Hacker trekt klantendatabase Orange leeg

Hacker 'Unu' schrijft in een blogpost dat het gaat het om e-mailadressen, voor- en achternamen en wachtwoorden. De gegevens werden gekaapt door middel van een SQL-injectie in de website Orange.fr. Het lek kan verregaande gevolgen hebben voor de privacy van Franse klanten van Orange.

"Orange is zo cool... als ze de info's (sic.) van gebruikers delen", schrijft de grey hat hacker pesterig. Uit de screenshots die Unu publiceert blijkt dat de kwetsbare pagina de Mystery Photo portal is van de provider. De site draait op een Debian 4.0 server met MySQL 5.0.23, meldt Softpedia.

Teleurstellend

De hacker toont een screenshot als bewijs dat hij de administratieve account van de database heeft gehackt. Zowel de database als die account dragen de naam 'laphotomystere'. Het wachtwoord is door de hacker onleesbaar gemaakt. Daarnaast publiceert hacker Unu een screenshot met de details van de klant met het nummer 245.000. De gebruiker heet Yasmine, verdere informatie is vervaagd. Unu heeft Orange Frankrijk op de hoogte gesteld, maar nog geen reactie ontvangen.

Op zijn blog geeft Gunter Ollman, hoofd security strategie bij IBM Orange een veeg uit de pan. Hij vindt het teleurstellend dat de SQL-injectie mogelijk is terwijl de beveiliging bj Orange doorgaans goed is. "Ik kan alleen maar aannemen dat deze portal (zoals tegenwoordig steeds vaker voorkomt) ontworpen en ontwikkeld is door derden, en dat er niet de normale securitychecks zijn uitgevoerd."

Wachtwoord

De fout is nog niet opgelost en Ollman adviseert gebruikers van het portaal om hun wachtwoord direct aan te passen. Hacker Unu staat erom bekend de gehackte informatie niet vrij te geven, maar totdat het lek gedicht is kunnen kwaadwillenden mogelijk op dezelfde manier toegang krijgen tot de database.