image

Duizenden openstaande FTP-servers in Nederland

zondag 23 augustus 2015, 08:33 door Redactie, 19 reacties

In Nederland zijn duizenden openstaande FTP-servers met terabytes aan zeer persoonlijke data te vinden, zo waarschuwt onderzoeker Sander Ferdinand. Volgens Ferdinand zijn er veel openstaande FTP-servers op internet die private en persoonlijke informatie bevatten en waar iedereen bij kan.

De eigenaren van de FTP-servers zouden onbedoeld anderen toegang tot deze bestanden geven, wat tot identiteitsdiefstal en fraude kan leiden. Ook komt het voor dat eigenaren niet weten dat bijvoorbeeld een netwerkopslagapparaat ook een FTP-server draait. Hoewel deze problemen al langer bekend zijn wilde Ferdinand de omvang van het probleem in kaart brengen en voerde daarom een scan op Nederlandse providers uit. In totaal ontdekte hij 7500 openstaande FTP-servers, waarvan er ruim 2300 bestanden bleken te bevatten.

Keizersnede

Bij elkaar opgeteld waren erop de servers 18 miljoen bestanden aanwezig, goed voor 439 terabyte aan data. Het ging voornamelijk om foto's (8,8TB), films (75,3TB), documenten (1,7TB) en muziekbestanden (8,6TB). Ferdinand vond ook zeer persoonlijke foto's, zoals verjaardagsfoto's, foto's van een keizersnede en echo's van een baby. Verder trof hij ook 396 bestanden aan met het woord "wachtwoord" of "password" erin en 192 documenten met foto's en documenten van paspoorten. Ook 517 belastingaangiftes werden tussen de bestanden aangetroffen, alsmede 139 foto's en documenten van creditcards.

De meeste openstaande FTP-servers, 397 in totaal, werden bij internetprovider Ziggo aangetroffen. Het domein Chello.nl volgt met 153 servers. Aan de hand van de IP-adressen kon Ferdinand ook kijken waar de servers zich precies bevinden. Dan is Noord-Holland met 358 servers koploper, gevolgd door Zuid-Holland met 273 servers. Vanwege het grote aantal servers, alsmede het risico op vergelding heeft Ferdinand besloten om de eigenaren niet te informeren. Hij hoopt dan ook dat providers hun IP-ranges zullen scannen om op deze manier abonnees voor hun openstaande FTP-server te waarschuwen.

Reacties (19)
23-08-2015, 08:57 door yobi
Nog steeds hebben veel mensen UPNP aanstaan. De providers leveren modems/routers waarbij het standaard aanstaat. Misschien handiger om deze functionaliteit standaard uit te zetten.
23-08-2015, 11:50 door Anoniem
Ferdinand vond ook zeer persoonlijke foto's, zoals verjaardagsfoto's, foto's van een keizersnede en echo's van een baby. Verder trof hij ook 396 bestanden aan met het woord "wachtwoord" of "password" erin en 192 documenten met foto's en documenten van paspoorten. Ook 517 belastingaangiftes werden tussen de bestanden aangetroffen, alsmede 139 foto's en documenten van creditcards.

Deze ''onderzoeker'' gaat wel lekker ethisch te werk. NOT.
23-08-2015, 11:52 door Anoniem
Also, I'd say more than half of all the public FTP servers I was able to gather were public by accident and exposing sensitive files. This would mean I'd have to warn 2500+ people or companies. It is not my job to police the internet.

Tja, hij mag dus je bestanden doorzoeken, hier publiciteit mee zoeken, maar de verantwoordelijkheid nemen om betrokkenen te informeren - dat gaat deze ''onderzoeker'' dan weer een stap te ver. Zou hij ook gaan inbreken in huizen, om vervolgens iedereen -behalve betrokken huiseigenaren- te informeren over aangetroffen kwetsbaarheden ? ;)
23-08-2015, 13:39 door Anoniem
Door Anoniem:
Also, I'd say more than half of all the public FTP servers I was able to gather were public by accident and exposing sensitive files. This would mean I'd have to warn 2500+ people or companies. It is not my job to police the internet.

