VRT verklapt per ongeluk inloggegevens
Wachtwoorden op het net door kopieerfout
23 januari 2008 | Pieterjan Van Leemputten
Door een vergissing verschenen gisteren enkele login-gegevens van de VRT online. De namen en wachtwoorden zijn normaal gezien bedoeld voor toegang tot het online bestandssysteem van de omroep, maar waren gewoon te bekijken op Deredactie.be. De fout is ondertussen opgelost, al was een klein deel van de site vanmorgen nog toegankelijk.
De misser raakte bekend via een reactie op ZDNet. Surfer Lode Vermeiren ontdekte de fout gisteren en plaatste een foto online. "Toen ik Deredactie.be bezocht, zag ik onderaan een stukje code staan waaruit je gebruikersnamen en wachtwoorden kunt afleiden. Een deel ging over VRT zelf, maar ook gegevens van Studio Brussel waren te bekijken." Vermeiren nam zelf contact op met de omroep en de meest cruciale gegevens werden al snel aangepast.
"Het gaat om een menselijke fout", zegt Koen Cornil, projectleider van Deredactie.be. "Bij het kopiëren van gegevens naar de HTML-pagina zijn die gegevens per ongeluk mee geselecteerd en verplaatst, waardoor ze korte tijd op de website te zien waren."
Cornil benadrukt dat de gegevens intussen zijn aangepast, al was een FTP-server tot vanmorgen nog steeds toegankelijk. Bij deze server slaagden we er zelfs in om bestanden toe te voegen of te bewerken. Volgens Cornil gaat het hier echter niet om de server van VRT zelf, maar om een server van Belgacom waarop filmpjes stonden die tijdens het testen van de site werden gebruikt.
Lees meer artikels over :
vrt, lek, ftp, deredactie
bron: ZDNet
15/04/2009 23:01:55
Origineel bericht van m 23/01/2008
Inderdaad, een schoolvoorbeeld van hoe amateurs te werk gaan...
Intriest wordt je daarvan!
15/04/2009 23:01:55
Origineel bericht van Pie 23/01/2008
Misschien moet ge eens leren lezen. Er staat dat er per ongeluk een stuk tekst teveel gekopieerd is, waar die gegevens toevallig instonden. Hoe stom iemand daarvoor moet zijn staat los van hun loginsysteem.
15/04/2009 23:01:55
Origineel bericht van Roel 23/01/2008
Je krijgt idd een mail met je nieuwe paswoord, maar in veel gevallen wordt deze mail ook verstuurd, samen met het versleutelen van het paswoord... Het is niet veilig idd, maar wilt niet altijd zeggen dat het paswoord onversleuteld opgeslagen zit.
15/04/2009 23:01:55
Origineel bericht van Gamer 23/01/2008
En gij moet leren nadenken. Het feit dat iemand daar VERSCHILLENDE userid+paswoord combinaties (maw accounts die niet van hem/haar waren) verkeerdelijk kon copy-pasten betekent simpelweg dat die persoon access had tot al die verschillende paswoorden. Bij een goed systeem (gebaseerd op een hash) kan niemand (zelfs geen sysadmin) aan de paswoorden omdat ze simpelweg niet in het systeem zitten, enkel de hash zit in het systeem en daarvan kan je per definitie het oorspronkelijk paswoord niet van afleiden.
Redelijk triestig hoe op nog zoveel plaatsen dergelijke simpele security basics nog niet toegepast worden.
15/04/2009 23:01:55
Origineel bericht van Amedee 23/01/2008
Enkele lijntjes uit de html-code van stubru.be:
Ik bedoel maar: /sites/all/modules/...
Kijk ook naar de links: allemaal /node/patati en /node/patata
Need I say more? 
15/04/2009 23:01:51
Origineel bericht van amateur 23/01/2008
Geen beledigingen aan het adres van de amateurs he! Ik kan het als amateur stukke beter met Drupal of een andere CMS.
15/04/2009 23:01:51
Origineel bericht van Jacky 23/01/2008
Nog een voorbeeld van amateurisme is simpelweg die hoofden van de redacteurs. Zo een witte halo rond hun hoofden, daarvoor moet je toch echt wel een totale Photoshop leek zijn!
