IEEE lekt wachtwoorden in platte tekst
Standaardeninstituut IEEE bewaart logingegevens van de site ieee.org in platte tekst op een publiek toegankelijke FTP-server. Een hacker ontdekte deze beveiligingsmisser en trekt aan de bel.
De Deense hacker Radu Dragusin heeft een analyse gemaakt van 100.000 login-gegevens van de website van het Institute of Electrical and Electronics Engineers (IEEE) die hij met kinderlijk gemak buitmaakte. Dragusin loste het probleem naar eigen zeggen op en meldde het bij de organisatie. De gegevens heeft hij vernietigd, maar niet voordat hij wat statistieken verzamelde.
Gerenommeerde bezoekers
De leden van de website zijn over het algemeen gespecialiseerde bezoekers zoals onderzoekers. De gegevens bevatten onder meer informatie over personeelsleden van Apple, Samsung, Google, IBM en Oracle. Maar de hacker ontdekte ook informatie van onderzoekers van NASA, Stanford University en andere gerenommeerde instituten.
“Het is vervelend dat deze informatie gelekt is en wie weet wie het te pakken heeft gekregen voor het probleem was opgelost", aldus de ethische hacker. Volgens hem moeten de getroffen gebruikers nu door IEEE geïnformeerd worden dat hun persoonlijke gegevens mogelijk uitgelekt zijn.
123456
Dragusin publiceerde de gegevens niet, maar maakte een uitgebreide analyse van wachtwoorden, gebruikersspreiding en de platforms van bezoekers. Zo wijzen de statistieken uit dat het inmiddels klassieke wachtwoord 123456 veruit het meest is gebruikt door mensen die een account hebben bij de site.