image

Datingsite ontloopt boete wegens onversleutelde wachtwoorden

vrijdag 27 juni 2014, 10:00 door Redactie, 3 reacties

Een bedrijf dat allerlei datingsites aanbiedt hoeft geen boete te betalen omdat vorig jaar een database met 42 miljoen onversleutelde wachtwoorden en andere persoonlijke gegevens van gebruikers werd gestolen. De Australische Information Commission had een onderzoek naar het incident ingesteld.

De gestolen database van Cupid Media werd op dezelfde server aangetroffen waar ook de gestolen data van Adobe, PR Newswire en het National White Collar Crime Center (NW3C) werden ontdekt. Volgens onderzoek van de Information Commission heeft het bedrijf de Australische privacywetgeving overtreden door de persoonlijke informatie van gebruikers niet voldoende te beveiligen.

Het gaat dan onder andere om de opslag van wachtwoorden. Die werden gewoon in platte tekst bewaard, waardoor ze meteen toegankelijk voor de aanvallers waren die de database buitmaakten. Daarnaast hield Cupid Media zich niet aan vereiste om gegevens die niet langer noodzakelijk zijn te verwijderen. Een deel van 42 miljoen gestolen accounts zouden niet meer worden gebruikt, maar het bedrijf kon niet zien welke.

Patch

De aanval vond plaats via een lek in Adobe ColdFusion, een platform voor het ontwikkelen van dynamische websites en webapplicaties. Op 16 januari vorig jaar publiceerde Adobe een patch voor een lek in ColdFusion. Cupid Media zou echter geen bericht van Adobe hebben ontvangen dat de patch beschikbaar was. Normaliter stuurde Adobe volgens het bedrijf altijd een waarschuwing, maar zou dit nu niet hebben gedaan.

Op 21 januari ontdekte het IT-team van het bedrijf de update en installeerde die. In de tussentijd, op 18 januari, hadden aanvallers het lek al gebruikt om toegang tot de webserver van Cupid Media te krijgen. Ondanks het in eerste instantie missen van de patch heeft het bedrijf volgens de Information Commission toch goed gehandeld door die te installeren. Hetzelfde geldt voor het waarschuwen van de getroffen gebruikers.

Cupid Media had vanwege het overtreden van de privacywetgeving een boete van 1,2 miljoen euro kunnen krijgen, maar de Information Commission besloot die niet uit te delen, mede door de maatregelen die het bedrijf heeft genomen en de samenwerking die plaatsvond.

Reacties (3)
27-06-2014, 12:08 door Anoniem
Eh, ik maakte van de week mijn eerste php site, maar zelfs in zo'n php voor dummies boek staat hoe je wachtwoorden versleutelt en salt. Ik snap niet hoe je dat nou kan missen, als zelfs dummies het weten.
27-06-2014, 16:30 door Profeet
Zal wel z'n punt op de todo lijsten zijn die steeds vooruit geschoven is ;-)
28-06-2014, 00:45 door Anoniem
omdat vorig jaar een database met 42 miljoen onversleutelde wachtwoorden en andere persoonlijke gegevens van gebruikers werd gestolen.

Gegevens van 35 websites verspreid over diverse continenten wereldwijd.

afrointroductions, asiandating, aussiecupid, bbwcupid, blackcupid, brazilcupid, caribbeancupid, chineselovelinks, christiancupid, colombiancupid, dominicancupid, filipinocupid, gaycupid, hongkongcupid, indiancupid, indonesiancupid, internationalcupid, interracialcupid, iraniansinglesconnection, japancupid, kenyancupid, koreancupid, latinamericancupid, malaysiancupid, mexicancupid, militarycupid, muslima, pinkcupid, russiancupid, singaporelovelinks, singleparentlove, southafricancupid, thaicupid, ukrainedate, vietnamcupid

Deze gegevens kunnen interessant zijn voor sommige partijen, wat dacht je van deze eend in de bijt, militarycupid.com.

MilitaryCupid.com is a leading military dating site, helping thousands of military singles and civilians find their perfect match in uniform.

Our membership base is made of up of over 400,000 (and growing) civilians and singles in the army, navy, air force, coast guard, marines and various other military organizations based around the world.

VindEenPartnerMetDubbeleAgenda.com?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.