Sql-lek Nedgame zorgt ervoor dat klantgegevens op te vragen waren

http://img.psx-sense.nl/images/file/img_527a5d0530457.jpg

De welbekende gameswinkel van Nederland, Nedgame, heeft wat problemen gehad wat betreft de beveiliging met hun website. Door een sql-lek in de webshop liggen nu de klantgegevens van ruim 123.000 mensen op straat, deze waren namelijk te downloaden vanaf de website. Dit meldt techwebsite Tweakers.net vandaag op haar site, zij hebben dit vernomen via een anonieme bron.

De kwetsbaarheid van de website kon misbruikt worden om gebruikersnamen, adresgegevens, telefoonnummers en slecht versleutelde wachtwoorden te downloaden uit het klantenbestand van Nedgame. Het ging hier volgens Tweakers om een sql-injectie, waarbij men eigen tekst in een sql-query kan plaatsen om zo commando’s te versturen naar de database, met resultaat. Dit soort injecties zijn makkelijk te voorkomen, zo meldt Tweakers.

De bron meldde het beveiligingsprobleem via de nieuwe Nederlandse klokkenluiderssite Publeaks, waar je documenten vertrouwelijk en anoniem naar de media kunt lekken. Tweakers heeft vervolgens contact opgenomen met Nedgame en het lek werd al snel binnen slechts een uur gedicht, hoe lang het lek uiteindelijk open heeft gestaan is onbekend.

De wachtwoorden waren slecht beveiligd, namelijk met enkel en alleen een MD5-algoritme, zonder salt. Salt is een extra waarde die wordt toegevoegd aan een wachtwoord in een sql-database, zoals op PSX-Sense ook wordt gedaan. Dit zorgt ervoor dat de wachtwoorden moeilijker te kraken zijn, met enkel en alleen een MD5-beveiliging is het redelijk simpel om wachtwoorden om te zetten naar leesbare en bruikbare tekst.

Of er misbruik gemaakt is van het lek weet men niet, maar Niels Thomassen, eigenaar van Nedgame, zegt dat men er van uitgaat dat dit niet is gebeurd. Hij beseft zich wel dat het niet uit te sluiten valt en men overweegt nog of uit voorzorg de wachtwoorden van alle gebruikers worden gereset.

  1. Anoniem -   
    178.118.70..xxx's avatar

    sloebers

  2.    459 XP
    Straatveger's avatar

    ik ben daar klant, hopelijk zijn mijn gegevens nog veilig.

  3.    1024 XP
    chris65's avatar

    Hopelijk ligt mijn preorder niet op straat ๐Ÿ˜‰

  4.    831 XP
    Morticuz's avatar

    “en men overweegt nog of uit voorzorg de wachtwoorden van alle gebruikers worden gereset.”

    Zou ik maar doen, straks iedereen zijn pre order kwijt.

  5. Anoniem -   
    82.73.48..xxx's avatar

    wat een dombo bij nedgame zeg straks mijn gegevens op straat

  6.    1812 XP
    R*forever's avatar

    Ik wist niet dat psx sense de basis van versleutelen kende ๐Ÿ˜›

  7.    1121 XP
    digitalj8's avatar

    @Straatveger: als ik jou was zou ik snel ff je Password verranderen. ๐Ÿ™‚

  8. Anoniem -   
    Naam…'s avatar

    Sukkels. Stelletje amateurs! !

  9. Anoniem -   
    80.56.189..xxx's avatar

    zozo ze weten dus precies hoeveel en welke games ik daar gekocht heb.
    nou ik hoop dat ze er veel plezier van hebben. lekker interessant om te weten ook.
    gelukkig heb ik verder geen account daar ofzo, dus wachtwoorden hebben ze niet van mij.

    ik vind trouwens dat internet fraude heel zwaar bestraft moet worden wereldwijd. vooral het stelen van wachtwoorden moeten ze zeer zware straffen geven! en BVB niet alleen geld straffen, maar ook gewoon de cel in! voor elk wachtwoord dat ze kraken gewoon een maand celstraf rekenen plus een geldboete van 1500 euro. lui die dan meerdere wachtwoorden stelen zitten dan al gauw hun hele leven achter de tralies! opgeruimd staat netjes!

  10. Anoniem -   
    77.163.49..xxx's avatar

    focked op al is dalijk je PS4 bij een of andere kut hacker

  11. crew Management -    4205 XP
    M4GN3T's avatar

    @R*forever: Natuurlijk, site is in-house ontwikkeld verder ook dus dat moeten we weten.

  12.    5054 XP
    7th-son's avatar

    Meteen mee gegevens even me gegevens nagekeken en wachtwoord veranderd
    Je weet maar nooit

  13.    486 XP
    Crusader's avatar

    Knullig en slecht. SQL-injecties bestonden al toen Mozes z’n tien geboden in een SQL database zette.

  14.    1812 XP
    R*forever's avatar

    @M4GN3T:

    I keep that in mind ๐Ÿ˜€

  15.    4528 XP
    ps3dennis's avatar

    Mooi dan ze hebben ook mijn gegevens… kwam af en toe langs in Apeldoorn. Best wel leuk om te weten is dat de eigenaar is begonnen met een kraam 2de hands games op de markt.. tenminste dat vertelde een vriend van hem. Deze vriend had zelf ook in mijn woonplaats een game shop overgenomen… maar was al snel weer met de noorderzon vertrokken ‘nog bedankt daarvoor Leroy/Lierroy’.

  16.    1063 XP
    SkySurprise's avatar

    Hahahah kapot slecht

  17.    234 XP
    Squidward's avatar

    @Crusader: Oorspronkelijk waren het er ook 15, maar door de hack toentertijd zijn er 5 verloren gegaan!

  18. Anoniem -   
    82.217.91..xxx's avatar

    @Morticuz:

    ik heb een bon+ aanbetaling van ze dus als er geen Ps4 is mogen ze mij compenseren, als er geen Ps4 is 29Nov , maar ik ben de niet bang voor het was een lek in de gegevens dus maak mij geen zorgen ,

  19.    486 XP
    Crusader's avatar

    @Squidward: haha, precies!! ๐Ÿ™‚

  20. Anoniem -   
    77.170.208..xxx's avatar

    Nedgame ?? ik ken alleen Game Mania en Zap-games en Gameplaza.