image

Universiteit VS ontdekt na penetratietest datalek met gegevens 355.000 personen

vrijdag 6 augustus 2021, 16:23 door Redactie, 6 reacties

Een Amerikaanse universiteit heeft na een jaarlijks geplande penetratietest een datalek ontdekt waarbij de gegevens van meer dan 355.000 mensen zijn buitgemaakt. Tijdens de pentest, die begin juni plaatsvond, werd een kwetsbaarheid in één van de websites van de University of Kentucky ontdekt.

Het beveiligingslek werd verholpen en in samenwerking met een forensisch bedrijf vond er een onderzoek plaats. Daaruit bleek dat een aanvaller begin dit jaar de achterliggende database heeft buitgemaakt. Het systeem in kwestie wordt gebruikt voor het beoordelen van studenten die examens doen. In de database stonden de gegevens van 355.000 leerlingen en docenten uit Kentucky.

Het gaat om hun gebruikersnaam, meestal een e-mailadres, en wachtwoord om toegang tot het systeem te krijgen. Vanwege het datalek heeft de universiteit alle wachtwoorden gereset en gedupeerde personen ingelicht. Volgens de universiteit zijn er geen aanwijzingen dat er misbruik van de gestolen data is gemaakt (pdf). De universiteit zegt dat het naar aanleiding van het datalek een extra 1,5 miljoen dollar in cybersecurity zal investeren.

Reacties (6)
07-08-2021, 11:33 door Anoniem
Top little too late
07-08-2021, 13:15 door botbot
Waarom worden wachtwoorden uberhaupt nog plain text opgeslagen in een database. Ergens. Ik kan met de beste wil van de wereld geen situatie bedenken waarin het wenselijk is om dat te doen. Het hele principe van een login-secret (wachtwoord) is dat het geheim is. Oftewel dat 1 persoon hem weet. Dat is per definitie niet zo als het plaintext is opgeslagen.
07-08-2021, 14:36 door Anoniem
Door botbot: Waarom worden wachtwoorden uberhaupt nog plain text opgeslagen in een database.
Is dat hier dan zo? Ik zie staan dat wachtwoorden in die database stonden, maar niet in welke vorm. Of heb ik iets gemist?

Ook als er bijvoorbeeld salts en hashes worden opgeslagen is het verstandig om wachtwoorden te resetten. En ja, je kan redeneren dat een hash van een wachtwoord het wachtwoord zelf niet meer is, maar ik weet niet of je bij dit soort berichten moet verwachten dat degene van de communicatieafdeling die uiteindelijk de definitieve tekst oplevert daar mathematische preciesie bij toepast.
07-08-2021, 15:09 door Anoniem
Door botbot: Waarom worden wachtwoorden uberhaupt nog plain text opgeslagen in een database. Ergens. Ik kan met de beste wil van de wereld geen situatie bedenken waarin het wenselijk is om dat te doen. Het hele principe van een login-secret (wachtwoord) is dat het geheim is. Oftewel dat 1 persoon hem weet. Dat is per definitie niet zo als het plaintext is opgeslagen.

dan moet je je ook eens verdiepen in hoe de TOTP werkt van MFA. ik ken omgevingen waarin ze MFA afdwingen, maar mensen ook van dezelfde computer waarme inloggen en ze dus hun ww intypen de TOTP token laten genereren in een browser of een oath tooltje. en server side kun je dit soort stupide dingen niet controleren, dus die hele MFA is de oplossing zal ook een illusie gaan worden tegen de tijd dat iedereen al moeilijk hiermee geforceerd is te werken.
09-08-2021, 13:41 door Anoniem
Door Anoniem:
Door botbot: Waarom worden wachtwoorden uberhaupt nog plain text opgeslagen in een database.
Is dat hier dan zo? Ik zie staan dat wachtwoorden in die database stonden, maar niet in welke vorm. Of heb ik iets gemist?

Dat was mijn gedachte ook. Het is wel zo dat indien de wachtwoorden in leesbare tekst opgeslagen zouden staan dat dit dan wel in zo'n artikel als dit met grote letters uitgemeten was.

Sterker nog, als ik het originele artikel doorneem dan is er sprake van "The database contained the names and email addresses of students and teachers in Kentucky and in all 50 states and 22 foreign countries, in all more than 355,000 individuals." en wordt er niet gerept over buitgemaakte wachtwoorden!
09-08-2021, 16:33 door Anoniem
Als je rondzoekt kun je zo hele lijsten met accounts van studenten vinden. Afgelopen jaar nog twee IT afdelingen van Amerikaanse universeiten ingelicht waarvan honderden accounts online stonden die gebruikt werden om spam mee te versturen. Maanden later kon ik nog steeds bij één van de universiteiten op de accounts inloggen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.