Nieuws

Ernstig lek in Hema usb-sticks met cloudopslag

vrijdag 30 oktober 2015, 16:01 door Redactie, 11 reacties

Hackers hebben in usb-sticks van Hema waarbij 1GB gratis cloudopslag wordt aangeboden een ernstig lek ontdekt, waardoor het mogelijk was om bestanden van andere cloudgebruikers te downloaden. Daarnaast zijn mogelijk ook andere privégegevens van gebruikers op straat beland.

Het gaat dan om e-mailadres, naam, adresgegevens, telefoonnummer, wachtwoord, bestandsnamen en zoals gezegd de bestanden zelf. De problemen speelden bij de HEMA USB+ stick 8GB en 16GB, die inmiddels niet meer worden aangeboden. Hackers van de Haagse hackerspace Revspace vonden tal van problemen met zowel de software op de usb-sticks als de cloudopslagdienst zelf. Zo blijkt dat de software op de usb-sticks onversleuteld verbinding maakt met de server. Daarnaast is de programmatuur op de server die wordt gebruikt voor de database slecht geschreven en bijvoorbeeld vatbaar voor SQL-injecties, waarmee de database kan worden uitgelezen.

Bestanden

De bestanden die gebruikers in de cloud hebben geplaatst zijn daarnaast voor iedereen toegankelijk die het gebruikers-ID en de bestandsnaam kent. Bij het uploaden van de bestanden is de toegangscontrole (ACL) op "public-read" gezet. "Dat downloaden is kinderspel voor iedereen die weet hoe de HTTP-adressen zijn samengesteld", aldus de hackers. Daarnaast bleek dat ook nog een groot deel van de broncode van de server-side software online stond, met daarin een cruciaal wachtwoord waardoor de gehele Amazon S3 bucket kan worden uitgelezen. In deze bucket bevinden zich alle bestanden.

Hema werd in juli van dit jaar ingelicht. Vandaag besloten de hackers hun bevindingen te publiceren. Ze laten echter weten dat diverse beveiligingsproblemen bij de leverancier van Hema nog niet zijn opgelost. Gebruikers van de software krijgen het advies om hun bestanden uit het "online geheugen" te verwijderen. Dit moet echter wel via de Windows-tool worden gedaan. "Als je de bestanden verwijdert via de website, worden ze NIET daadwerkelijk verwijderd, ze blijven namelijk voor iedereen toegankelijk downloadbaar", zo waarschuwen de hackers. Ze benadrukken dat de software en cloudopslag jarenlang lek zijn geweest. "Ga ervan uit dat al je gegevens op straat liggen, en neem maatregelen om erger te voorkomen."

Malafide Android-app doet zich voor als Word-document

Kabinet presenteert nieuwe bewaarplicht telecomgegevens

Reacties (11)

30-10-2015, 16:34 door SPlid

Ja dat heb je ervan als je voor een dubbeltje op de eerste cloud wil zitten ......

De Hollandse eenheidsprijzen Maatschappij heeft niet zo veel verstand van beveiliging.....

30-10-2015, 17:08 door Anoniem

Ja dit zijn wel behoorlijke beginnersfouten..

30-10-2015, 18:26 door [Account Verwijderd]

[Verwijderd]

30-10-2015, 20:54 door Anoniem

Hulde Mark!

30-10-2015, 21:11 door Anoniem

Zelf je eigen data versleutelen voordat je het in de Cloud zet.

30-10-2015, 21:42 door ben987

Door Ageless: Wat is het nut van cloudopslag als je een USB stick gebruikt?

wat is het nut van cloudopslag behalve jouw gegevens uit handen geven ?

31-10-2015, 00:17 door Anoniem

Ik heb een paar leuke fotos's van vrouwelijk schoon in de cloud (optie van outlook email).
Wat mij betreft mogen deze gehacked worden.

31-10-2015, 14:22 door Anoniem

Complimenten aan de Haagse hackerspace Revspace voor de overzichtelijke en begrijpelijk geschreven pagina.

Verder, wat is het toch heerlijk als exe's niet werken op je os!
Elke dag zonder zorgen om slecht geschreven rotzooi en dus met een grote smile die powerknop weer in durven drukken.

:)

02-11-2015, 00:07 door Anoniem

Door Anoniem: Complimenten aan de Haagse hackerspace Revspace voor de overzichtelijke en begrijpelijk geschreven pagina.

Verder, wat is het toch heerlijk als exe's niet werken op je os!
Elke dag zonder zorgen om slecht geschreven rotzooi en dus met een grote smile die powerknop weer in durven drukken.

:)

Kun je daar wel iets op doen dan? LOL

02-11-2015, 12:21 door Anoniem

Door Anoniem:

Kun je daar wel iets op doen dan? LOL

Doen alsof je slim bent terwijl je het tegenovergestelde ermee aantoont, om de post die je quote maar even als voorbeeld te nemen ;)

02-11-2015, 15:06 door Anoniem

Door Anoniem:

Kun je daar wel iets op doen dan? LOL

Doen alsof je slim bent terwijl je het tegenovergestelde ermee aantoont, om de post die je quote maar even als voorbeeld te nemen ;)

Vreemde conclusie.
Ondertussen bestaat er wel heel erg veel software die niet draait op een ander OS dan Windows dus wie is er nou slim?
Verder zegt Anoniem 31-10-2015, 14:22 niet om welk OS het gaat. Vrij zinloze bijdrage aan deze discussie op die manier.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer