Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

Tweakers.net zet database-wachtwoorden online

Monique Verlind (DJMO)

Tweakers.net had door een fout korte tijd database-wachtwoorden online gepubliceerd staan. Doordat er in het configuratiebestand de < van <?php was verdwenen werd de volledige inhoud van het bestand zichtbaar op internet. Op het moment dat de gegevens online kwamen, werd de technologiesite door verschillende gebruikers gebeld.

Wilbert de Vries, hoofdredacteur van Tweakers.net, verklaarde tegenover Security.nl: ”Een foute config-installatie was echt enkele seconden zichtbaar. Gelukkig hebben we ook zeer oplettende ontwikkelaars. Zodra de fout werd gemaakt werd die ook meteen ontdekt en zijn er tegenmaatregelen genomen.” Hij vervolgt: “Na de ontdekking van het lek werd het configuratiebestand verwijderd en alle wachtwoorden gewijzigd. Tevens werd er gecontroleerd of de wachtwoorden echt niet van buitenaf bruikbaar waren.”

Tweakers.net heeft via Twitter aan haar gebruikers laten weten wat er aan de hand was. Ook op de eigen website prijkt er een keurige uitleg mét verontschuldiging naar de gebruikers.

Help ons; deel dit item als je het leuk vond

Heb je een leuk of interessant bericht gevonden dat je graag op FOK! terug ziet? Tip ons dan via de submit!

Zoek jij altijd de leukste nieuwtjes en kun je daar leuk over schrijven? Meld je aan als nieuwsposter!

36 reacties

vrijdag 23 maart 2012, 14:14 uur #3

B-FliP

Like it ain't no thang..

Na een paar seconden offline gehaald en direct gewijzigd. Goeie zaak.

Verder kan je ook niet direct iets met deze wachtwoorden omdat je je ook nog toegang tot het netwerk moet verschaffen.

What you pay attention to, you become conscious of...
B-FliP Youtube Channel
Bionic - In on the Outside EP: 2-3-2012

vrijdag 23 maart 2012, 14:14 uur #4

hmm_lasagne

quote:
Op vrijdag 23 maart 2012 @ 14:11 schreef Flurry het volgende:
Tja, php

Heeft geen zak met de taal te maken, maar met een menselijke fout in config bestanden.
Ik vind het qua syntax en semantiek een bagger taal, maar voor veel partijen is het iets dat werkt. Niet alleen dat, het is ook goed genoeg.

vrijdag 23 maart 2012, 14:16 uur #5

2Cent

quote:
Op vrijdag 23 maart 2012 @ 14:13 schreef Benificent het volgende:
Pfoe pfoe voor die paar seconden maak je je toch niet druk.

Tenzij je het zelfde paswoord steeds hergebruikt... maar dat is ook een beetje dom

vrijdag 23 maart 2012, 14:16 uur #6

AbXorb

Shoegazing forever.

quote:
Op vrijdag 23 maart 2012 @ 14:14 schreef B-FliP het volgende:
Na een paar seconden offline gehaald en direct gewijzigd. Goeie zaak.

Verder kan je ook niet direct iets met deze wachtwoorden omdat je je ook nog toegang tot het netwerk moet verschaffen.

Kan het beheer van NU.nl nog wat van leren.

I________have become. Comfortably numb.

vrijdag 23 maart 2012, 14:18 uur #7

woessie

Rond een doos dansen

is al aangepast

[ Bericht gewijzigd door woessie op vrijdag 23 maart 2012 @ 14:24 ]

Rond een doos dansen
In Mekka
Dat is pas leuk

vrijdag 23 maart 2012, 14:22 uur #8

Quitter3

Waarom staan de wachtwoorden leesbaar in een file, die door een foutje ook nog eens zichtbaar wordt op de site?

2 zaken die je gewoon niet moet doen.

vrijdag 23 maart 2012, 14:24 uur #9

Andiamo

Victory is mine!

quote:
Op vrijdag 23 maart 2012 @ 14:11 schreef Flurry het volgende:
Tja, php

Ah kijk, een leek!

vrijdag 23 maart 2012, 14:29 uur #10

FUFR

schwung!

en altijd zo afgeven op fouten van een ander.
ik kan hier alleen maar om lachen..

