image

"Lek in duizenden Nederlandse bedrijfssites na 2 jaar gedicht"

zondag 9 november 2014, 15:17 door Redactie, 8 reacties

Een ernstig beveiligingslek in het contentmanagementsysteem (CMS) dat duizenden bedrijven voor hun website gebruiken is na twee jaar eindelijk gedicht, zo claimt de beveiligingsonderzoeker die het probleem ontdekte. Onderzoeker Sijmen Ruwhof wilde in oktober 2012 een nieuwe auto kopen.

Hij keek daarbij ook naar de website om te controleren of het geen malafide aanbieder was. De website van de autodealer bleek individuele webpagina’s in de map '/cms/' op te slaan. In deze map stond een lijst met ruim 2300 bedrijfsnamen van allemaal bedrijven die voor hun website hetzelfde CMS gebruiken. Verder onderzoek van Ruwhof wees uit dat het CMS kwetsbaar was voor SQL Injection, waardoor een aanvaller direct met de database van de websites kon communiceren en bijvoorbeeld gevoelige gegevens zou kunnen stelen.

Melding

Op 3 oktober 2012 belde Ruwhof de ontwikkelaar van het CMS en kreeg een medewerker aan de lijn die hem bedankte voor het melden van het lek, hoewel de onderzoeker nog geen details had kunnen delen. Direct nadat de medewerker hem had bedankt werd echter de verbinding verbroken. "Ik was met stomheid geslagen. Heb al vele malen ongevraagd per toeval gevonden beveiligingslekken gemeld aan bedrijven, maar dit had ik nog nooit meegemaakt. Kreeg geen kans om ook maar iets te zeggen, laat staan te vertellen waar precies de beveiligingslekken zaten", aldus Ruwhof.

In de zomer van 2013 wilde de onderzoeker kijken of het lek was verholpen, maar dat bleek nog steeds aanwezig te zijn. Uiteindelijk benaderde Ruwhof IT-journalist Brenno de Winter om te kijken of het probleem zo verholpen kon worden. Nu twee jaar later zijn de gevonden kwetsbaarheden eindelijk gepatcht. Hoewel Ruwhof verbolgen is over de reactie van de leverancier is hij blij dat het probleem is opgelost. "Ik hoop dat de betreffende softwareleverancier de beveiliging van hun software nu wel serieus neemt", besluit hij.

Reacties (8)
09-11-2014, 15:45 door Anoniem
Van welk bedrijf is die software? Graag met naam en toenaam, want ik wil niet het risico lopen ooit met die idioten in zee te gaan!
09-11-2014, 16:25 door Anoniem
Moet wel zeggen, dat als je het artikel leest je binnen 30 seconden weet over welk bedrijf dit gaat.
Dus het verbaast met dat die naam niet gewoon genoemd wordt.
09-11-2014, 20:03 door Anoniem
Naming en shaming graag. Over welk CMS gaat het?
09-11-2014, 20:55 door Anoniem
Het lek is wellicht gedicht in een nieuwe versie van de software, maar is het daarmee ook uitgerold bij alle gebruikers?
10-11-2014, 11:20 door Vandy
Door Anoniem: Moet wel zeggen, dat als je het artikel leest je binnen 30 seconden weet over welk bedrijf dit gaat.
Dus het verbaast met dat die naam niet gewoon genoemd wordt.
Misschien bevind ik me niet op het zelfde intellectuele niveau als jij, maar ik weet ook na 30 minuten nog steeds niet welk bedrijf het is. Kortom, naming and shaming alstublieft!
10-11-2014, 13:11 door Anoniem
Door Vandy:
Door Anoniem: Moet wel zeggen, dat als je het artikel leest je binnen 30 seconden weet over welk bedrijf dit gaat.
Dus het verbaast met dat die naam niet gewoon genoemd wordt.
Misschien bevind ik me niet op het zelfde intellectuele niveau als jij, maar ik weet ook na 30 minuten nog steeds niet welk bedrijf het is. Kortom, naming and shaming alstublieft!

Blijkbaar vind de redactie dat we de naam niet mogen delen. Heb deze gepost. Als je de link volgt naar Sijmen Ruwhof vind je daar genoeg informatie om een zoekopdracht in Google te doen ;)
10-11-2014, 13:58 door Anoniem
Even googlen op het deel van het URL dat Sijmen in zijn post noemt en 2 of 3 klikken is het bekend :)
10-11-2014, 14:34 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.