32.000 wachtwoorden Belgisch HR-bedrijf gestolen
Aanvallers hebben bij een Belgisch HR-bedrijf toegang tot de database gekregen en daar 32.000 e-mailadressen en bijbehorende wachtwoorden gestolen, die nu op internet te koop worden aangeboden. Het gaat om dezelfde groep die gegevens van de Belgische medische controledienst Mensura wist te stelen en vervolgens dreigde die te openbaren als er niet werd betaald.
Het Belgische HR-bedrijf EasyPay biedt allerlei HR-diensten aan en laat klanten via hun e-mailadres en wachtwoord op een beveiligde omgeving inloggen. Via deze login is het onder andere mogelijk om loonstroken op te vragen, de indiensttreding en uitdiensttreding van een werknemer aan te geven, opleidingen te volgen en de prestaties van werknemers te monitoren. Het bedrijf heeft allerlei grote Belgische en internationale ondernemingen als klant.
Volgens de aanvallers, die zich Rex Mundi noemen, was de website van EasyPay kwetsbaar voor SQL Injection. Het IT-team van het bedrijf zou echter hebben gezien dat de aanvallers de database aan het stelen waren en besloten meteen de Franstalige versie van de website offline te halen. Ze zouden echter de Nederlandstalige mirror van dezelfde kwetsbare pagina zijn vergeten, waardoor de aanval toch kon doorgaan.
Wachtwoorden
In totaal werden meer dan 32.000 e-mailadressen en bijbehorende wachtwoorden buitgemaakt. Daarvan zou 70% door gebruikers zelf zijn aangemaakt. "En we weten allemaal wat door gebruikers aangemaakte wachtwoorden inhouden. Aangezien de meeste mensen lui zijn, gebruiken ze hetzelfde wachtwoord voor meerdere websites", zo laten de aanvallers weten. Binnen 10 minuten wisten ze naar eigen zeggen via de gestolen wachtwoorden uit de EasyPay-database toegang tot twee e-mailaccounts en een zakelijk contentmanagementsysteem (CMS) te krijgen.
De lijst met e-mailadressen is nu online gezet en de bijbehorende wachtwoorden worden te koop aangeboden. De vraagprijs bedraagt 0,1 bitcoin, wat met de huidige wisselkoers zo'n 30 euro is. EasyPay heeft tegenover het Nieuwsblad de inbraak bevestigd. In een verklaring stelt het HR-bedrijf dat de aanvallers ook geld eisten, maar hier niet op is ingegaan.
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......
TheYOSH
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......
TheYOSH
Aangezien de database niet verdwenen is maar gekopieerd (neem ik aan) kun je toch elke gebruiker een mailtje sturen dat zijn account gejat is? En je sluit alles af. Gebruikers weten dan ook dat ze hun wachtwoord elders moeten wijzigen.
Het via het nieuws onder de aandracht brengen lijkt me niet de juiste manier van schade beperken.
Ben het overigens eens met je commentaar, en je staat ervan te kijken hoeveel minder veilige sites er ook nog zijn... bij voorkeur in de medische en psychologische hoek, juist dus waar met heel gevoelige gegevens gewerkt wordt.
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......
TheYOSH
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......
TheYOSH
Wat dacht je van het onversleuteld opslaan van wachtwoorden?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