Lead me away, come inside,
see my mind in kaleidoscope
Muziekje d'r bij? http://www.soundcloud.com/fufr

vrijdag 23 maart 2012, 14:29 uur #11

fart

quote:
Op vrijdag 23 maart 2012 @ 14:22 schreef Quitter3 het volgende:
Waarom staan de wachtwoorden leesbaar in een file, die door een foutje ook nog eens zichtbaar wordt op de site?

2 zaken die je gewoon niet moet doen.

Ben absoluut een leek, maar ik mag toch aannemen dat de wachtwoorden nog wel versleuteld waren. Natuurlijk is alles te kraken, maar dat maakt de kans daarop natuurlijk wel een stukje kleiner

vrijdag 23 maart 2012, 14:29 uur #12

refresh81

quote:
Op vrijdag 23 maart 2012 @ 14:22 schreef Quitter3 het volgende:
Waarom staan de wachtwoorden leesbaar in een file, die door een foutje ook nog eens zichtbaar wordt op de site?

2 zaken die je gewoon niet moet doen.

Die vraag wilde ik ook net stellen

Die wachtwoorden horen gewoon netjes ergens apart te staan.

vrijdag 23 maart 2012, 14:30 uur #13

FUFR

schwung!

quote:
Op vrijdag 23 maart 2012 @ 14:16 schreef 2Cent het volgende:
[..]
Tenzij je het zelfde paswoord steeds hergebruikt... maar dat is ook een beetje dom

ik vind het juist wel makkelijk om om tweakers en zo het zelfde wachtwoord te hebben als bij de rabo. kan ik het ook niet vergeten

Lead me away, come inside,
see my mind in kaleidoscope
Muziekje d'r bij? http://www.soundcloud.com/fufr

vrijdag 23 maart 2012, 14:34 uur #14

HeyMarlous

quote:
Op vrijdag 23 maart 2012 @ 14:14 schreef hmm_lasagne het volgende:
[..]

Heeft geen zak met de taal te maken, maar met een menselijke fout in config bestanden.
Ik vind het qua syntax en semantiek een bagger taal, maar voor veel partijen is het iets dat werkt. Niet alleen dat, het is ook goed genoeg.

Waarom? Ik vind het heerlijk werken, helemaal met een mooi OOP framework als Yii of Zend.

vrijdag 23 maart 2012, 14:36 uur #15

Inscriviti

Correct en snel gereageerd van Tweakers, netjes

vrijdag 23 maart 2012, 14:38 uur #16

HeyMarlous

quote:
Op vrijdag 23 maart 2012 @ 14:30 schreef FUFR het volgende:
[..]
ik vind het juist wel makkelijk om om tweakers en zo het zelfde wachtwoord te hebben als bij de rabo. kan ik het ook niet vergeten

Ik gebruik 1password, en voor elke site genereer ik een wachtwoord van minimaal 32 random karakters.. je onthoudt alleen je master-password

vrijdag 23 maart 2012, 14:39 uur #17

HeyMarlous

quote:
Op vrijdag 23 maart 2012 @ 14:29 schreef refresh81 het volgende:
[..]

Die vraag wilde ik ook net stellen Die wachtwoorden horen gewoon netjes ergens apart te staan.

Hoezo 'apart'? De site moet er toch bijkunnen om users te valideren.. daar ontkom je niet aan.. uiteraard moeten ze wel gehashed zijn..

vrijdag 23 maart 2012, 14:41 uur #18

Flurry

Het was een mooie tijd

quote:
Op vrijdag 23 maart 2012 @ 14:14 schreef hmm_lasagne het volgende:
[..]

Heeft geen zak met de taal te maken, maar met een menselijke fout in config bestanden.
Ik vind het qua syntax en semantiek een bagger taal, maar voor veel partijen is het iets dat werkt. Niet alleen dat, het is ook goed genoeg.

PHP maakt geen onderscheid tussen statische en dynamische content, waardoor hier script code als statische content werd geserveerd.

We cross our bridges when we come to them and burn them behind us, with nothing to show for our progress except a memory of the smell of smoke, and a presumption that once our eyes watered.

vrijdag 23 maart 2012, 14:44 uur #19

HeyMarlous

quote:
Op vrijdag 23 maart 2012 @ 14:41 schreef Flurry het volgende:
[..]

PHP maakt geen onderscheid tussen statische en dynamische content, waardoor hier script code als statische content werd geserveerd.

