zondag 25 september 2011

Anonymous beschikt over database gepensioneerde KLPDers

Hacker Goo door de bocht. De beste man heeft mij gecontact om te vertellen dat Anonymous beschikt over de database van de website vvg-klpd.nl (inmiddels offline).
Leuk een database van ex-klpd-ers zou je zeggen. Echter waren er wat opmerkelijke dingen aan de hand met deze database. Zo stonden hier de wachtwoorden in plaintext opgeslagen. En waren de bankrekening nummers keurig aan de personen gekoppeld.
Omdat ik Mister Goo niet meteen geloofde vroeg ik hem mij 1 regel bewijs te laten zien, en dit heeft hij dan ook gedaan. Waardoor ik kan bevestigen dat het klopt.

De hack is gedaan via een dood eenvoudige SQL injectie, en ik neem aan, gezien onderstaande tweet, al geruime tijd geleden.

Hieruit kunnen we verder opmaken dat de site direct daarna offline gehaalt is. De vraag is nu of de gebruikers ook ingelicht zijn over deze hack. Lijkt me wel zo fijn om te weten wanneer werkelijk al je gegevens mogelijk op straat liggen. Slingerd de discussie over de meldingsplicht weer lekker aan.

Fascinerend is het feit dat Anonymous heeft besloten deze gegevens niet via een pastebinntje publiekelijk te maken. Maar dat is misschien ook wel logisch na de 15 jaar cel die Cody Kretsinger aka Recursion staat te wachten nadat deze de gegevens van sony WEL publiekelijk maakte.

Goed, nu de Nederlandse tak van Anonymous in het bezit is van de gegevens van ex-klpders inclusief hun bankgegevens, kunnen ze waarschijnlijk allen snel samen koffie drinken.

4 opmerkingen:

  1. Rickey,

    Jammer dat er weinig reacties zijn op jouw weblog, dus trap ik af. In de stiekume hoop op een kleine discussie.

    Ergens vind ik het wel jammmer dat de gegevens gepubliceerd zijn van http://vvg-klpd.nl. Ik vraag me af waarom en vooral óf de dader niet eerst geprobeerd heeft contact op te nemen met de webmaster. Of niet publiceren van de gegevens maar een mailtje langs de pers met een geanonimiseerde screenshot als bewijs. De data als het ware in gijzeling nemen. Dat is vaak al voldoende om én een punt duidelijk te maken, nl de doelstelling van de dader, én de brakke beveiliging van de website bloot te leggen.

    Ik blijf het een lastige afweging vinden. Iemand ideëen?

    BeantwoordenVerwijderen
  2. Als de beveiliging echt brak is, dan heb je echt wel een punt om gegevens te publiceren. Alleen hebben de leden er niets mee te maken; slechts die vvg-klpd is verantwoordelijk. Dus dan alleen hun gegevens publiceren ??

    De ssh en ftp versie van hun website lopen volgens mij flink achter.

    BeantwoordenVerwijderen