WiFi Finder-app lekt door fout twee miljoen wifi-wachtwoorden
Een app waarmee Androidgebruikers wifi-netwerken in hun buurt kunnen vinden en gebruiken heeft door een onbeveiligde database meer dan twee miljoen wifi-wachtwoorden gelekt. WiFi Finder laat gebruikers ook wachtwoorden en namen van wifi-netwerken naar een database uploaden.
Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. Hoewel de app-ontwikkelaar claimt dat de app alleen wachtwoorden van openbare wifi-netwerken biedt, blijkt die ook allerlei thuisnetwerken te bevatten. De database met twee miljoen wifi-netwerknamen, exacte geolocatie, basic service set identifier (BSSID) en wachtwoorden in plaintext was voor iedereen op internet toegankelijk.
Sanyam Jain, een beveiligingsonderzoeker van de GDI Foundation, ontdekte de database en informeerde TechCrunch, dat de app-ontwikkelaar probeerde te waarschuwen. Ondanks herhaaldelijke pogingen lukte het niet om met de ontwikkelaar in contact te komen. Daarop werd de provider geïnformeerd waar de database werd gehost. Die haalde de server waarop de database draaide binnen een dag uit de lucht. WiFi Finder is meer dan 100.000 keer geïnstalleerd.
Als adept van F.R.A.V.I.A. leerde ik al dat een goede zoeker gevaarlijker kan zijn dan een gewiekste hacker.
Alle info is namelijk op het web terug te vinden, alleen moet je weten waar je het moet zoeken.
De erfenis van de veel te vroeg gestorven F.R.A.V.I.A. (RIP) is nog steeds online te vinden
en bevat nog veel belangwekkende informatie: http://search.lores.eu/indexo.htm
luntrus
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
3. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Hueh?!
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Als een restaurant etc het wifi wachtwoord beschikbaar stelt voor klanten is het daarmee nog geen publiek/openbaar netwerk.
Het is immers alleen bedoeld voor klanten/cliënten. Dat die het makkelijk doorgeven aan anderen is onterecht en dat zouden ze wellicht strenger in de gebruikersvoorwaarden moeten melden.
Als ik de sleutel van de buurvrouw krijg om de plantjes te doen dan mag ik die sleutel ook niet kopieren en aan jan en alleman uitlenen.
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
Eens.
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
nou dat lijkt mij niet persee. er zijn tientallen password manager die een online functie hebben. Daar stuur je veel meer prive inlog informatie naar een db. denk aan last pass/robo form e.d..
Zo min mogelijk locatie's gegevens van mij.
Alleen Windows 10 en dan ook nog alleen de HOME edition dacht ik.
Alleen Windows 10 en dan ook nog alleen de HOME edition dacht ik.
Allee zeg! Het zal toch niet? Toch niet mijn WiFi wachtwoord?
1. Je laat gebruikers wifi-netwerken met wachtwoorden naar een database uploaden
2. Maar alleen de wachtwoorden van openbare netwerken. (die vaak geen wachtwoord hebben)
3. Vervolgens claim je: Op deze manier kunnen anderen van deze wifi-netwerken gebruikmaken. (zonder dat er toestemming is van de eigenaar het het netwerk)
Ik ben de clue echt kwijt, kan aan het weekend liggen hoor. Was mooi weer, paar pilsjes. Maar jezus wat een domme app, en wat een stomme gebruikers.
Openbare netwerken zijn vaak zonder wachtwoord, of het wachtwoord wordt verteld, of ergens op een papiertje ten toon gesteld (Restaurants, bar etc.)
Maar waarom?! Wat is het bestaansrecht van deze app als je telefoon deze wachtwoorden ook gewoon opslaat als een Known network. Wat is het doen van deze app? Behalve het verzamelen van zoveel mogelijk wifinetwerken met wachtwoord.
De app is gewoon malafide, geen wonder dat het 'gelekt' is!
nou dat lijkt mij niet persee. er zijn tientallen password manager die een online functie hebben. Daar stuur je veel meer prive inlog informatie naar een db. denk aan last pass/robo form e.d..
Ja klopt, maar daar zeg je het al. Password managers, die vaak ook de optie geven om je db te encrypten met een master password. Niet dat dit een garantie is uiteraard.
Hier gaat het specifiek om Netwerknamen i.c.m wachtwoorden. Gedeelt met andere personen.
Het is immers alleen bedoeld voor klanten/cliënten. Dat die het makkelijk doorgeven aan anderen is onterecht en dat zouden ze wellicht strenger in de gebruikersvoorwaarden moeten melden.
Als ik de sleutel van de buurvrouw krijg om de plantjes te doen dan mag ik die sleutel ook niet kopieren en aan jan en alleman uitlenen.
Eigenlijk wat ik ook bedoelde, maar verkeerd omschreven door mij.
Wat nu gebeurd is dat deze gegevens, van bijvoorbeeld een restaurant openbaar worden gedeelt. Daarom snap ik het bestaansrecht van een password manager wel, maar deze app niet. Dat al deze netwerknamen en ww naar een db worden gestuurd is al iets waar ik mijn bedenkingen bij heb. Nu is het gelekt, zou er niet van opkijken als de db ook nog gewoon in plaintext is. Ik ben geen ontwikkelaar, maar als je zelf je db encrypt hoe kan je het dan delen met derden? Op het moment dat jij je wifinetwerk en ww kan delen via die app, dan moet het toch 'leesbaar' zijn voor de ontvangende partij.
Ja daarmee los je dit probleem wel op, let wel ik heb het hier niet over password managers, maar specifiek over dit soort apps. Die dus wifinetwerken en wachtwoorden verzameld, om ze vervolgens te kunnen delen met anderen. Daarvoor zijn hotspots in het leven geroepen zodat mensen onderweg ook internet kunnen hebben, dit is gewoon niet de bedoeling. Stel je voor dat je mensen op visite hebt, die maken verbinding met je wifi en vragen jou het wachtwoord. Die gaan dat vervolgens via die app delen? Omdat ze de app daar toestemming voor hebben gegeven.
In dit geval ja, zou het probleem zijn opgelost als ze dit type apps gewoon verbieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.