Pepper.nl: de eerste datingsite gebouwd met input van honderden singles. Voor veel van deze singles ging dit weekend een langgekoesterde wens in vervulling. Eindelijk weten ze wie er écht achter het online profiel schuil gaat…
… en op welk e-mailadres ze leden kunnen benaderen op het moment dat er niet op avances wordt gereageerd. En twijfelaars (is ie wel echt zo leuk als hij zich voordoet) kunnen op basis van de e-mailadressen eindelijk gedegen vooronderzoek doen alvorens te reageren op een contactverzoek. Een betere manier van online daten… dat was toch waar Pepper voor staat.
Cynisme
Vergeef mij mijn cynisme, maar toen ik gisteren het nieuws las was dit één van de eerste dingen die door mijn hoofd schoot. Om mij vervolgens lichtelijk op te winden over het feit dat een website met zo'n groot aantal persoonsprofielen niet zorgvuldiger met zijn beveiliging is omgegaan. Een eenvoudige website penetratietest is immers vaak al voldoende om te controleren of er kwetsbaarheden aanwezig zijn die misbruikt kunnen worden om deze gegevens te stelen. En richtlijnen zoals die van OWASP bieden toch ook voldoende houvast om een veilige website te ontwerpen en bouwen. Helaas gaat het de afgelopen tijd toch vaak mis.
Waar het bij Pepper.nl mis is gegaan blijft gissen. Vermoedelijk wist de aanvaller (of gewoon een creatief Pepper-lid, opzoek naar de vrouw van zijn dromen) misbruik te maken van een SQL injection-fout. Door via de fout een verzoek aan de database aan te passen kan de site dan worden overgehaald om in plaats van een overzicht met foto's, een overzicht met andere database gegevens te tonen, zoals nick, e- mailadres en wachtwoordhash.
Hyves en Facebook
Het feit dat er e-mailadressen zijn gepubliceerd is natuurlijk al een enorme inbreuk op de privacy van de leden van de datingsite. Niet iedereen loopt ermee te koop dat hij of zij zich op de site heeft ingeschreven. Maar met het publiceren van de lijst is dat deel van je privacy wel ineens verdwenen. Om nog maar niet te spreken over het feit dat leden met wie je écht geen contact meer wilt via je via je e-mailadres kunnen gaan benaderen of het adres zelfs kunnen gebruiken om je Hyves, Facebook of huisadres te achterhalen. Van anonimiteit is immers geen sprake meer en op basis van een uniek gegeven als het e-mailadres is op internet vanalles te vinden.
Voor de gedupeerden is het een meevaller dat de wachtwoorden in gehashte vorm zijn opgeslagen en niet eenvoudig naar het oorspronkelijke wachtwoord vertaald kunnen worden. Na enig testwerk blijkt dat, ondanks dat de wachtwoordhash de kenmerken van een eenvoudige MD5-checksum heeft, een bruteforce aanval op de hash niet direct tot succes leidt. Omdat internetters vaak eenvoudige wachtwoorden gebruiken, doet dat vermoeden dat de website de checksum heeft gebaseerd op het wachtwoord én een ander gegeven (een zgn. 'SALT'. Aangezien er in de gestolen gegevens meerdere dezelfde MD5-checksums voorkomen is er waarschijnlijk sprake van een statische SALT. Als de aanvallers geen toegang tot de website code hebben verkregen EN de ontwikkelaars de SALT voldoende willekeurig en krachtig hebben gemaakt betekent dat dat de wachtwoorden van de gebruikers niet direct gevaar lopen. Een geluk bij een ongeluk.
Hackers bedankt
Wat ik persoonlijk een interessante vraag vind is of deze kraak nou een goede of een slechte zaak is. Het posten van e-mailadressen is natuurlijk niet erg chique. De eigenaren krijgen mogelijk veel last van spam en daarnaast wordt hun persoonlijke levenssfeer op een vervelende manier aangetast. Tegelijkertijd is het gewoon een feit dat heel erg veel websites gewoon niet goed genoeg zijn beveiligd. Uit uitgevoerde audits en penetratietests komen in meer dan de helft van de gevallen serieuze verbeterpunten. Van dit soort kwetsbaarheden wordt door hackers die veel meer kwaad in de zin hebben dan groepen als Lulzsec en Antisec ook graag en veelvuldig misbruik van gemaakt. Extra awareness rondom website veiligheid kan dus geen kwaad. Maar voor de betrokkenen bij Pepper.nl wat het wel prettig geweest als zij hier niet de dupe van zouden zijn geworden. En voor Pepper? Die hebben in één klap nationale bekendheid. Als je nog niet zo groot bent is negatieve PR ook PR. Dus zodra de storm is gaan liggen is het op naar de honderdduizend leden. Hackers: bedankt!
Dit artikel lijkt vooral een nieuwsbericht, maar aan de linkjes te zien gaat het eerder om een verhulde advertentie, waarbij toevallig gebruik is gemaakt van een nieuwsfeit. Bijna alle links gaan naar het bedrijf van genoemde auteur. Iedereen mag zeggen wat ie daarvan vindt, of niet?