Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

'Persoonsgegevens onbeveiligd op site provider'

Redactie

Door een lek op de site van een internetprovider waren de persoonsgegevens van honderdduizenden mensen te zien. Dat zegt IT-onderzoeksjournalist Brenno de Winter maandag. Iedereen die zich als 'root' aanmeldde, kon volgens hem zonder wachtwoord naar binnen.

Root is een term die wordt gebruikt door beheerders. Door het lek konden de klantgegevens van bedrijven die bij de provider zitten worden ingezien. Hij wijst erop dat in de wet staat dat voldoende moet worden gedaan om persoonsgegevens te beveiligen. "Dat lijkt me hier niet het geval." Het lek is inmiddels gedicht.

Volgens De Winter wordt te weinig werk gemaakt van het beveiligen van persoonsgegevens. De straffen zouden ook te laag zijn. "Als een bedrijf wordt gepakt, wordt het vaak afgedaan met een boete van een paar duizend euro."

Later maandag moet volgens De Winter een bericht op Nu.nl verschijnen met een reactie van de provider. "Die heeft tot nu toe nog niet gereageerd, maar ik wil wel een reactie hebben omdat dit een ernstige zaak is." De Winter wil nog niet zeggen om welke provider het gaat.

Help ons; deel dit item als je het leuk vond

Heb je een leuk of interessant bericht gevonden dat je graag op FOK! terug ziet? Tip ons dan via de submit!

Zoek jij altijd de leukste nieuwtjes en kun je daar leuk over schrijven? Meld je aan als nieuwsposter!

32 reacties

maandag 13 februari 2012, 09:09 uur #1

BrandX

BoksChick & CoffeeAddict

Welke provider was dat dan? *nieuwsgierig is

lolwut

maandag 13 februari 2012, 09:09 uur #2

TrivialPursuit

Wijsneus

Ik hoop niet de mijne .... Brenno weer bezig dus. Zal wel te maken hebben met de concurrentie van Alberto Stegeman?

maandag 13 februari 2012, 09:24 uur #3

Schepseltje

rip

KPN Webcare: Wachtwoorden van KPN worden versleuteld met UTF8

Redactie Frontpage

maandag 13 februari 2012, 09:30 uur #4

harry64

Ouwe Radiopiraat

root zonder wachtwoord?
Da's geen lek, dat is een stommiteit first class.
De systeembeheerder van die provider kan beter bij de toiletten gaan zitten met een schoteltje.

Radio Seabreeze 1098KHz(Laren) en 1395KHz(Grou) Middengolf
MCB radio 747KHz Middengolf

maandag 13 februari 2012, 09:48 uur #5

Dubbeldrank

Get lucky!

We willen een naam!

maandag 13 februari 2012, 09:51 uur #8

Fleischmeister

Eet vleesch

root zonder wachtwoord

ik heb een hoop fuckups gemaakt als sysadmin, maar die hoop ik nooit mee te maken

dit riekt overigens naar een phpmyadmin installatie met de standaard database privileges

Hoe vaak mijn webservers wel niet gescand worden op veelgebruikte paden van dat pakket...

maandag 13 februari 2012, 10:11 uur #9

Psy-freak

Moderator i.o.

quote:
Op maandag 13 februari 2012 @ 09:51 schreef Henno het volgende:
root zonder wachtwoord ik heb een hoop fuckups gemaakt als sysadmin, maar die hoop ik nooit mee te maken

Ja, dit is wel HEEL ernstig.

zaterdag 13 augustus 2011 11:41 schreef RockNijntje het volgende:
Psy-freak heeft wel de schattigste UI van heel FOK!
FOK!-vriendin: Pixxie. & AdoraBelle

maandag 13 februari 2012, 10:13 uur #10

franske19

Hit the deck!

Irritant dat hij dit soort verhalen de wereld in helpt en dan niet het beestje bij de naam noemt. Nu gaat half Nederland in paniek allerlei dingen ondernemen die straks niet noodzakelijk blijken te zijn.

"The wolves will come again," said Jojen solemnly. - George R.R. Martin

maandag 13 februari 2012, 10:13 uur #11

Athalon1951

World Order

Zolang de regering over ons waakt, is er niets aan de hand

World Order

maandag 13 februari 2012, 10:26 uur #13

Mr-Mackey

Libertariër

quote:
Op maandag 13 februari 2012 @ 10:17 schreef Nietvandezewereld het volgende:
[..]

Is dat dan ook makkelijk te ontsleutelen?

