Zwakke beveiliging Ashley Madison maakte grootschalige datadiefstal mogelijk

  1. 8 sep 2015
  2. 0 reacties

Ashley Madison, de website die vreemdgangers met elkaar in contact bracht en in juli gehackt werd, is zeer slordig omgesprongen met beveiliging. De website blijkt inloggegevens, tokens en andere inloggegevens hardcoded in zijn broncode te hebben verwerkt. Eenmaal binnen was het voor de aanvallers dan ook een koud kunstje om toegang te krijgen tot alle systemen en servers van het bedrijf.

Dit stelt de beveiligingsonderzoeker Gabor Szathmari, die de broncode van de website heeft onderzocht. In een blogpost beschrijft de onderzoeker zijn bevindingen. In slechts tien minuten wist de onderzoekers AWS tokens, private sleutels van SSL-certificaten en API-tokens boven water te krijgen. Daarnaast trof Szathmari database wachtwoorden aan in de broncode, die ook nog eens zeer zwak waren. Alle wachtwoorden bestonden uit slechts 5 tot 8 karakters.

Kwetsbare infrastructuur

“Gevoelige data opslaan in de broncode zorgt voor een veel kwetsbaardere infrastructuur. Inloggegevens voor databases en AWS tokens hebben het verder binnendringen van de systemen eenvoudiger gemaakt voor het Impact Team, wat uiteindelijk heeft geleid tot de grootschalige inbraak bij Ashley”, schrijft de onderzoeker.

De onderzoekers stelt dat twee belangrijke lessen kunnen worden getrokken uit de werkwijze van Ashley Madison:

  • Sla nooit gevoelige data op in de broncode
  • Gebruik nooit zwakke inloggegevens voor databases
Meer over
Lees ook
Kingston lanceert beveiligde USB-stick met USB 3.0-ondersteuning

Kingston lanceert beveiligde USB-stick met USB 3.0-ondersteuning

Kingston lanceert de DataTraveler Locker+ G3 USB 3.0 Flash drive. De nieuwste generatie van de DataTraveler Locker+ G3 biedt dankzij USB 3.0 hogere datasnelheden dan zijn voorganger. De USB-sticks van Kingston zijn beveiligd met een wachtwoord en is voorzien van hardware die alle opgeslagen data automatisch versleuteld. Gebruikers kunnen hierdoor1

Best practices helpen privé-apparaten veilig op de werkvloer te gebruiken

Best practices helpen privé-apparaten veilig op de werkvloer te gebruiken

Microsoft lanceert een reeks best practices voor werknemers die hun privé-apparaten op de werkvloer willen gebruiken. Het bedrijf adviseert onder andere alleen legitieme apps en software te gebruiken die afkomstig is van betrouwbare bronnen. Het meenemen van privé-apparaten naar de werkvloer, wat ook wel Bring Your Own Device (BYOD) wordt genoemd1

HP levert McAfee LiveSafe standaard op nieuwe HP-computers

HP levert McAfee LiveSafe standaard op nieuwe HP-computers

HP gaat McAfee LiveSafe service standaard wereldwijd als ‘pre-install’ meeleveren met nieuwe consumentenpc’s en zakelijke pc’s. McAfee LiveSafe is een ‘cross-device’ beveiligingsdienst die de data, identiteitsgegevens en alle pc’s, Macs, smartphones en tablets van gebruikers beschermt. “We staan aan de vooravond van een nieuw computertijdperk, wa1