zondag 25 september 2011

Anonymous beschikt over database gepensioneerde KLPDers

Hacker Goo door de bocht. De beste man heeft mij gecontact om te vertellen dat Anonymous beschikt over de database van de website vvg-klpd.nl (inmiddels offline).
Leuk een database van ex-klpd-ers zou je zeggen. Echter waren er wat opmerkelijke dingen aan de hand met deze database. Zo stonden hier de wachtwoorden in plaintext opgeslagen. En waren de bankrekening nummers keurig aan de personen gekoppeld.
Omdat ik Mister Goo niet meteen geloofde vroeg ik hem mij 1 regel bewijs te laten zien, en dit heeft hij dan ook gedaan. Waardoor ik kan bevestigen dat het klopt.

De hack is gedaan via een dood eenvoudige SQL injectie, en ik neem aan, gezien onderstaande tweet, al geruime tijd geleden.

Hieruit kunnen we verder opmaken dat de site direct daarna offline gehaalt is. De vraag is nu of de gebruikers ook ingelicht zijn over deze hack. Lijkt me wel zo fijn om te weten wanneer werkelijk al je gegevens mogelijk op straat liggen. Slingerd de discussie over de meldingsplicht weer lekker aan.

Fascinerend is het feit dat Anonymous heeft besloten deze gegevens niet via een pastebinntje publiekelijk te maken. Maar dat is misschien ook wel logisch na de 15 jaar cel die Cody Kretsinger aka Recursion staat te wachten nadat deze de gegevens van sony WEL publiekelijk maakte.

Goed, nu de Nederlandse tak van Anonymous in het bezit is van de gegevens van ex-klpders inclusief hun bankgegevens, kunnen ze waarschijnlijk allen snel samen koffie drinken.

5 opmerkingen:

  1. Rickey,

    Jammer dat er weinig reacties zijn op jouw weblog, dus trap ik af. In de stiekume hoop op een kleine discussie.

    Ergens vind ik het wel jammmer dat de gegevens gepubliceerd zijn van http://vvg-klpd.nl. Ik vraag me af waarom en vooral óf de dader niet eerst geprobeerd heeft contact op te nemen met de webmaster. Of niet publiceren van de gegevens maar een mailtje langs de pers met een geanonimiseerde screenshot als bewijs. De data als het ware in gijzeling nemen. Dat is vaak al voldoende om én een punt duidelijk te maken, nl de doelstelling van de dader, én de brakke beveiliging van de website bloot te leggen.

    Ik blijf het een lastige afweging vinden. Iemand ideëen?

    BeantwoordenVerwijderen
  2. Als de beveiliging echt brak is, dan heb je echt wel een punt om gegevens te publiceren. Alleen hebben de leden er niets mee te maken; slechts die vvg-klpd is verantwoordelijk. Dus dan alleen hun gegevens publiceren ??

    De ssh en ftp versie van hun website lopen volgens mij flink achter.

    BeantwoordenVerwijderen
  3. I want to appreciate and sincerely thank blackhatthacker@gmail.com for her service...She saved me from the lies of my cheating husband. She was able to hack his whatssp messages, listen to every call he either made or receive, hacked his email passwords and Facebook ...i know there are lots of people out there looking for proof and evidence about one thing or the other . Be open and real with her so she can even be at the best of her service to you. Do contact her by email on blackhatthacker@gmail.com

    BeantwoordenVerwijderen