CNBC verzamelt stiekem wachtwoorden via onveilige verbinding
In een artikel op het Amerikaanse CNBC-site konden lezers tips opdoen om te hacks te vermijden. Zo werd er bijvoorbeeld uitgelegd hoe een sterk wachtwoord eruitzag, en hoe vaak je je wachtwoord idealiter zou moeten veranderen. Op de pagina konden bezoekers daarnaast hun wachtwoord inbrengen om te checken hoe makkelijk dat gekraakt kon worden.
Wanneer het wachtwoord ingevuld werd, kreeg de gebruiker een schatting te zien van hoe lang een computer nodig zou hebben om het woord te raden. Er werd expliciet vermeld dat geen wachtwoorden opgeslagen werden, maar daar liep het mis. Zodra de lezer op ‘Submit’ klikte, werd het wachtwoord geüpload naar een Google Docs-rekenblad. Dat document werd gedeeld met meer dan dertig adverteerders en andere partijen.
Wat kan er misgaan?
Dat was echter nog niet het ergste, aangezien iedereen de gegevens had kunnen onderscheppen. De data werd immers niet over HTTPS, maar een onbeveiligde HTTP-verbinding verzonden. Hoewel het Google Docs-document ingesteld was als privé – en dus niemand aan de effectieve bron van informatie geraakte – was het wel mogelijk om wachtwoorden te stelen tijdens de verzending.
worried about security? enter your password into this @CNBC website (over HTTP, natch). what could go wrong pic.twitter.com/FO7JYJfpGR
— Adriana Porter Felt (@__apf__) March 29, 2016
Een medewerker van de security-divisie bij Google Chrome merkte de onveilige praktijk voor het eerst op op Twitter: “Bezorgd om veiligheid? Breng je wachtwoord op deze @CNBC-website in (over HTTP, natuurlijk). Wat kan er misgaan?”
Lezers die hun wachtwoorden hebben ingevuld worden aangeraden hun wachtwoorden onmiddellijk te veranderen. CNBC heeft tot nu toe niet gereageerd.