image

Gegevens 157.000 klanten Mapp.nl gestolen

donderdag 16 april 2015, 13:44 door Redactie, 16 reacties

De webwinkel Mapp.nl heeft klanten gewaarschuwd nadat aanvallers een deel van het klantenbestand hebben gestolen. De aanval, waarbij 157.000 e-mailadressen en "gecodeerde wachtwoorden" werden buitgemaakt, vond plaats via SQL Injection, zo laat een woordvoerder tegenover Security.NL weten.

Onder Mapp.nl, dat in 2001 als interngeheugen.com begon, vallen allerlei webshops, waaronder geheugen.nl, memoryman.nl, harddisk.nl, radiosjaak.nl en dashcamstore.nl. De inbraak op de database werd ontdekt na meldingen van klanten. Die hadden geklaagd over spam op e-mailadressen die ze alleen bij Mapp.nl gebruikten. Verder onderzoek liet uiteindelijk zien dat de klantendatabase via SQL Injection was gestolen. SQL Injection is een bekend beveiligingsprobleem waarbij aanvallers toegang tot databases kunnen krijgen. De woordvoerder stelt dat de veiligheid van de webwinkel niet door externe partijen was getest.

De wachtwoorden van klanten werden gehasht opgeslagen, waarvoor het standaard hashingalgoritme van de webapplicatie werd gebruikt. Er werd echter geen salt toegepast, wat het risico vergroot dat aanvallers de gestolen gehashte wachtwoorden weten te achterhalen. Uit voorzorg heeft Mapp.nl van alle klanten het wachtwoord gereset en klanten in een e-mail voor de datadiefstal gewaarschuwd. In de e-mail krijgen klanten het advies om het oude wachtwoord, als ze dat ook voor andere websites gebruiken, daar te wijzigen. De woordvoerder laat verder weten dat Mapp.nl inmiddels op het SHA-2-hashingalgoritme is overgestapt en salting toepast.

Reacties (16)
16-04-2015, 13:50 door Anoniem

De woordvoerder laat verder weten dat Mapp.nl inmiddels op het SHA-2-hashingalgoritme is overgestapt en salting toepast
kalf, put, ...
16-04-2015, 14:10 door Anoniem
De woordvoerder laat verder weten dat Mapp.nl inmiddels op het SHA-2-hashingalgoritme is overgestapt en salting toepast.

Dat klinkt nog steeds niet alsof ze in de 21e eeuw zijn beland. De industriestandaarden zijn bcrypt, scrypt en pbkdf2. Zelf je eigen wachtwoordhashing brouwen is een recept voor problemen: als je alleen simpele salting toepast valt het nog steeds relatief eenvoudig te kraken middels brute force rekenkracht. Je moet ook aan key stretching doen, iets wat eerder genoemde hashingalgorithmen allemaal doen. bcrypt stamt inmiddels uit 1999, dus het is bijzonder triest dat 16 jaar later er nog steeds met eenvoudige hashingalgorithmen aangeklooid wordt.

Zie ook http://chargen.matasano.com/chargen/2015/3/26/enough-with-the-salts-updates-on-secure-password-schemes.html voor een up-to-date uitleg over wat de problemen zijn met simpele salted hashes.
16-04-2015, 14:15 door Anoniem
Uit het forumtopic, maar even voor het compleet maken van de gegevens, het betreft de volgende lijst met winkels:
AccuDienst.nl, MotorAccus.nl, InternGeheugen.com, Geheugen.nl, MemoryMan.nl, Harddisk.nl, PhoneStore.nl, RadioSjaak.nl, DashcamStore.nl, GPSTrackerShop.nl, VerpakkingStore.nl
16-04-2015, 14:34 door Rajaat
"Goed bezig!" :P
16-04-2015, 14:37 door didrix
De woordvoerder laat verder weten dat Mapp.nl inmiddels op het SHA-2-hashingalgoritme is overgestapt en salting toepast.
SHA2 is niet veel langzamer dan SHA1 of MD5. Als je admin account ook in de database staat helpt een salt je niet. Dus waarom niet iets zoals bcrypt of pbkdf2 i.p.v. plain sha2?
16-04-2015, 14:47 door Anoniem
De inbraak op de database werd ontdekt na meldingen van klanten. Die hadden geklaagd over spam op e-mailadressen die ze alleen bij Mapp.nl gebruikten.

