image

32.000 wachtwoorden Belgisch HR-bedrijf gestolen

dinsdag 18 november 2014, 14:08 door Redactie, 4 reacties

Aanvallers hebben bij een Belgisch HR-bedrijf toegang tot de database gekregen en daar 32.000 e-mailadressen en bijbehorende wachtwoorden gestolen, die nu op internet te koop worden aangeboden. Het gaat om dezelfde groep die gegevens van de Belgische medische controledienst Mensura wist te stelen en vervolgens dreigde die te openbaren als er niet werd betaald.

Het Belgische HR-bedrijf EasyPay biedt allerlei HR-diensten aan en laat klanten via hun e-mailadres en wachtwoord op een beveiligde omgeving inloggen. Via deze login is het onder andere mogelijk om loonstroken op te vragen, de indiensttreding en uitdiensttreding van een werknemer aan te geven, opleidingen te volgen en de prestaties van werknemers te monitoren. Het bedrijf heeft allerlei grote Belgische en internationale ondernemingen als klant.

Volgens de aanvallers, die zich Rex Mundi noemen, was de website van EasyPay kwetsbaar voor SQL Injection. Het IT-team van het bedrijf zou echter hebben gezien dat de aanvallers de database aan het stelen waren en besloten meteen de Franstalige versie van de website offline te halen. Ze zouden echter de Nederlandstalige mirror van dezelfde kwetsbare pagina zijn vergeten, waardoor de aanval toch kon doorgaan.

Wachtwoorden

In totaal werden meer dan 32.000 e-mailadressen en bijbehorende wachtwoorden buitgemaakt. Daarvan zou 70% door gebruikers zelf zijn aangemaakt. "En we weten allemaal wat door gebruikers aangemaakte wachtwoorden inhouden. Aangezien de meeste mensen lui zijn, gebruiken ze hetzelfde wachtwoord voor meerdere websites", zo laten de aanvallers weten. Binnen 10 minuten wisten ze naar eigen zeggen via de gestolen wachtwoorden uit de EasyPay-database toegang tot twee e-mailaccounts en een zakelijk contentmanagementsysteem (CMS) te krijgen.

De lijst met e-mailadressen is nu online gezet en de bijbehorende wachtwoorden worden te koop aangeboden. De vraagprijs bedraagt 0,1 bitcoin, wat met de huidige wisselkoers zo'n 30 euro is. EasyPay heeft tegenover het Nieuwsblad de inbraak bevestigd. In een verklaring stelt het HR-bedrijf dat de aanvallers ook geld eisten, maar hier niet op is ingegaan.

Reacties (4)
18-11-2014, 14:21 door Anoniem
Hoe vaak moet iets nog fout gaan voordat men leert uit het verleden....
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......

TheYOSH
18-11-2014, 15:26 door Anoniem
Door Anoniem: Hoe vaak moet iets nog fout gaan voordat men leert uit het verleden....
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......

TheYOSH

Aangezien de database niet verdwenen is maar gekopieerd (neem ik aan) kun je toch elke gebruiker een mailtje sturen dat zijn account gejat is? En je sluit alles af. Gebruikers weten dan ook dat ze hun wachtwoord elders moeten wijzigen.

Het via het nieuws onder de aandracht brengen lijkt me niet de juiste manier van schade beperken.

Ben het overigens eens met je commentaar, en je staat ervan te kijken hoeveel minder veilige sites er ook nog zijn... bij voorkeur in de medische en psychologische hoek, juist dus waar met heel gevoelige gegevens gewerkt wordt.
18-11-2014, 16:40 door Anoniem
Door Anoniem: Hoe vaak moet iets nog fout gaan voordat men leert uit het verleden....
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......

TheYOSH
Door Anoniem: Hoe vaak moet iets nog fout gaan voordat men leert uit het verleden....
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......

TheYOSH
Jij valt enkel over de SQL injection?
Wat dacht je van het onversleuteld opslaan van wachtwoorden?
18-11-2014, 20:12 door Anoniem
Onversleuteld? Hash vs encryption. Je slaat een wachtwoord op in een ahsed format, niet encrypted. Dus geen sleutel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.