Sql-lek Nedgame zorgt ervoor dat klantgegevens op te vragen waren

http://playsense.nl/images/file/img_527a5d0530457.jpg

De welbekende gameswinkel van Nederland, Nedgame, heeft wat problemen gehad wat betreft de beveiliging met hun website. Door een sql-lek in de webshop liggen nu de klantgegevens van ruim 123.000 mensen op straat, deze waren namelijk te downloaden vanaf de website. Dit meldt techwebsite Tweakers.net vandaag op haar site, zij hebben dit vernomen via een anonieme bron.

De kwetsbaarheid van de website kon misbruikt worden om gebruikersnamen, adresgegevens, telefoonnummers en slecht versleutelde wachtwoorden te downloaden uit het klantenbestand van Nedgame. Het ging hier volgens Tweakers om een sql-injectie, waarbij men eigen tekst in een sql-query kan plaatsen om zo commando’s te versturen naar de database, met resultaat. Dit soort injecties zijn makkelijk te voorkomen, zo meldt Tweakers.

De bron meldde het beveiligingsprobleem via de nieuwe Nederlandse klokkenluiderssite Publeaks, waar je documenten vertrouwelijk en anoniem naar de media kunt lekken. Tweakers heeft vervolgens contact opgenomen met Nedgame en het lek werd al snel binnen slechts een uur gedicht, hoe lang het lek uiteindelijk open heeft gestaan is onbekend.

De wachtwoorden waren slecht beveiligd, namelijk met enkel en alleen een MD5-algoritme, zonder salt. Salt is een extra waarde die wordt toegevoegd aan een wachtwoord in een sql-database, zoals op PSX-Sense ook wordt gedaan. Dit zorgt ervoor dat de wachtwoorden moeilijker te kraken zijn, met enkel en alleen een MD5-beveiliging is het redelijk simpel om wachtwoorden om te zetten naar leesbare en bruikbare tekst.

Of er misbruik gemaakt is van het lek weet men niet, maar Niels Thomassen, eigenaar van Nedgame, zegt dat men er van uitgaat dat dit niet is gebeurd. Hij beseft zich wel dat het niet uit te sluiten valt en men overweegt nog of uit voorzorg de wachtwoorden van alle gebruikers worden gereset.

  1. 178.118.70..xxx's avatar

    sloebers

    0
  2. User  avatar
    610 XP

    ik ben daar klant, hopelijk zijn mijn gegevens nog veilig.

    0
  3. User  avatar
    1157 XP

    Hopelijk ligt mijn preorder niet op straat 😉

    0
  4. User  avatar
    848 XP

    “en men overweegt nog of uit voorzorg de wachtwoorden van alle gebruikers worden gereset.”

    Zou ik maar doen, straks iedereen zijn pre order kwijt.

    0
  5. 82.73.48..xxx's avatar

    wat een dombo bij nedgame zeg straks mijn gegevens op straat

    0
  6. User  avatar
    1793 XP

    Ik wist niet dat psx sense de basis van versleutelen kende 😛

    0
  7. User  avatar
    1118 XP

    @Straatveger: als ik jou was zou ik snel ff je Password verranderen. 🙂

    0
  8. Naam…'s avatar

    Sukkels. Stelletje amateurs! !

    0
  9. 80.56.189..xxx's avatar

    zozo ze weten dus precies hoeveel en welke games ik daar gekocht heb.
    nou ik hoop dat ze er veel plezier van hebben. lekker interessant om te weten ook.
    gelukkig heb ik verder geen account daar ofzo, dus wachtwoorden hebben ze niet van mij.

    ik vind trouwens dat internet fraude heel zwaar bestraft moet worden wereldwijd. vooral het stelen van wachtwoorden moeten ze zeer zware straffen geven! en BVB niet alleen geld straffen, maar ook gewoon de cel in! voor elk wachtwoord dat ze kraken gewoon een maand celstraf rekenen plus een geldboete van 1500 euro. lui die dan meerdere wachtwoorden stelen zitten dan al gauw hun hele leven achter de tralies! opgeruimd staat netjes!

    0
  10. 77.163.49..xxx's avatar

    focked op al is dalijk je PS4 bij een of andere kut hacker

    0
  11. User  avatar
    20030 XP

    @R*forever: Natuurlijk, site is in-house ontwikkeld verder ook dus dat moeten we weten.

    0
  12. User  avatar
    9970 XP

    Meteen mee gegevens even me gegevens nagekeken en wachtwoord veranderd
    Je weet maar nooit

    0
  13. User  avatar
    829 XP

    Knullig en slecht. SQL-injecties bestonden al toen Mozes z’n tien geboden in een SQL database zette.

    0
  14. User  avatar
    1793 XP

    @M4GN3T:

    I keep that in mind 😀

    0
  15. User  avatar
    4682 XP

    Mooi dan ze hebben ook mijn gegevens… kwam af en toe langs in Apeldoorn. Best wel leuk om te weten is dat de eigenaar is begonnen met een kraam 2de hands games op de markt.. tenminste dat vertelde een vriend van hem. Deze vriend had zelf ook in mijn woonplaats een game shop overgenomen… maar was al snel weer met de noorderzon vertrokken ‘nog bedankt daarvoor Leroy/Lierroy’.

    0
  16. User  avatar
    1042 XP

    Hahahah kapot slecht

    0
  17. User  avatar
    239 XP

    @Crusader: Oorspronkelijk waren het er ook 15, maar door de hack toentertijd zijn er 5 verloren gegaan!

    0
  18. 82.217.91..xxx's avatar

    @Morticuz:

    ik heb een bon+ aanbetaling van ze dus als er geen Ps4 is mogen ze mij compenseren, als er geen Ps4 is 29Nov , maar ik ben de niet bang voor het was een lek in de gegevens dus maak mij geen zorgen ,

    0
  19. User  avatar
    829 XP

    @Squidward: haha, precies!! 🙂

    0
  20. 77.170.208..xxx's avatar

    Nedgame ?? ik ken alleen Game Mania en Zap-games en Gameplaza.

    0