Chatplatform krijgt boete voor plain text opslag wachtwoorden
Het Duitse chatplatform Knuddels.de heeft een boete van 20.000 euro gekregen voor het in plain text opslaan van wachtwoorden. Dat laat de databeschermingsautoriteit van Baden-Württemberg vandaag weten. Bij een aanval in juli op het chatplatform werden de persoonlijke gegevens van 330.000 gebruikers gestolen, waaronder namen, adresgegevens, e-mailadressen en wachtwoorden.
De aanval werd door Knuddels ontdekt nadat de gestolen gegevens begin september op internet waren geplaatst. Na de ontdekking werd het datalek zowel aan gebruikers als de databeschermingsautoriteit van Baden-Württemberg gemeld. De autoriteit ontdekte dat Knuddels de wachtwoorden van gebruikers in plain text had opgeslagen. Er was geen gebruik van hashing gemaakt. Hierdoor waren de wachtwoorden direct zichtbaar voor de aanvallers.
Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Knuddels, dat naar eigen zeggen 2,4 miljoen gebruikers en 1,2 miljoen unieke gebruikers heeft, bleek deze beveiligingsmaatregel niet te hebben getroffen. Daarmee heeft de website bewust de regels voor het veilig verwerken van persoonlijke data overtreden, aldus de databeschermingsautoriteit.
De autoriteit was echter zeer te spreken over de communicatie van het chatplatform richting gebruikers en de samenwerking met de databeschermingsautoriteit. Bij het beoordelen van de boete is ook rekening gehouden met de financiële draagkracht van het bedrijf achter Knuddels, alsmede andere zaken. Volgens de Europese privacywetgeving moeten boetes niet alleen effectief zijn, maar ook proportioneel, zo stelt de databeschermingsautoriteit.
"De databeschermingsautoriteit is niet geïnteresseerd in een wedstrijd om de hoogst mogelijke boetes op te leggen. Uiteindelijk gaat het om het verbeteren van de privacy en datasecurity van gebruikers", aldus Stefan Brink, staatscommissaris voor databeveiliging en vrijheid van informatie.
Deze site had gewoon dicht gemoeten. Het opslaan van plaintext data is al 20+ jaar not done! Dit is willens en wetens gedaan. Dit kun je dus zien als met voorbedachte rade handelen. Dat ze met 20.000 euro boete er van af komen is een lachertje....
Wat is nu het nut van al die AVG shizzle als er nooit op gehandhaafd wordt? Dat is het zelfde als boetes enorm verhogen waar een pakkans van 1% voor is. Dat werkt gewoon niet. Is allemaal politiek correct gelul.
20.000 / 1.200.000 = 0.01666666666 euro boete er account. Dat is dus 1,5 cent... wat een blamage en wat een slechte actie.
TheYOSH
PS, nee, het argument we zijn maar klein en hebben geen geld voor beveiliging is geen reden! Dat betekend dat je maar een ander vak moet leren.
De argumenten om de straf relatief laag te houden zijn toepasbaar op vrijwel elke strafzaak (boef werkte mee, is arm, en het is geen wedstrijd in hoog straffen, maar het gaat om de verbetering van de veiligheid in de samenleving, enz). Cybernalatigheid/cybercrime wordt nog steeds niet echt serieus genomen.
Deze site had gewoon dicht gemoeten. Het opslaan van plaintext data is al 20+ jaar not done! Dit is willens en wetens gedaan. Dit kun je dus zien als met voorbedachte rade handelen. Dat ze met 20.000 euro boete er van af komen is een lachertje....
Wat is nu het nut van al die AVG shizzle als er nooit op gehandhaafd wordt? Dat is het zelfde als boetes enorm verhogen waar een pakkans van 1% voor is. Dat werkt gewoon niet. Is allemaal politiek correct gelul.
20.000 / 1.200.000 = 0.01666666666 euro boete er account. Dat is dus 1,5 cent... wat een blamage en wat een slechte actie.
TheYOSH
PS, nee, het argument we zijn maar klein en hebben geen geld voor beveiliging is geen reden! Dat betekend dat je maar een ander vak moet leren.
Correctie, ik deed een aanname, 20.000 / 1.200.000 = 0.16666666666
Nog steeds heel wijnig. En niet goed.
TheYOSH
Wat al begint met legaal toegang verkrijgen tot broncodes. Die overigens elke 5 minuten kunnen veranderen. Ook nog.
Hulde voor de Duitse rechter. Maar het zet wel een doos van pandora open.
Nee.
Dit is hoe het hoort te zijn.
Een boete moet een bemiddeling zijn, niet een pure straf. Proportioneel handelen toont respect.
Dat bedrag is waarschijnlijk vrij groot voor dat bedrijf. Dus voor hun is het zeker een straf.
Zet jezelf maar eens in de schoenen van de schuldige. Waarom zou een fout die jij maakt je meer moeten kosten dan je kan geven?
Correctie, ik deed een aanname, 20.000 / 1.200.000 = 0.16666666666
Nog steeds heel wijnig. En niet goed.
TheYOSH
Dit heet een Klavertje...
Nee.
Dit is hoe het hoort te zijn.
Een boete moet een bemiddeling zijn, niet een pure straf. Proportioneel handelen toont respect.
Dat bedrag is waarschijnlijk vrij groot voor dat bedrijf. Dus voor hun is het zeker een straf.
Zet jezelf maar eens in de schoenen van de schuldige. Waarom zou een fout die jij maakt je meer moeten kosten dan je kan geven?
En respect willen hebben is voor rapperts. Respect kun je verdienen, door correct en integer, met verstand van zaken te opereren. Zoals TheYOSH al terecht opmerkt: Wachtwoorden plaintext opslaan was 20jr geleden al not done. Als je dat doet/niet hebt gevalideerd of dat gedaan is, dan heb je gewoon niet integer gehandeld, weet je niet wat je doet, en hoef je dus ook niet op mijn "repect" te rekenen.
Issues zijn altijd mogelijk, iedereen maakt fouten, of je gehacked wordt is niet een vraag van "Of", maar van "Wanneer". Juist daarom is een 2e line of defence essentieel. Elk software bedrijf dat zijn gebruikers wachtwoorden niet structureel encrypted opslaat in de database verdient het gewoon om helemaal en onherstelbaar kapot te gaan. Zuiverende werking op de software wereld. Als je niet weet waar je mee bezig bent, dan had je maar een (ander) vak moeten leren.
Ik had stilletjes gehoopt dat er een keer een echt voorbeeld gesteld zou worden, maar dit halfslachtige gedoe is geen incentive voor bedrijven om serieus met security om te gaan.
In onder andere PHP is dit heel simpel te doen, al is het gebruik van een beter algoritme een beter idee (bcrypt bijvoorbeeld), je kan wachtwoorden al op de volgende manier hashen: (er zijn meerdere methodes maar dit is een voorbeeld)
$password = hash('sha512', $passwordvariable);
Als je dit al niet kan implementeren...
In onder andere PHP is dit heel simpel te doen, al is het gebruik van een beter algoritme een beter idee (bcrypt bijvoorbeeld), je kan wachtwoorden al op de volgende manier hashen: (er zijn meerdere methodes maar dit is een voorbeeld)
$password = hash('sha512', $passwordvariable);
Als je dit al niet kan implementeren...
Het gebruik van PHP is opzichzelf al een beveiligingsrisico of je moet het extreem goed kunnen managen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
