Zwakke beveiliging Ashley Madison maakte grootschalige datadiefstal mogelijk
Ashley Madison, de website die vreemdgangers met elkaar in contact bracht en in juli gehackt werd, is zeer slordig omgesprongen met beveiliging. De website blijkt inloggegevens, tokens en andere inloggegevens hardcoded in zijn broncode te hebben verwerkt. Eenmaal binnen was het voor de aanvallers dan ook een koud kunstje om toegang te krijgen tot alle systemen en servers van het bedrijf.
Dit stelt de beveiligingsonderzoeker Gabor Szathmari, die de broncode van de website heeft onderzocht. In een blogpost beschrijft de onderzoeker zijn bevindingen. In slechts tien minuten wist de onderzoekers AWS tokens, private sleutels van SSL-certificaten en API-tokens boven water te krijgen. Daarnaast trof Szathmari database wachtwoorden aan in de broncode, die ook nog eens zeer zwak waren. Alle wachtwoorden bestonden uit slechts 5 tot 8 karakters.
Kwetsbare infrastructuur
“Gevoelige data opslaan in de broncode zorgt voor een veel kwetsbaardere infrastructuur. Inloggegevens voor databases en AWS tokens hebben het verder binnendringen van de systemen eenvoudiger gemaakt voor het Impact Team, wat uiteindelijk heeft geleid tot de grootschalige inbraak bij Ashley”, schrijft de onderzoeker.
De onderzoekers stelt dat twee belangrijke lessen kunnen worden getrokken uit de werkwijze van Ashley Madison:
- Sla nooit gevoelige data op in de broncode
- Gebruik nooit zwakke inloggegevens voor databases
Meer over
Lees ook
Staatsgeheim - boek van Maarten Oberman
Intro: Veertig jaar geleden kreeg ik van mijn vader de documentatie van het eerste naoorlogse crypto-apparaat. Hij had dat systeem in de jaren 1947 – 1949 gemaakt. De documentatie van dat systeem heb ik jarenlang bewaard, omdat hij had aangegeven dat het later erg interessant zou zijn. Het was indertijd Staatsgeheim en daardoor was er nooit over g1
Lookout neemt SaferPass over om de groeiende dreiging van identiteitsdiefstal aan te pakken
Securitybedrijf Lookout heeft SaferPass overgenomen, leverancier van een oplossing voor wachtwoordbeheer, voor zowel consumenten als bedrijven. Met de toevoeging van wachtwoordbeheer aan zijn securityoplossingen versterkt Lookout zijn missie uit om klantgegevens van zowel personen als bedrijven proactief te beschermen.
Een veilige omgeving door een alarmsysteem met meldkamer
In december 2021 stond het aantal geregistreerde inbraken op ruim 59.500. In de afgelopen jaren heeft het aantal inbraken grote schommelingen meegemaakt, maar het gemiddelde aantal inbraken is over de gehele periode van 2016 tot 2021 wél gedaald. De categorie waar de grootste afname in inbraken op te merken was, is woninginbraak.