Nieuws

32.000 wachtwoorden Belgisch HR-bedrijf gestolen

dinsdag 18 november 2014, 14:08 door Redactie, 4 reacties

Aanvallers hebben bij een Belgisch HR-bedrijf toegang tot de database gekregen en daar 32.000 e-mailadressen en bijbehorende wachtwoorden gestolen, die nu op internet te koop worden aangeboden. Het gaat om dezelfde groep die gegevens van de Belgische medische controledienst Mensura wist te stelen en vervolgens dreigde die te openbaren als er niet werd betaald.

Het Belgische HR-bedrijf EasyPay biedt allerlei HR-diensten aan en laat klanten via hun e-mailadres en wachtwoord op een beveiligde omgeving inloggen. Via deze login is het onder andere mogelijk om loonstroken op te vragen, de indiensttreding en uitdiensttreding van een werknemer aan te geven, opleidingen te volgen en de prestaties van werknemers te monitoren. Het bedrijf heeft allerlei grote Belgische en internationale ondernemingen als klant.

Volgens de aanvallers, die zich Rex Mundi noemen, was de website van EasyPay kwetsbaar voor SQL Injection. Het IT-team van het bedrijf zou echter hebben gezien dat de aanvallers de database aan het stelen waren en besloten meteen de Franstalige versie van de website offline te halen. Ze zouden echter de Nederlandstalige mirror van dezelfde kwetsbare pagina zijn vergeten, waardoor de aanval toch kon doorgaan.

Wachtwoorden

In totaal werden meer dan 32.000 e-mailadressen en bijbehorende wachtwoorden buitgemaakt. Daarvan zou 70% door gebruikers zelf zijn aangemaakt. "En we weten allemaal wat door gebruikers aangemaakte wachtwoorden inhouden. Aangezien de meeste mensen lui zijn, gebruiken ze hetzelfde wachtwoord voor meerdere websites", zo laten de aanvallers weten. Binnen 10 minuten wisten ze naar eigen zeggen via de gestolen wachtwoorden uit de EasyPay-database toegang tot twee e-mailaccounts en een zakelijk contentmanagementsysteem (CMS) te krijgen.

De lijst met e-mailadressen is nu online gezet en de bijbehorende wachtwoorden worden te koop aangeboden. De vraagprijs bedraagt 0,1 bitcoin, wat met de huidige wisselkoers zo'n 30 euro is. EasyPay heeft tegenover het Nieuwsblad de inbraak bevestigd. In een verklaring stelt het HR-bedrijf dat de aanvallers ook geld eisten, maar hier niet op is ingegaan.

Politie zoekt naar geldezels in Opsporing Verzocht

Onderzoek: 1% van alle advertenties is kwaadaardig

Reacties (4)

18-11-2014, 14:21 door Anoniem

Hoe vaak moet iets nog fout gaan voordat men leert uit het verleden....
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......

TheYOSH

18-11-2014, 15:26 door Anoniem

Door Anoniem: Hoe vaak moet iets nog fout gaan voordat men leert uit het verleden....
SQL injection bestaat al sinds 1998! https://en.wikipedia.org/wiki/SQL_injection
En nog steeds kunnen website bouwers geen veilige code ontwikkelen......

TheYOSH

Aangezien de database niet verdwenen is maar gekopieerd (neem ik aan) kun je toch elke gebruiker een mailtje sturen dat zijn account gejat is? En je sluit alles af. Gebruikers weten dan ook dat ze hun wachtwoord elders moeten wijzigen.

Het via het nieuws onder de aandracht brengen lijkt me niet de juiste manier van schade beperken.

Ben het overigens eens met je commentaar, en je staat ervan te kijken hoeveel minder veilige sites er ook nog zijn... bij voorkeur in de medische en psychologische hoek, juist dus waar met heel gevoelige gegevens gewerkt wordt.

18-11-2014, 16:40 door Anoniem

Jij valt enkel over de SQL injection?
Wat dacht je van het onversleuteld opslaan van wachtwoorden?

18-11-2014, 20:12 door Anoniem

Onversleuteld? Hash vs encryption. Je slaat een wachtwoord op in een ahsed format, niet encrypted. Dus geen sleutel.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

32.000 wachtwoorden Belgisch HR-bedrijf gestolen

Wachtwoorden

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren