Nieuws
image

Negeren Windows updates nekt CheapTickets.nl

maandag 24 oktober 2011, 17:49 door Redactie, 13 reacties

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer. Voor vluchten naar onder andere de Verenigde Staten geven reizigers hun paspoortnummer door. Daarvan staan er zeker 80.000 in de database, zo meldt Webwereld. De website werd door de anonieme ontdekker getipt.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald.

Updaten
Volgens Frank van Vliet, CTO van Certified Secure, is de eerste les die systeembeheerders uit het debacle kunnen trekken, het altijd installeren van beveiligingsupdates. "Dit is één van de eerste zaken die geregeld moeten worden. Bij een hobby-server is het eenvoudig om alle software up-to-date te houden; het besturingssysteem doet dit meestal automatisch al."

Bij bedrijven is dit meestal een ander verhaal, omdat updates vaak met bestaande applicaties getest moeten worden, voordat ze op de productiesystemen kunnen worden uitgerold. "Het is daarom voor bedrijven verstandig om een plan op te stellen om met updates om te gaan, met hierin bijvoorbeeld een testomgeving waar de updates direct op worden geïnstalleerd en getest", gaat Van Vliet verder.

Snelheid
Tijd speelt hierbij een belangrijke rol, want zodra een update wordt uitgebracht zijn ook aanvallers op de hoogte gebracht van het probleem. "Bedrijven dienen hier goed bij stil te staan, en een procedure in te stellen die garandeert dat beveiligingsupdates zo snel mogelijk worden geïnstalleerd. Dit geld dus voor alle systemen, ook de interne computers en testservers."

Testomgeving
Een ander punt voor systeembeheerders is het bereikbaar zijn van de testomgeving vanaf het internet. Dat mag namelijk nooit gebeuren. "Alleen de echt noodzakelijke diensten dienen open te staan, en de rest kan bijvoorbeeld met behulp van een firewall worden afgeschermd." Volgens Van Vliet is het updaten van systemen en minimaliseren van aangeboden diensten de eerste beveiligingsmaatregelen die bedrijven moet treffen, die ook in de Security Aware Administrator certificering worden behandeld.

Klantgegevens
Een derde les die volgt uit het CheapTickets-verhaal is de richtlijn dat klantgegevens niet mogen rondzwerven over het netwerk. "Hieruit volgt dat testomgevingen nimmer mogen werken met daadwerkelijke klantgegevens. Mocht dit echt nodig zijn, dan dienen deze gegevens eerst te worden geanonimiseerd. Beter is het om handmatig wat (fictieve) informatie toe te voegen."

Reacties (13)
24-10-2011, 17:56 door meinonA
Een vierde les is om een desktop systeem zoals Windows Server 2003 nooit aan het Internet te hangen, daar heb je server OS'en voor.
24-10-2011, 18:05 door SirDice
Een andere wijze les is dat je test systemen hetzelfde moet behandelen als productiesystemen.
24-10-2011, 19:43 door Anoniem
Sorry hoor maar dat noem ik geen systeembeheerder als je updates van 2 jaar geleden nog niet hebt geïnstalleerd
Ik vind dat grove nalatigheid.

pk.
24-10-2011, 20:29 door Anoniem
En de laatste les is dus dat die club niet voor niets 'Cheap' heet. Maar de rekening komt voor velen met een beetje pech alsnog.
24-10-2011, 21:41 door Anoniem
Door meinonA: Een vierde les is om een desktop systeem zoals Windows Server 2003 nooit aan het Internet te hangen, daar heb je server OS'en voor.

Een andere les eerst beter lezen, Windows Server 2003 is een server OS!
24-10-2011, 22:20 door Bitwiper
In http://webwereld.nl/nieuws/108336/lek-18--715-000-klanten-van-cheaptickets-nl---update.html lees ik:
Door GroenLinks-kamerlid Arjan El Fassed: Ook blijkt dat het keurmerk thuiswinkel.org, de belangenbehartiger van webwinkeliers, een wassen neus is.
Dat thuiswinkel.org geen toezicht houdt op de beveiliging van websites van aangesloten leden, is vanavond door een woordvoerder van die organisatie bevestigd op het NOS journaal van 20:00.

Des te opmerkelijker is het commentaar van Thuiswinkel.org eerder deze maand op het falende toezicht bij Diginotar (zie http://www.security.nl/artikel/38715/1/Thuiswinkel%3A_Toezicht_faalde_bij_DigiNotar.html).

Overigens is falend toezicht door Thuiswinkel.org geen nieuws, want in mijn comment van 04-10-2011, 12:23 (onder laatstgenoemde URL) wijs ik erop dat de privacybescherming van cheaptickets "concurrent" https://www.vliegwinkel.nl eveneens een wassen neus is.

Dat vliegwinkel.nl en cheaptickets.nl tot dezelfde organisatie horen (zie bijv. http://www.cheaptickets.nl/persberichten_229) zal niemand verbazen vermoed ik...
25-10-2011, 10:39 door meinonA
Door Anoniem:
Door meinonA: Een vierde les is om een desktop systeem zoals Windows Server 2003 nooit aan het Internet te hangen, daar heb je server OS'en voor.
Een andere les eerst beter lezen, Windows Server 2003 is een server OS!
WTF?!? Een OS met GUI, Internet Explorer, MSN, etc is geschikt als Internet server?

Ik maar denken dat dat kale en snelle machines moeten zijn zonder bakken nutteloze overhead en 10-tallen applicaties met dito lekken.
25-10-2011, 10:56 door SirDice
Door meinonA:
Door Anoniem:
Door meinonA: Een vierde les is om een desktop systeem zoals Windows Server 2003 nooit aan het Internet te hangen, daar heb je server OS'en voor.
Een andere les eerst beter lezen, Windows Server 2003 is een server OS!
WTF?!? Een OS met GUI, Internet Explorer, MSN, etc is geschikt als Internet server?
Heb jij ooit wel eens een Windows server van dichtbij gezien?
25-10-2011, 11:01 door meinonA
Door SirDice: Heb jij ooit wel eens een Windows server van dichtbij gezien?
Toen ik nog systeembeheerder was was ik eindverantwoordelijke over ~60 Windows 2003 Servers, verdeeld over 19 locaties in 4 landen.

Been there, done that, hard weggerend. Wat een ellende.

Windows 2003 "verving" het briljante Netware 5. We gingen van 1 tot 2 servers per locatie naar het dubbele, en het was trager, veel meer onderhoud, minder mogelijkheden maar hadden wel een hele mooie GUI!
25-10-2011, 13:19 door Anoniem
Wat testen ze eigenlijk op een "test-webserver" als ze deze niet gebruiken om updates te testen? Was de hoofd webserver wel geupdate? Ook niet zeker anders werkt het wel op je test webserver maar niet op je hoofd webserver. Windhoos 2003 is eh 8 jaar oud tijd voor 2008 of eh V2?
25-10-2011, 15:03 door Anoniem
Door meinonA:
Door SirDice: Heb jij ooit wel eens een Windows server van dichtbij gezien?
Toen ik nog systeembeheerder was was ik eindverantwoordelijke over ~60 Windows 2003 Servers, verdeeld over 19 locaties in 4 landen.

Been there, done that, hard weggerend. Wat een ellende.

Windows 2003 "verving" het briljante Netware 5. We gingen van 1 tot 2 servers per locatie naar het dubbele, en het was trager, veel meer onderhoud, minder mogelijkheden maar hadden wel een hele mooie GUI!
mischien eens leren hoe er mee om te gaan kerel.

altijd hetzelfde met *nix fanboys die complete windows omgevingen afzeiken omdat ze er zelf niet mee overweg konden ~.~
25-10-2011, 16:19 door meinonA
Door Anoniem:
Door meinonA: Windows 2003 "verving" het briljante Netware 5. ...
...altijd hetzelfde met *nix fanboys die complete windows omgevingen afzeiken omdat ze er zelf niet mee overweg konden ~.~
Netware is geen *nix en zeker wel superieur aan Windows Server 2003.
25-10-2011, 17:00 door Anoniem
onderbouw dat eens
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search