Nieuws
image

Tweakers.net lekt database-wachtwoorden

vrijdag 23 maart 2012, 11:48 door Redactie, 17 reacties

Door een fout was zeer korte tijd op Tweakers.net een configuratiebestand met database-wachtwoorden zichtbaar. Het lek had geen gevolgen voor gebruikers of de beveiliging van de website. "Een foute config-installatie was echt enkele seconden zichtbaar", zegt hoofdredacteur Wilbert de Vries tegenover Security.nl. De populaire technologiesite werd na het verschijnen van het bestand door tal van bezoekers gebeld. "Gelukkig hebben we ook zeer oplettende ontwikkelaars. Zodra de fout werd gemaakt werd die ook meteen ontdekt en zijn er tegenmaatregelen genomen."

In het configuratiebestand staan wachtwoorden en namen van verschillende databases. Die zijn echter niet van buitenaf bereikbaar, merkt De Vries op. "Het is een stomme fout die we gelukkig binnen een minuut hebben kunnen herstellen." Na de ontdekking van het lek werd het configuratiebestand verwijderd en alle wachtwoorden gewijzigd. Tevens werd er gecontroleerd of de wachtwoorden echt niet van buitenaf bruikbaar waren.

Onderzoek
"De database, inhoud en gebruikersgegevens zijn niet in gevaar geweest", stelt De Vries. Tweakers heeft inmiddels een onderzoek ingesteld om te zien wat er precies is misgegaan en hoe het dit had kunnen voorkomen. Het lek had waarschijnlijk met een verhuizing van databases te maken.

Ook via Twitter en op de eigen website worden bezoekers over het voorval ingelicht.

Reacties (17)
23-03-2012, 11:52 door DanielG
Kan gebeuren, wel lullig dat ze nu over elk wachtwoord moeten aanpassen
23-03-2012, 12:33 door RBI_
Nou dat onderzoek kunnen ze staken... http://pastebin.com/vs5Jk4Gu
< vergeten te zetten in het config bestand, moet natuurlijk zijn <?PHP.
23-03-2012, 12:41 door Anoniem
okey.......
23-03-2012, 14:03 door SirDice
Door RBI^: Nou dat onderzoek kunnen ze staken... http://pastebin.com/vs5Jk4Gu
< vergeten te zetten in het config bestand, moet natuurlijk zijn <?PHP.
Dat geeft alleen aan wat er uiteindelijk mis ging. Niet hoe dat zo gekomen is.

Het zal wel een typo zijn geweest, gebeurd mij ook wel eens.
23-03-2012, 14:15 door Mozes.Kriebel
"Een foute config-installatie was echt enkele seconden zichtbaar", zegt hoofdredacteur Wilbert de Vries tegenover Security.nl. De populaire technologiesite werd na het verschijnen van het bestand door tal van bezoekers gebeld.
Wat is dat nou weer voor een verhaal? Je gaat me niet vertellen dat er gebruikers van Tweakers zijn die binnen een paar seconden exposure aan de telefoon hangen en dat tweakers gelijk het probleem heeft opgelost.
23-03-2012, 14:33 door Anoniem
WAAROM hebben ze wachtwoorden in een (configuratie)bestand staan? Is het nieuws dat wachtwoorden leesbaar opslaan niet veilig is?
23-03-2012, 14:38 door Anoniem
Wat een prutsers, kan wel merken dat T-Net niet meer hetzelfde T-Net als jaren geleden was. Juist een site als T-Net zou dit goed voor elkaar moeten hebben want ze wijzen anderen er namelijk ook op. Sukkels zijn het. Ik ga snel mijn wachtwoord veranderen.
23-03-2012, 14:40 door Anoniem
De wachtwoorden moeten leesbaar worden opgeslagen (of in ieder geval ontsleutelbaar), omdate het systeem deze nodig heeft om contact te leggen met de database.
23-03-2012, 15:11 door Anoniem
Door Anoniem: Wat een prutsers, kan wel merken dat T-Net niet meer hetzelfde T-Net als jaren geleden was. Juist een site als T-Net zou dit goed voor elkaar moeten hebben want ze wijzen anderen er namelijk ook op. Sukkels zijn het. Ik ga snel mijn wachtwoord veranderen.

