45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Website Dirk, Bas en Digros lekt e-mailadressen

De gemeenschappelijke website van de supermarktketens Dirk, Bas en Digros gaf per abuis toegang tot e-mailadressen van nieuwsbrief-abonnees. Via het lek kon bovendien toegang worden verkregen tot andere sites van dezelfde websitebouwer.

Het gaat om de website Lekkerdoen.nl, de gezamenlijke website van Dirk, Bas en Digros. Via sql-injectie kon beveiligingsonderzoeker Ingratefully naar eigen zeggen in ieder geval 150.000 en mogelijk zelfs circa 318.000 e-mailadressen benaderen, hoewel er dubbele e-mailadressen tussen kunnen zitten. Ook logingegevens van het adminpaneel waren te benaderen. 

Een van de achterhaalde accounts bleek bovendien van de websitebouwer. Dezelfde combinatie van gebruikersnaam en wachtwoord was ook gebruikt op andere websites van dezelfde maker, waardoor ook kon worden ingelogd op het Drupal-beheerpaneel van onder andere Fiets.com, Megategel.nl en Displaygigant.nl, maar ook op die van de site van bouwer Montani zelf. Daardoor konden onder andere bestanden worden geĆ¼pload. Volgens de onderzoeker was het waarschijnlijk mogelijk om PHP Shell te uploaden en wellicht via een exploit root-toegang tot de server te krijgen.

Alles bij de bron; tweakers