15/04/2009 23:01:51
Origineel bericht van onderhond 23/01/2008
Sinds gisteren is deredactie ook ongelofelijk lomp om te lezen in Firefox. Door een of andere screw-up zit alle info van hun flashvideobalkje ook net daaronder met tekst en links.
Nieuwer is niet beter... Wat een geklungel!
15/04/2009 23:01:50
Origineel bericht van Bas 23/01/2008
ah jij hebt hetzelfde probleem met firefox. ik dacht al dat met het opkuisen van mijn pc te maken had (anti spyware, register etc.). Heb al gemerkt dat sommige websites na gebruik van Ashampoo Win optimizer niet meer werken.
15/04/2009 23:01:50
Origineel bericht van Pie 24/01/2008
Zucht. Ik heb ook websites gemaakt die paswoorden gecodeerd opslaagt etc, en ik heb op mijn pc ook de paswoorden ergens staan, want ik kan geen 97 verschillende paswoorden onthouden. Als ik die per ongeluk copy/past in de htmlcode is mijn site slecht gebouwd ofzo...
15/04/2009 23:01:50
Origineel bericht van Jefke 24/01/2008
Als ik StuBru.be wil bezoeken krijg ik een file download ter beschikking :s
Gaat daar goed...
15/04/2009 23:01:50
Origineel bericht van ruben 24/01/2008
En toch heeft hij gelijk, paswoorden zijn in een goed systeem nergens zomaar te vinden. Niet in de code, niet in de database. Enkel de md5 hash is opgeslaan.
En het kan zeker al niet dat paswoorden in een stuk code staan waar html-output gebeurt, dat is slordigheid tot en met!
Dit zou tenminste in een externe file moeten staan (een bestand met functies die over de hele site worden gebruikt).
15/04/2009 23:01:50
Origineel bericht van J-B 24/01/2008
Klopt. En dat is in drupal dan ook het geval.
Bij een standaard installatie vindt je enkel de md5 hash terug...
Maar zelfs Drupal kan niet vermijden dat iemand de wachtwoorden mee kopieert in de html file...
15/04/2009 23:01:50
Origineel bericht van fritz 24/01/2008
Er is de laatste tijd bij VRT altijd wel een probleem, en niet alleen met hun nieuwste site. Tijdens de nieuwsuitzendingen loopt er elke dag minstens 1 ding fout. Personen lopen door het beeld, het verkeerde filmpje start of er start helemaal niets, men vergeet de klank in te schakelen, etc.
Gelukkig hebben ze nieuwe decors, want de voorgaande lagen onder een vingerdikke laag stof. Dat is enige voordeel van tv te kijken op een groot plat scherm.
15/04/2009 23:01:49
Origineel bericht van k_a_lf 25/01/2008
daar gaat het dus net om he... Bij een deftige site, zeker van de grootte en met een naam als die van VRT, zou het gewoon niet mogen dat die wachtwoorden opgeslagen staan, eender waar... Als je jezelf professioneel webdevelopper durft te noemen en dat doet voor beroep, DAN spreek je inderdaar over een slechte site want echt moeilijk is dat niet in te bouwen, werken met een hash. Ik zou er ook niet mee kunnen lachen als de webmaster, websitebuilder, serveronderhouder,... van eender welke site mijn paswoord van die site onder ogen zou kunnen krijgen want voor bepaalde sites is dat wel hetzelfde...
15/04/2009 23:01:49
Origineel bericht van Gamer 25/01/2008
Vraag me af wat het ergst is: dat die paswoorden gepubliceerd zijn, of dat die paswoorden dus blijkbaar ergens in cleartext beschikbaar zijn. Bij elk goed paswoord-systeem zijn de paswoorden van de gebruikers NERGENS te zien. Men gebruikt een one-way hashfunctie om te beslissen of bij inloggen het paswoord correct is. Gebeurt nog veel te vaak, bvb als ik ergens mijn paswoord wijzig en ik vervolgens een mail van de website/winkel krijg met daarin mijn nieuwe paswoord!
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