En hoe! UTF-8 (en UTF-16 en UTF-32) is géén encryptie, maar een unicode (de U in UTF) en kan middels vaste patronen gewoon omgezet worden naar ASCII.
Veel websites zijn zelfs opgemaakt in UTF-8: de browsers decoderen dat wel.

De progressief en de allochtoon vormen een symbiose.
_{Dat die parasiteert op de samenleving in zijn geheel, moet natuurlijk verzwegen worden.}

maandag 13 februari 2012, 10:28 uur #14

FSF-Moses

Lum-chan is cute!

ROT13 ?

Redactie Frontpage

maandag 13 februari 2012, 10:30 uur #16

harry64

Ouwe Radiopiraat

quote:
Op maandag 13 februari 2012 @ 10:13 schreef Athalon1951 het volgende:
Zolang de regering over ons waakt, is er niets aan de hand

Diginotar...

Radio Seabreeze 1098KHz(Laren) en 1395KHz(Grou) Middengolf
MCB radio 747KHz Middengolf

maandag 13 februari 2012, 10:59 uur #17

RemcoDelft

4 8 15 16 23 42

quote:
Op maandag 13 februari 2012 @ 09:30 schreef harry64 het volgende:
root zonder wachtwoord?
Da's geen lek, dat is een stommiteit first class.

^^ Dat!

Verder slecht artikel, dit is waardeloos zonder te vermelden welke provider het is.

censuur :O

maandag 13 februari 2012, 11:05 uur #18

The_Terminator

quote:
Op maandag 13 februari 2012 @ 09:24 schreef Schepseltje het volgende:
KPN Webcare: Wachtwoorden van KPN worden versleuteld met UTF8

Linkje naar betreffende post?

Mocht het al waar zijn dan weet degene die dat heeft gepost blijkbaar niets van de versleuteling en kan zich er ook maar beter niet over uitlaten.

maandag 13 februari 2012, 11:06 uur #19

TrivialPursuit

Wijsneus

quote:
Op maandag 13 februari 2012 @ 10:59 schreef RemcoDelft het volgende:
[..]

^^ Dat!

Verder slecht artikel, dit is waardeloos zonder te vermelden welke provider het is.

Ik kan me zo voorstellen dat hij de bewuste provider eerst in de gelegenheid wil stellen om de beveiliging te verbeteren voordat hij bekend maar welke het is. Anders zouden de bewuste klanten een seconde na bekendmaking nog meer risico lopen.

Stel dat het de jouwe is en jouw account prompt gehacked wordt en misbruikt voor een FBI hack waardoor jij in de problemen komt.

maandag 13 februari 2012, 11:07 uur #20

Schepseltje

rip

quote:
Op maandag 13 februari 2012 @ 09:48 schreef Avernis het volgende:
[..]

Screenshot!

Zou wel een mooie poster opleveren voor op kantoor, dus als je het origineel nog hebt dan had ik graag een link

Ze hebben de oorspronkelijke tweet snel weggehaald toen ze hun blunder doorhadden..
http://twitter.com/#!/KPNwebcare/status/168424241497251841

Ik weet niet of er nog ergens een screenshot te vinden is..

maandag 13 februari 2012, 11:09 uur #21

The_Terminator

quote:
Op maandag 13 februari 2012 @ 09:30 schreef harry64 het volgende:
root zonder wachtwoord?
Da's geen lek, dat is een stommiteit first class.
De systeembeheerder van die provider kan beter bij de toiletten gaan zitten met een schoteltje.

Dat sowieso. Ik disable na installatie van een Linuxbak die dienst gaat doen als server meteen het rootaccount. Als je zelf een redelijk complexe gebruikernaam kiest en ervoor zorgt dat het account via SU de rootrechten alsnog kan krijgen ben je een stuk veiliger.

Een brute force aanval wordt immers een stuk makkelijker als de gebruiker al bekend is, dan hoef je alleen nog maar het wachtwoord erbij te krijgen. Een root account zonder wachtwoord is helemaal van de pot gerukt.

maandag 13 februari 2012, 11:10 uur #22

RemcoDelft

4 8 15 16 23 42

quote:
Op maandag 13 februari 2012 @ 11:06 schreef TrivialPursuit het volgende:
Stel dat het de jouwe is en jouw account prompt gehacked wordt en misbruikt voor een FBI hack waardoor jij in de problemen komt.

Want om de FBI te hacken heb je mijn provider-account nodig?

Ik gebruik trouwens nooit provider-accounts, daar stuurt de provider zelf alleen maar spam naar, en het beperkt de vrijheid om een andere provider te kiezen.

censuur :O

maandag 13 februari 2012, 11:14 uur #23

AllesWatWas

Ga Niet Weg Van Me

quote:
Op maandag 13 februari 2012 @ 11:07 schreef Schepseltje het volgende:
[..]
Ze hebben de oorspronkelijke tweet snel weggehaald toen ze hun blunder doorhadden..
http://twitter.com/#!/KPNwebcare/status/168424241497251841

Ik weet niet of er nog ergens een screenshot te vinden is..

Tweet staat er nog gewoon hoor:

https://twitter.com/#!/KPNwebcare/statuses/168417057753411586

“Je moet vergeten, alles kun je vergeten, want alles verdwijnt al.
Vergeet de tijd van misverstanden, en de tijd verspild aan het hoe en waarom.
Vergeet de uren waarin wij vermoordden, door het zoeken waarom, het hart van ons geluk.”

maandag 13 februari 2012, 11:22 uur #24

Schepseltje

rip

quote:
Op maandag 13 februari 2012 @ 11:14 schreef AllesWatWas het volgende:
[..]

Tweet staat er nog gewoon hoor:

https://twitter.com/#!/KPNwebcare/statuses/168417057753411586

Owja, zag hem niet meer in de lijst staan

maandag 13 februari 2012, 11:35 uur #26

RickT

Die journalist van het jaar is weer goed bezig. Hij snijdt punten aan die steeds belangrijker worden en waar de 'traditionele media' weinig over schrijft en zich niet in interesseert.

Redactie Frontpage

maandag 13 februari 2012, 11:55 uur #27

harry64

Ouwe Radiopiraat

quote:
Op maandag 13 februari 2012 @ 11:09 schreef The_Terminator het volgende:
[..]

Dat sowieso. Ik disable na installatie van een Linuxbak die dienst gaat doen als server meteen het rootaccount. Als je zelf een redelijk complexe gebruikernaam kiest en ervoor zorgt dat het account via SU de rootrechten alsnog kan krijgen ben je een stuk veiliger.

Een brute force aanval wordt immers een stuk makkelijker als de gebruiker al bekend is, dan hoef je alleen nog maar het wachtwoord erbij te krijgen. Een root account zonder wachtwoord is helemaal van de pot gerukt.

Dat is ook een van de eerste zaken die uitgelegd worden als je je maar een beetje verdiept in beveiligen van je systeem.

Mijn Debian is zo goed beveiligd dat ik er zelf zelfs niet meer inkom.

Radio Seabreeze 1098KHz(Laren) en 1395KHz(Grou) Middengolf
MCB radio 747KHz Middengolf

maandag 13 februari 2012, 11:57 uur #28

ElDopa

"Wachtwoorden van KPN worden versleuteld met UTF8"

foto

Geen ROOT wachtwoord:
foto

maandag 13 februari 2012, 12:59 uur #30

SiGNe

Uitspraak: Sign

Root als inlognaam zonder password? Veel makkelijker kan je het niet maken.
Hoort trouwens ook wel bij les 1 in computerbeveiliging: verander meteen de basis inlognamen en paswoorden

Kate Moss Picture Heaven

maandag 13 februari 2012, 13:04 uur #31

SiGNe

Uitspraak: Sign

quote:
Op maandag 13 februari 2012 @ 10:13 schreef franske19 het volgende:
Irritant dat hij dit soort verhalen de wereld in helpt en dan niet het beestje bij de naam noemt. Nu gaat half Nederland in paniek allerlei dingen ondernemen die straks niet noodzakelijk blijken te zijn.

Ik hoop dat hij eerst de provider heeft gebeld/gemailed en dit bericht pas in het nieuws is gekomen nádat de provider aanpassingen heeft gedaan aan hun "open deuren beleid"
Een goede white-hat hacker geeft zijn "slachtoffer" daar de tijd voor want een white-hat hacker hackt (crackt!) puur om sites veiliger te maken.
Brenno de Winter begint steeds meer Grey-Hat te worden, publiceert al gegevens voor lekken volledig gedicht zijn.

Kate Moss Picture Heaven

maandag 13 februari 2012, 13:05 uur #32

Mr-Mackey

Libertariër

quote:
Op maandag 13 februari 2012 @ 12:59 schreef SiGNe het volgende:
Root als inlognaam zonder password? Veel makkelijker kan je het niet maken.
Hoort trouwens ook wel bij les 1 in computerbeveiliging: verander meteen de basis inlognamen en paswoorden

Knappe jongen die de user root weet te hernoemen