Heeft niks met PHP te maken, omdat er geen correcte tags werden gebruikt, werd de PHP compiler nooit aangeroepen en kreeg je hetzelfde effect als een plain-text bestand..

vrijdag 23 maart 2012, 14:47 uur #20

ACM

Doet iets bij Tweakers.net

quote:
Op vrijdag 23 maart 2012 @ 14:22 schreef Quitter3 het volgende:
Waarom staan de wachtwoorden leesbaar in een file, die door een foutje ook nog eens zichtbaar wordt op de site?

2 zaken die je gewoon niet moet doen.

De wachtwoorden staan leesbaar in een file omdat ze nodig zijn voor de communicatie tussen de php-code en de databaseserver. Het gaat dus niet om wachtwoorden die gebruikers bij ons hebben opgegeven voor hun eigen login (die staan namelijk in die database, en dan uiteraard wel eenrichting op versleuteld).
Maar dit wachtwoord moet juist wel door onze eigen code gelezen en doorgegeven kunnen worden, hashen is dus onmogelijk, want het moet te decoderen zijn. Hooguit een vorm van encryptie zou dan nog zinvol zijn. Maar we proberen vooral de boel zo in te richten dat je ook met die wachtwoorden domweg niet zoveel kan en we het ons dus niet moeilijker hoeven te maken dan nodig.

Zoek ook es bij: Google | PHP-manual: www.php.net/functienaam

vrijdag 23 maart 2012, 14:47 uur #21

hetizmij

quote:
Op vrijdag 23 maart 2012 @ 14:39 schreef HeyMarlous het volgende:
[..]
Hoezo 'apart'? De site moet er toch bijkunnen om users te valideren.. daar ontkom je niet aan.. uiteraard moeten ze wel gehashed zijn..

Volgens mij gaat het hier om de wachtwoorden die de pagina gebruikt om verbinding te maken met de database. Die kun je makkelijk in een aparte file zetten. Is nog handiger ook, want als je ze wijzigt hoef je maar 1 pagina te wijzigen.

Wie zijn doel voorbijstreeft, mist het evenzeer als hij, die het niet bereikt

vrijdag 23 maart 2012, 14:58 uur #22

denniskrol

quote:
Op vrijdag 23 maart 2012 @ 14:47 schreef hetizmij het volgende:
[..]

Volgens mij gaat het hier om de wachtwoorden die de pagina gebruikt om verbinding te maken met de database. Die kun je makkelijk in een aparte file zetten. Is nog handiger ook, want als je ze wijzigt hoef je maar 1 pagina te wijzigen.

Dat staan ze toch ook, maar als je de < van <?php weghaald, dan is het een gewone textfile voor PHP. De main pagina include de password PHP file.

vrijdag 23 maart 2012, 15:03 uur #23

hetizmij

quote:
Op vrijdag 23 maart 2012 @ 14:58 schreef denniskrol het volgende:
[..]

Dat staan ze toch ook, maar als je de < van <?php weghaald, dan is het een gewone textfile voor PHP. De main pagina include de password PHP file.

Ok, dan snap ik het. Ik dacht dat de fout zat in een pagina waar de include in staat. Maar de fout was dus gemaakt in de file waar de wachtwoorden in staan. Dat is inderdaad niet erg slim, maar gelukkig waren ze er op tijd bij.

Wie zijn doel voorbijstreeft, mist het evenzeer als hij, die het niet bereikt

vrijdag 23 maart 2012, 15:07 uur #24

HeyMarlous

overigens hadden ze wel gewoon een .htaccess in die map kunnen flikkeren met een "Deny from all", das wel slecht

vrijdag 23 maart 2012, 15:08 uur #25

-O.o-

boventitel hier

waarom stonden de wachtwoorden inline, en werd t niet met een include aangeroepen?

signature hier

vrijdag 23 maart 2012, 15:26 uur #27

LucasHulshof

Muze

quote:
Gelukkig hebben we ook zeer oplettende ontwikkelaars

Dat bleek.

vrijdag 23 maart 2012, 15:33 uur #28

Quitter3

quote:
Op vrijdag 23 maart 2012 @ 14:47 schreef ACM het volgende:
[..]

