Ook website supermarkten lekt e-mailadressen

Afbeelding: Dirk van Gerard Stolk | Licentie: CC BY-NC 2.0

Een website van de supermarktketens Dirk, Bas en Digros gaf door een slechte beveiliging toegang tot de e-mailadressen van abonnees van een nieuwsbrief.

Tweakers schrijft in Website Dirk, Bas en Digros laat e-mailadressen uitlekken:

De gemeenschappelijke website van de supermarktketens Dirk, Bas en Digros gaf per abuis toegang tot e-mailadressen van nieuwsbrief-abonnees. Via het lek kon bovendien toegang worden verkregen tot andere sites van dezelfde websitebouwer. Het gaat om de website Lekkerdoen.nl, de gezamenlijke website van Dirk, Bas en Digros. Via sql-injectie kon beveiligingsonderzoeker Ingratefully naar eigen zeggen in ieder geval 150.000 en mogelijk zelfs circa 318.000 e-mailadressen benaderen, hoewel er dubbele e-mailadressen tussen kunnen zitten. Volgens de bouwer van de website, het Hoornse bedrijf Montani, waren het er hooguit 50.000.

Ook logingegevens van het adminpaneel waren te benaderen. De wachtwoorden waren gehasht als mysql323 en waren daardoor eenvoudig te achterhalen; het md5-algoritme is al enige tijd achterhaald en via rainbow tables kunnen veel hashes aan plaintext-wachtwoorden worden gekoppeld.

Een van de achterhaalde accounts bleek bovendien van de websitebouwer. Dezelfde combinatie van gebruikersnaam en wachtwoord was ook gebruikt op andere websites van dezelfde maker, waardoor ook kon worden ingelogd op het Drupal-beheerpaneel van onder andere Fiets.com, Megategel.nl en Displaygigant.nl, maar ook op die van de site van bouwer Montani zelf. Daardoor konden onder andere bestanden worden geüpload. […]