Door een lek in een beheersysteem zijn 2,3 miljoen persoonsgegevens toegankelijk. Bovendien zijn met één gelekt wachtwoord 160 websites van publieke omroepen en radiostations toegankelijk.
De websites van onder andere QMusic, 3FM, Slam FM, KRO, Omroep.nl, BNN, diverse publieke radiozenders en RTV Noord-Holland zijn lek. Dat ontdekte de hacker 'BitBuster', die het meldde aan Webwereld.
Ook de NTR maker van onder andere het Klokhuis, Sesamstraat, het Sinterklaasjournaal, Raymann is Laat, het Groot Dictee der Nederlandse taal, enzovoort. Ook bij BNN gaat het om sites behorend bij programma's als Spuiten en Slikken, Weg met BNN, de MaDiWoDoVrijdagshow en Patrick in Uruzgan.
Het gaat om een content management systeem (cms) ABC Manager van het bedrijf Angry Bytes, waarbij een oude versie gevoelig bleek voor SQL-injection. In de databases kwamen zowel leesbare als makkelijk te achterhalen wachtwoorden voor. Een van de beheerderswachtwoorden bleek voor alle sites te werken, waardoor het mogelijk is websites aan te passen.
Het gaat om diverse tabellen met persoonsgegevens. Vaak naam, adres, e-mail, telefoonnummer. Soms om achtergelaten reacties, soms om gegevens voor dating. Bij Q Music gaat het niet alleen om de NAW-gegevens, maar ook om het bedrijf waarvoor mensen werken en de functie. Bij sommige programma's wordt ook een foto meegeleverd.
Sommige tabellen bevatten de informatie van honderdduizenden mensen. Zo gaat het bij het Klokhuis om ruim 230.000 adressen, terwijl 3FM meer dan een half miljoen namen beheert.
Angry Bytes, het bedrijf dat de weboplossingen voor de verscheidene omroepen biedt, reageert geschrokken. Er is direct overleg gevoerd met klanten, online redactie-omgevingen afgesloten en lekken gedicht. Ook stelt het bedrijf nog in overleg te zijn om herhaling te voorkomen. "We zijn hier heel erg van geschrokken en kijken met onze klanten naar oplossingen om herhaling te voorkomen."
Hacker BitBuster motiveert zijn actie als volgt:"Ik hoop dat mensen, door mijn actie, gaan inzien dat het zo niet langer kan; er moet iets veranderen. Bedrijven moeten verantwoordelijk gehouden worden voor programmeerfouten en moeten worden gecontroleerd. Je kunt ze niet op hun blauwe ogen geloven en de vraag is of het uit onkunde of onwil is."
Bron: webwereld
Dat heeft een woordvoerder van omroep NTR donderdag gezegd.
De omroep heeft contact gehad met de hacker, die vertelde dat hij alleen de namen van de deelnemers aan de campagne kon zien. Het onderzoek naar de veiligheidsproblemen rond de site van het kinderprogramma is hiermee afgerond, aldus de zegsman.
Wel kijkt de omroep volgens hem de komende tijd kritisch naar de veiligheid van zijn andere websites.
De hacker had eerder toegang tot de gegevens van 13.000 kinderen via een verouderde tool op de website. Woensdag claimde hij ook 'het grote boek' gekraakt te hebben waarin de e-mailadressen van 1,5 miljoen kinderen zijn opgeslagen.
Bron: nu.nl
De NTR, de omr
oep achter het Sinterklaasjournaal, heeft het lek tegenover Tweakers.net bevestigd en geeft toe dat de gegevens van 13.000 kinderen bemachtigd zijn.
De kwetsbaarheid zat in een tool die al sinds 2005 gebruikt werd, zo geeft de NTR toe. “De tool bleek niet beveiligd op de wijze waarop we de rest hebben beveiligd.” Ondanks deze beperkte beveiliging werd de tool ook dit jaar gebruikt.
Kinderen konden via het kwetsbare deel van Sinterklaasjournaal.nl tekeningen insturen en kleurplaten downloaden. De hacker wist onder meer de naam, het e-mailadres en de leeftijd uit de database te halen.
Tweakers sprak met de persoon in kwestie en die stelt bewust niet meer dan deze informatie uit de database te hebben gedownload. De hacker wenst bovendien anoniem te blijven.Een vergaand Amerikaanse wetsvoorstel voor auteursrecht bedreigt de invoer van het beveiligde internetadresboek DNSSEC. De SOPA-wet grijpt namelijk in op DNS.
De bedreiging die SOPA (Stop Online Piracy Act) vormt voor het internet op technisch niveau wordt toegelicht in een officiële protestbrief tegen dat wetsvoorstel. Het gerenommeerde Amerikaanse onderzoeksinstituut Sandia waarschuwt het Congres voor de impact van SOPA. Niet alleen websites en isp's, maar heel het internet dreigt de dupe te worden.
