Chatplatform krijgt boete voor plain text opslag wachtwoorden
Het Duitse chatplatform Knuddels.de heeft een boete van 20.000 euro gekregen voor het in plain text opslaan van wachtwoorden. Dat laat de databeschermingsautoriteit van Baden-Württemberg vandaag weten. Bij een aanval in juli op het chatplatform werden de persoonlijke gegevens van 330.000 gebruikers gestolen, waaronder namen, adresgegevens, e-mailadressen en wachtwoorden.
De aanval werd door Knuddels ontdekt nadat de gestolen gegevens begin september op internet waren geplaatst. Na de ontdekking werd het datalek zowel aan gebruikers als de databeschermingsautoriteit van Baden-Württemberg gemeld. De autoriteit ontdekte dat Knuddels de wachtwoorden van gebruikers in plain text had opgeslagen. Er was geen gebruik van hashing gemaakt. Hierdoor waren de wachtwoorden direct zichtbaar voor de aanvallers.
Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Dit voorkomt dat als bijvoorbeeld een website wordt gehackt en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft, aangezien die gehasht zijn. Knuddels, dat naar eigen zeggen 2,4 miljoen gebruikers en 1,2 miljoen unieke gebruikers heeft, bleek deze beveiligingsmaatregel niet te hebben getroffen. Daarmee heeft de website bewust de regels voor het veilig verwerken van persoonlijke data overtreden, aldus de databeschermingsautoriteit.
De autoriteit was echter zeer te spreken over de communicatie van het chatplatform richting gebruikers en de samenwerking met de databeschermingsautoriteit. Bij het beoordelen van de boete is ook rekening gehouden met de financiële draagkracht van het bedrijf achter Knuddels, alsmede andere zaken. Volgens de Europese privacywetgeving moeten boetes niet alleen effectief zijn, maar ook proportioneel, zo stelt de databeschermingsautoriteit.
"De databeschermingsautoriteit is niet geïnteresseerd in een wedstrijd om de hoogst mogelijke boetes op te leggen. Uiteindelijk gaat het om het verbeteren van de privacy en datasecurity van gebruikers", aldus Stefan Brink, staatscommissaris voor databeveiliging en vrijheid van informatie.
Deze site had gewoon dicht gemoeten. Het opslaan van plaintext data is al 20+ jaar not done! Dit is willens en wetens gedaan. Dit kun je dus zien als met voorbedachte rade handelen. Dat ze met 20.000 euro boete er van af komen is een lachertje....
Wat is nu het nut van al die AVG shizzle als er nooit op gehandhaafd wordt? Dat is het zelfde als boetes enorm verhogen waar een pakkans van 1% voor is. Dat werkt gewoon niet. Is allemaal politiek correct gelul.
20.000 / 1.200.000 = 0.01666666666 euro boete er account. Dat is dus 1,5 cent... wat een blamage en wat een slechte actie.
TheYOSH
PS, nee, het argument we zijn maar klein en hebben geen geld voor beveiliging is geen reden! Dat betekend dat je maar een ander vak moet leren.
De argumenten om de straf relatief laag te houden zijn toepasbaar op vrijwel elke strafzaak (boef werkte mee, is arm, en het is geen wedstrijd in hoog straffen, maar het gaat om de verbetering van de veiligheid in de samenleving, enz). Cybernalatigheid/cybercrime wordt nog steeds niet echt serieus genomen.
Deze site had gewoon dicht gemoeten. Het opslaan van plaintext data is al 20+ jaar not done! Dit is willens en wetens gedaan. Dit kun je dus zien als met voorbedachte rade handelen. Dat ze met 20.000 euro boete er van af komen is een lachertje....
Wat is nu het nut van al die AVG shizzle als er nooit op gehandhaafd wordt? Dat is het zelfde als boetes enorm verhogen waar een pakkans van 1% voor is. Dat werkt gewoon niet. Is allemaal politiek correct gelul.
20.000 / 1.200.000 = 0.01666666666 euro boete er account. Dat is dus 1,5 cent... wat een blamage en wat een slechte actie.
TheYOSH
PS, nee, het argument we zijn maar klein en hebben geen geld voor beveiliging is geen reden! Dat betekend dat je maar een ander vak moet leren.
Correctie, ik deed een aanname, 20.000 / 1.200.000 = 0.16666666666
Nog steeds heel wijnig. En niet goed.
TheYOSH
Wat al begint met legaal toegang verkrijgen tot broncodes. Die overigens elke 5 minuten kunnen veranderen. Ook nog.
Hulde voor de Duitse rechter. Maar het zet wel een doos van pandora open.
Nee.
Dit is hoe het hoort te zijn.
Een boete moet een bemiddeling zijn, niet een pure straf. Proportioneel handelen toont respect.
Dat bedrag is waarschijnlijk vrij groot voor dat bedrijf. Dus voor hun is het zeker een straf.
Zet jezelf maar eens in de schoenen van de schuldige. Waarom zou een fout die jij maakt je meer moeten kosten dan je kan geven?
Correctie, ik deed een aanname, 20.000 / 1.200.000 = 0.16666666666
Nog steeds heel wijnig. En niet goed.
TheYOSH
Dit heet een Klavertje...
Nee.
Dit is hoe het hoort te zijn.
Een boete moet een bemiddeling zijn, niet een pure straf. Proportioneel handelen toont respect.
Dat bedrag is waarschijnlijk vrij groot voor dat bedrijf. Dus voor hun is het zeker een straf.
Zet jezelf maar eens in de schoenen van de schuldige. Waarom zou een fout die jij maakt je meer moeten kosten dan je kan geven?
En respect willen hebben is voor rapperts. Respect kun je verdienen, door correct en integer, met verstand van zaken te opereren. Zoals TheYOSH al terecht opmerkt: Wachtwoorden plaintext opslaan was 20jr geleden al not done. Als je dat doet/niet hebt gevalideerd of dat gedaan is, dan heb je gewoon niet integer gehandeld, weet je niet wat je doet, en hoef je dus ook niet op mijn "repect" te rekenen.
Issues zijn altijd mogelijk, iedereen maakt fouten, of je gehacked wordt is niet een vraag van "Of", maar van "Wanneer". Juist daarom is een 2e line of defence essentieel. Elk software bedrijf dat zijn gebruikers wachtwoorden niet structureel encrypted opslaat in de database verdient het gewoon om helemaal en onherstelbaar kapot te gaan. Zuiverende werking op de software wereld. Als je niet weet waar je mee bezig bent, dan had je maar een (ander) vak moeten leren.
Ik had stilletjes gehoopt dat er een keer een echt voorbeeld gesteld zou worden, maar dit halfslachtige gedoe is geen incentive voor bedrijven om serieus met security om te gaan.
In onder andere PHP is dit heel simpel te doen, al is het gebruik van een beter algoritme een beter idee (bcrypt bijvoorbeeld), je kan wachtwoorden al op de volgende manier hashen: (er zijn meerdere methodes maar dit is een voorbeeld)
$password = hash('sha512', $passwordvariable);
Als je dit al niet kan implementeren...
In onder andere PHP is dit heel simpel te doen, al is het gebruik van een beter algoritme een beter idee (bcrypt bijvoorbeeld), je kan wachtwoorden al op de volgende manier hashen: (er zijn meerdere methodes maar dit is een voorbeeld)
$password = hash('sha512', $passwordvariable);
Als je dit al niet kan implementeren...
Het gebruik van PHP is opzichzelf al een beveiligingsrisico of je moet het extreem goed kunnen managen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.