“de wachtwoorden zijn zeer zwak versleuteld en veelal binnen enkele minuten te kraken. Het festival leunt op een versleuteling die al in 2008 als ‘kapot en ongeschikt voor verder gebruikt’ werd bestempeld. “
Hoe waren ze versleuteld? Zover ik weet was MD5 een lange tijd erg in trek maar die kost nog redelijk wat tijd om te kraken voor langere wachtwoorden zover ik weet. Zelfs met rainbow tables
Als je het artikel leest, is het werkelijk een bizarre opeenstapeling van blunders.
> “De privégegevens van onze bezoekers zijn heel belangrijk voor ons en hadden niet op deze manier nog toegankelijk mogen zijn.”
Is dit een grap? In 2015 gebruikten zij nog een systeem wat al in 2008 als onbruikbaar was bestempeld. Als je niet zinnigs te zeggen hebt kun je beter je smoel houden Jasper Goossen.
Totaal iets anders:
Wat is dat toch met namen van programma’s en festivals waarbij ze klinkers gewoon weglaten: HLF8, VTBL en DGTL.
Compleet kut.
Hoe dan?!?, hiervoor moest echt veel misgaan:
– 7 jaar na onveilig verklaren algoritme het toch nog gebruiken
– Geen extra beveiligingslagen die modern zijn (salt, pepper). (al lost dit niet het MD5 probleem op)
– Credentials in de code comitten
– De code publiceren
– de database openstellen aan het internet
– data die niet meer relevant is bewaren
– PHP gebruiken (just kidding)
“Natuurlijk zijn we eindverantwoordelijk voor de data van onze bezoekers, maar in de jaren waar we het over hebben hadden wij geen mensen met deze technische kennis in huis en besteedden wij dit uit aan externe partijen. Daar moeten we als marketeers ook op vertrouwen.”
Daarom toets je je leveranciers op technische bekwaamheid. Een pentester had binnen een paar dagen een waslijst aan kritische bevindingen gerapporteerd, en die kan je ook inhuren. Maar dat hebben ze overduidelijk niet gedaan. Dat het “lang geleden is” is ook geen argument, daar is data retentie voor. Waarom is deze data niet vernietigd op het moment dat er geen doel meer voor was?
Kwalijke zaak en het zal mij niet verbazen als dit juridisch verwijtbaar wordt geacht.
“RTL Nieuws kwam het lek op het spoor via een tip van een anonieme Nederlandse hacker. Hij probeerde via de websites kaartjes te kopen voor DGTL, maar had geen zin om in de digitale rij te staan. De hacker wilde kijken of hij de wachtrij kon omzeilen en stuitte toen op de inlognaam en wachtwoord van de database.
Tot zijn grote verbazing kreeg hij toegang tot de wachtwoorden en privégegevens van zo’n 130.000 mensen. Hij meldde het lek afgelopen zomer bij zowel DGTL als de ontwikkelaar van de site, maar die wezen naar elkaar, stelt hij. Toen het lek na een paar maanden nog steeds niet was gedicht, besloot hij om naar de media te stappen.”
Holy shit, wat een stelletje kwakzalvers zeg. En deze beste hacker man, heeft in mijn ogen een hart van goud.
Die krijgen de AP nog wel op hun dak
las het mailtje vanmorgen. uh ja mooi ruk.
Exact dus de reden dat je het beste iets van een password manager kunt gebruiken die wachtwoorden voor je genereert, kunnen ze ook niet hergebruik worden.
Dit soort berichten zijn onder andere de reden dat ik voor bijna elke non-overheid website/dienst mijn echte gegevens zoveel mogelijk niet gebruik én een password manager heb incl. “spam e-mail”. Er is geen enkele reden voor een particulier dat een festival je volledige naam, geb. datum, adres etc. nodig zou hebben. Bij de ingang wordt het namelijk niet gecontroleerd. Een kaartje + eventueel legitimatiebewijs bij de ingang zou voldoende moeten zijn voor entree. Helaas zijn veel bedrijven zo datahongerig tegenwoordig dat zij voor elke kleine dienst of whatever ál je gegevens opvragen. Óók bij het bestellen van online spullen gebruik ik in ieder geval een throwaway e-mail adres en een andere achternaam…scheelt tenminste wat maar het is natuurlijk niet helemaal te voorkomen.
