijk was om de wachtwoorden te achterhalen." [Tweakers, 2014-06-24]

Respons van de organisatie

"Na melding door Tweakers heeft Flexvoetbal het probleem binnen een paar uur opgelost. [...] Het bedrijf heeft alle getroffen gebruikers per e-mail op de hoogte gesteld, aldus [een woordvoerder]. Bovendien zijn de sites verplaatst naar een 'veiliger omgeving'. Sinds Tweakers het probleem maandag bij Flexvoetbal meldde, heeft het bedrijf 'non-stop aan de verbetering van de veiligheid gewerkt', stelt hij." [Tweakers, 2014-06-24]

Nasleep van het incident

Nog onbekend.

Bronnen

2014-06-24

.