image

Webwinkel Mozilla gehackt

donderdag 6 augustus 2009, 08:59 door Redactie, 5 reacties

Mozilla heeft de eigen webwinkel moeten sluiten nadat hackers hier wisten in te breken. Hoeveel klanten er getroffen zijn is nog niet bekend, maar om verder misbruik te voorkomen, is store.mozilla.org tijdelijk gesloten. De opensource ontwikkelaar ontdekte dat GatewayCDI, de derde partij die de backend voor de Mozilla Store regelt, gehackt was. Mozilla zou GatewayCDI hebben aangemoedigd om alle betrokken individuen wier gegevens gestolen zijn zo spoedig als mogelijk te informeren.

Er loopt inmiddels een onderzoek om de aard en omvang van de aanval te bepalen. "De winkel wordt pas weer geopend als we voldoende zekerheid krijgen dat login security en privacy van de gegevens goed geregeld zijn." In de Mozilla webwinkel zijn allerlei Mozilla en Firefox gerelateerde spullen te koop, zoals t-shirts, knuffels en bekers. De internationale webwinkel wordt door een andere partner beheerd, maar is uit voorzorg ook gesloten.

Update 10:49
Een bron laat Security.nl net weten dat hij Mozilla al op 11 juli over het probleem van SQL-injectie in de shop had ingelicht. Een reactie had hij echter nooit ontvangen. "Ze waren hier dus al reeds van op de hoogte, de ernst van het lek is vrij groot omdat de complete database uit te lezen was."

Reacties (5)
06-08-2009, 10:48 door Anoniem
Jammer. Als je succes hebt, zullen er altijd mensen/groepen zijn die je dat succes niet gunnen en op alle mogelijke manieren zullen tegenwerken. Anderzijds wordt je op de proef gesteld en krijg je de gelegenheid om orde op zaken te stellen.
06-08-2009, 13:06 door [Account Verwijderd]
[Verwijderd]
06-08-2009, 14:37 door wizzkizz
Door Peter V:
Update 10:49
Een bron laat Security.nl net weten dat hij Mozilla al op 11 juli over het probleem van SQL-injectie in de shop had ingelicht. Een reactie had hij echter nooit ontvangen. "Ze waren hier dus al reeds van op de hoogte, de ernst van het lek is vrij groot omdat de complete database uit te lezen was."

Hoe vaak kom ik websites tegen die - na controle - niet eens bestand zijn tegen SQL-injectie aanval? Het is soms schrikbarend hoe slecht de beveiliging geregeld is.
Het enkele feit dat er SQL-injectie mogelijk is, is natuurlijk ernstig, maar hoeft geen onoverkomelijk veiligheidsrisico te zijn, mits de database-gebruiker alleen leesrechten heeft. Omdat je (natuurlijk!) geen gevoelige data plaintext in de database opslaat, is zo ongeveer het ernstigste wat er kan gebeuren dat e-mailadressen van gebruikers bekend raken. Dat als zodanig is een privacy-issue (en dus ongewenst!), maar zal niet leiden tot ernstige gevolgen voor de gebruiker (het ergste wat er kan gebeuren is dat de gebruikers extra spam ontvangen).

Zelf hanteer ik bij het gebruik van databases voor webapplicaties minimaal 4 gebruikers,
(1) één met alleen-lezen toegang gebruikt wordt voor alle SELECT queries;
(2) één met schrijf-bevoegdheden in de relevante tabellen voor de front-end;
(3) één met schrijf-toegang voor de relevante tabellen voor de backend;
(4) en de laatste voor de het lezen en schrijven (maar niet updaten en deleten) van de log- en audittabellen.

Naast alle pogingen in de code die gedaan wordt om sql-injectie te voorkomen (alleen gebruiken van parameterized queries, input checking op geldige waarden in plaats van het filteren op ongeldige waarden) minimaliseer je zo de impact die een aanval kan hebben mocht het onwaarschijnlijke toch gebeuren.
06-08-2009, 22:59 door soeperees
Als je vandaag de dag nog een website/webwinkel hebt die gevoelig is voor sql-injectie, sterker nog, de hele database is uit te lezen.... F*ck*n shame on you!!! Incompetente sukkels het zijn ' OR 1 = 1.
26-08-2009, 03:33 door Anoniem
Hoe vaak kom ik websites tegen die - na controle - niet eens bestand zijn tegen SQL-injectie aanval? Het is soms schrikbarend hoe slecht de beveiliging geregeld is.
De meeste beheerders weten echt niet wat een SQL-injectie is, doet of hoe je 't kan voorkomen.
Functionality gaat gewoon boven security... Simpel zat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.