Gegevens 157.000 klanten Mapp.nl gestolen
De webwinkel Mapp.nl heeft klanten gewaarschuwd nadat aanvallers een deel van het klantenbestand hebben gestolen. De aanval, waarbij 157.000 e-mailadressen en "gecodeerde wachtwoorden" werden buitgemaakt, vond plaats via SQL Injection, zo laat een woordvoerder tegenover Security.NL weten.
Onder Mapp.nl, dat in 2001 als interngeheugen.com begon, vallen allerlei webshops, waaronder geheugen.nl, memoryman.nl, harddisk.nl, radiosjaak.nl en dashcamstore.nl. De inbraak op de database werd ontdekt na meldingen van klanten. Die hadden geklaagd over spam op e-mailadressen die ze alleen bij Mapp.nl gebruikten. Verder onderzoek liet uiteindelijk zien dat de klantendatabase via SQL Injection was gestolen. SQL Injection is een bekend beveiligingsprobleem waarbij aanvallers toegang tot databases kunnen krijgen. De woordvoerder stelt dat de veiligheid van de webwinkel niet door externe partijen was getest.
De wachtwoorden van klanten werden gehasht opgeslagen, waarvoor het standaard hashingalgoritme van de webapplicatie werd gebruikt. Er werd echter geen salt toegepast, wat het risico vergroot dat aanvallers de gestolen gehashte wachtwoorden weten te achterhalen. Uit voorzorg heeft Mapp.nl van alle klanten het wachtwoord gereset en klanten in een e-mail voor de datadiefstal gewaarschuwd. In de e-mail krijgen klanten het advies om het oude wachtwoord, als ze dat ook voor andere websites gebruiken, daar te wijzigen. De woordvoerder laat verder weten dat Mapp.nl inmiddels op het SHA-2-hashingalgoritme is overgestapt en salting toepast.
De woordvoerder laat verder weten dat Mapp.nl inmiddels op het SHA-2-hashingalgoritme is overgestapt en salting toepast
Dat klinkt nog steeds niet alsof ze in de 21e eeuw zijn beland. De industriestandaarden zijn bcrypt, scrypt en pbkdf2. Zelf je eigen wachtwoordhashing brouwen is een recept voor problemen: als je alleen simpele salting toepast valt het nog steeds relatief eenvoudig te kraken middels brute force rekenkracht. Je moet ook aan key stretching doen, iets wat eerder genoemde hashingalgorithmen allemaal doen. bcrypt stamt inmiddels uit 1999, dus het is bijzonder triest dat 16 jaar later er nog steeds met eenvoudige hashingalgorithmen aangeklooid wordt.
Zie ook http://chargen.matasano.com/chargen/2015/3/26/enough-with-the-salts-updates-on-secure-password-schemes.html voor een up-to-date uitleg over wat de problemen zijn met simpele salted hashes.
AccuDienst.nl, MotorAccus.nl, InternGeheugen.com, Geheugen.nl, MemoryMan.nl, Harddisk.nl, PhoneStore.nl, RadioSjaak.nl, DashcamStore.nl, GPSTrackerShop.nl, VerpakkingStore.nl
Dit is toch erg. Dat een bedrijf het dus zelf niet eens opmerkt. En met ook zo veel domeinnamen, is voor mij een indicatie dat de focus ligt op verkoop, en niet veiligheid... Zeker als het een SQL injection blijkt te zijn. Dit probleem is al sinds 1998 bekend. Dus na bijna 20 jaar, kunnen mensen nog steeds niet veilig programmeren.... https://en.wikipedia.org/wiki/SQL_injection
En hashen zonder salt, toont maar weer aan hoe veel verstand de bouwer er van heeft. Heeft vast nog nooit van rainbow tables gehoord: https://nl.wikipedia.org/wiki/Rainbow_table
TheYOSH
Zie hier nog een argument om een account aan te maken. En dan maar hopen dat de database
van security.nl niet gehackt wordt.
Zie hier nog een argument om een account aan te maken. En dan maar hopen dat de database
van security.nl niet gehackt wordt.
En nu maar hopen dat de mensen van mapp.nl dit ook lezen!
hear hear..
ik heb nu al een flinke lijst van webwinkels waar ik niet meer winkel omdat het email adres moet blocken vanwege spam die daarop binnen komt.
cisco meraki maakte het wel heel bont.. daar zit ik inmidels op meraki4@mijndomain.extentie.
je zou verwachten van een toko met Cisco als moederbedrijf en cloud en security appliances dat ze wel beter weten.. niet dus.
en gewoon blijven ontkennen... das nog het ergste.
(En ja; sha2, salted of niet, is helaas geen goed hashingalgoritme voor de opslag van passwords.)
-Paul.
hear hear..
ik heb nu al een flinke lijst van webwinkels waar ik niet meer winkel omdat het email adres moet blocken vanwege spam die daarop binnen komt.
cisco meraki maakte het wel heel bont.. daar zit ik inmidels op meraki4@mijndomain.extentie.
je zou verwachten van een toko met Cisco als moederbedrijf en cloud en security appliances dat ze wel beter weten.. niet dus.
en gewoon blijven ontkennen... das nog het ergste.
SHA lijkt me niet de juiste inslag.
Maar vooral: dat WEBSHOP KEURMERK (staat bovenaan bij VEILIGHEID) test dus niet even de OWASP top-10 bij al hun leden?! Of zat deze echt goed verstopt.
Ik heb zelf in 2009 bij een van hun webwinkels geheugenchips gekocht en kennelijk bewaren hun nog steeds dit soort gevoelige account informatie van mij. Is er iets geregeld zodat ik na een bepaalde periode klant af ben en mijn login gegevens vernietigd moeten worden? I.v.m. garantie zouden NAW gegevens wél bewaard kunnen blijven. Wie ziet hier in Nederland op toe?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
