image

Wachtwoord modules SquirrelMail geïnfiltreerd

dinsdag 4 augustus 2009, 11:19 door Redactie, 4 reacties

In tegenstelling tot wat de ontwikkelaars van het opensource webmail-pakket SquirrelMail beweerden, is tijdens de hack van juni de software wel door aanvallers aangepast. Halverwege juni liet het SquirrelMail team weten dat aanvallers de webserver hadden gehackt, maar dat de broncode en plugins niet in gevaar waren geweest. Nu moet de ontwikkelaar bekennen dat dit niet juist was. Aanvallers wisten de volgende modules de manipuleren: sasql-3.2.0, multilogin-2.4-1.2.9 en change_pass-3.0-1.4.0. De aanpassing zorgde ervoor dat wachtwoorden naar de aanvallers werden doorgestuurd. De modules zijn inmiddels weer te downloaden.

Reacties (4)
04-08-2009, 11:46 door Anoniem
Ik vind de ontwikkelaars buitengewoon slecht op het gebied van informatiebeveiliging. Het schort met name aan kunde om op een goede wijze te reageren en te handelen.

"We cannot establish a timeline of when these plugins were compromised. If you are a user of these plugins, it is strongly recommended you download a fresh copy from the plugins repository."

Met andere woorden: het is de ontwikkelaars niet duidelijk wanneer die aanpassingen hebben plaatsgevonden. Maar wegens het ontbreken van een uitleg kan het daarmee ook zijn dat die aanpassingen ook eerder hebben plaatsgevonden dan deze compromitering van hun systeem.

Het advies om simpelweg snel nieuwe modules op te halen en te installeren is halfbakken. Het grotere probleem is dat de wachtwoorden kennelijk verzonden kunnen zijn naar onbevoegden! De ontwikkelaars maken niet duidelijk onder welke omstandigheden dat heeft kunnen plaatsvinden! Ontwikkelaars vergeten weer eens voor wie ze werken: de gebruikers en hun belangen.
04-08-2009, 20:37 door Anoniem
>Ontwikkelaars vergeten weer eens voor wie ze werken: de gebruikers en hun belangen.

Dat zijn ze niet vergeten, ze werken voor zichzelf. Het zijn namelijk vrijwiliggers die in hun vrije tijd deze software ontwikkelen en gratis weggeven aan iedereen die het wil gebruiken. Of heb jij er voor betaald ? Zoniet, ze kunnen je donatie goed gebruiken. Misschien dat het dan beter gaat. Je kan ook lid worden van het team om de informatiebeveiliging te verbeteren.

Paul Schoonderwoerd
Pollux IT
05-08-2009, 09:04 door Anoniem
Door Anoniem: Ik vind de ontwikkelaars buitengewoon slecht op het gebied van informatiebeveiliging. Het schort met name aan kunde om op een goede wijze te reageren en te handelen.

Heb je zelf wel eens geprogrammeerd? Dan weet je namelijk hoe snel je een foutje hebt gemaakt.
07-08-2009, 17:00 door Anoniem
hahaha, weer zon pippoo die voor een dubbeltje op de eerste rij wil zitten..

Wees blij dat er nerds/coders zijn die dit voor de lol doen anders had je prolly nog steeds een horde; ohh nee die is ook gratis of een uebimiauwfdhsgfjsdgblaa ohh nee die is ook gratis; wees blij met wat je hebt anders maak je zelf toch even een nieuwe webmail client..

Beetje respect voor die coders, ze hebben er uren/dagen/weken in zitten en jij zeikt ze ff binnen 2 minuten af.
En nee ga het niet vergelijken met MS OWA waar miljoenen in zit.. Denk dat als je net als OWA zoveel miljoenen in squirrel zou douwen je THE webmail client zou hebben :)

maar goed, pecht voor degene die thirdparty mods/plugins installe moet je ze maar nakijken als security een must is..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.