Opnieuw is de database van een Nederlandse website gekraakt en hebben de hackers alle gegevens publiek online geplaatst. Hackers van het los-vaste collectief Anonymous hebben de website van de Nederlandse Politiebond gekraakt en de volledige database op de website PasteBin gezet, dat tipt de anonieme hacker 'Goo' aan Webwereld.

Alle gebruikersnamen bekend

Op die manier zijn alle gebruikersnamen voor de website van deze vakbond bekend. Gelukkig voor de gebruikers lijken deze gekoppeld aan het lidmaatschapsnummer. De inlognamen bestaan enkel uit cijfers waardoor deze niet direct te koppelen zijn aan personen. De gelekte wachtwoorden in de database zijn nog versleuteld met MD5.

Toch blijken deze wachtwoorden, zeker met behulp van rainbow tables, vrij eenvoudig te kraken waarop een kwaadwillende op eenvoudige wijze toegang kan krijgen tot bijna alle accounts van de vakbond. Eenmaal ingelogd krijgt een inbreker wel toegang tot profielgegevens.

Verouderde MySQL-versie

Een andere gestolen en gepubliceerde database geeft slechts een lijst van medewerkers zonder overige informatie. Wel zijn hier direct de volledige namen van alle medewerkers van de Politiebond te zien, dit kan zou handig kunnen zijn voor social engineering. In de lijst van medewerkers staan overigens ook wat onzin zoals bijvoorbeeld 'Keine Ahnung'.

Webwerelds tipgever laat weten dat de databaseserver van de Nederlandse Politiebond een verouderde versie van MySQL draaide. Mede daardoor wist het hackersverbond de server van de vakbond te kraken. De groep deed dat met behulp van een sql-injectie.

Zo'n aanval met sql-injectie is eenvoudig mogelijk als de gebruikersinvoer niet wordt gecontroleerd op ongewenste code. Door een extra sql-commando in een invulveld zoals gebruikersnaam in te voeren, kunnen alle sql-commando's worden uitgevoerd.

'Niet serieus'

In een eerste reactie laat een zegsman de Nederlandse Politiebond weten dat de hack volgens de technici van de bond niet zo serieus is “de wachtwoorden zijn immers gecodeerd", zo stelt hij. Nadat hij van Webwereld hoort dat een aantal eenvoudige wachtwoorden met een druk op de knop gekraakt is belooft hij toch dat de bond serieus naar de hack zal kijken.

“We gaan er in ieder geval voor zorgen dat zoiets niet meer gebeurt", zegt de woordvoerder. Hij vindt het vooral vervelend omdat veel mensen wachtwoorden toch hergebruiken. Dat de vakbond als inlognaam een anoniem nummer gebruikt is daarbij een flinke meevaller. Cybercriminelen zullen dan een extra stap moeten zetten om een e-mailadres aan een wachtwoord te koppelen.

Update 12:06: Een tweede anonieme tipgever laat Webwereld dinsdagavond laat weten dat hij zonder enige moeite 614 van de 773 wachtwoorden in de gelekte database heeft weten te kraken. Deze tipgever, die geen lid is van Anonymous en ook geen hacker genoemd wil worden, heeft de gegevens online geplaatst.

In afwachting van een oplossing voor het probleem heeft de Nederlandse Politiebond inmiddels haar hele website offline gehaald.