image

RTL laat expert 25 webwinkels hacken

donderdag 17 mei 2012, 20:28 door Redactie, 23 reacties

Televisiezender RTL heeft een beveiligingsexpert gevraagd om bij 25 webwinkels in te breken, wat onder andere een database met de gegevens van 95.000 klanten opleverde. Deze gegevens waren afkomstig uit de webwinkel van Perry Sport. In totaal werden er bij vijf webwinkels ernstige problemen ontdekt, waardoor het mogelijk was om klantgegevens in te zien, schadelijke software te installeren of wachtwoorden te achterhalen.

Bij zes webwinkels werden kleinere onregelmatigheden geconstateerd. In enkele gevallen was er toegang tot namen, adressen en wachtwoorden. Die wachtwoorden waren gehasht, maar het ontsleutelen nam slechts minuten in beslag. Sommige onderzochte webwinkels hadden hun winkel draaien op software van meer dan vijf jaar oud.

Waarschuwing
Het is onduidelijk of RTL de webwinkels van tevoren heeft gewaarschuwd dat het de veiligheid van de sites zou gaan testen. Dit wordt nergens door de televisiezender vermeld, maar uit de reactie van Perry Sport valt op te maken dat de websites het waarschijnlijk niet wisten.

"Direct na het vernemen van jullie bericht hebben wij derhalve alles in werking gesteld om te traceren op welke wijze deze gegevens voor onbevoegden toegankelijk waren. Wij zullen uiteraard alle maatregelen treffen die nodig zijn om dit verder te voorkomen."

SQL injection
Naast PerrySport bleek ook WinkelSlim de beveiliging niet op orde te hebben. De onderzochte winkel gebruikte verouderde software. "Dit verklaart de verschillende databases welke getoond werden na de SQL injection. In de nieuwere versies zijn alle winkels volledig zelfstandig."

Verder bleek de webwinkel ook last van SQL injection te hebben. "Deze fout zal zo spoedig mogelijk worden verholpen in al onze versies waarna we verwachten weer veilige webwinkels te leveren", aldus een reactie van de ontwikkelaar die software voor webshops ontwikkelt.

Reacties (23)
17-05-2012, 21:40 door Charley51
Oh, en tijdens de verbouwing gaat de verkoop gewoon door.
17-05-2012, 23:24 door SBBo
Hacking is bij wet verboden!
17-05-2012, 23:33 door Security Scene Team
Door SBBo: Hacking is bij wet verboden!

hmm hmmm.. raar he?!
18-05-2012, 01:09 door Bitwiper
Door SBBo: Hacking is bij wet verboden!
En dat geldt ook voor het niet goed beveiligen van privacygevoelige gegevens, en daarom is het goed als journalisten (c.q. specialisten daartoe opdrachtgeven) misstanden aan de kaak stellen.
18-05-2012, 07:05 door Anoniem
Alles verhalen op de winkel zelf mocht je schade lijden,moet je het maar beter beveiligen!!!!
18-05-2012, 07:11 door WhizzMan
Ik mis het commentaar over dat de winkels met het waarmerk thuiswinkelen geen belangrijke problemen zouden hebben gehad. Dat stond op andere websites namelijk wel. Gelukkig maar, want met een testje op maar 25 willekeurige winkels kan je geen zinnig woord over zeggen over hoe dat over de gehele groep zou uitkomen.
18-05-2012, 08:02 door [Account Verwijderd]
[Verwijderd]
18-05-2012, 09:34 door Anoniem
't is een goede zaak adt de nalatigheid van webshops eens aan de kaak gesteld word.
Misschien dat er nu webshops zijn die deze eenvoudige testje nu zelf eens gaan (laten) uitvoeren.
Ik vind dat websites met dergelijke eenvoudige lekken op last van het OM direct gesloten moeten worden en een hoge boete moeten krijgen voor nalatigheid.

