nettime-nl: 184.000 Namen en wachtwoorden bij World Online gekraakt

[Marie-Jose Klaver <klaver@dds.nl>]

184.000 Namen en wachtwoorden bij World Online gekraakt

Beveiligingslek Internetaanbieder

Marie-José Klaver

ROTTERDAM, 6 JUNI. Als gevolg van een beveiligingslek bij Internetaanbieder
World Online in Vianen kunnen derden gemakkelijk toegang krijgen tot
persoonlijke gegevens van abonnees van deze provider. Een Internetgebruiker
ontdekte dat van ruim 184.000 klanten van World Online de gebruikersnaam en
het
wachtwoord zijn te achterhalen. Dit heeft tot gevolg dat alle elektronische
post en persoonlijke documenten van deze klanten van de provider toegankelijk
zijn voor onbevoegden.

Bovendien kunnen derden gegevens van World Onlinegebruikers wijzigen of
vernietigen. Ook kunnen onbevoegden nieuwe gebruikersnamen voor Internet
aanmaken die zij kunnen gebruiken zonder daarvoor te betalen.
World Online is volgens eigen zeggen met 158.000 particuliere en 6.000
zakelijke abonnees de grootste Internetaanbieder op de Nederlandse markt. In
totaal maken 260.000 Internetgebruikers gebruik van de diensten van World
Online.  

World Online wil geen commentaar geven op de bevindingen van de
Internetgebruiker. ,,Ons systeem is veilig'', aldus woordvoerder R. van der
Linden. 

Volgens R. van Hoboken van Consul Risk Management in Delft, een bedrijf dat
gespecialiseerd is in beveiliging van computernetwerken, is het systeem van
World Online ,,hartstikke lek''. Van Hoboken wijt de beveiligingsproblemen van
World Online aan slordigheid en onbekwaamheid. ,,Het gaat om oude fouten waar
iedere programmeur wel eens tegenaan is gelopen en die in alle handboeken
staan
vermeld. Zulke fouten zouden niet meer mogen voorkomen.'' 

World Online heeft volgens Van Hoboken vijf fouten ,,van de eerste orde''
gemaakt in de programma's op het computersysteem waarin de namen en
wachtwoorden van klanten worden bewaard. De "password file", het document
waarin de wachtwoorden staan, mag volgens de beveiligingsdeskundige niet
zomaar
kunnen worden opgevraagd. Verder wijst hij er op dat een bepaald programma zo
slecht in elkaar zit dat het zonder controle elk commando uitvoert dat wordt
opgegeven. Als gevolg daarvan kunnen derden allerlei privacygevoelige gegevens
opvragen.

R. Gonggrijp van het Internetbeveiligingsbedrijf ITSX in Amsterdam noemt de
beveiliging van World Online ,,volstrekt waardeloos''. De beveiligingsfouten
die World Online op zijn Internetsysteem maakt, zijn niet meer van deze tijd,
zegt Gonggrijp. ,,World Online heeft op het gebied van beveiliging echt een
groot probleem. Ik zou alle gebruikers van World Online aanraden om het
systeem
niet voor vertrouwelijke zaken te gebruiken.''

Volgens Van Hoboken kan het beveiligingslek bij World Online tot gevolg hebben
dat computerkrakers misleidende informatie op de website van World Online
plaatsen. Adressen van adverteerders zouden bijvoorbeeld veranderd kunnen
worden. De Internetgebruiker die het lek ontdekte, waarschuwt dat hackers ook
misbruik kunnen maken van financi<trema>le diensten op kosten van klanten van
World Online.

Het lek werd ontdekt door een Internetgebruiker die anoniem wil blijven, omdat
hij bang is dat World Online aangifte tegen hem doet wegens het overtreden van
de Wet computercriminaliteit. Volgens Van Hoboken is het niet zeker of het
testen van de beveiliging van World Online in strijd is met de Wet
computercriminaliteit. In de wet staat dat er sprake moet zijn van het
doorbreken van "enige beveiliging”. 

Wie via een rechtmatig verkregen Internetaccount op het computernetwerk
komt en
vervolgens ontdekt dat het systeem niet is beveiligd, maakt zich
waarschijnlijk
niet schuldig aan "computervredebreuk”. Volgens een onderzoek van het Centraal
Bureau voor de Statistiek (CBS) leidt de Wet computercriminaliteit hoogst
zelden tot een strafzaak. Sinds deze wet in 1993 van kracht werd, is er
volgens
het CBS nog niemand veroordeeld voor "computervredebreuk'.

Eind vorig jaar berichtten De Telegraaf en het Internettijdschrift Planet
Multimedia van KPN Telecom dat het computernetwerk van World Online onveilig
was, omdat de Internetaanbieder eenvoudig te raden wachtwoorden aan abonnees
toewees.

NRC Handelsblad, 6 juni 1998

------

Ruzie over beveiliging in Internet-wereld 

RIJSWIJK (ANP) - Internet-aanbieder World Online stapt naar de 
rechter na een voor hem uiterst negatieve publicatie zaterdag in 
NRC Handelsblad. World Online-woordvoerder R. van der Linden heeft 
dit zaterdag tegen het ANP gezegd. 
In het gewraakte artikel laat de krant een anonieme 
Internet-gebruiker aan het woord die zegt dat de beveiliging van 
World Online zeer te wensen overlaat. 
In de krant bevestigt R. van Hoboken van Consul Risk Managment 
die uitspraken: ,,Hartstikke lek.'' R. Gonggrijp van het 
Internet-beveiligingsbedrijf ITSX gaat zelfs nog een stapje verder: 
,,Waardeloos'' en ,,Ik zou alle gebruikers van World Online 
aanraden het systeem niet voor vertrouwelijke zaken te gebruiken''. 
Van der Linden gaat tegen beiden een rechtszaak aanspannen want 
hij noemt het zakelijk unfair om ,,je bedrijf ten koste van anderen 
via de media zo te adverteren''. Van der Linden heeft overigens nog 
nooit gehoord van Hoboken en Gonggrijp van de twee 
beveiligingsbedrijven Consul Risk en ITSX. Maar de twee kunnen 
volgens hem dit soort ongecontroleerde uitspraken niet straffeloos 
doen.   

06 jun 98, 16:05 © ANP Alle rechten voorbehouden 


--
* Verspreid via nettime-nl. Commercieel gebruik niet toegestaan zonder
* toestemming. <nettime-nl> is een gesloten en gemodereerde mailinglist
* over net-kritiek. Meer info: list@dds.nl met 'info nettime-nl' in de
* tekst v/d email. Archief: http://www.factory.org/nettime-nl. Contact:
* nettime-nl-owner@dds.nl. Int. editie: http://www.desk.nl/~nettime.