Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
Bureau Integriteitsbevordering Openbare Sector. De sites van het bureau en aanverwante organisaties zijn gemaakt door leverancier Drecomm.
Abonnees op een digitale nieuwsbrief, mogelijk ook anderen die zich bij de site hebben ingeschreven.
"[...] de hele database [kon] worden uitgelezen, waarbij ook usernames en wachtwoorden toegankelijk waren. Diverse wachtwoorden waren in plain text opgeslagen. [...] De database bevat onder andere de nieuwsbriefadministratie en een tabel met gebruikersgegevens. Saillant detail is dat de wachtwoorden in deze tabel in plain text zijn opgeslagen en, op een aanpassing van o in 0 en i in 1 na, identiek zijn aan de username." (Tweakers.net, 11/08/04)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
Via een sql-injectie zijn databasegegevens bemachtigd door Nederlandse hackers. De data was opgeslagen in plain text. De hackers hebben een deel van de buit gepost op Pastebin. Het gaat hier om namen en wachtwoorden van abonnees op een digitale nieuwsbrief. Daarnaast zijn voor zover door Bureau Integriteitsbevordering Openbare Sector (BIOS) na te gaan is ook enkele andere databases gekraakt, maar een woordvoerder benadrukt dat er geen gevoelige informatie naar buiten is gekomen. [...] [Een van de hackers] meldde Webwereld deze middag zelf de hack via e-mail. 'We zijn het zat dat organisaties dan wel de overheid hun zaakjes wat betreft computer beveiliging niet op orde hebben. Daar balen we van', zo schrijft hij. [De hacker] voegt eraan toe dat hij zich niet serieus genomen voelt door dergelijke organisaties als hij een lek meldt. 'Maar zodra het in de media komt, nemen ze het ineens serieus.'" (WebWereld, 11/08/04)
[...], internetconsultant bij het integriteitsbureau, zegt dat de kraak mogelijk was door 'een menselijke fout'. De website moet worden beschermd door een controlescript die sql-injecties moet tegengaan, maar die blijkt niet goed te hebben gefunctioneerd, zo zegt hij. Inmiddels is het bewuste gat gedicht en voeren technici van BIOS en de websitebouwer een onderzoek uit naar dergelijke gaten in andere websites die de organisatie heeft draaien. [...] 'We hebben alle gebruikers en hun wachtwoorden die nu op straat zijn komen te liggen, gewist en nieuwe aangemaakt', zegt [de internetconsultant]. 'Ik vind dit heel vervelend, het mag gewoon niet voorkomen. Er zijn in ieder geval geen NAW-gegevens naar buiten gekomen en ook bijvoorbeeld de database met de gegevens over hoe de stand is van integriteit bij publieke organisaties is niet gehackt.' De site integriteitoverheid.nl waarop de hack is uitgevoerd, is gisteren offline gehaald, volgens [de internetconsultant] vanwege de grote drukte aan internetverkeer van nieuwssites en niet vanwege het lek. 'Die is al gedicht.'" (WebWereld, 11/08/04)
Eerste publicatie:
Tweakers.net: Integriteitoverheid.nl slaat wachtwoorden in plain text op (11/08/04)
WebWereld: Hackers kraken integriteitssite van de overheid (11/08/04)
Zie verder:
Rejo Zenger: Databank integriteitssite overheid lekt gegevens (11/08/05)
BoF: Datalek - website integriteitsbureau lek (11/08/16)
