De website Integriteitoverheid.nl blijkt vatbaar te zijn voor sql-injectie. Hierdoor kon de hele database worden uitgelezen, waarbij ook usernames en wachtwoorden toegankelijk waren. Diverse wachtwoorden waren in plain text opgeslagen.
De website Integriteitoverheid.nl is in handen van het Bureau Integriteitsbevordering Openbare Sector. Deze overheidsinstelling is opgericht om 'het publieke domein te stimuleren en ondersteunen bij het opzetten en implementeren van integriteitsbeleid'. Volgens de eigen website werken er acht mensen bij de organisatie.
Tweakers.net ontving van hackers Thaxdevil en Goo echter de tip dat de website van de BIOS op het gebied van integriteit geen hoge ogen gooit. Via sql-injectie bleek de database van de hele website toegankelijk. In de database onder andere de nieuwsbriefadministratie en een tabel met gebruikersgegevens. Saillant detail is dat de wachtwoorden in deze tabel in plain text zijn opgeslagen en op een aanpassing van o in 0 en i in 1 identiek zijn aan de username.
Inmiddels is het lek in de site gedicht, bevestigt een woordvoerster van de organisatie tegenover Tweakers.net. Het bureau neemt ook andere delen van de site onder de loep genomen om zich ervan te verzekeren dat er geen kwetsbaarheden over het hoofd zijn gezien.
bron: Security.nl