Tja, hij mag dus je bestanden doorzoeken, hier publiciteit mee zoeken, maar de verantwoordelijkheid nemen om betrokkenen te informeren - dat gaat deze ''onderzoeker'' dan weer een stap te ver. Zou hij ook gaan inbreken in huizen, om vervolgens iedereen -behalve betrokken huiseigenaren- te informeren over aangetroffen kwetsbaarheden ? ;)

Ik denk dat inbreken geen goed vergelijking is in deze.
Je kunt het beter vergelijken met dozen die aan de straat staan waar van alles uit waait
23-08-2015, 17:24 door superglitched
Oproep naar de onderzoeker: stuur de gehele lijst gewoon netjes naar een partij die er goed mee om gaat. Er zijn maar een paar internetproviders in Nederland. Stuur het IP lijstje voor elke provider daar naar toe en die internetproviders kunnen ook nog eens mooi hun klanten dienstbaar zijn.

Zet in het ergste geval een txt-bestandje op in de FTP root waarin de boel uitgelegd staat refererend naar dit nieuwsartikel.

Een onderzoeker mag ook best dingen uit morele gronden doen, tenzij diegene bang is voor vervolging/aangiftes; dan zou ik het nog wel begrijpen.
23-08-2015, 18:37 door MrRight - Bijgewerkt: 23-08-2015, 18:38
Was dit weer een scan op port tcp/21 ?
En dan proberen in te loggen met anonymous of ftp ?
Vervolgens kijken welke bestanden er staan ?
En dan een rapport publiceren ?
...
Wow.
...
Enne... Knap staaltje van alleen de bestandsnamen bekijken:
"I indexed the files, not downloaded them"
"The most sensitive files I found were documents belonging to a certain court, which described in detail information about court hearings and cases and personal information about the people involved (judges, defendants, lawyers, etc)."
...
Het is dat de politie staakt anders had hier iemand toch voor opgepakt kunnen worden. Toch?
23-08-2015, 19:43 door Anoniem
Door Anoniem:
Also, I'd say more than half of all the public FTP servers I was able to gather were public by accident and exposing sensitive files. This would mean I'd have to warn 2500+ people or companies. It is not my job to police the internet.

Tja, hij mag dus je bestanden doorzoeken, hier publiciteit mee zoeken, maar de verantwoordelijkheid nemen om betrokkenen te informeren - dat gaat deze ''onderzoeker'' dan weer een stap te ver. Zou hij ook gaan inbreken in huizen, om vervolgens iedereen -behalve betrokken huiseigenaren- te informeren over aangetroffen kwetsbaarheden ? ;)

Hij breekt dus niet in!
De deur staat gewoon open en hij loopt dus naar binnen en daar staan allemaal mooie dingen.
Hij neemt het gelukkig niet mee.

Maar omdat mensen vaak niet erg gecharmeerd zijn wanneer ze op hun fouten gewezen worden en regelmatig nogal agressief worden laat hij het op een waarschuwing in het algemeen. Heel wijs want het is niet eens in zijn belang.
Hopend dat mensen nu wel even naar hun spullen kijken. En misschien de meest verantwoordelijke, de verstrekker van de apparatuur, even de zaak laten controleren.
Kijken of die hun verantwoordelijkheid nemen. Want je zou maar een FTP draaien. Het niet weten en er geen verstand van hebben.
Klaar ben je ermee!
23-08-2015, 19:44 door Anoniem
Door yobi: Nog steeds hebben veel mensen UPNP aanstaan. De providers leveren modems/routers waarbij het standaard aanstaat. Misschien handiger om deze functionaliteit standaard uit te zetten.
Niet handiger. Wel veiliger...
Immers juist omdat het op een bepaalde manier "handiger" is, staan dergelijke instellingen default op "aan". ;-)

Goeroehoedjes
24-08-2015, 02:37 door Eric-Jan H te D
Toch kan dit wel degelijk onder computervredebreuk worden verstaan Alleen kun je
als onderzoeker je denk ik wel indekken door bv een verklaring bij een notaris
24-08-2015, 09:50 door Anoniem
Door MrRight:
...
Enne... Knap staaltje van alleen de bestandsnamen bekijken:
"I indexed the files, not downloaded them"
"The most sensitive files I found were documents belonging to a certain court, which described in detail information about court hearings and cases and personal information about the people involved (judges, defendants, lawyers, etc)."
...
Het is dat de politie staakt anders had hier iemand toch voor opgepakt kunnen worden. Toch?

