Webwinkel Mozilla gehackt
Mozilla heeft de eigen webwinkel moeten sluiten nadat hackers hier wisten in te breken. Hoeveel klanten er getroffen zijn is nog niet bekend, maar om verder misbruik te voorkomen, is store.mozilla.org tijdelijk gesloten. De opensource ontwikkelaar ontdekte dat GatewayCDI, de derde partij die de backend voor de Mozilla Store regelt, gehackt was. Mozilla zou GatewayCDI hebben aangemoedigd om alle betrokken individuen wier gegevens gestolen zijn zo spoedig als mogelijk te informeren.
Er loopt inmiddels een onderzoek om de aard en omvang van de aanval te bepalen. "De winkel wordt pas weer geopend als we voldoende zekerheid krijgen dat login security en privacy van de gegevens goed geregeld zijn." In de Mozilla webwinkel zijn allerlei Mozilla en Firefox gerelateerde spullen te koop, zoals t-shirts, knuffels en bekers. De internationale webwinkel wordt door een andere partner beheerd, maar is uit voorzorg ook gesloten.
Update 10:49
Een bron laat Security.nl net weten dat hij Mozilla al op 11 juli over het probleem van SQL-injectie in de shop had ingelicht. Een reactie had hij echter nooit ontvangen. "Ze waren hier dus al reeds van op de hoogte, de ernst van het lek is vrij groot omdat de complete database uit te lezen was."
Een bron laat Security.nl net weten dat hij Mozilla al op 11 juli over het probleem van SQL-injectie in de shop had ingelicht. Een reactie had hij echter nooit ontvangen. "Ze waren hier dus al reeds van op de hoogte, de ernst van het lek is vrij groot omdat de complete database uit te lezen was."
Hoe vaak kom ik websites tegen die - na controle - niet eens bestand zijn tegen SQL-injectie aanval? Het is soms schrikbarend hoe slecht de beveiliging geregeld is.
Zelf hanteer ik bij het gebruik van databases voor webapplicaties minimaal 4 gebruikers,
(1) één met alleen-lezen toegang gebruikt wordt voor alle SELECT queries;
(2) één met schrijf-bevoegdheden in de relevante tabellen voor de front-end;
(3) één met schrijf-toegang voor de relevante tabellen voor de backend;
(4) en de laatste voor de het lezen en schrijven (maar niet updaten en deleten) van de log- en audittabellen.
Naast alle pogingen in de code die gedaan wordt om sql-injectie te voorkomen (alleen gebruiken van parameterized queries, input checking op geldige waarden in plaats van het filteren op ongeldige waarden) minimaliseer je zo de impact die een aanval kan hebben mocht het onwaarschijnlijke toch gebeuren.
Functionality gaat gewoon boven security... Simpel zat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.