image

Ernstig lek in Hema usb-sticks met cloudopslag

vrijdag 30 oktober 2015, 16:01 door Redactie, 11 reacties

Hackers hebben in usb-sticks van Hema waarbij 1GB gratis cloudopslag wordt aangeboden een ernstig lek ontdekt, waardoor het mogelijk was om bestanden van andere cloudgebruikers te downloaden. Daarnaast zijn mogelijk ook andere privégegevens van gebruikers op straat beland.

Het gaat dan om e-mailadres, naam, adresgegevens, telefoonnummer, wachtwoord, bestandsnamen en zoals gezegd de bestanden zelf. De problemen speelden bij de HEMA USB+ stick 8GB en 16GB, die inmiddels niet meer worden aangeboden. Hackers van de Haagse hackerspace Revspace vonden tal van problemen met zowel de software op de usb-sticks als de cloudopslagdienst zelf. Zo blijkt dat de software op de usb-sticks onversleuteld verbinding maakt met de server. Daarnaast is de programmatuur op de server die wordt gebruikt voor de database slecht geschreven en bijvoorbeeld vatbaar voor SQL-injecties, waarmee de database kan worden uitgelezen.

Bestanden

De bestanden die gebruikers in de cloud hebben geplaatst zijn daarnaast voor iedereen toegankelijk die het gebruikers-ID en de bestandsnaam kent. Bij het uploaden van de bestanden is de toegangscontrole (ACL) op "public-read" gezet. "Dat downloaden is kinderspel voor iedereen die weet hoe de HTTP-adressen zijn samengesteld", aldus de hackers. Daarnaast bleek dat ook nog een groot deel van de broncode van de server-side software online stond, met daarin een cruciaal wachtwoord waardoor de gehele Amazon S3 bucket kan worden uitgelezen. In deze bucket bevinden zich alle bestanden.

Hema werd in juli van dit jaar ingelicht. Vandaag besloten de hackers hun bevindingen te publiceren. Ze laten echter weten dat diverse beveiligingsproblemen bij de leverancier van Hema nog niet zijn opgelost. Gebruikers van de software krijgen het advies om hun bestanden uit het "online geheugen" te verwijderen. Dit moet echter wel via de Windows-tool worden gedaan. "Als je de bestanden verwijdert via de website, worden ze NIET daadwerkelijk verwijderd, ze blijven namelijk voor iedereen toegankelijk downloadbaar", zo waarschuwen de hackers. Ze benadrukken dat de software en cloudopslag jarenlang lek zijn geweest. "Ga ervan uit dat al je gegevens op straat liggen, en neem maatregelen om erger te voorkomen."

Reacties (11)
30-10-2015, 16:34 door SPlid
Ja dat heb je ervan als je voor een dubbeltje op de eerste cloud wil zitten ......

De Hollandse eenheidsprijzen Maatschappij heeft niet zo veel verstand van beveiliging.....
30-10-2015, 17:08 door Anoniem
Ja dit zijn wel behoorlijke beginnersfouten..
30-10-2015, 18:26 door [Account Verwijderd]
[Verwijderd]
30-10-2015, 20:54 door Anoniem
Hulde Mark!
30-10-2015, 21:11 door Anoniem
Zelf je eigen data versleutelen voordat je het in de Cloud zet.
30-10-2015, 21:42 door ben987
Door Ageless: Wat is het nut van cloudopslag als je een USB stick gebruikt?
wat is het nut van cloudopslag behalve jouw gegevens uit handen geven ?
31-10-2015, 00:17 door Anoniem
Ik heb een paar leuke fotos's van vrouwelijk schoon in de cloud (optie van outlook email).
Wat mij betreft mogen deze gehacked worden.
31-10-2015, 14:22 door Anoniem
Complimenten aan de Haagse hackerspace Revspace voor de overzichtelijke en begrijpelijk geschreven pagina.

Verder, wat is het toch heerlijk als exe's niet werken op je os!
Elke dag zonder zorgen om slecht geschreven rotzooi en dus met een grote smile die powerknop weer in durven drukken.

:)
02-11-2015, 00:07 door Anoniem
Door Anoniem: Complimenten aan de Haagse hackerspace Revspace voor de overzichtelijke en begrijpelijk geschreven pagina.

Verder, wat is het toch heerlijk als exe's niet werken op je os!
Elke dag zonder zorgen om slecht geschreven rotzooi en dus met een grote smile die powerknop weer in durven drukken.

:)

Kun je daar wel iets op doen dan? LOL
02-11-2015, 12:21 door Anoniem
Door Anoniem:
Door Anoniem: Complimenten aan de Haagse hackerspace Revspace voor de overzichtelijke en begrijpelijk geschreven pagina.

Verder, wat is het toch heerlijk als exe's niet werken op je os!
Elke dag zonder zorgen om slecht geschreven rotzooi en dus met een grote smile die powerknop weer in durven drukken.

:)

Kun je daar wel iets op doen dan? LOL
Doen alsof je slim bent terwijl je het tegenovergestelde ermee aantoont, om de post die je quote maar even als voorbeeld te nemen ;)
02-11-2015, 15:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Complimenten aan de Haagse hackerspace Revspace voor de overzichtelijke en begrijpelijk geschreven pagina.

Verder, wat is het toch heerlijk als exe's niet werken op je os!
Elke dag zonder zorgen om slecht geschreven rotzooi en dus met een grote smile die powerknop weer in durven drukken.

:)

Kun je daar wel iets op doen dan? LOL
Doen alsof je slim bent terwijl je het tegenovergestelde ermee aantoont, om de post die je quote maar even als voorbeeld te nemen ;)

Vreemde conclusie.
Ondertussen bestaat er wel heel erg veel software die niet draait op een ander OS dan Windows dus wie is er nou slim?
Verder zegt Anoniem 31-10-2015, 14:22 niet om welk OS het gaat. Vrij zinloze bijdrage aan deze discussie op die manier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.