Alleen indexeren, niet downloaden; klein verschil.... maar het resultaat is even slecht.... 80 procent van nederland gaat weer lekker slapen (want hij heeft het toch niet gedownload.....) en de rest gaat misschien aan het werk om nog eens te checken of het voor hen ook toepasbaar is...
24-08-2015, 11:10 door Erwin_
Door Anoniem:
Door MrRight:
...
Enne... Knap staaltje van alleen de bestandsnamen bekijken:
"I indexed the files, not downloaded them"
"The most sensitive files I found were documents belonging to a certain court, which described in detail information about court hearings and cases and personal information about the people involved (judges, defendants, lawyers, etc)."
...
Het is dat de politie staakt anders had hier iemand toch voor opgepakt kunnen worden. Toch?

Alleen indexeren, niet downloaden; klein verschil.... maar het resultaat is even slecht.... 80 procent van nederland gaat weer lekker slapen (want hij heeft het toch niet gedownload.....) en de rest gaat misschien aan het werk om nog eens te checken of het voor hen ook toepasbaar is...

Hoe weet hij dan dat er fotos van keizersnede's zijn? Dit is gewoon inbreken
24-08-2015, 12:02 door MrRight
Met indexeren gaat er ook inhoud over de lijn naar de bekijker.
En een bestandsnaam zegt niet alles over de inhoud. Met p2p zoeken op geheim levert verrassende resultaten op.
24-08-2015, 12:14 door Anoniem
Hoe is dit anders dan het indexen van publiek toegankelijke web servers? En waarom is dat niet strafbaar en zou dit wel strafbaar zijn?

Als ik Arnoud Engelfriet mag geloven moet er voor computervredebreuk worden aangetoond dat er sprake is van kwade opzet, dat lijkt mij hier zeker niet het geval. En dat is ALS er al sprake zou zijn van inbreken, er zijn immers geen exploits gebruikt, geen wachtwoorden gebrute of iets dergelijks.

Is het verder niet zo dat als je gevoelige informatie op staat zet door er onzorgvuldig mee om te gaan, diegene zelf strafbaar is? Ik kan me iets herinneren met mensen die hun pc bij t oud vuil zetten of gevoelige documenten bij t oud papier. Is documenten van een rechtbank online zetten niet ook grove nalatigheid?
24-08-2015, 12:54 door _R0N_
Aan de andere kant, als je een FTP server met schrijfrechten voor anonymous op laat staan heb je binnen 1 weekend alle nieuwste films en software in huis, hoef je zelf niets voor te doen :)

(hoeveel mensen zouden dat nu gaan testen?)
25-08-2015, 11:32 door Anoniem
Door _R0N_: Aan de andere kant, als je een FTP server met schrijfrechten voor anonymous op laat staan heb je binnen 1 weekend alle nieuwste films en software in huis, hoef je zelf niets voor te doen :)

(hoeveel mensen zouden dat nu gaan testen?)

haha, Of de Politie licht je van je bed omdat via jou IP kinderporno wordt verspreid.
25-08-2015, 23:42 door Anoniem
Dit is idd computervredebreuk. Deze man heeft zich schuldig gemaakt aan een strafbaar feit.
Hij geeft echter geen enkel detail prijs, zoals IP adres, bestandsnaam e.d.
Het zou zomaar kunnen zijn dat hij een grote duim en een grote aandachtsbehoefte heeft...
26-08-2015, 14:07 door Anoniem
Door Anoniem: Hij geeft echter geen enkel detail prijs, zoals IP adres, bestandsnaam e.d.

Geen enkel detail? Hij heeft de hele source openbaar gemaakt op GIT zodat iedereen deze index zelf kan maken en doorzoeken. Hoe veel meer detail wil je hebben?
27-08-2015, 16:13 door Anoniem
Geen enkel detail? Hij heeft de hele source openbaar gemaakt op GIT zodat iedereen deze index zelf kan maken en doorzoeken. Hoe veel meer detail wil je hebben?

En als je dat doet dan maak jij je schuldig aan computervredebreuk. Wat zal die kerel daar een lol van hebben zeg.
28-08-2015, 11:24 door Anoniem
 Geen enkel detail? Hij heeft de hele source openbaar gemaakt op GIT zodat iedereen deze index zelf kan maken en doorzoeken. Hoe veel meer detail wil je hebben?

De broncode van zijn zoekmachine staat op Git, niet de index van de bestanden die hij gevonden heeft.
De data die je vindt op http://findex.cedsys.nl/research/mass-ftp-crawling/ is dummy data.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.