Nieuws

LulzSec lekt wachtwoorden Defensiepersoneel

dinsdag 28 juni 2011, 12:00 door Redactie, 8 reacties

Het laatste databestand dat hackerscollectief LulzSec online zette voordat de groep afscheid nam, bevat de e-mailadressen en wachtwoorden van tenminste 1300 Nederlanders, waaronder het Ministerie van Defensie. Dat blijkt uit analyse door Security.nl van het gelekte databestand. Daarin staan in totaal 750.000 accounts, sommige met e-mailadres en wachtwoord.

De accounts zijn afkomstig van hackforums.net, nato-bookshop.org en verschillende gamingfora. De meeste gelekte gegevens zijn van het online spel Battlefield Heroes Beta. In totaal gaat het om meer dan 500.000 accounts met gebruikersnaam en wachtwoord.

Defensie
In het bestand staan vijftien e-mailadressen van het Ministerie van Defensie, ideaal voor het uitvoeren van gerichte e-mailaanvallen. De adressen zijn afkomstig van de gehackte NAVO boekwinkel, waar nog veel meer .nl e-mailadressen te vinden zijn. Een aanvaller die een spear-phishing aanval uitvoert zou zich als de webwinkel kunnen voordoen, of als één van de vijftien andere medewerkers. De gegevens bevatten ook de woonplaats van het personeel.

De NAVO liet weten dat aanvallers "waarschijnlijk" toegang tot de e-Bookshop hebben gekregen en dat alle getroffen abonnees gewaarschuwd zijn. De gemiddelde wachtwoordlengte van de vijftien Defensiemedewerkers is 8,2 karakters, waarbij het kortste wachtwoord uit vijf karakters bestaat en de langste uit twaalf.

We vroegen Defensie of het van dit lek op de hoogte was, of het personeel gevraagd was of de wachtwoorden ergens anders werden hergebruikt en of men bang was dat de informatie voor een phishingaanval zou worden ingezet. We kregen het volgende antwoord: "Aangezien het gaat om een site die gerelateerd is aan de NAVO, willen we u graag naar hun verwijzen", aldus een woordvoerder.

Trojaans paard
Het bestand dat LulzSec op ThePirateBay plaatste bevatte een Trojaans paard, reden voor de Torrentsite om het bestand te verwijderen.

Inmiddels is het bestand opnieuw geüpload, dit keer zonder malware, iets wat via een Twitter-account van Anonymous werd aangekondigd. Op deze pagina is een overzicht van de gestolen e-mailadressen te vinden, alleen zonder wachtwoorden.

Update 12:29: Reactie Defensie toegevoegd

Overheid vraagt Google 43 keer om gebruikersgegevens

Microsoft: Internet Explorer is voor iedereen

Reacties (8)

28-06-2011, 12:17 door Anoniem

Waarschijnlijk staan er ook adressen van verschillende gemeente-functionarissen en bedrijven in:

@dagjeuitzeilen.nl
@prijzennet.nl
@hetnet.nl <-- goed zoeken
@l33thackers.nl

en zoek zo maar door.

28-06-2011, 13:15 door Anoniem

Whitehat hackers zullen toch altijd beter zijn dan Lulzsec, DE Ego-organistatie.

28-06-2011, 13:48 door Anoniem

Het gaat er niet om wie beter/slimmer/groter/sterker is. Het gaat om het feit dat zij in een maand tijd zoveel hebben gepubliceerd dat ik mij zorgen maak over de gemiddelde beveiliging/bescherming van persoonsgegevens.

28-06-2011, 14:01 door [Account Verwijderd]

[Verwijderd]

28-06-2011, 14:45 door Anoniem

Door Anoniem: Waarschijnlijk staan er ook adressen van verschillende gemeente-functionarissen en bedrijven in:

@dagjeuitzeilen.nl
@prijzennet.nl
@hetnet.nl <-- goed zoeken
@l33thackers.nl

en zoek zo maar door.

waarom goed zoeken -_- er staat een search username/email

28-06-2011, 15:11 door Anoniem

Die gasten van LULZSEC zijn verkeerd bezig vind ik want dat er bij veel instellingen de beveiliging slecht wisten velen van ons al wel.
Door dit soort akkefietjes zal de regering al maar verder gaande privacyschendingen voorstellen om de burgers nog beter te kunnen bespioneren en vijheidsrechten te kunnen ontnemen.
Daarom vraag ik mij af of die gasten van LULZSEC al niet in dienst zijn bij èèn of andre overheidsinstelling om zo bij het publiek acceptatie te kweken voor strengerer internet security beleid.
Ik vertrouw deze zaak totaal niet!

28-06-2011, 15:15 door Anoniem

Omdat het hier waarschijnlijk niet om een klant van hetnet gaat ;)

29-06-2011, 10:10 door Anoniem

Vertaling naar de tastbare wereld -> als iedereen elkaar zou wijzen op het op slot doen van de voordeur of auto of winkel i.p.v. niets zeggen en de boel leeghalen, dan wordt het een stuk gezelliger!

Dat geldt ook voor dit soort acties, wijs de betreffende instantie op de beveiligingslekken, maar haal niet ongevraagd gegevens binnen waar je niets mee te maken hebt. Het blijft wat mij betreft toch ook een stuk fatsoen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer