Gepubliceerd: Maandag 4 mei 2009
Het Dagblad van het Noorden heeft per ongeluk zo'n 10.000 e-mailadressen van zijn lezers gelekt. Het adressenbestand stond onbeveiligd online.
Toon volledig artikel
is een hiaat ontstaan in de beveiliging van een tekstbestand met e-mailadressen.
Waarom staat er een tekstbestand met mailadressen op die webserver?
Waarom staan die dingen niet gewoon in een database, waar ze horen, een server dieper in het netwerk?
Pruters.
Waarom staat er een tekstbestand met mailadressen op die webserver?
Dat staat duidelijk in het artikel: door een domme fout.
Het zijn niet zo'n 10.000 adressen, het zijn 32.781 unieke adressen om precies te zijn.
Overigens vind ik "een domme fout" nog wel zachtjes uitgedrukt. Het is gewoon een blunder in het ontwerp van Copernica. Een bestand met dergelijke informatie hoort helemaal niet in een map te staan waar je vanaf het web bij kan, beveiligd of niet. Zoiets hoort thuis in een database en/of buiten de webroot, waarvan je zeker weet dat niemand er eenvoudig bij kan komen.
HuHu - FOK!
Geen idee waarom jullie tot een ander aantal komen. Vanochtend kreeg ik de submit van een user en heb toen direct het bestand opgeslagen. Daarna is pas het balletje gaan rollen qua DvhN inlichten en de berichten op FOK! plaatsen.
Ik heb alle adressen geïmporteerd in een MySQL database, met de eis dat de mailadressen uniek zijn. Van de 35.708 adressen hield ik er toen nog 32.781 over.
Ik had nog een tooltje gemaakt waarmee je kon controleren of je adres in het betreffende bestand stond, maar dat hebben we op verzoek van DvhN offline gehaald.
Dan is het bestand dat in de cache staat niet volledig denk ik. Zou je jouw versie willen mailen?
lessers@webwereld.nl
De versie in Google Cache is zeker niet volledig, zoveel slaat Google blijkbaar niet op. Dat is ook eenvoudig te zien, het eindigt namelijk met het volgende: harmkuper@hetne
Het is duidelijk dat daar hetnet.nl moet staan en dat het bestand dus afgekapt is.
Ik kan je het bestand natuurlijk niet zomaar sturen, dat zou niet netjes zijn. Met Henk Blanken hebben we afgesproken niets te doen met die adressen. Je kunt me eventueel mailen op huhu@fok.nl voor meer informatie als je wilt.
Dat afgekapte adres heb ik ook gezien. Ik begrijp dat je het niet zomaar stuurt. Alleen is het nu voor mij onmogelijk om te controleren of het waar is wat je zegt. Maar bedankt voor je hulp.
Ik heb je reactie even toegevoegd aan het artikel.
Mjah... het is natuurlijk sowieso lastig te controleren, aangezien het originele bestand offline is :P. Ik kan je ook een bestand met nog veel meer of minder adressen sturen, afhankelijk van hoeveel je er wilt hebben. Het is toch niet meer te bewijzen dat het bij DvhN vandaan kwam, aangezien het offline is.
De enige bronnen zijn DvhN zelf (die niets zal zeggen), FOK! (die het originele bestand heeft) en de Google Cache (die afgekapt is).
In iedergeval ben ik blij dat bedrijven op de huid worden gezeten om meer te doen aan beveiliging. Ook nu weer is het Dagblad van het Noorden zich er van bewust dat dit niet de bedoeling is. Meer en meer gegevens van ons allen komt online te staan en de beveiging is nog lang niet op het niveau waar het wezen moet. Maar bewustwording is tenminste iets....
We leven in 2009. Dit soort dingen zijn geen "domme fout" of "per ongeluk" meer. Het is het gevolg van het keer op keer niet de moeite willen nemen om professionals in de arm te nemen.
Let wel, ik schrijf "moeite nemen", niet "geld uitgeven", want de grootste beunhazen zijn vaak wel goed in hun diensten duur verkopen. Je moet wat moeite doen om het kaf van het koren te scheiden, ook als het om iets 'engs' als ICT gaat.
Daarvoor hoef je niet eens al te veel van ICT te weten. Gewoon contractueel vastleggen wat de consequenties voor de leverancier zijn als dit soort incidenten zich voordoen. Dan zoeken de beunhazen vanzelf dekking, de oplichters zeggen overal met een stalen gezicht "ja" tegen, en alleen de echte professionals zullen je precies kunnen vertellen hoe veel ze wel en niet kunnen garanderen en waarom.
Als zo'n bestand door google gevonden is moet er toch wel een link naartoe zijn? Of hadden ze directoryindex niet uit staan?
Volgens google stond de directoryindex ooit aan (moet er nog steeds een link zijn naar de directory), gezien de oorspronkelijke content is dat ook niet erg.
Maar dat staat los van het feit dat je dit soort gegevens niet zonder ook maar de minste vorm van authenticatie beschikbaar moet stellen.
Een simpele htaccess op basis van ip is al een begin.
knip en plakwerk :)
Persoonlijk zou ik het een zeer goed idee vinden als er een vast schadebedrag in de wet zou komen te staan: een persoonsgegeven kost 100 euro. Publiceer je per abuis mijn naam, dan krijg ik 100 euro van je. Komt een stick met 100.000 naam / adres / woonplaats-records op straat, dan is dat dus een schadepost van 30.000.000 euro voor het bedrijf. Dat zou wel een stimulans moeten zijn om die stick te versleutelen.
Arnoud Engelfriet
ICT-jurist
http://www.security.nl/artikel/28496/1/Juridische_vraag%3A_Wat_als_mijn_data_op_straat_
OEFF
Ik werk voor Copernica BV en ik wil een mogelijk misverstand uit de wereld helpen. Deze blunder is niet het gevolg van een fout in onze software of een blunder van een van onze medewerkers.
Het Dagblad voor het Noorden maakt geheel zelfstandig gebruik van Copernica Marketing Software voor het uitvoeren van marketingcampagnes - dat klopt - maar de website en/of webservers van het dagblad worden niet door Copernica beheerd. Het bestand is dan ook niet door Copernica daar geplaatst.
De enige reden waarom Copernica hiermee wordt geassocieerd, is omdat het bestand de naam 'copernica.txt' heeft meegekregen. Vermoedelijk was dit een bestand met adressen dat nog in onze applicatie moest worden ingevoerd, maar dat door een onhandigheid en geheel buiten onze invloed om in een algemeen toegankelijke directory van hun webserver terecht is gekomen.
Kortom, de fout lag niet bij Copernica.
Dus wanneer ik het goed begrijp staat je mailadres er niet tussen wanneer je geen abbo op de nieuwsbrief hebt ?
Volgens mij staat je adres er tussen als je bent geregistreerd op de website van DvhN en/of meedoet aan de Formule 1 manager van DvhN.
Als je bent geregistreerd, maar je hebt je afgemeld voor de nieuwsbrief stond je wel in de lijst. Er stond dan echter achter je adres aangegeven dat je wel/geen nieuwsbrief wilde ontvangen.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