Ik zou het liefste zien dat journalisten alle nederlandse website laten controleren
18-05-2012, 09:36 door [Account Verwijderd]
[Verwijderd]
18-05-2012, 10:12 door Anoniem
Door SBBo: Hacking is bij wet verboden!
Ja, maar er zijn uitzondering. Dit gebeurd in maatschappelijk belang (privacy van gewone burgers is in gevaar) en de gegevens worden niet misbruikt.

Er is een verschil tussen echt hacking, dat je gegevens steelt/vernielt en de beveiliging van een systeem nalopen.
Arnoud heeft hier een keer een mooi artikel over geschreven https://secure.security.nl/artikel/29011/Juridische_vraag%3A_Hacker_wordt_bedreigd_na_melden_lek.html

Met bekende de quote "fouten verifieer je niet met een "; DROP DATABASE" commando. "
18-05-2012, 10:20 door Anoniem
Toch raar, volgens mij is hacken inderdaad bij wet verboden (zonder toestemming van "slachtoffer"), stel je voor dat je je voordeur niet goed op het nachtslot hebt gedaan en een of andere reporter komt je huis binnen door middel van "flipperen" , volgens mij kun je deze dan toch gewoon aanklagen wegens inbraak niet ? En wat is dan het verschil met hetgeen deze "boulevard" pers reporters hebben gedaan ?
18-05-2012, 10:45 door spatieman
Door SBBo: Hacking is bij wet verboden!
goh, zouden criminelen dit ook weten ??
18-05-2012, 10:49 door Anoniem
Hahaha; 'expert'.

Als je maar bij 5 van de 25 webwinkels een lek kunt vinden ben je gewoon een amateur. De beveiliging wordt maar zelden bij webwinkels op orde gebracht. Ik ben dan ook voor een boete per gebruiker die gelekt wordt. Een schadevergoeding van bijvoorbeeld 20 euro moet dan over gemaakt worden naar iedere gebruiker waarvan de gegevens gelekt zijn. Dit zorgt ervoor dat ze voortaan wel geld over hebben voor de beveiliging zodat ze geen boetes hoeven te betalen als het mis gaat.

Tips:
- Maak gebruik van application frameworks: http://en.wikipedia.org/wiki/Comparison_of_web_application_frameworks

- Gebruik Prepared Statemens. Dit is ook nog een stuk sneller dan query's, daarnaast kun je veel makkelijk overschakelen tussen verschillende databasesystemen. Zo kun je met 1 aanpassingen heel makkelijk switchen tussen heel veel drivers voor databasesystemen. PHP ondersteund er 15: http://php.net/manual/en/pdo.prepared-statements.php

- Installeer ModSecurity, als deze afgaat op een bepaalde hack meteen actie ondernemen om het probleem te verhelpen. ModSecurity is namelijk ook te omzeilen. http://www.modsecurity.org/

- Laat je website niet met verhoogde rechten in de database draaien. Data verwijderen uit de database is bijvoorbeeld niet de verantwoordelijkheid van de website. Maak eventueel een ip-whitelist voor de database.

- Zorg dat de software (PHP, MySQL, CMS, Apache) altijd up-to-date is.

- Wachtwoorden niet alleen crypten maar ook salten. Wachtwoordeneisen met bijvoorbeeld hoofdletters zijn niet nodig, wachtwoorden moeten gewoon lang zijn. Gebruik een goede encryptie: CRYPT_SHA512 http://nl.php.net/manual/en/function.crypt.php

- Zorg dat SSL en eventueel DNSSEC in orde is op het systeem.

- Gebruik bij het configureren of beheren van het systeem alleen beveiligde verbindingen (SSH, SFTP, HTTPS), maak het dus ook niet mogelijk om niet beveiligde verbindingen te maken om met verhoogde rechten iets te doen.

- Maak een IP-whitelist voor configuratie en beheer.

