Blog Jvanderlinde.net
Insights & meer

Bescherm jezelf tegen datalekken

In de sexbranche wordt dagelijks geadverteerd. Varierend van seksbedrijven tot aan particulieren die hun erotische diensten aanbieden tegen betaling. Dit vergt dat je bepaalde gegevens hebben moet en ook in moet vullen alvorens je deel kunt nemen op zulke websites. Recent werd hookers.nl gehacked, wegens een outdated forum dat niet tijdig was bijgewerkt. Daarnaast lagen alle wachtwoorden op straat, waarmee een groot deel nog steeds in een ouder formaat ge-encodeerd stond. Een Nederlands bedrijf koste het amper 3 dagen om ruim 50% van de wachtwoorden te kraken met gebruik van speciale chips.

 

Een beetje thuis guru die beschikking heeft over een serie van videokaarten in zijn PC heeft enorm veel rekenkracht tot zijn beschikking, en kan met de juiste tools ook zo'n bruteforce aanval op wachtwoorden uitvoeren. Het zal hier weliswaar wat langer duren dan 3 dagen, maar de middelen zijn er om wat normaal beschermd hoor te zijn terug te draaien. Het probleem met het erkennen van iemand's wachtwoord is dat deze vaak zonder enig besef 1 en hetzelfde wachtwoord op meerdere sites gebruikt. Ik weet als geen ander dat er een grote groep mensen is die voor vele zaken alles en hetzelfde wachtwoord gebruikt, en daar wordt het namelijk interessant voor een hacker.

 

Vergeet de onzin die rian van rijbroek hier en daar uitkraamt. Met iemands persoonlijk wachtwoord heb je in theorie toegang tot zijn of haar email account en kunt veel grotere schade uitvoeren dan alleen maar spammen van berichten. Er kan sprake zijn van identiteitsfraude of zelfs wachtwoord resets uitvoeren van verschillende websites daar waar een account op heerst. Voordat ik als internet ondernemer begon was ik al breeduit bezig met het kraken van verschillende websites op internet. Het was eerder een leerperiode voor mij wat mij vandaag de dag helpt in het beveiligen van websites en servers. Als je jezelf dus wilt beschermen tegen datalekken, lees dan verder.

 

Een datalek houdt in dat een cracker of een hacker de hand heeft weten te leggen op vaak databases met daarin een waslijst aan gebruikers. Zo'n lijst bevat vaak gebruikersnamen, email adressen, wachtwoorden dat weliswaar met enige beveiliging opgeslagen is maar ook forum berichten, prive berichten (verstuurd en ontvangen) en meer. Met die gegevens kan je in de regel iemand snel al profileren en aan de hand van een 06 nummer bijv, relatief eenvoudig uitzoeken waar hij of zij zich nog meer mee bezighoudt op het internet. Het kan ook gebruikt worden voor een doelgerichte aanval zoals hacken. Er zit best wel het e.a bij dus.

 

Als je dus als sexbedrijf of independent aan de slag gaat (wellicht ook voor klanten interessant), onthou deze eerste regel als eerst: prive van werk gescheiden houden. Als je voor je erotische activiteiten een apart email adres aanmaakt, wat 1-2-3 niet zo snel te herleiden valt naar jou als persoon dan zit je al op de juiste weg. Voor een email adres is altijd aan te raden een apart wachtwoord te gebruiken. De browser van Google Chrome heeft bijv. een wachtwoord manager dat voor jou wachtwoorden kan bedenken maar ook in kan vullen wanneer je het nodig hebt. Zo hoef je niet alles te noteren. Mensen die los willen staan van derden gebruiken geen wachtwoord managers.

 

Wanneer je op forums, advertentie websites en meer mee gaat delen vul je hier natuurlijk je aparte email adres als account in, en een wachtwoord dat niet gebruikt wordt met je email of andere zaken. De reden waarom je dit doet is wanneer er sprake is van een datalek, de kans dat je geraakt wordt hierdoor, zo goed als nul is, en wanneer je ineens persoonlijke email op je nieuwe email account krijgt met je bent gehacked maak nu xxxx bitcoins over, je ook kunt realiseren dat dit gebakken lucht is. Het komt vaak voor dat forums worden gehacked, en de mail database wordt misbruikt voor het versturen van spam met zoiets als ik heb je gezien erotische films kijken.

 

Wanneer je je diensten betaald op internet aan gaat bieden, dan is een prepaid toestel altijd uitkomst. Een prive mobiel kan je gekoppeld hebben op diensten zoals Google, Facebook of zelfs Twitter, en is het dankzij de wachtwoord reset functie van deze bedrijven, relatief makkelijk te ontdekken wat je prive email adres is. Nu snap je waarom het gebruiken van semi-fictieve gegevens zo belangrijk is en hoe je je identiteit beschermen kunt op het internet. Bij het bouwen van websites kwam ik met regelmaat ook webbouwers tegen die complete administratie en NAW gegevens van dames werkzaam in plain text opslaan in een karige SQL database......

 

Dit zijn dingen die echt niet meer kunnen. Ik beveilig websites niet alleen maar zorg ook dat deze administratie ten alle tijde behoort waar het hoort. In ieder geval niet openlijk achter internet meer. Vaak zie ik ook wordpress sites van andere sexbedrijven tegenkomen. Daarin wordt bijv. openlijk gevraagd naar dames. Niets mis mee. Maar alle entry's die geplaatst worden op de website (dus de daadwerkelijke sollicitatie) wordt dus ook opgeslagen in de database. Wordpress is gevoelig aan hacks, zeker als het niet aqedaat wordt beveiligd. Een dame die ruim een jaar terug wellicht ergens gesolliciteerd heeft kan vandaag de dag bij een inbraak nog last ondervinden.

 

Als ik een website bouw of in elkaar draai, hou ik altijd rekening met zekere dingen. Isolatie ten eerste. Dat het een niet bij het ander kan en dat als er sprake is van een inbraak (welke dat ook mag zijn) de schade beperkt blijft tot alleen datgeen en niet meer. Ik zie website bouwers een spaghetti van websites in elkaar draaien, soms zelfs 3 wordpress installaties in verschillende mappen naast elkaar om zo drie websites te draaien op 1 domein. Dit zijn dingen die echt amateuristisch in elkaar gezet zijn en waar een bedrijf zich ook niet aan wagen moet als data zo belangrijk is. Wordpress is naar mijn mening een absolute no-go als het komt op webwinkels.

 

Tja en wat betreft Hookers.nl. Jammer dan. Er zijn 10 manieren om Vbulletin goed te beschermen. Hookers.nl heeft geen goede technische mannetjes gehad laat staan dat er maatregelen zijn geweest om het te beveiligen. Als je openlijk adverteert met Forumsoftware: vBulletin®, versie 5.5.4, dan weet je dat het een kleine zoekopdracht betreft Vbulletin 5.5.4 Exploit zoeken ook niet zo lastig is. Er wordt grof geld betaald ook voor zero day exploits wat inhoudt dat het hier om nog niet gedichte lekken gaat. Als je een forum draait doe het dan goed. Feitje is dat een vroegere database van de website van kinky.nl ook op straat gelegen had.