Leerlingen.com Forum - Mailsoftware Tele2 Zakelijk lekt 114.000 adressen

Citaat:

Door een nooit gepatcht gat in de Majordomo listserver van Vuurwerk/Tele2 kunnen met een simpel mailcommando 114.093 e-mailadressen worden geoogst.

De Majordomo listserver van hoster Vuurwerk, sinds 2005 onderdeel van Tele2 zakelijk, blijkt al jaren een gênant gat te vertonen. Met een simpel commando krijgt een ieder die het wil een gigantische lijst met 114.093 e-mailadressen van abonnees van Vuurwerk-klanten automatisch toegestuurd.

Archaïsch

Het betreft een jarenoude bug in Majordomo, een open source listserver die wordt gebruikt voor het rondsturen van massamails zoals nieuwsbrieven. Majordomo stamt uit begin jaren negentig van de vorige eeuw. De kwetsbaarheid werd in februari 2003 al geopenbaard.

Na het versturen van het commando "which @" naar het Majordomo-adres volgt een automatische reply van het programma met alle e-mailadressen van de verschillende mailinglijsten die niet handmatig dit commando hebben geblokkeerd. In het geval van Vuurwerk zijn dat in totaal dus ruim 100.000 adressen, een potentiële goudmijn voor spammers.

Dick Visser, UNIX-beheerder en student System & Network Engineering aan de UvA, tipte Webwereld over het lek bij de listserver van Vuurwerk/Tele2. Visser: "Majordomo is een veelgebruikte listserver, maar stokoud en al jaren niet meer bijgewerkt."

Which-commando uitzetten!

Volgens hem moeten beheerders en gebruikers de nogal bizarre standaardconfiguratie, die which-commando's dus toestaat, natuurlijk uitzetten. Maar dat gebeurt lang niet altijd. "Hier zitten spammers op te wachten. Even een scriptje schrijven en je gaat automatisch alle majordomo's langs. Die code klop je in een half uur in elkaar, dat kan iedere pannekoek."

De redactie heeft de kwetsbaarheid bij Vuurwerk/Tele2 kunnen bevestigen en vervolgens het bedrijf verwittigd. Tele2 heeft naar aanleiding van de bevindingen het lek meteen gedicht.

"Dit was blijkbaar niet bij ons bekend. Maar het systeem is nu snel gepatcht en dicht. We hadden duidelijker kunnen vermelden dat gebruikers het ook zelf dicht hadden moeten zetten", aldus een woordvoerder van Tele2.

Geen misbruik

Visser vindt dat er in dit geval sprake is van gedeelde verantwoordelijkheid. Vuurwerk/Tele2 had het zeker moeten weten, maar de klanten die de listserver gebruiken eveneens.

Tele2 benadrukt dat er nog maar zeer beperkt gebruikgemaakt wordt gemaakt van de Majordomo dienst. "Er wordt er nauwelijks nog iets naar toegestuurd. Wat er wel gestuurd wordt, is volgens ons vooral spam. Maar we weten voor 100 procent zeker dat het commando nooit is misbruikt, tot afgelopen week. Dat blijkt uit de logfiles." Die logfiles gaan terug tot 2006.

http://www.apply.nl/image.asp?image_id=176

Voor de tweede keer al. Geld verdienen,dat willen ze allemaal doen,maar aan de "veiligheid" van de gegevens wordt er niet gedacht.:|