image

Datingsite Knuz.nl lekt gegevens 280.000 leden

maandag 4 juli 2011, 13:55 door Redactie, 21 reacties

Door een fout in de inlogprocedure waren de privégegevens van 280.000 leden van de gratis datingsite Knuz.nl voor enige tijd voor onbevoegden toegankelijk, zo heeft Security.nl na een tip ontdekt. Een bezoeker van de website die via zijn KPN Mobiel verbinding de pagina benaderde, kreeg het onderstaande adminscherm te zien. Hier zijn de e-mailadressen, IP-adressen, ongehashte wachtwoorden, nicknaam en profielgegevens van 280.000 ingeschreven leden te vinden.

Onderzoek door de datingwebsite wees uit dat het niet om een hacker ging, maar dat er "een foutje" tijdens de inlogprocedure was gemaakt. Knuz.nl erkent dat er te snel iets is aangepast, zonder goed te testen. De fout, waardoor internetgebruikers met een bepaalde IP-range het adminscherm te zien kregen, zou volgens de site dit weekend zijn opgetreden.

Wachtwoord
Het probleem is na de tip van Security.nl verholpen. Dit incident, en afgelopen lekken en aanvallen laten zien hoe belangrijk het is voor elke website een uniek, sterk wachtwoord te gebruiken, bij voorkeur een passphrase. Daarnaast adviseert Security.nl gebruikers die bij Knuz.nl zijn ingeschreven om in ieder geval hun wachtwoord te wijzigen.

Reacties (21)
04-07-2011, 14:12 door Anoniem
Kijk, zo kan het ook. Niet de persoonlijke informatie van 280.000 mensen online gooien, maar gewoon de beheerder van de website mailen. Thumbs up.
04-07-2011, 14:58 door linuxpro
Door Anoniem: Kijk, zo kan het ook. Niet de persoonlijke informatie van 280.000 mensen online gooien, maar gewoon de beheerder van de website mailen. Thumbs up.

Ik snap je reactie wel maar soms worden dit soort dingen geroepen zonder 'bewijs' en dan kan de publicatie van namen en weggestreepte passwords nodig zijn. Ook vind ik dat middel op zich gerechtvaardigd als de betreffende website geen maatregelen neemt om een lek te verhelpen.
04-07-2011, 14:58 door Anoniem
Hierbij een reactie van de redactie van Knuz:
Wij ontkennen de ontstane fout in de inlogprocedure niet. Ook betreuren wij het voorval ten zeerste. Wij vinden echter de kop van dit artikel erg overdreven. Verder vinden we deze kop in combinatie met de plaatsing op de site (sectie breaking news) ook wat overdone. Zeker gezien het feit dat we de redactie van security.nl hebben uitgelegd wat er aan de hand was en wat de omvang van het voorval was. De tipgever betrof hier iemand die binnen een specifieke iprange van provider KPN per ongeluk tijdelijk toegang heeft gekregen tot deze gegevens. Deze persoon heeft deze gegevens niet misbruikt, maar heeft dit willen publiceren om specifieke persoonlijke redenen, zo denken wij. Wij vinden het erg jammer dat dit lid niet ons ervan op de hoogte heeft gesteld en wel security.nl.

Verder is het zo dat Knuz de wachtwoorden uitgeeft en haar nieuwe leden dit niet zelf laat invoeren bij de aanmeldprocedure. Daarmee is het risico van overeenkomstige wachtwoorden bij andere diensten beduidend minder groot.

Aspirant leden kunnen overigens gerust lid worden van onze dienst. We zijn op deze vervelende wijze extra op scherp gezet en zullen in de toekomst nog beter testen alvorens programmatuur aan te passen. Een gewaarschuwde Knuz telt voor twee :-).

Met vriendelijke groet,

Het Knuzteam
04-07-2011, 15:11 door Anoniem
Gaan ze nou ook nog password hashing implementeren, of is dat niet belangrijk genoeg?
04-07-2011, 15:43 door Anoniem
Reactie van Knuz op de vraag over wachtwoordhashing:
Onze wachtwoorden zijn beveiligd via procedures op de database met zeer beperkte rechten. Met sql injectie zul je de wachtwoorden dus niet zomaar kunnen achterhalen. Verder zijn de e-mailadressen op een soortgelijke wijze beveiligd. De combinatie van e-mailadres en wachtwoord is nog minder makkelijk te achterhalen door deze databaseopzet. Het feit dat het wachtwoord in dit geval zichtbaar was ligt erin dat het ingelogde lid per ongeluk de juiste rechten toebedeeld kreeg. We zullen extra beveiliging inbouwen waarbij we het beheer via een andere server laten lopen dan via de productieserver. De productieserver kunnen we daarmee volledig dichtzetten op o.a. firewallniveau en beheerschermtoegang. Nogmaals, we hebben er dus zeker van geleerd :-).
04-07-2011, 16:50 door Anoniem
Twee dating sites die login gegevens kwijt zijn in nog geen week.
Het café wordt week de plaats om te daten :-)
04-07-2011, 17:01 door Anoniem
Knuz, Pepper (geen artikel op security.nl?)... tijdje geleden al wat andere dating sites... ze zijn wel hot zeg.
Willen ze de mooie foto's downloaden ofzo? :P
04-07-2011, 17:55 door Anoniem
Hoe is dit uberhaupt mogelijk? Hoe is het in vredesnaam mogelijk dat de toegang tot een beheerpaneel gecontroleerd wordt op basis van een IP-adres, en niet op basis van een wachtwoord of andere authenticatiemethode?
Dit is gewoon grove nalatigheid.
04-07-2011, 19:21 door Anoniem
Zie dit soort dingen dagelijks maar waarschuwen helpt niet, men ziet vaak niet wat men te verliezen heeft.
verlies van andermans gegevens ? Het is toch een gratis dienst .... is vaak het argument.