Dit is toch erg. Dat een bedrijf het dus zelf niet eens opmerkt. En met ook zo veel domeinnamen, is voor mij een indicatie dat de focus ligt op verkoop, en niet veiligheid... Zeker als het een SQL injection blijkt te zijn. Dit probleem is al sinds 1998 bekend. Dus na bijna 20 jaar, kunnen mensen nog steeds niet veilig programmeren.... https://en.wikipedia.org/wiki/SQL_injection

En hashen zonder salt, toont maar weer aan hoe veel verstand de bouwer er van heeft. Heeft vast nog nooit van rainbow tables gehoord: https://nl.wikipedia.org/wiki/Rainbow_table

TheYOSH
16-04-2015, 15:07 door didrix
Door Anoniem: Dat klinkt nog steeds niet alsof ze in de 21e eeuw zijn beland. De industriestandaarden zijn bcrypt, scrypt en pbkdf2.
Je was me voor, alleen je reactie was nog niet goedgekeurd door de redactie.
16-04-2015, 15:30 door Anoniem
Op zich vindt ik het wel heel netjes dat deze webshop ermee naar buiten durft te komen. Ik heb ondertussen bij een heel aantal partijen geklaagd over soortgelijke problemen, waaronder een bank, en daar heb ik nooit iets van een reactie gezien!
16-04-2015, 15:32 door Eric-Jan H te D
Door didrix: alleen je reactie was nog niet goedgekeurd door de redactie.

Zie hier nog een argument om een account aan te maken. En dan maar hopen dat de database
van security.nl niet gehackt wordt.
16-04-2015, 16:00 door Anoniem
Door Eric-Jan H te A:
Door didrix: alleen je reactie was nog niet goedgekeurd door de redactie.

Zie hier nog een argument om een account aan te maken. En dan maar hopen dat de database
van security.nl niet gehackt wordt.

En nu maar hopen dat de mensen van mapp.nl dit ook lezen!
16-04-2015, 16:43 door Anoniem
Door Anoniem: Op zich vindt ik het wel heel netjes dat deze webshop ermee naar buiten durft te komen. Ik heb ondertussen bij een heel aantal partijen geklaagd over soortgelijke problemen, waaronder een bank, en daar heb ik nooit iets van een reactie gezien!

hear hear..
ik heb nu al een flinke lijst van webwinkels waar ik niet meer winkel omdat het email adres moet blocken vanwege spam die daarop binnen komt.
cisco meraki maakte het wel heel bont.. daar zit ik inmidels op meraki4@mijndomain.extentie.
je zou verwachten van een toko met Cisco als moederbedrijf en cloud en security appliances dat ze wel beter weten.. niet dus.
en gewoon blijven ontkennen... das nog het ergste.
16-04-2015, 17:17 door Anoniem
Ik ben een van de mensen die bij mapp.nl melding gemaakt heeft van spam. Ik was aangenaam verrast dat men direct een onderzoek gestart is. 't Is vervelend dat het gebeurd is. Maar deze vorm van openheid over dit incident kan ik alleen maar aanmoedigen; ik wou dat alle bedrijven dit zo deden.

(En ja; sha2, salted of niet, is helaas geen goed hashingalgoritme voor de opslag van passwords.)

-Paul.
16-04-2015, 17:43 door didrix
Door Anoniem:
Door Anoniem: Op zich vindt ik het wel heel netjes dat deze webshop ermee naar buiten durft te komen. Ik heb ondertussen bij een heel aantal partijen geklaagd over soortgelijke problemen, waaronder een bank, en daar heb ik nooit iets van een reactie gezien!

hear hear..
ik heb nu al een flinke lijst van webwinkels waar ik niet meer winkel omdat het email adres moet blocken vanwege spam die daarop binnen komt.
cisco meraki maakte het wel heel bont.. daar zit ik inmidels op meraki4@mijndomain.extentie.
je zou verwachten van een toko met Cisco als moederbedrijf en cloud en security appliances dat ze wel beter weten.. niet dus.
en gewoon blijven ontkennen... das nog het ergste.
Is er geen website die dit soort dingen bijhoudt? Lijkt me wel nuttig om gewoon een lijst te hebben van websites die je info lekken (en waarschijnlijk dus zelf gehacked zijn). Een soort van http://plaintextoffenders.com/, maar dan net even anders.
16-04-2015, 18:33 door Anoniem
Wel netjes dat ze ermee naar buiten komen.
SHA lijkt me niet de juiste inslag.

Maar vooral: dat WEBSHOP KEURMERK (staat bovenaan bij VEILIGHEID) test dus niet even de OWASP top-10 bij al hun leden?! Of zat deze echt goed verstopt.
17-04-2015, 03:25 door Anoniem
Weet iemand of er in Nederland door de overheid regels opgesteld zijn over de maximale opslagtermijn van gegevens?
Ik heb zelf in 2009 bij een van hun webwinkels geheugenchips gekocht en kennelijk bewaren hun nog steeds dit soort gevoelige account informatie van mij. Is er iets geregeld zodat ik na een bepaalde periode klant af ben en mijn login gegevens vernietigd moeten worden? I.v.m. garantie zouden NAW gegevens wél bewaard kunnen blijven. Wie ziet hier in Nederland op toe?
17-04-2015, 09:24 door Anoniem
Volgens mij is er consumentenwetgeving en de Wbp die zaken hiervoor regelen. Het CBP ziet in grote lijnen toe op naleving.

Wanneer ben je geen klant meer? Zolang je niet expliciet vraagt om verwijderd te worden zullen ze dit vast blijven houden vermoed ik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.