Beheerders kunnen wachtwoorden op hun netwerken maar beter resetten, want miljoenen log-ins zijn uitgelekt.

Wifi

 

wifi

Een populaire Android-app om hotspots in de directe omgeving te vinden, blijkt log-ins voor draadloze netwerken te hebben uitgelekt. De opgeslagen wachtwoorden werden ge-upload naar een database van de app-maker, die daar geen beveiliging op had toegepast. Details als WiFi-netwerknaam, de exacte geolocatie en de inloggegevens waren in plain-text opgeslagen.

De openstaande database met daarin de onversleutelde informatie is ontdekt door een security-onderzoeker van de GDI Foundation, een non-profit die is opgericht door de Nederlandse ethische hacker Victor Gevers. GDI-lid Sanyam Jain heeft na zijn ontdekking geprobeerd om contact op te nemen met de developer van WiFi Finder, die mogelijk gebaseerd is in China. De contactpogingen, om de onveilige situatie te corrigeren, zijn op niets uitgelopen.

Offline gehaald

Daarna heeft de ethische hacker aangeklopt bij cloudhoster DigitalOcean, die dit datalek een dag na melding offline heeft gehaald. Vervolgens is voor dit security-incident media-aandacht opgezocht, waarbij de Amerikaanse ICT-nieuwssite TechCrunch er wel in lijkt geslaagd om de app-maker te contacteren. Die meldt dat de app alleen wachtwoorden biedt voor publieke hotspot, zo schrijft TechCrunch nu.

De gelekte gegevens bevatten inderdaad vele thuisnetwerken, afgaande op de bijbehorende geolocatiedata die uitkomen op woonwijken. Daarmee zijn zakelijke WiFi-netwerken echter niet gegarandeerd uitgesloten. Het valt dan ook aan te raden om nieuwe WiFi-wachtwoorden in te stellen, voor het geval dat eindgebruikers die inloggegevens onbedoeld hebben gelekt via de onveilige Android-app. De online-database van WiFi Finder bevatte de wachtwoorden voor twee miljoen draadloze netwerken wereldwijd.

Reacties mogelijk gemaakt door CComment