Nieuws

Tweakers.net lekt database-wachtwoorden

vrijdag 23 maart 2012, 11:48 door Redactie, 17 reacties

Door een fout was zeer korte tijd op Tweakers.net een configuratiebestand met database-wachtwoorden zichtbaar. Het lek had geen gevolgen voor gebruikers of de beveiliging van de website. "Een foute config-installatie was echt enkele seconden zichtbaar", zegt hoofdredacteur Wilbert de Vries tegenover Security.nl. De populaire technologiesite werd na het verschijnen van het bestand door tal van bezoekers gebeld. "Gelukkig hebben we ook zeer oplettende ontwikkelaars. Zodra de fout werd gemaakt werd die ook meteen ontdekt en zijn er tegenmaatregelen genomen."

In het configuratiebestand staan wachtwoorden en namen van verschillende databases. Die zijn echter niet van buitenaf bereikbaar, merkt De Vries op. "Het is een stomme fout die we gelukkig binnen een minuut hebben kunnen herstellen." Na de ontdekking van het lek werd het configuratiebestand verwijderd en alle wachtwoorden gewijzigd. Tevens werd er gecontroleerd of de wachtwoorden echt niet van buitenaf bruikbaar waren.

Onderzoek
"De database, inhoud en gebruikersgegevens zijn niet in gevaar geweest", stelt De Vries. Tweakers heeft inmiddels een onderzoek ingesteld om te zien wat er precies is misgegaan en hoe het dit had kunnen voorkomen. Het lek had waarschijnlijk met een verhuizing van databases te maken.

Ook via Twitter en op de eigen website worden bezoekers over het voorval ingelicht.

Australische politie opent jacht op open WiFi-netwerken

Karaoke MIDI nekt kwetsbare Windows computers

Reacties (17)

23-03-2012, 11:52 door DanielG

Kan gebeuren, wel lullig dat ze nu over elk wachtwoord moeten aanpassen

23-03-2012, 12:33 door RBI_

Nou dat onderzoek kunnen ze staken... http://pastebin.com/vs5Jk4Gu
< vergeten te zetten in het config bestand, moet natuurlijk zijn <?PHP.

23-03-2012, 12:41 door Anoniem

okey.......

23-03-2012, 14:03 door SirDice

Door RBI^: Nou dat onderzoek kunnen ze staken... http://pastebin.com/vs5Jk4Gu
< vergeten te zetten in het config bestand, moet natuurlijk zijn <?PHP.

Dat geeft alleen aan wat er uiteindelijk mis ging. Niet hoe dat zo gekomen is.

Het zal wel een typo zijn geweest, gebeurd mij ook wel eens.

23-03-2012, 14:15 door Mozes.Kriebel

"Een foute config-installatie was echt enkele seconden zichtbaar", zegt hoofdredacteur Wilbert de Vries tegenover Security.nl. De populaire technologiesite werd na het verschijnen van het bestand door tal van bezoekers gebeld.

Wat is dat nou weer voor een verhaal? Je gaat me niet vertellen dat er gebruikers van Tweakers zijn die binnen een paar seconden exposure aan de telefoon hangen en dat tweakers gelijk het probleem heeft opgelost.

23-03-2012, 14:33 door Anoniem

WAAROM hebben ze wachtwoorden in een (configuratie)bestand staan? Is het nieuws dat wachtwoorden leesbaar opslaan niet veilig is?

23-03-2012, 14:38 door Anoniem

Wat een prutsers, kan wel merken dat T-Net niet meer hetzelfde T-Net als jaren geleden was. Juist een site als T-Net zou dit goed voor elkaar moeten hebben want ze wijzen anderen er namelijk ook op. Sukkels zijn het. Ik ga snel mijn wachtwoord veranderen.

23-03-2012, 14:40 door Anoniem

De wachtwoorden moeten leesbaar worden opgeslagen (of in ieder geval ontsleutelbaar), omdate het systeem deze nodig heeft om contact te leggen met de database.

