"Weer groot lek bij Nederlandse internetprovider" *update*
Door een lek bij een grote Nederlandse internetprovider liggen de gegevens van honderdduizenden mensen op straat. Dat liet IT-journalist Brenno de Winter het Radio 1 Journaal weten. Om welke provider het gaat wil De Winter nog niet zeggen, aangezien hij de ISP eerst de gelegenheid wil geven om met een reactie te komen. Daarnaast zouden getroffen klanten nog niet zijn ingelicht.
Acties
De provider in kwestie zou allerlei internetacties voor bedrijven mogelijk maken, waarbij mensen hun adresgegevens en wachtwoorden achterlaten. De gegevens zouden zonder enige beveiliging zijn opgeslagen.
De Winter meldde vrijdag al op Nu.nl, dat hij een database in handen had gekregen die gelekte gegevens bevatte met onduidelijke herkomst. Ook bleek dat er in totaal 134.000 mensen getroffen waren door een lek.
Update 13:26
De Telegraaf meldt dat het "kinderlijk" eenvoudig was om toegang tot de informatie te krijgen. Het invoeren van de gebruikersnaam 'root' zonder wachtwoord, was voldoende om binnen te komen.
Update 14/2 16:22
Het lek was aanwezig bij Creationpoint.nl, een bedrijf dat marketingacties voor onder andere Bavaria verzorgde. "Creation Point moet helaas melden dat er toegang is geforceerd naar de databases op de productieserver. Het Nationaal Cyber Security Centrum is op de hoogte. Deze geforceerde toegang is afgesloten, letterlijk minuten na de eerste melding. De meeste klanten zijn ondertussen verwittigd, alle sites worden op dit moment gemigreerd naar een nieuwe omgeving. Wij betreuren dat dit heeft plaatsgevonden. We houden u op de hoogte", aldus het bedrijf op de eigen website.
Wat weet die man toch veel.........
Nu maar raden welk bedrijf dat is.
Ik ben redelijk ervaren met Linux en Freebsd, maar toch benieuwd hoe je op een systeem als root kan aanmelden zonder dat er om een wachtwoord gevraagd word. Dat blijft vaag.
Dat zou goed kunnen, maar meestal hebben deze van die sites waar ze 06/e-mail adres willen.
Nog niet eerder gehoord dat ze mensen om hun wachtwoord vragen.
Ik ben redelijk ervaren met Linux en Freebsd, maar toch benieuwd hoe je op een systeem als root kan aanmelden zonder dat er om een wachtwoord gevraagd word. Dat blijft vaag.
Was het Blinck of een van de nazaten, die een tijd terug een boete van 1.2 miljoen kreeg van de Consumentenautoriteit wegens sms fraude?
https://app.m4n.nl/inschrijven-affiliate
Brenno trekt zijn woorden in: nu geen GROTE ISP meer.
@appelboor binnen nu en een uur
7 minuten geleden
@moraal nee geen grote ISP. Een ISP of internetdienstverlener. Het gaat om honderdduizenden klanten.
18 minuten geleden
Ik wacht i.i.g. de updates op dit bericht af voordat ik er inhoudelijk wat over te zeggen heb.
//edit: Zie bericht van Waterman boven mij, precies wat ik bedoelde ;-)
Ik ben redelijk ervaren met Linux en Freebsd, maar toch benieuwd hoe je op een systeem als root kan aanmelden zonder dat er om een wachtwoord gevraagd word. Dat blijft vaag.
Uhm: MYSQL Standaard instellingen is "admin" zonder pw....
Vindt het zelf ook wel HANDIG om geen PASSWORD te hebben, dan kun je er namelijk IN om een PASSWORD in te stellen. Maar de meeste ICT-ers (Of muis klikkers) maken alleen een nieuw account aan i.p.v. ook het admin account te blokkeren.
Uhm: MYSQL Standaard instellingen is "admin" zonder pw....
Nee hoor, dat is root. Misschien dat dat in XAMPP ofzo anders is, maar de default is root (en inderdaad, zonder wachtwoord omdat je anders er niet in kan de eerste keer), zie de handleiding: http://dev.mysql.com/doc/refman/5.6/en/default-privileges.html
@appelboor binnen nu en een uur
1 uur geleden"
https://twitter.com/brenno
Er zit nog steeds een backdoor, nouja frontdoor in.
Als je een os account hebt zo je zonder het root ww van mysql toch root access kunnen krijgen doormiddel van het debian-maint account. 300.000 backup script maken hier gebruik van dus kan een simple user accountje dit ook kunnen ;)
INFO
http://www.nu.nl/internet/2739800/honderdduizenden-klantgegevens-gelekt-hack.html
Je speelt teveel spelletjes.
Alleen een ECHTE ICT-er weet dit natuurlijk, werk zelf bij een bedrijf waar ze de DB naam zelfs nog hard in de code hebben staan samen met hun sleutels....
Dus laten we zeggen: Iets teveel euro en millenium prutsers in MIJN vakgebied !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