Joh - rustig aan! Fouten worden gemaak - door iedereen, dus ook door mensen die hun zaakjes over het algemeen goed op orde hebben. Als je de pastebin link hierboven even doorleest dan zie je dat tweakers.net sterke wachtwoorden gebruikte, voor elk systeem andere en dat ze redelijk open zijn over wat er is mis gegaan.

Hoe stevig je een systeem ook dichttimmert, menselijke fouten komen altijd voor. In Zwitserse tunnels, op Italiaanse cruise schepen, en nu dus ook bij Tweakers.net. Het gaat er om hoe je er op reageert, en jij reageert mijns inziens verkeerd...
23-03-2012, 15:12 door Anoniem
Door Anoniem: WAAROM hebben ze wachtwoorden in een (configuratie)bestand staan? Is het nieuws dat wachtwoorden leesbaar opslaan niet veilig is?
De databasewachtwoorden zijn bij iedere paginaaanvraag nodig. De wachtwoorden moeten wel leesbaar zijn.
23-03-2012, 15:41 door Vergeten
@ anoniem 14:33. Denk dat jij eerst even PHP moet gaan leren met combinatie van SQL.

@ anoniem 14:38. Mensen maken fouten he? Weet wel zeker dat jij niet Mr. Perfect bent die never nooit fouten heeft gemaakt in zijn leven.
24-03-2012, 00:50 door [Account Verwijderd]
[Verwijderd]
24-03-2012, 12:33 door Anoniem
Jullie snappen het niet;
Snap jij het?

Ik bedenk in 2 minuten, 4 manieren, hoe dit 'probleem' voorkomen had kunnen worden. En dan heb ik niet diepzinnig nagedacht over PHP code, is maar +/- 200 bytes. Sterkte met raden van deze methodes. Als je serieus PHP kan programmeren, begrijp je wat ik bedoel.

Dat je een plain-text password opslaat om wat tables te kunnen openen, is niet heel erg. De plaats waar je deze opslaat, natuurlijk wel.

1) Configs buiten webdir, voorkomt directe requests met de gemaakte fout
2) Configs in een ini file (of soortgelijk) zetten, welke je met config.php parsed. Bij een fout als het vergeten van compleet 'parser enable' block in config.php zie je niet de exacte config, enkel waar de ini file staat.
3) Early output...?! Maar vraag je in een Restaurant ook om de recepten? ;-)
4) Zie 3.

Gelukkig heeft Tweakers.net zijn zaakjes op orde wat betreft firewalls (afaik). En vormde het technische probleem, geen securityprobleem voor Tweakers.net en/of haar gebruikers. Maar het is en blijft een beginnersfout kwa software design. Software design je met security in gedachten, vanaf tekentafel. Dat is hier 'duidelijk' niet gebeurt.
24-03-2012, 14:33 door Anoniem
Door Anoniem: Wat een prutsers, kan wel merken dat T-Net niet meer hetzelfde T-Net als jaren geleden was. Juist een site als T-Net zou dit goed voor elkaar moeten hebben want ze wijzen anderen er namelijk ook op. Sukkels zijn het. Ik ga snel mijn wachtwoord veranderen.

Waarom gebruik jij dan nog steeds Tweakers?? Als het niet meer het Tweakers van vroeger is??

Misschien een roeping voor je om een soortgelijke site op te zetten en kijken of je het beter doet.

Het bedrijf heeft naar mijn inziens snel en adequaat gehandeld.

PS: Ik zou maar snel je wachtwoord aanpassen ;-)
24-03-2012, 21:34 door 0101
Door RBI^: Nou dat onderzoek kunnen ze staken... http://pastebin.com/vs5Jk4Gu
< vergeten te zetten in het config bestand, moet natuurlijk zijn<?PHP.
Syntax highlighting leest makkelijker: http://pastebin.com/mVLsUru5.
25-03-2012, 10:31 door Anoniem
Storm in een glas water dit..
25-03-2012, 15:03 door meeuw
Het blijft het griezelig om je wachtwoorden in je DocumentRoot te zetten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search