Forum Weblog Zoek Actieve Items Nieuws Columns Reviews Previews Specials Archief

Flexvoetbalpool lekt inlogdata

Chuck-N0rr1s

Flexvoetbalpool beheert voetbalpools voor grote bedrijven als Ahold, Ziggo en Wehkamp. Door een configuratiefout zijn de wachtwoorden van de deelnemers slecht versleuteld en waren deze toegankelijk voor kwaadwillenden.

Een lezer van de website Tweakers.net ontdekte dat het bedrijf de inloggegevens in de subdirectory /static/ heeft geplaatst. Wie zich toegang tot deze folder verschafte, kon bij alle inloggegevens. Na de melding had het bedrijf een aantal uur nodig om de fout te herstellen. Het is niet bekend of kwaadwillenden deze data hebben verkregen.

Help ons; deel dit item als je het leuk vond

Heb je een leuk of interessant bericht gevonden dat je graag op FOK! terug ziet? Tip ons dan via de submit!

Zoek jij altijd de leukste nieuwtjes en kun je daar leuk over schrijven? Meld je aan als nieuwsposter!

6 reacties

dinsdag 24 juni 2014, 22:04 uur #1

Palomar

Het bericht doet suggereren dat er een tekstbestandje ofzo staat met daarin kant en klaar alle inloggegevens.

Dit deed me wel even schrikken, echter in het bronartikel staat dat er in die directory bestanden staan waarin het MySQL (database) wachtwoord staat. Als je daarmee inlogt op de database zijn de wachtwoorden van de gebruikers wel versleuteld, echter op een achterhaalde manier (MD5).

Risico bestaat dus wel dat de gegevens gelekt zijn, maar niet dat iedereen er makkelijk inzicht in had (gelukkig)....

dinsdag 24 juni 2014, 22:48 uur #2

mpol

Als ze MD5 gebruiken zullen ze wel geen Salting gebruiken. Dus met een dictionary attack kun je veel eenvoudige wachtwoorden vinden. Dus de wachtwoorden als "welkom123" of andere wel erg makkelijke wachtwoorden.

dinsdag 24 juni 2014, 22:52 uur #3

n00b13

UI bij Studiotje

En alle andere wachtwoorden kun je met rainbow tables decoderen.

woensdag 25 juni 2014, 00:45 uur #4

Sovjet

CCCP ☭

quote:
Op dinsdag 24 juni 2014 @ 22:52 schreef n00b13 het volgende:
En alle andere wachtwoorden kun je met rainbow tables decoderen.

Niet als er een salt gebruikt is...

☭ Да здравствует коммунизма! ☭

woensdag 25 juni 2014, 03:10 uur #5

Daffodil31LE

Pienter Pookje

Heet zo'n gokformulier niet een voetbalPOULE?

Bij "voetbalpool" moet ik onwillekeurig steeds denken aan een speler van het Poolse voetbalelftal...

Haha, U schakelt nog. Test een DAF !

donderdag 26 juni 2014, 02:32 uur #6

doemaardrie

of toch vier???

quote:
Op dinsdag 24 juni 2014 @ 22:04 schreef Palomar het volgende:
Het bericht doet suggereren dat er een tekstbestandje ofzo staat met daarin kant en klaar alle inloggegevens.

Dit deed me wel even schrikken, echter in het bronartikel staat dat er in die directory bestanden staan waarin het MySQL (database) wachtwoord staat. Als je daarmee inlogt op de database zijn de wachtwoorden van de gebruikers wel versleuteld, echter op een achterhaalde manier (MD5).

Risico bestaat dus wel dat de gegevens gelekt zijn, maar niet dat iedereen er makkelijk inzicht in had (gelukkig)....

Ik heb geen verstand van automatisering, maar ik durf er een hoop geld op te zetten dat ik met deze informatie en een half uurtje googlen de inhoud van die database wel om weet te zetten naar een *.xls, *.txt of *.docx bestandje

Reageer zelf