image

Publieke omroep lekt miljoenen privégegevens via SQL Injection

vrijdag 25 november 2011, 15:31 door Redactie, 13 reacties

Door een beveiligingslek in het beheersysteem van de publieke omroep waren 2,3 miljoen privégegevens toegankelijk. Daarnaast waren 160 websites van zowel publieke omroepen als radiostations via één gelekt wachtwoord benaderbaar. Dat ontdekte een hacker die Webwereld tipte. Het gaat om de websites van onder andere QMusic, 3FM, Slam FM, KRO, Omroep.nl, BNN, diverse publieke radiozenders, RTV Noord-Holland en nog een aantal andere sites. Bij 3FM ging het om de namen van meer dan een half miljoen gebruikers, bij het Klokhuis werden 230.000 adressen "buitgemaakt".

De hacker wist via een SQL Injection-lek in de oude versie van het content management systeem (cms) ABC Manager toegang tot de privégegevens te krijgen. Verder bleek dat één van de beheerderswachtwoorden voor alle websites werkte. De privégegevens bestaan onder andere uit namen, adresgegevens, e-mailadres en telefoonnummer.

Reacties (13)
25-11-2011, 15:47 door Anoniem
ISSX... mijn helden!
25-11-2011, 15:55 door [Account Verwijderd]
[Verwijderd]
25-11-2011, 17:01 door jaapd
Door Peter V: Bij een test door mij van een website van een krant viel het mij al op dat er een SQL-injectie mogelijk was.
Niet bluffen: welke krant? En hoe?
25-11-2011, 19:06 door Anoniem
Wel een knullige fout van die developers zeg, zoiets hoor je toch elke keer te controleren wanneer je een release van je CMS uitbrengt.
25-11-2011, 22:04 door Anoniem
Door Anoniem: ISSX... mijn helden!
dus....ISSX heeft de hack gezet? Hoop het niet want zou weer een blunder zijn van het Amersfoortse security bedrijf
26-11-2011, 11:28 door Anoniem
Door jaapd:
Door Peter V: Bij een test door mij van een website van een krant viel het mij al op dat er een SQL-injectie mogelijk was.
Niet bluffen: welke krant? En hoe?

jij hebt zeker nog nooit een legertje advocaten achter je aan gehad, terwijl je de beste bedoelingen had... ga weg scriptkiddie
26-11-2011, 11:40 door Anoniem
Door Peter V: Bij een test door mij van een website van een krant viel het mij al op dat er een SQL-injectie mogelijk was.

Maar aangezien Klokkenluiders en ethische onderzoekers als snel aan de dichtstbijzijnde paal worden opgehangen, heb ik het resultaat maar gelaten voor wat het was.

Ik had iets soortgelijks bij tros.nl
28-11-2011, 10:42 door Anoniem
In Hilversum hebben ze flink last van het `king of the hill` syndroom, waar de huidige sysadmins er voor zorgen dat ze 'De Uber Nerds' kunnen blijven binnen hun muren, door er voor te zorgen dat er Niemand aangenomen word die meer kennis&kunde heeft.

Zelfde liedje als de ambtenaren die steeds weer op hun snuffert gaan daar door.

ICT heeft zo'n berkompen & destruktieve macho cultuur!!
28-11-2011, 16:40 door Anoniem
Voorgaander reactie snap ik niet; Angry Bytes is een extern bedrijf en niet direct gelieerd aan NPO.
29-11-2011, 06:06 door Anoniem
Ins3ct3d chapeau
29-11-2011, 07:42 door Anoniem
"Voorgaander reactie snap ik niet; Angry Bytes is een extern bedrijf en niet direct gelieerd aan NPO."

Ze maken een CMS dat de gebruiker veel vrijheid geeft; ze kunnen zelf SQL queries toevoegen.
Het CMS word niet lek geleverd maar er worden lekken ingemaakt door de gebruiker.

ik ben het volledig eens met Anoniem(10:42)
29-11-2011, 10:07 door Anoniem
Zelfde verhaal bij http://pauwenwitteman.vara.nl/Contact.105.0.html
Niets intypen daar, je krijgt meteen 100derden nep mailtjes
29-11-2011, 16:13 door Anoniem
op moment van schrijven zijn de lekken nog niet gedicht en alle gegevens staan nog steeds online.
Dat is hoe vernatwoordelijk de publieke omroep met 2,27 miljoen persoonsgegevens omgaat

BitBuster
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.