Hackers publiceren persoonsgegevens van leden website van vakbond overheidspersoneel (11/07/05)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Nederlandse Politiebond.

Betrokkenen

Gebruikers van de website van de Nederlandse Politiebond.

Soort (persoons)gegevens

"[...] alle inlognamen, gecodeerde wachtwoorden en een aantal volledige namen [...] Gelukkig voor de gebruikers lijken [de inlognamen] gekoppeld aan het lidmaatschapsnummer. De inlognamen bestaan enkel uit cijfers waardoor deze niet direct te koppelen zijn aan personen. De gelekte wachtwoorden in de database zijn nog versleuteld met MD5. Toch blijken deze wachtwoorden, zeker met behulp van rainbow tables, vrij eenvoudig te kraken waarop een kwaadwillende op eenvoudige wijze toegang kan krijgen tot bijna alle accounts van de vakbond. Eenmaal ingelogd krijgt een inbreker wel toegang tot profielgegevens. Een andere gestolen en gepubliceerde database geeft slechts een lijst van medewerkers zonder overige informatie. Wel zijn hier direct de volledige namen van alle medewerkers van de Politiebond te zien, dit kan zou handig kunnen zijn voor social engineering. In de lijst van medewerkers staan overigens ook wat onzin zoals bijvoorbeeld 'Keine Ahnung'." (WebWereld, 11/07/05)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Hackers van het los-vaste collectief Anonymous hebben de website van de Nederlandse Politiebond gekraakt en de volledige database op de website PasteBin gezet, dat tipt de anonieme hacker 'Goo' aan Webwereld. [...] Webwerelds tipgever laat weten dat de databaseserver van de Nederlandse Politiebond een verouderde versie van MySQL draaide. Mede daardoor wist het hackersverbond de server van de vakbond te kraken. De groep deed dat met behulp van een sql-injectie. [...] Een tweede anonieme tipgever laat Webwereld dinsdagavond laat weten dat hij zonder enige moeite 614 van de 773 wachtwoorden in de gelekte database heeft weten te kraken. Deze tipgever, die geen lid is van Anonymous en ook geen hacker genoemd wil worden, heeft de gegevens online geplaatst." (WebWereld, 11/07/05)

"Dinsdagmiddag werd Tweakers.net getipt over een beveiligingslek in de website van de Nederlandse Politiebond, een vakbond voor medewerkers van de politie. Het bleek mogelijk om op een bepaalde pagina aan een variabele eigen sql-queries toe te voegen." (Tweakers.net, 11/07/06)

Respons van de organisatie

"In een eerste reactie laat een zegsman de Nederlandse Politiebond weten dat de hack volgens de technici van de bond niet zo serieus is ' de wachtwoorden zijn immers gecodeerd', zo stelt hij. Nadat hij van Webwereld hoort dat een aantal eenvoudige wachtwoorden met een druk op de knop gekraakt is belooft hij toch dat de bond serieus naar de hack zal kijken. 'We gaan er in ieder geval voor zorgen dat zoiets niet meer gebeurt', zegt de woordvoerder. Hij vindt het vooral vervelend omdat veel mensen wachtwoorden toch hergebruiken. Dat de vakbond als inlognaam een anoniem nummer gebruikt is daarbij een flinke meevaller. Cybercriminelen zullen dan een extra stap moeten zetten om een e-mailadres aan een wachtwoord te koppelen. [...] In afwachting van een oplossing voor het probleem heeft de Nederlandse Politiebond inmiddels haar hele website offline gehaald." (WebWereld, 11/07/05)

"De Politiebond beloofde Tweakers.net het lek zo snel mogelijk te dichten. Woensdagmorgen, toen andere media al over het beveiligingsprobleem gepubliceerd hadden, bleek het beveiligingsprobleem echter nog steeds te bestaan. Een ontwikkelaar die in opdracht van de Politiebond werkt, [...], beweerde tegenover Tweakers.net dat het beveiligingsprobleem was opgelost. 'Alle variabelen worden opgeschoond met de mysql_real_escape_string-functie', aldus [de ontwikkelaar]. Die functie is bedoeld om variabelen op te schonen voordat ze in een sql-query worden gebruikt. Toen [...] werd verteld dat het manipuleren van sql-queries nog steeds eenvoudig mogelijk was - wat er op duidt dat de betreffende functie niet of onjuist wordt gebruikt - beloofde de ontwikkelaar om nogmaals naar het probleem te kijken. Een uur later is de gehele website van de Politiebond uit voorzorg offline gehaald. Daarmee kon echter niet worden voorkomen dat een gedeeltelijke dump van de database, met lidmaatschapsnummers, namen en wachtwoorden, op Pastebin verscheen. Volgens [de ontwikkelaar] gaat het daarbij gaan om gegevens uit een oudere database, voor een webapplicatie die niet meer werd gebruikt. 'Deze applicatie is ooit online gezet en vervolgens niet meer bijgewerkt', aldus [de ontwikkelaar]. Volgens hem gaat het om een database die dinsdag al offline is gehaald en die los stond van de huidige website. Dat komt niet overeen met de bewering van de hacker, die stelde dat de kwetsbaarheid op de nieuwspagina kon worden gevonden. De kwetsbaarheid zit volgens [de ontwikkelaar] in ieder geval niet in een verouderde versie van MySQL, zoals andere media meldden." (Tweakers.net, 11/07/06)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Database Nederlandse Politiebond gelekt - update (11/07/05)
Off-site link, opens in new window Tweakers.net: Politiebond haalt site offline na hack (11/07/06)

Zie verder:
Off-site link, opens in new window PrivacyNieuws: Database Nederlandse Politiebond gelekt (11/07/05)
Off-site link, opens in new window Rejo Zenger: Databank Nederlandse Politiebond gelekt (11/07/05)
Off-site link, opens in new window BoF: Datalek - ook bij Politiebond gegevens niet veilig (11/07/11)
Off-site link, opens in new window PrivacyNieuws: Politiebond.nl nog steeds zo lek als een mandje (11/07/11)
Off-site link, opens in new window WebWereld: Politiebond.nl nog steeds zo lek als een mandje (11/07/11)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.