Door een lek op de site van een internetprovider waren de persoonsgegevens van honderdduizenden mensen te zien. Dat zegt IT-onderzoeksjournalist Brenno de Winter maandag. Iedereen die zich als 'root' aanmeldde, kon volgens hem zonder wachtwoord naar binnen.
Root is een term die wordt gebruikt door beheerders. Door het lek konden de klantgegevens van bedrijven die bij de provider zitten worden ingezien. Hij wijst erop dat in de wet staat dat voldoende moet worden gedaan om persoonsgegevens te beveiligen. "Dat lijkt me hier niet het geval." Het lek is inmiddels gedicht.
Volgens De Winter wordt te weinig werk gemaakt van het beveiligen van persoonsgegevens. De straffen zouden ook te laag zijn. "Als een bedrijf wordt gepakt, wordt het vaak afgedaan met een boete van een paar duizend euro."
Later maandag moet volgens De Winter een bericht op Nu.nl verschijnen met een reactie van de provider. "Die heeft tot nu toe nog niet gereageerd, maar ik wil wel een reactie hebben omdat dit een ernstige zaak is." De Winter wil nog niet zeggen om welke provider het gaat.
Reacties op dit bericht
BrandX (Redactie Frontpage / Forummod) 13-02-2012 @ 09:09
harry64 (Redactie Frontpage) 13-02-2012 @ 09:30
quote:Screenshot!Op maandag 13 februari 2012 @ 09:24 schreef Schepseltje het volgende:
KPN Webcare: Wachtwoorden van KPN worden versleuteld met UTF8
ik heb een hoop fuckups gemaakt als sysadmin, maar die hoop ik nooit mee te maken 
Hoe vaak mijn webservers wel niet gescand worden op veelgebruikte paden van dat pakket...
quote:Ja, dit is wel HEEL ernstig.Op maandag 13 februari 2012 @ 09:51 schreef Henno het volgende:
root zonder wachtwoord
quote:Is dat dan ook makkelijk te ontsleutelen?Op maandag 13 februari 2012 @ 09:24 schreef Schepseltje het volgende:
KPN Webcare: Wachtwoorden van KPN worden versleuteld met UTF8
quote:En hoe! UTF-8 (en UTF-16 en UTF-32) is géén encryptie, maar een unicode (de U in UTF) en kan middels vaste patronen gewoon omgezet worden naar ASCII.Op maandag 13 februari 2012 @ 10:17 schreef Nietvandezewereld het volgende:
[..]
Is dat dan ook makkelijk te ontsleutelen?
quote:Eenvoudiger gezegd; UTF is tekst, net zoals ASCII.Op maandag 13 februari 2012 @ 10:26 schreef Mr-Mackey het volgende:
[..]
En hoe! UTF-8 (en UTF-16 en UTF-32) is géén encryptie, maar een unicode (de U in UTF) en kan middels vaste patronen gewoon omgezet worden naar ASCII.
Veel websites zijn zelfs opgemaakt in UTF-8: de browsers decoderen dat wel.
harry64 (Redactie Frontpage) 13-02-2012 @ 10:30
quote:Diginotar...Op maandag 13 februari 2012 @ 10:13 schreef Athalon1951 het volgende:
Zolang de regering over ons waakt, is er niets aan de hand
quote:^^ Dat!Op maandag 13 februari 2012 @ 09:30 schreef harry64 het volgende:
root zonder wachtwoord?
Da's geen lek, dat is een stommiteit first class.
quote:Linkje naar betreffende post?Op maandag 13 februari 2012 @ 09:24 schreef Schepseltje het volgende:
KPN Webcare: Wachtwoorden van KPN worden versleuteld met UTF8
quote:Ik kan me zo voorstellen dat hij de bewuste provider eerst in de gelegenheid wil stellen om de beveiliging te verbeteren voordat hij bekend maar welke het is. Anders zouden de bewuste klanten een seconde na bekendmaking nog meer risico lopen.Op maandag 13 februari 2012 @ 10:59 schreef RemcoDelft het volgende:
[..]
^^ Dat!
Verder slecht artikel, dit is waardeloos zonder te vermelden welke provider het is.
quote:Ze hebben de oorspronkelijke tweet snel weggehaald toen ze hun blunder doorhadden..Op maandag 13 februari 2012 @ 09:48 schreef Avernis het volgende:
[..]
Screenshot!
Zou wel een mooie poster opleveren voor op kantoor, dus als je het origineel nog hebt dan had ik graag een link
quote:Dat sowieso. Ik disable na installatie van een Linuxbak die dienst gaat doen als server meteen het rootaccount. Als je zelf een redelijk complexe gebruikernaam kiest en ervoor zorgt dat het account via SU de rootrechten alsnog kan krijgen ben je een stuk veiliger.Op maandag 13 februari 2012 @ 09:30 schreef harry64 het volgende:
root zonder wachtwoord?
Da's geen lek, dat is een stommiteit first class.
De systeembeheerder van die provider kan beter bij de toiletten gaan zitten met een schoteltje.
quote:Want om de FBI te hacken heb je mijn provider-account nodig?Op maandag 13 februari 2012 @ 11:06 schreef TrivialPursuit het volgende:
Stel dat het de jouwe is en jouw account prompt gehacked wordt en misbruikt voor een FBI hack waardoor jij in de problemen komt.
quote:Tweet staat er nog gewoon hoor:Op maandag 13 februari 2012 @ 11:07 schreef Schepseltje het volgende:
[..]
Ze hebben de oorspronkelijke tweet snel weggehaald toen ze hun blunder doorhadden..
http://twitter.com/#!/KPNwebcare/status/168424241497251841
Ik weet niet of er nog ergens een screenshot te vinden is..
quote:Owja, zag hem niet meer in de lijst staanOp maandag 13 februari 2012 @ 11:14 schreef AllesWatWas het volgende:
[..]
Tweet staat er nog gewoon hoor:
https://twitter.com/#!/KPNwebcare/statuses/168417057753411586
quote:Meh, zonder twitter-account zie je enkel de achtergrond.. Toch bedankt voor de link, zou een serieus mooie poster zijnOp maandag 13 februari 2012 @ 11:22 schreef Schepseltje het volgende:
[..]
Owja, zag hem niet meer in de lijst staan
harry64 (Redactie Frontpage) 13-02-2012 @ 11:55
quote:Dat is ook een van de eerste zaken die uitgelegd worden als je je maar een beetje verdiept in beveiligen van je systeem.Op maandag 13 februari 2012 @ 11:09 schreef The_Terminator het volgende:
[..]
Dat sowieso. Ik disable na installatie van een Linuxbak die dienst gaat doen als server meteen het rootaccount. Als je zelf een redelijk complexe gebruikernaam kiest en ervoor zorgt dat het account via SU de rootrechten alsnog kan krijgen ben je een stuk veiliger.
Een brute force aanval wordt immers een stuk makkelijker als de gebruiker al bekend is, dan hoef je alleen nog maar het wachtwoord erbij te krijgen. Een root account zonder wachtwoord is helemaal van de pot gerukt.
quote:Ik hoop dat hij eerst de provider heeft gebeld/gemailed en dit bericht pas in het nieuws is gekomen nádat de provider aanpassingen heeft gedaan aan hun "open deuren beleid"Op maandag 13 februari 2012 @ 10:13 schreef franske19 het volgende:
Irritant dat hij dit soort verhalen de wereld in helpt en dan niet het beestje bij de naam noemt. Nu gaat half Nederland in paniek allerlei dingen ondernemen die straks niet noodzakelijk blijken te zijn.
quote:Knappe jongen die de user root weet te hernoemenOp maandag 13 februari 2012 @ 12:59 schreef SiGNe het volgende:
Root als inlognaam zonder password? Veel makkelijker kan je het niet maken.
Hoort trouwens ook wel bij les 1 in computerbeveiliging: verander meteen de basis inlognamen en paswoorden