De wachtwoorden staan leesbaar in een file omdat ze nodig zijn voor de communicatie tussen de php-code en de databaseserver. Het gaat dus niet om wachtwoorden die gebruikers bij ons hebben opgegeven voor hun eigen login (die staan namelijk in die database, en dan uiteraard wel eenrichting op versleuteld).
Maar dit wachtwoord moet juist wel door onze eigen code gelezen en doorgegeven kunnen worden, hashen is dus onmogelijk, want het moet te decoderen zijn. Hooguit een vorm van encryptie zou dan nog zinvol zijn. Maar we proberen vooral de boel zo in te richten dat je ook met die wachtwoorden domweg niet zoveel kan en we het ons dus niet moeilijker hoeven te maken dan nodig.

Ik ken PHP niet, maar wij bouwen alle websites zo dat er geen rechtstreekse connectie naar de database is. En de laag die wel connectie maakt, leest de database settings uit een simpele ini file, waarin dbUser en dbPassword encrypted in staan. Dit soort info hoort niet in een website thuis.

vrijdag 23 maart 2012, 16:01 uur #29

Teresia

quote:
Op vrijdag 23 maart 2012 @ 15:24 schreef Jachtgeweer het volgende:
Tweakers

Het bolwerk voor bepuiste zolderkamerhelden, obesitas patienten, autisten, pedofielen en dergelijken.

Jij kent ze allemaal, neem ik aan?

vrijdag 23 maart 2012, 16:15 uur #30

ACM

Doet iets bij Tweakers.net

quote:
Op vrijdag 23 maart 2012 @ 15:07 schreef HeyMarlous het volgende:
overigens hadden ze wel gewoon een .htaccess in die map kunnen flikkeren met een "Deny from all", das wel slecht

Dat had niks geholpen, want de file werd door PHP ingelezen, niet direct door apache.

quote:
Op vrijdag 23 maart 2012 @ 15:08 schreef -O.o- het volgende:
waarom stonden de wachtwoorden inline, en werd t niet met een include aangeroepen?

Ze stonden niet inline, het bestand dat included werd zat de fout in.

quote:
Op vrijdag 23 maart 2012 @ 15:33 schreef Quitter3 het volgende:
Ik ken PHP niet, maar wij bouwen alle websites zo dat er geen rechtstreekse connectie naar de database is. En de laag die wel connectie maakt, leest de database settings uit een simpele ini file, waarin dbUser en dbPassword encrypted in staan. Dit soort info hoort niet in een website thuis.

PHP moet dan voor elke hit die ini-file opnieuw parsen, dat vinden we met ons pageviewaantal niet zo leuk

Dus vandaar een losse include.

Zoek ook es bij: Google | PHP-manual: www.php.net/functienaam

vrijdag 23 maart 2012, 16:48 uur #31

hottentot

quote:
Op vrijdag 23 maart 2012 @ 14:38 schreef HeyMarlous het volgende:
[..]
Ik gebruik 1password, en voor elke site genereer ik een wachtwoord van minimaal 32 random karakters.. je onthoudt alleen je master-password

Wachtwoord beheer en genereer programma's zouden verplicht moeten zijn voor iedere thuisgebruiker. Zou zoveel ellende voorkomen.

“The problem with socialism is that you eventually run out of other people’s money.”

vrijdag 23 maart 2012, 17:14 uur #33

hottentot

quote:
Op vrijdag 23 maart 2012 @ 16:49 schreef yucatan21 het volgende:
als het goe di moet het niks uitmaken als je wachtwoorden gepubliceert worden want ze zijn gehashed ?

Lees de postings van ACM even voordat je hier verder post.

“The problem with socialism is that you eventually run out of other people’s money.”

vrijdag 23 maart 2012, 18:32 uur #34

ontspoort

Typisch: als het bij bv Microsoft gebeurd, dan gaat men hier vreselijk tekeer, niet normaal meer.
Nu gat het over Tweakers (eigen vlees) en nu ineens is het: ach, foutje, kan gebeuren.

vrijdag 23 maart 2012, 20:07 uur #35

j_du_pee

du pain, du vin, du pee

In mijn script-kiddie dagen beschikte ik over de gehackte wachtwoorden van o.a. monsterboard en AH

nu ook op fok :/
woningmarktcijfers

zaterdag 24 maart 2012, 11:01 uur #36

mschol

quote:
Op vrijdag 23 maart 2012 @ 16:48 schreef hottentot het volgende:
[..]

Wachtwoord beheer en genereer programma's zouden verplicht moeten zijn voor iedere thuisgebruiker. Zou zoveel ellende voorkomen.

helaas is er geen 1 echt goede

Reageer zelf