Ik geef toe de kop geeft het idee dat de gegevens gelekt zijn had beter kunnen:
Datingsite Knuz.nl open voor bepaald IP segment (KPN) kans op lekken gegevens 280.000 leden
04-07-2011, 23:04 door Sijmen Ruwhof
Is het iemand opgevallen dat in de beheerinterface de wachtwoorden van gebruikers worden getoond?

Ik vind het zeer discutabel om in een administratorinterface wachtwoorden van gebruikers weer te geven. Behalve dat een wachtwoord een zeer vertrouwelijk gegeven is, en klanten ervan uit gaan dat niemand deze te zien krijgt, levert dit ook nog eens een zeer ernstig beveiligingslek op. Wanneer de website een Cross Site Scripting lek bevat, dan kunnen alle wachtwoorden tevens door een kwaadwillend persoon worden uitgelezen in de huidige opzet, door een gerichte aanval op de administrator uit te voeren.
05-07-2011, 00:41 door spatieman
niets is gratis, alleen het inschrijven.
05-07-2011, 08:11 door Anoniem
Door Sijmen Ruwhof: Is het iemand opgevallen dat in de beheerinterface de wachtwoorden van gebruikers worden getoond?

Het veld is wel erg klein, maar je hebt wel gelijk. Er valt me wel meer op. De optelsom van het aantal mannen en vrouwen (64154 + 29900) levert bij lange na niet het ledenaantal op, laat staan het totale aantal inschrijvingen. Daarnaast is dit volgens mij een van de weinige interfaces met een "Hijack" optie, en dat vind ik dan wel weer mooi.
05-07-2011, 09:52 door Anoniem
@ knutz:

Het probleem downplayen is vanuit communicatie-oogpunt een slecht idee.
Als je een ip-reeks autoamtisch een reeds ingelogde adminconsole aansmeert, dan heb je van het het-hek-is-overal-even-hoog principen nog niet veel begrepen. De voorgestelde beveiliginen zien er goed uit, maar geven een hacker ook een goed beeld van het aanvals-oppervlak in de toekomst.

Als deze goede man/vrouw nu alle passwords heeft, dan hebben andere KPN gebruikers dit ook. doe hier iets mee.
05-07-2011, 13:49 door Anoniem
Regel 6: nicknaam :)
05-07-2011, 14:25 door Anoniem
Door Anoniem: Regel 6: nicknaam :)
Nicknames zijn voor mensen met een dissociatieve identiteitsstoornis ;)
06-07-2011, 20:04 door Anoniem
Als ik de reactie van de redactie zo lees denk ik: denken ze nou dat security by obscurity echt werkt? (beetje database vreemd maken (zie hun uitleg), zou eerder zeggen dat ze dus een slechte database hebben daardoor)

Ik schrijf me maar uit... want als m'n wachtwoorden niet gehashed (md5 + een salt) worden, en er ook nog eens dit soort foutjes wordt afgedaan op de manier hier (wie zegt dat er niet nog 500 man dit hadden ontdekt en die database al in hun handen is? Iedere laptop die dus op het KPN mobiele netwerk zit, zeg maar de xs4all standaard manier, zag het dus?) dan is dat voor mij afdoende. En waarom is het nodig om mijn wachtwoord te kunnen lezen, wat moet je ermee, hashen die zooi?!

Trouwens, sowieso geeft die site je altijd overbodig veel tekstuele uitleg over van alles en nog wat, waardoor je juist het belangrijke altijd niet leest :), maar dat terzijde. Ik bedoel: ja, het is gratis en dat is het aanmoedigen waard, maar dit gaat te ver!

