Via een ernstig en zeer eenvoudig te vinden beveiligingslek heeft de website FreelanceMatch.nl de gegevens van 10.000 freelancers gelekt, zo blijkt uit een tip die Security.nl ontving. De kale "database-waarden" werden in de broncode van de profielen van freelancers opgeslagen. Door simpelweg het bekijken van de broncode, in Firefox de toetsencombinatie ctrl+u, werden tal van persoonsgegevens getoond.

Het gaat om e-mailadressen, wachtwoord-hashes, adresgegevens, telefoonnummers, fax-nummers, KvK-nummers, ter naam stelling van de bankrekening, bankrekeningnummers en nog informatie over het profiel en abonnement. De wachtwoorden waren met MD5 gehasht, zonder salt. Dat betekent dat ze eenvoudig te kraken zijn. Als test probeerde Security.nl via de website Md5decrypter.co.uk een aantal van de hashes. De wachtwoorden die bij de hashes hoorden waren binnen een seconde gevonden.

Aanvallers zouden zodoende de wachtwoorden op allerlei andere webaccounts kunnen proberen, aangezien veel internetgebruikers hetzelfde wachtwoord voor meerdere websites gebruiken. Daarnaast zouden de getoonde e-mailadressen voor phishingaanvallen te gebruiken zijn. Van meer dan driehonderd accounts waren de gegevens al door Google geïndexeerd.

Bewustzijn
Volgens Frank van Vliet, CTO van Certified Secure, gaat het om een zeer basaal beveiligingslek. "Dit soort kwetsbaarheden tonen aan dat er nog altijd programmeurs zijn die de juiste mindset missen om veilig te programmeren. Als ze de gratis Basic Web Application Audit Checklist hadden gedownload en doorgenomen, waren ze dit probleem zelf al tegengekomen (punt 3.2: controleer of debuginformatie niet voor normale gebruikers beschikbaar is). "

"Juist om dit soort problemen aan te pakken, lanceren we in augustus een aantal nieuwe certificeringen zoals de Security Essentials, Security Specialist en Security Aware Programmer certificeringen. Daarin leren deelnemers hoe ze zelf veelvoorkomende problemen als SQL Injection, Cross-Site Scripting en Path Traversal in webapplicaties kunnen opsporen en oplossen, zodat ze bewust worden van beveiligingsproblemen en hier praktisch mee om kunnen gaan."

Superslordig
In een reactie laat FreelanceMatch-oprichter Tymen Selman weten dat het lek "helemaal niet goed is." Twee uur na door Security.nl te zijn ingelicht had de website het probleem opgelost. Vervolgens werd er naar de 333 door Google geïndexeerde gebruikers een e-mail gestuurd dat hun wachtwoord was gewijzigd. Volgens Selman zou er naast de wachtwoord hashes geen informatie zijn gelekt, omdat alle overige gegevens bij een pro-account zichtbaar zouden zijn.

"De meeste mensen willen dat die informatie zichtbaar is. Ze moeten er bij ons voor betalen. De aard van de informatie is niet zo erg, maar het is natuurlijk wel superslordig. En zeker die wachtwoorden, dat is natuurlijk echt vervelend." Toch gaat het ook om zaken als bankrekeningnummers. Daarvan kon Selman niet zeggen of die ook bij een pro-account zichtbaar zijn. Ook een deel van de andere gegevens, zoals e-mailadres en telefoonnummers, waren niet zichtbaar toen Security.nl de pro-accounts bekeek, maar waren wel in de broncode te vinden.

Programmeur
Het lek zou eind afgelopen week geleden tijdens een aanpassing aan de website zijn geïntroduceerd. Het ging om een aanpassing voor het zien van admin-waarden. "Vanaf dat moment staat het waarschijnlijk open." De ontwikkelaar plaatste in de broncode nog de opmerking "(admin: dit zijn de kale database-waarden)". Volgens Selman was een programmeur iets aan het testen. "En die heeft zonder dat door te hebben dat lek gecreëerd."