Lek in cms was aanleiding wachtwoordwijziging SIDN
Gepubliceerd: Donderdag 26 april 2007
Auteur: Evan Schaafsma
Het besluit van de SIDN om woensdag de wachtwoorden van domeinregistreerders te wijzigen, was ingegeven door een kwetsbaarheid in het cms.
De Stichting Internetdomeinregistratie Nederland (SIDN) verklaart donderdag in een e-mail aan de domeinregistreerders dat het door een organisatie werd gewezen op een kwetsbaarheid in het content management systeem van de site, waardoor 'versleutelde wachtwoorden voor de deelnemerssite toegankelijk waren'. De SIDN heeft de leverancier van het cms de kwetsbaarheid laten verhelpen en een onderzoek ingesteld naar de risico's.
Uit het onderzoek bleek dat er 'geen onregelmatigheden hebben plaatsgevonden'. Toch besloot de organisatie alle wachtwoorden van registrars te deactiveren, omdat veel van hen hetzelfde wachtwoord gebruiken voor het domeinregistatiesysteem DRS4.
De SIDN vroeg de 2200 registrars, hostingbedrijven en isp's, woensdag hun wachtwoord zo snel mogelijk te wijzigen, omdat de oude wachtwoorden om 17:00 uur gedeactiveerd werden. Volgens de stichting was zo'n waarschuwing op korte termijn noodzakelijk om risico's te vermijden.
De oude wachtwoorden zijn inmiddels niet meer geldig. Nieuwe wachtwoorden kunnen voorlopig nog aangemaakt worden. Hoeveel domeinregistreerders dit al gedaan hebben, is niet bekend.
Tevreden
SIDN-directeur Roelof Meijer is tevreden over het verloop van de operatie. "Het merendeel van de domeinregistreerders heeft inmiddels het wachtwoord gewijzigd. We hebben wel wat vragen gekregen, maar weinig klachten", aldus Meijer.
Deelnemers die nog met hun oude wachtwoord proberen in te loggen worden automatisch doorgestuurd naar een pagina waarop het wachtwoord gewijzigd kan worden. Volgens Meijer is deze methode voor het wijzigen van wachtwoorden echter 'niet ideaal' en zal dit 'op korte termijn' niet meer mogelijk zijn. Om een nieuw wachtwoord te bemachtigen, kunnen deelnemers dan contact opnemen met de SIDN.
Meijer wil niet aangeven in welk cms de kwetsbaarheid zich bevond, of welke organisatie hem op het lek wees. Wel wil hij toelichten dat de kwetsbaarheid bestond uit een url die gemanipuleerd kon worden, waardoor de wachtwoordenlijst te benaderen was.
