De modellensite Starmaker is lek. Door dit lek kan iedereen vrij eenvoudig persoonlijke gegevens opvragen van de mensen in de database. Dat beweert de site Radio.NL op basis van een anonieme tip.
De site, inmiddels omgedoopt tot StarSteps, bevat een database met daarin mensen die de showbizz in willen (bijvoorbeeld als fotomodel). StarSteps fungeert hierin als intermediair. Na de aanmelding kan iedereen gevonden worden door de bezoekers.
Wie op de homepage naar een willekeurig persoon zoekt en daarna de url ietwat aanpast, zou op persoonsgegevens kunnen stuiten, meent de tipgever. Ook is een complete directory open met ingevoerde foto’s van kandidaten.
Database modellensite simpel te hacken
Duizenden persoonlijke gegevens van modellen van Starsteps.nl waren eenvoudig te bekijken en aan te passen via de website.
Voor het bekijken en te wijzigen hoefde je geen ervaren hacker te zijn. Door de url simpelweg aan te passen en het id-nummer van het model uit de oude url te kopieren, kon de bezoeker bij alle gegevens komen.
Hier stond ook de vertrouwelijke informatie bij, zoals het adres, het telefoonnummer en het e-mailadres. Door het veranderen van het nummer konden alle ruim achtduizend talenten worden geinspecteerd en waren deze gegevens zelfs aan te passen. Inmiddels is de server stopgezet en is het inbreken niet meer mogelijk.
“Jeetje, wat een ramp”, reageert directeur Sander Hamburger van Starsteps. “Halleluja, dit is echt heel vervelend. Ruim tachtig procent van de database bestaat uit meiden van achttien die er goed uitzien. We hebben al eens oneerbare voorstellen gekregen van bezoekers, dus ik hoop niet dat mensen de gegevens gaan gebruiken om de meiden te stalken.”
Er wordt op dit moment gewerkt aan de nieuwe beveiliging van de database. Hoe dit heeft kunnen gebeuren is nog niet duidelijk. “Wel is zeker dat er een domme fout is gemaakt en het verantwoordelijke productiebureau zal absoluut op het matje worden geroepen”, aldus Hamburger. Hamburger hoopt nog deze dag weer online te gaan met de nieuwe beveiliging.
De hack werd voor het eerst gepubliceerd op Radio.nl. De site beweert overigens ten onrechte dat Starsteps de site is achter het Yorin televisieprogramma Starmaker. De site heette eerst wel Starmaker, maar is van naam veranderd en heeft niets te maken met Yorin, aldus Hamburger.
Hieronder is te zien waar iedere belangstellende tot vrijdagochtend kon komen in de database. De persoonlijke informatie is door WebWereld opzettelijk onleesbaar gemaakt om de privacy te beschermen.
Onderstaande reacties waren te lezen op Webwereld
Wat een prutsers…
Ze maken ook gebruik van include bestanden met de extensie .inc (support.inc) die leesbaar is voor de hele wereld; ze hebben Directory Browsing aanstaan; wat ook heel prettig is, is dat je alle foto’s van de modellen in 1 oogopslag kan bekijken via http://www.starsteps.nl/php/photo/upload/.
Jammer dat er niet bij staat wie de site gemaakt heeft 🙂
Inderdaad een stelletje prutsers. Include files met een stel functies zijn te lezen. Of het kwaad kan? Ik denk het niet maar je maakt het wel een stuk makelijker zo. Ze hebben nu gewoon de database uitgezet
Michiel (Radio.nl): We zijn inderdaad de mist in gegaan met de melding dat Starsteps banden heeft met Starmaker. Deze melding op onze site klopte dus niet!
Inmiddels in de fout herstelt (de betreffende passage uit de tekst is verwijderd, en er staat nu onder dat het niet klopte).
Om volledig te zijn, dit hebben we op de site erbij gezet:
“Daarnaast bleek er een foutje geslopen te zijn in het artikel op deze site. StarSteps heeft, in tegenstelling tot datgene wij eerder meldden, geen enkele banden met Yorin, de HMG of het programma Starmaker. Het betreft hier een BV die de domeinnaam starmaker.nl (die rechtstreeks doorverwijst naar StarSteps.nl) al had voordat Yorin met het programma kwam.”
Kennelijk ontbreekt het aan de kennis qua beveiliging niet alleen bij het bureau welke de site heeft ontwikkeld, maar ook bij de webhost.
Alhoewel de database server cq verbinding met deze is gesloten om verdere ‘schade’ te voorkomen en de vroeger onbeveiligde /php/ directory beveiligd is door middel van een .htaccess file – waren de onderliggende directories tot op heden nog steeds gewoon aan te spreken (vb. http://www.starsteps.nl/php/portfolio/ ). Om 13.27 is dit pas aangepast. Apache configureren is ook een kunst.
Ze zijn wel wat aan het doen. Waarschijnlijk lezen ze ook webwereld 🙂 want bovenstaande dingen hebben ze veranderd.
De paniek is blijkbaar zo toegeslagen, dat ze werkelijk alle rechten voor onderliggende dir’s hebben geblokkeerd. Zelfs hun eigen website heeft geen rechten meer op bepaalde (zoek-)phpscripts uit te voeren.
Ja – en dat is maar goed ook. De beveiliging laat vaak te wensen over, zelfs bij grotere sites, terwijl vaak een goede structuur in de opzet van de site en enkele stappen mbt de configuratie van Apache al een grote sprong vooruit zijn en de kans op dit soort gaten vrijwel elimineren.
Als iemand perse binnen wil komen, dan zal dat toch wel lukken gezien geen systeem 100% fail-proof en safe is. Daar was in dit geval geen sprake van – des te meer vind ik de titel ‘…simpel te hacken’ ongepast. Er was geen sprake van welke vorm van beveiliging dan ook, alles lag gewoon open voor het blote oog. Het is verbazingwekkend dat dit uberhaupt nog voorkomt, zeker bij een site waar met persoonlijke data van de bezoekers/abonnees omgesprongen wordt. Ik kijk voortaan wel uit waar ik mijn gegevens invul.
Je inc files onleesbaar maken voor bezoekers? Gewoon in je .htaccess file dit donderen, of in apache conf zelf… lijkt mij niet zo moelijk. De site is blijkbaar echt door grote amateurs (de buurjongen?) gemaakt.
Warning: Can’t connect to local MySQL server through socket ‘/tmp/mysql.sock’ (61) in /usr/local/WWW/www.starsteps.nl/php/pass.php on line 18
Warning: MySQL Connection Failed: Can’t connect to local MySQL server through socket ‘/tmp/mysql.sock’ (61) in /usr/local/WWW/www.starsteps.nl/php/pass.php on line 18
could not connect.
En hoe moeilijk is het om op z’n minst een @ voor je mysql commando’s te zetten zodat je niet van die vieze errors krijgt? Tss… Anyways, ik begrijp dat dit frustrerend is voor de heer Hamburger en zijn organisatie, dus bij deze, succes!
