Wachtwoord modules SquirrelMail geïnfiltreerd
In tegenstelling tot wat de ontwikkelaars van het opensource webmail-pakket SquirrelMail beweerden, is tijdens de hack van juni de software wel door aanvallers aangepast. Halverwege juni liet het SquirrelMail team weten dat aanvallers de webserver hadden gehackt, maar dat de broncode en plugins niet in gevaar waren geweest. Nu moet de ontwikkelaar bekennen dat dit niet juist was. Aanvallers wisten de volgende modules de manipuleren: sasql-3.2.0, multilogin-2.4-1.2.9 en change_pass-3.0-1.4.0. De aanpassing zorgde ervoor dat wachtwoorden naar de aanvallers werden doorgestuurd. De modules zijn inmiddels weer te downloaden.
"We cannot establish a timeline of when these plugins were compromised. If you are a user of these plugins, it is strongly recommended you download a fresh copy from the plugins repository."
Met andere woorden: het is de ontwikkelaars niet duidelijk wanneer die aanpassingen hebben plaatsgevonden. Maar wegens het ontbreken van een uitleg kan het daarmee ook zijn dat die aanpassingen ook eerder hebben plaatsgevonden dan deze compromitering van hun systeem.
Het advies om simpelweg snel nieuwe modules op te halen en te installeren is halfbakken. Het grotere probleem is dat de wachtwoorden kennelijk verzonden kunnen zijn naar onbevoegden! De ontwikkelaars maken niet duidelijk onder welke omstandigheden dat heeft kunnen plaatsvinden! Ontwikkelaars vergeten weer eens voor wie ze werken: de gebruikers en hun belangen.
Dat zijn ze niet vergeten, ze werken voor zichzelf. Het zijn namelijk vrijwiliggers die in hun vrije tijd deze software ontwikkelen en gratis weggeven aan iedereen die het wil gebruiken. Of heb jij er voor betaald ? Zoniet, ze kunnen je donatie goed gebruiken. Misschien dat het dan beter gaat. Je kan ook lid worden van het team om de informatiebeveiliging te verbeteren.
Paul Schoonderwoerd
Pollux IT
Heb je zelf wel eens geprogrammeerd? Dan weet je namelijk hoe snel je een foutje hebt gemaakt.
Wees blij dat er nerds/coders zijn die dit voor de lol doen anders had je prolly nog steeds een horde; ohh nee die is ook gratis of een uebimiauwfdhsgfjsdgblaa ohh nee die is ook gratis; wees blij met wat je hebt anders maak je zelf toch even een nieuwe webmail client..
Beetje respect voor die coders, ze hebben er uren/dagen/weken in zitten en jij zeikt ze ff binnen 2 minuten af.
En nee ga het niet vergelijken met MS OWA waar miljoenen in zit.. Denk dat als je net als OWA zoveel miljoenen in squirrel zou douwen je THE webmail client zou hebben :)
maar goed, pecht voor degene die thirdparty mods/plugins installe moet je ze maar nakijken als security een must is..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.