Schrijf ik me nog liever bij pepper in ;) Hun respons is aanmerkelijk beter.
07-07-2011, 02:12 door Anoniem
Zeker na de uitleg van Knuz heb ik het idee dat de programmeurs zeer amateuristisch zijn (deze indruk wordt bevestigd als je naar het design en de html kijkt). Dat het management dit slikt als zoete koek gaat er bij mij niet in. Basisregel 1 bij beveiliging: sla NOOIT wachtwoorden ongehashed op. De stored procedures met beperkte rechten is leuk bedacht maar zeker te omzeilen, zeker als er in de website een mogelijkheid is tot XSS en/of SQL injectie. Er zijn database accounts die inzage hebben in de wachtwoorden. Het feit dat het wachtwoord op de website wordt getoond zegt ook al genoeg. Zorg ervoor dat je de juiste rechten hebt en je bent klaar. Misschien houd je de script kiddie tegen, maar professionele hackersorganisaties lachen om je 'beveiliging'. En je weet het: alle wachtwoorden van alle leden worden zo op het internet gezet! Daarnaast vind ik de situatie bezwaarlijk omdat administrators schijnbaar van IEDEREEN hun wachtwoord kunnen inzien. Zeker gezien het feit dat de meeste mensen overal hetzelfde wachtwoord gebruiken is het tonen van dit wachtwoord uitermate bezwaarlijk. Het zou me niet verbazen als je met de wachtwoorden bij op zijn minst 75% van de mensen hun mail, bankgegevens, paypal en andere vitale services kunt bekijken. Een admin kan dus ook gewoon op mijn naam inloggen. Wees dus niet eigenwijs en doe het enige wat je in deze situatie zou moeten doen:

1) Hash en salt je wachtwoorden (met een fatsoenlijke hash zoals SHA).
2) Huur fatsoenlijke programmeurs in en zet ze eventueel op een geavanceerde veiligheidscursus.
3) Huur een onafhankelijke securityspecialist en code reviewer in!!!
4) Ga het probleem niet downplayen. Mensen maken fouten. In de toekomst zullen de programmeurs (indien je niets veranderd) meer fouten maken. De kans dat de wachtwoorden op deze manier uitlekken is zeer groot.
07-07-2011, 20:59 door Anoniem
De productieserver kunnen we daarmee volledig dichtzetten op o.a. firewallniveau en beheerschermtoegang.

oh oh is dit nog 1433? het jaar waarin de firewall voor de muren van het kasteel in brand gestoken kon worden zodat de vijand niet de muren kon beklimmen?

Ik hoop echt niet dat men een Firewall ziet als beveiliging......

Guardium, operator managed SIEM & IDS-everywhere, IAM, 2factor authentication, trusted SOA gateways, datapower, en meer van deze echte measures op een zinvolle wijze ingezet?
13-11-2011, 05:31 door Anoniem
beetje dom zou maxima zegge om voor alles een zelfde code te gebruiken en hacken komt overal voor dussssss niet doen of niemand het had zien aankomen
13-03-2012, 03:45 door Anoniem
Dit is nu de reden dat ik mezelf NOOIT inschrijf op sites die te veel info vragen.
Bij knuz wordt bij inschrijving zelfs je postcode gevraagt.
Dit is waarschijnlijk om mensen uit de omgeving makkelijker te koppelen.
Maar dat zou ook op een andere manier gedaan kunnen worden met interne code op de page.

Me voorgevoel was dus goed ,aangezien ik dit lees nadat ik af heb gezien van profiel maken op knuz
> Postcode is verplicht en noodzakelijk om deze site te kunnen gebruiken. <

Door middel van je postcode is je huisadres vrij simpel te achterhalen.
Dus vertrouw nooit dit soort gevoelige informatie toe aan websites die je niet kent.
Nu wordt het verwoord als een foutje
Maar dit kan net zo goed gewoon expres gedaan zijn ,zodat de login gegevens verkocht konden worden
Op Russische sites kan je miljoenen login gegevens kopen en met die gegevens creditcards aanschaffen
DAAROM is het zeer gevaarlijk om websites te veel informatie te verschaffen
Dit kunnen net zo goed nep sites zijn die er alleen zijn om gegevens te verzamelen
Uw gegevens zijn namelijk geld waard !!!!

Hoop dat deze uitleg mensen na laat denken ,want het net zit vol met oplichters !
06-04-2012, 22:01 door Anoniem
Door Anoniem #...: Knuz, Pepper ... ze zijn wel hot zeg.
Willen ze de mooie foto's downloaden ofzo? :P

btw. voor de ijverige plaatjeskijkerdtsch is Knuz overigens ook een knusse optie om te naar hartelust te kunnen hobby'en zogezegd, elke search-tocht die nieuwe profiel-nummers/codes brengt, geeft automatisch optie tot 1 evt. 4 fullsize profilepics, mocht het "gelukkige" knuzlid die willen sharen met de overige knuz-leden! .. lijkt me toch niet dat meerendeel der leden hier blij mee zal zijn, maar dat terzijde..

enkel geinteresseerden in (ellenlange) profiel teksten zullen toch echt moeten registreren, echter, aangezien 98% toch (stiekem) puur enkel en alleen op 't plaatje afgaat toch, ondanks alle mooie praatjes eromheen, zie hier uw optie.. ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.