Sandia heeft een technische inschatting gemaakt van dat wetsvoorstel. De computerexperts van dat lab hebben de in SOPA voorgestelde DNS-filtering (domain name system) onderzocht. Zij menen dat die maatregelen "waarschijnlijk geen effect hebben", schrijft directeur Leonard Napolitano van de Sandia-onderzoekslaboratoria in zijn brief (ingebed onderaan dit artikel).
Hij stelt verder dat het filteren of omleiden van DNS-verkeer de cybersecurity bedreigt van zowel de Verenigde Staten als de gehele wereld. Die "negatieve impact" geldt ook voor de werking van het internet als geheel. Cybercriminelen zetten DNS-omleiding namelijk al in voor kwaadaardige doeleinden. Het huidige DNS wordt daarom vervangen door het beter beveiligde DNSSEC, dat man-in-the-middle aanvallen moet voorkomen.
De Sandia-wetenschappers concluderen dan ook dat SOPA een flinke vertraging betekent voor de wereldwijde invoering van DNSSEC. Een onderzoeker heeft de DNS-filtering in het wetsvoorstel getypeerd als een 'whack-a-mole' aanpak, aldus Sandia. Dit zal gebruikers en websites die auteursrechten schenden simpelweg ertoe aanzetten goedkope workarounds te gebruiken, stelt computerwetenschapper Napolitano.
In de brief verwijst hij ook naar een technisch rapport van mei dit jaar, meldt de Britse ict-nieuwssite The Register. Daarin hebben internetexperts, waaronder DNS-onderzoeker Dan Kaminksy, al de noodklok geluid over DNS-censuur in een eerder wetsvoorstel (PROTECT-IP) tegen piraterij.
Bron: webwereld
uit Kamervragen van Tweede Kamerlid Arjan El Fassed die NU.nl ingezien heeft.El Fassed wil zo snel mogelijk uitsluitsel op de vraag of de online privacy van social media-gebruikers wel voldoende gegarandeerd is. Vorige week bepaalde een Amerikaanse rechter dat justitie inzage krijgt in de gegevens van een Nederlandse Twitteraar in een onderzoek naar Wikileaks.
"Als gebruiker van sociale media ben je dus blijkbaar vogelvrij voor politie en justitie. Te lichtvaardig wordt gedacht dat oude regels wel volstaan, maar ik vind dat de online privacy van gebruikers specifieke rechtsbescherming behoeft", aldus El Fassed.
Volgens het Kamerlid is nu onduidelijk onder welke voorwaarden politie en justitie dergelijke gegevens mogelijk verzamelen. Ook is de rol van rechters niet precies duidelijk.
Fassad vraagt onder meer aan minister Opstelten (Veiligheid en Justitie) of de betrokkenen ingelicht worden over het besluit gegevens te overhandigen en welke vormen van rechtsbescherming in dit soort gevallen gelden.
Ook vraagt hij de minister om cijfers te leveren van hoe vaak politie en justitie in Nederland de medewerking vorderen van bijvoorbeeld Twitter, Hyves en Facebook.
Bron: nu.nl
Dit meldt Webwereld.
De 17-jarige ict-student was nieuwsgierig geworden na het nieuws dat cheaptickets.nl zo lek als een mandje was. Door een lek in een server van Cheaptickets.nl waren gegevens, waaronder tickets en paspoortnummers, van 715.000 klanten beschikbaar voor kwaadwillenden.
De website van cheaptickets hanteert het thuiswinkel waarborglabel en Heesen was benieuwd of meer webpagina's met het waarborgmerk beveiligingsproblemen hadden.
Het Thuiswinkel Waarborg is een kwaliteitskeurmerk dat de veiligheid moet garanderen als een consument producten en diensten wil aanschaffen via internet.
Conclusie van Heesen is dat de webpagina’s van thuiswinkels als Kruidvat, BCC en V&D makkelijk te kraken zijn. In totaal was de beveiliging van 160 webwinkels ontoereikend. In totaal nam de student 1200 internetwinkels onder de loep. Het overgrote deel van de sites die niet in orde bleken, heeft het lek inmiddels gedicht.
Op de websites werden xss-lekken aangetroffen, zogenaamde cross-site scripting. Hierdoor is het mogelijk om in te breken bij de webwinkels en deze te voorzien van een eigen pagina, informatie of programmacode om gegevens van klanten te stelen.
Directeur Wijnand Jongen van brancheorganisatie Thuiswinkel.org benadrukt dat webwinkels zelf verantwoordelijk zijn voor het beveiligen van hun website.
De brancheorganisatie wil in de toekomst wel gaan controleren of webwinkels een veilige webomgeving bieden. De directeur vindt het goed dat het onderwerp door de actie van de 17-jarige student hoog op de agenda is komen te staan.