- Gebruik geen externe software. Installeer dus zelf voor statistieken bijvoorbeeld het open source Piwik. Gebruik voor social sharing bijvoorbeeld shareNice. Maak zo min mogelijk gebruik van js-libary's, en beperk sowieso het gebruik van Javascript. http://piwik.org/, http://sharenice.org
18-05-2012, 11:36 door Anoniem
Door Anoniem: Hahaha; 'expert'.
Tips:
U vergeet nog:
- Zet je website niet op een shared host maar zorg dat je een dedicated machine hebt. Tig problemen door slechte configuraties en beheer van derden waar je geen controle over hebt maken anders dat jezelf en dus de gegevens van je klanten de klos zijn.
18-05-2012, 12:11 door Anoniem
@Anoniem van 10:20.

Met jou vergelijking met 'door middel van "flipperen" 'sla je de plank wel erg ver mis in mijn opinie.
Ik zou het meer willen vergelijken met een huis waar geen ramen en deuren in zitten waar iemand die gevraagd word om daar kostbare dingen binnen te zetten dan van zegt: 'ik ga daar geen kostbare dingen naar zetten want er zitten geen ramen of deuren in het pand'

vaak is er bij webswhops of overheids websites geen enkele controle of beveiligings maatregel getroffen: daar mag je iemand best op wijzen
18-05-2012, 17:05 door Anoniem
SQL Injection is zo 2010 he..
En dat noemen ze dan een Expert

4 TEH LULZ !!

@Rick gewoon niet meer over bloggen maat, ze nemen het toch niet serieus.

Greetz "Dica Brun"
18-05-2012, 17:08 door SBBo
Zoals vaak worden deze hacks goedgepraat door het aan de kaak stellen van de slechte staat van beveiliging.
Twee dingen hierop:
- details over de methode kennen we niet, dus kunnen dit ook niet beoordelen.
- ik hoop dat er niet in uw huis wordt ingebroken om aan te tonen hoe slecht het thuis met de beveiliging gesteld is.

Laat ik er geen misverstand over laten bestaan.
Ik ben voor een verplichte security audit voor iedere website die online data opslaat of online betalingen verricht, maar dan wel door een gecontrolleerde instantie en niet publiek.
18-05-2012, 17:57 door yobi
Misschien steken de slechte programmeurs iets op van het volgende artikel:
http://www.unixwiz.net/techtips/sql-injection.html
18-05-2012, 18:45 door [Account Verwijderd]
[Verwijderd]
18-05-2012, 19:46 door Anoniem
hacken != code kloppen
hacken != verboden

computervredebreuk = verboden.

Ik had verwacht dat de bezoekers van deze website dat toch wel zouden weten
18-05-2012, 20:24 door regenpijp
Door yobi: Misschien steken de slechte programmeurs iets op van het volgende artikel:
http://www.unixwiz.net/techtips/sql-injection.html

denk je dat SQL injectie het enige probleem hoeft te zijn? Ga maar eens de gehele OWASP top 10 en de SANS top 25 af.
19-05-2012, 10:11 door Anoniem
Het ging RTL meer om de makkelijke hacks zoals SQL injecties, en echt iedereen die maar beetje af weet van hacken kan dat misbruiken en dat is wat het zo erg maakt! Als je website vandaag de dag nog kwetsbaar is voor een simpele SQL injectie, dan ben je gewoon een ordinaire prutser!!

"Gebruik Prepared Statemens. Dit is ook nog een stuk sneller dan query's".
Niet altijd, het is alleen sneller als je de query meerdere moet uitvoeren. Als je hem maar één gebruikt is het snelheidsverschil vrijwel nihil.

"Maak gebruik van application frameworks:"
Uhh nee, maak gebruik van bewezen oplossingen en ga niet het wiel opnieuw zelf uit te vinden ;) een application framework is daar slechts een onderdeel van.
21-05-2012, 18:31 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.