http://www.psx-sense.nl/images/file/img_527a5d0530457.jpg

De welbekende gameswinkel van Nederland, Nedgame, heeft wat problemen gehad wat betreft de beveiliging met hun website. Door een sql-lek in de webshop liggen nu de klantgegevens van ruim 123.000 mensen op straat, deze waren namelijk te downloaden vanaf de website. Dit meldt techwebsite Tweakers.net vandaag op haar site, zij hebben dit vernomen via een anonieme bron.

De kwetsbaarheid van de website kon misbruikt worden om gebruikersnamen, adresgegevens, telefoonnummers en slecht versleutelde wachtwoorden te downloaden uit het klantenbestand van Nedgame. Het ging hier volgens Tweakers om een sql-injectie, waarbij men eigen tekst in een sql-query kan plaatsen om zo commando’s te versturen naar de database, met resultaat. Dit soort injecties zijn makkelijk te voorkomen, zo meldt Tweakers.

De bron meldde het beveiligingsprobleem via de nieuwe Nederlandse klokkenluiderssite Publeaks, waar je documenten vertrouwelijk en anoniem naar de media kunt lekken. Tweakers heeft vervolgens contact opgenomen met Nedgame en het lek werd al snel binnen slechts een uur gedicht, hoe lang het lek uiteindelijk open heeft gestaan is onbekend.

De wachtwoorden waren slecht beveiligd, namelijk met enkel en alleen een MD5-algoritme, zonder salt. Salt is een extra waarde die wordt toegevoegd aan een wachtwoord in een sql-database, zoals op PSX-Sense ook wordt gedaan. Dit zorgt ervoor dat de wachtwoorden moeilijker te kraken zijn, met enkel en alleen een MD5-beveiliging is het redelijk simpel om wachtwoorden om te zetten naar leesbare en bruikbare tekst.

Of er misbruik gemaakt is van het lek weet men niet, maar Niels Thomassen, eigenaar van Nedgame, zegt dat men er van uitgaat dat dit niet is gebeurd. Hij beseft zich wel dat het niet uit te sluiten valt en men overweegt nog of uit voorzorg de wachtwoorden van alle gebruikers worden gereset.