Bemiddelingssite lekt gegevens van freelancers (11/07/01)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

FreelanceMatch.nl.

Betrokkenen

"[...] 10.000 freelancers [...]" (Security.nl, 11/07/01)

Soort (persoons)gegevens

"Het gaat om e-mailadressen, wachtwoord-hashes, adresgegevens, telefoonnummers, fax-nummers, KvK-nummers, ter naam stelling van de bankrekening, bankrekeningnummers en nog informatie over het profiel en abonnement. De wachtwoorden waren met MD5 gehasht, zonder salt. Dat betekent dat ze eenvoudig te kraken zijn." (Security.nl, 11/07/01)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Via een ernstig en zeer eenvoudig te vinden beveiligingslek heeft de website FreelanceMatch.nl de gegevens van 10.000 freelancers gelekt, zo blijkt uit een tip die Security.nl ontving. De kale 'database-waarden' werden in de broncode van de profielen van freelancers opgeslagen. Door simpelweg het bekijken van de broncode, in Firefox de toetsencombinatie ctrl+u, werden tal van persoonsgegevens getoond. [...] Het lek zou eind afgelopen week geleden tijdens een aanpassing aan de website zijn ge´ntroduceerd. Het ging om een aanpassing voor het zien van admin-waarden. 'Vanaf dat moment staat het waarschijnlijk open.' De ontwikkelaar plaatste in de broncode nog de opmerking '(admin: dit zijn de kale database-waarden)'. Volgens [de oprichter van de site] was een programmeur iets aan het testen. 'En die heeft zonder dat door te hebben dat lek gecreŰerd.'" (Security.nl, 11/07/01)

Respons van de organisatie

"In een reactie laat FreelanceMatch-oprichter [...] weten dat het lek 'helemaal niet goed is.' Twee uur na door Security.nl te zijn ingelicht had de website het probleem opgelost. Vervolgens werd er naar de 333 door Google ge´ndexeerde gebruikers een e-mail gestuurd dat hun wachtwoord was gewijzigd. Volgens [de oprichter] zou er naast de wachtwoord hashes geen informatie zijn gelekt, omdat alle overige gegevens bij een pro-account zichtbaar zouden zijn. 'De meeste mensen willen dat die informatie zichtbaar is. Ze moeten er bij ons voor betalen. De aard van de informatie is niet zo erg, maar het is natuurlijk wel superslordig. En zeker die wachtwoorden, dat is natuurlijk echt vervelend.' Toch gaat het ook om zaken als bankrekeningnummers. Daarvan kon [de oprichter] niet zeggen of die ook bij een pro-account zichtbaar zijn. Ook een deel van de andere gegevens, zoals e-mailadres en telefoonnummers, waren niet zichtbaar toen Security.nl de pro-accounts bekeek, maar waren wel in de broncode te vinden." (Security.nl, 11/07/01)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Security.nl: FreelanceMatch.nl lekt gegevens 10.000 freelancers (11/07/01)

Zie verder:
Off-site link, opens in new window BoF: Datalek - persoonsgegevens in broncode site (11/07/06)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.