23-03-2012, 15:11 door Anoniem

Door Anoniem: Wat een prutsers, kan wel merken dat T-Net niet meer hetzelfde T-Net als jaren geleden was. Juist een site als T-Net zou dit goed voor elkaar moeten hebben want ze wijzen anderen er namelijk ook op. Sukkels zijn het. Ik ga snel mijn wachtwoord veranderen.

Joh - rustig aan! Fouten worden gemaak - door iedereen, dus ook door mensen die hun zaakjes over het algemeen goed op orde hebben. Als je de pastebin link hierboven even doorleest dan zie je dat tweakers.net sterke wachtwoorden gebruikte, voor elk systeem andere en dat ze redelijk open zijn over wat er is mis gegaan.

Hoe stevig je een systeem ook dichttimmert, menselijke fouten komen altijd voor. In Zwitserse tunnels, op Italiaanse cruise schepen, en nu dus ook bij Tweakers.net. Het gaat er om hoe je er op reageert, en jij reageert mijns inziens verkeerd...

23-03-2012, 15:12 door Anoniem

Door Anoniem: WAAROM hebben ze wachtwoorden in een (configuratie)bestand staan? Is het nieuws dat wachtwoorden leesbaar opslaan niet veilig is?

De databasewachtwoorden zijn bij iedere paginaaanvraag nodig. De wachtwoorden moeten wel leesbaar zijn.

23-03-2012, 15:41 door Vergeten

@ anoniem 14:33. Denk dat jij eerst even PHP moet gaan leren met combinatie van SQL.

@ anoniem 14:38. Mensen maken fouten he? Weet wel zeker dat jij niet Mr. Perfect bent die never nooit fouten heeft gemaakt in zijn leven.

24-03-2012, 00:50 door [Account Verwijderd]

[Verwijderd]

24-03-2012, 12:33 door Anoniem

Jullie snappen het niet;

Snap jij het?

Ik bedenk in 2 minuten, 4 manieren, hoe dit 'probleem' voorkomen had kunnen worden. En dan heb ik niet diepzinnig nagedacht over PHP code, is maar +/- 200 bytes. Sterkte met raden van deze methodes. Als je serieus PHP kan programmeren, begrijp je wat ik bedoel.

Dat je een plain-text password opslaat om wat tables te kunnen openen, is niet heel erg. De plaats waar je deze opslaat, natuurlijk wel.

1) Configs buiten webdir, voorkomt directe requests met de gemaakte fout
2) Configs in een ini file (of soortgelijk) zetten, welke je met config.php parsed. Bij een fout als het vergeten van compleet 'parser enable' block in config.php zie je niet de exacte config, enkel waar de ini file staat.
3) Early output...?! Maar vraag je in een Restaurant ook om de recepten? ;-)
4) Zie 3.

Gelukkig heeft Tweakers.net zijn zaakjes op orde wat betreft firewalls (afaik). En vormde het technische probleem, geen securityprobleem voor Tweakers.net en/of haar gebruikers. Maar het is en blijft een beginnersfout kwa software design. Software design je met security in gedachten, vanaf tekentafel. Dat is hier 'duidelijk' niet gebeurt.

24-03-2012, 14:33 door Anoniem

Waarom gebruik jij dan nog steeds Tweakers?? Als het niet meer het Tweakers van vroeger is??

Misschien een roeping voor je om een soortgelijke site op te zetten en kijken of je het beter doet.

Het bedrijf heeft naar mijn inziens snel en adequaat gehandeld.

PS: Ik zou maar snel je wachtwoord aanpassen ;-)

24-03-2012, 21:34 door 0101

Door RBI^: Nou dat onderzoek kunnen ze staken... http://pastebin.com/vs5Jk4Gu
< vergeten te zetten in het config bestand, moet natuurlijk zijn<?PHP.

Syntax highlighting leest makkelijker: http://pastebin.com/mVLsUru5.

25-03-2012, 10:31 door Anoniem

Storm in een glas water dit..

25-03-2012, 15:03 door meeuw

Het blijft het griezelig om je wachtwoorden in je DocumentRoot te zetten

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer