Sociaal netwerk-gadget lekt gebruikersgegevens (11/02/14)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Tellertje.com.

Betrokkenen

Gebruikers van Tellertje.com.

Soort (persoons)gegevens

"Het is onbekend hoeveel gebruikersgegevens zijn buitgemaakt; de site heeft 53.000 gebruikers. [...] [De hacker] plaatste een lijst van buitgemaakte accounts [op een forum], waarbij naam, Hyves-gebruikersnaam, geslacht, e-mailadres en een hash van het wachtwoord zichtbaar waren." (Tweakers.net, 11/02/14)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Een hacker is erin geslaagd om een dump te maken van de database van Tellertje.com, een statistieken-add-on voor Hyves-profielen. [...] De hacker deed zijn ontdekking uit de doeken in een inmiddels verwijderd topic op een hackersforum.[...] [De eigenaar van Scito Media, het bedrijf achter Tellertje.com,] kan niet aangeven hoeveel gegevens zijn buitgemaakt en hoe dit kon gebeuren. 'Volgens de hacker kon dat door een lek, maar we weten niet of dat bijvoorbeeld in het besturingssysteem was.' Inmiddels zou de fout niet meer voorkomen, bezweert [de eigenaar]. In het topic doet de hacker overigens uit de doeken dat hij de gegevens door een bug in phpMyAdmin heeft kunnen ontfutselen." (Tweakers.net, 11/02/14)

Respons van de organisatie

"Eigenaar [...] van Scito Media, het bedrijf achter Tellertje.com, geeft toe dat er accounts zijn buitgemaakt. 'We hebben ook contact gehad met die hacker', zegt [...]. 'We hebben besloten om geen aangifte te doen.' Volgens eigenaar [...] zijn de wachtwoorden dubbel gecodeerd als md5-hash. Dat blijkt in ieder geval niet voor alle wachtwoorden te gelden; Tweakers.net slaagde erin om diverse hashes met behulp van rainbow tables om te zetten naar platte tekst. Deze waren slechts eenmalig gecodeerd en de hash was niet beschermd met een salt. Doordat gebruikers ook hun Hyves-gebruikersnaam op moeten geven, betekent dit dat ook de Hyves-account van een gebruiker kan worden gekraakt, als zijn wachtwoord identiek is aan het wachtwoord op Tellertje.com. Tweakers.net heeft kunnen verifiëren dat het mogelijk is om op een Hyves-account in te loggen met de informatie uit het forumtopic. [...] zegt de 'ophef' niet te begrijpen: 'Er worden elke dag Wordpress-weblogs gekraakt, en die komen niet in het nieuws.' Hyves zegt in een reactie contact te hebben gehad met Tellertje.com. Op de site staat nu expliciet aangegeven dat gebruikers hun Hyves-wachtwoord niet hoeven op te geven, laat woordvoerder [...] weten. De site maakt geen gebruik van Hyves' officiële api, maar werkt door html-code op een profiel in te voegen." (Tweakers.net, 11/02/14)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Hacker haalt logingegevens uit database onofficiële Hyves-gadget (11/02/14)

Zie verder:
Off-site link, opens in new window BoF: Datalek - statistiekenwebsite lekt gegevens 53.000 gebruikers (11/02/15)
Off-site link, opens in new window PrivacyNieuws: Hacker haalt Hyves-logingegevens uit database (11/02/15)
Off-site link, opens in new window Rejo Zenger: Publiek toegankelijke database door beveiligingsprobleem (11/02/15)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.