11 comments
“de wachtwoorden zijn zeer zwak versleuteld en veelal binnen enkele minuten te kraken. Het festival leunt op een versleuteling die al in 2008 als ‘kapot en ongeschikt voor verder gebruikt’ werd bestempeld. “
Hoe waren ze versleuteld? Zover ik weet was MD5 een lange tijd erg in trek maar die kost nog redelijk wat tijd om te kraken voor langere wachtwoorden zover ik weet. Zelfs met rainbow tables
Als je het artikel leest, is het werkelijk een bizarre opeenstapeling van blunders.
> “De privégegevens van onze bezoekers zijn heel belangrijk voor ons en hadden niet op deze manier nog toegankelijk mogen zijn.”
Is dit een grap? In 2015 gebruikten zij nog een systeem wat al in 2008 als onbruikbaar was bestempeld. Als je niet zinnigs te zeggen hebt kun je beter je smoel houden Jasper Goossen.
Totaal iets anders:
Wat is dat toch met namen van programma’s en festivals waarbij ze klinkers gewoon weglaten: HLF8, VTBL en DGTL.
Compleet kut.
Hoe dan?!?, hiervoor moest echt veel misgaan:
– 7 jaar na onveilig verklaren algoritme het toch nog gebruiken
– Geen extra beveiligingslagen die modern zijn (salt, pepper). (al lost dit niet het MD5 probleem op)
– Credentials in de code comitten
– De code publiceren
– de database openstellen aan het internet
– data die niet meer relevant is bewaren
– PHP gebruiken (just kidding)
“Natuurlijk zijn we eindverantwoordelijk voor de data van onze bezoekers, maar in de jaren waar we het over hebben hadden wij geen mensen met deze technische kennis in huis en besteedden wij dit uit aan externe partijen. Daar moeten we als marketeers ook op vertrouwen.”
Daarom toets je je leveranciers op technische bekwaamheid. Een pentester had binnen een paar dagen een waslijst aan kritische bevindingen gerapporteerd, en die kan je ook inhuren. Maar dat hebben ze overduidelijk niet gedaan. Dat het “lang geleden is” is ook geen argument, daar is data retentie voor. Waarom is deze data niet vernietigd op het moment dat er geen doel meer voor was?
Kwalijke zaak en het zal mij niet verbazen als dit juridisch verwijtbaar wordt geacht.
“RTL Nieuws kwam het lek op het spoor via een tip van een anonieme Nederlandse hacker. Hij probeerde via de websites kaartjes te kopen voor DGTL, maar had geen zin om in de digitale rij te staan. De hacker wilde kijken of hij de wachtrij kon omzeilen en stuitte toen op de inlognaam en wachtwoord van de database.
Tot zijn grote verbazing kreeg hij toegang tot de wachtwoorden en privégegevens van zo’n 130.000 mensen. Hij meldde het lek afgelopen zomer bij zowel DGTL als de ontwikkelaar van de site, maar die wezen naar elkaar, stelt hij. Toen het lek na een paar maanden nog steeds niet was gedicht, besloot hij om naar de media te stappen.”
Holy shit, wat een stelletje kwakzalvers zeg. En deze beste hacker man, heeft in mijn ogen een hart van goud.
Die krijgen de AP nog wel op hun dak
las het mailtje vanmorgen. uh ja mooi ruk.
Exact dus de reden dat je het beste iets van een password manager kunt gebruiken die wachtwoorden voor je genereert, kunnen ze ook niet hergebruik worden.
Dit soort berichten zijn onder andere de reden dat ik voor bijna elke non-overheid website/dienst mijn echte gegevens zoveel mogelijk niet gebruik én een password manager heb incl. “spam e-mail”. Er is geen enkele reden voor een particulier dat een festival je volledige naam, geb. datum, adres etc. nodig zou hebben. Bij de ingang wordt het namelijk niet gecontroleerd. Een kaartje + eventueel legitimatiebewijs bij de ingang zou voldoende moeten zijn voor entree. Helaas zijn veel bedrijven zo datahongerig tegenwoordig dat zij voor elke kleine dienst of whatever ál je gegevens opvragen. Óók bij het bestellen van online spullen gebruik ik in ieder geval een throwaway e-mail adres en een andere achternaam…scheelt tenminste wat maar het is natuurlijk niet helemaal te voorkomen.