Met Mijn Mond Vol Tanden

Ik werd laatst geconfronteerd met mijn Skype die al mijn contacten met een Baidu link had gespamd. Ik weet niet of jullie veel op Baidu rondhangen maar ik alleszins niet. En toch waren er mensen die zich afvroegen of het de bedoeling was dat ze op die link gingen klikken. Niet dus.

Shout out to Herman en Hans om er mij op aan te spreken, ik zou het zelf pas gemerkt hebben toen ik de volgende keer inlogde op Skype (iets wat ik niet zo vaak doe, en ik klik er zelf al niet op vreemde links). Herman verwees me dra door naar zijn nog maar verse blogpost over cybersecurity. Die post verwijst naar dezelfde website als die die Hans mij had doorgestuurd: https://haveibeenpwned.com/. Eventjes mijn emailadres ingegeven en wat bleek: ik was “enkel” “compromised” in de DropBox en LinkedIn hacks van 2012. Die hebben beide iedereen verplicht van een nieuw wachtwoord in te geven.

Bij Skype/Microsoft gebeurt iets gelijkaardig: ze laten je account een nieuw wachtwoord geven en je nog eens linken met een Microsoft account + je kan magischerwijze opeens zien vanwaar je allemaal ingelogd hebt. In mijn geval: mijn account zat opeens in Oekraïene. Zo niet he mannekes!

Maar dus: die befaamde 2-factor authentication krijg je niet zomaar. Je zou blijkbaar nog een tweede keer moeten linken met je Microsoft account [1]. Go fucking figure!

Nog meer leesmateriaal over de spam:

• https://blog.malwarebytes.com/cybercrime/2015/09/steer-clear-of-this-skype-spam/
• https://www.reddit.com/r/hacking/comments/5ab8s7/how_does_this_skype_hack_work_baidu_link/
• http://www.theverge.com/2016/11/8/13561024/microsoft-skype-baidu-linkedin-hack

KBC & privacy

Vandaag in een newsletter van KBC Jongeren (en ik ben er dan niet eens klant, ik heb enkel afgelopen lente meegedaan met hun beursspel):

“Pas hier je gegevens aan”

Die tekst linkte naar hun webpagina waarop ik dan mijn gegevens kon aanpassen.

Omdat ik op mijn blackberry die mail las, en omdat de mail in HTML was verstuurd, kreeg ik de code ook te zien. Al snel viel me op dat er vertrouwelijke gegevens in die URL stonden. Mijn naam, voornaam en adres stonden hardgecodeerd:

https://www.kbc.be/newsletter?email=XXXXXXXXXXXXXXXXXX@XXXXXXXX.XXX&klnr=9999999&voornaam=XXXXXXX&naam=XXXXXXX&straat=XXXXXXXXXXXXXXXXXXXX&nr=999&bus=&postcode=9999&gemeente=XXXXX&telefoon=&gsm=

Security-gewijs is dit zowat het domste wat iemand ook maar kan doen. Gegevens uit de privé-sfeer worden bloot over het internet gestuurd (e-mails kunnen zomaar gelezen worden, bezochte URL’s zijn ook makkelijk te sniffen).

Om te bewijzen dat het geen ezels zijn: de link die hoorde bij de tekst

klik hier als deze tekst onleesbaar is

bevatte een username en paswoord:

https://mm.kbc.be/618/newsletter.asp?abonneeid=9999&messageid=41&password=999999999

In bovenstaande URL vind je een username en een bijhorend paswoord terug. Oordeel zelf!

Nu, ik had geluk. Omdat ik geen klant ben, maar jaren geleden wel in contact ben gekomen met KBC Verzekeringen (via een schadegeval), sta ik hun database. Mijn geluk is dat het schadegeval gebeurd is vóór ik verhuisd ben, waardoor mijn huidig adres niet in hun database staat.

Hoe moet dit wel gebeuren? Op basis van een klantennummer ofzo (waar dus geen intrinsieke informatie in zit), mijn gegevens ophalen uit hun database, en die dan tonen op de webpagina. Dan kan een attacker de gegevens enkel lezen als hij toegang heeft tot het juiste onderdeel van het KBC-netwerk.

En de newsletter lezen? Een statische webpagina maken. En apart laten inloggen.