Het forum van de populaire muziekwinkel Bax Music is vanmiddag gehackt. De e-mailadressen en wachtwoorden van de ruim 30.000 gebruikers liggen daardoor op straat.
Dat bevestigt Jochanan Bax, oprichter van Bax Music, naar eigen zeggen de grootste online muziekwinkel van de Benelux. RTL Nieuws heeft de gestolen database ontvangen van de hacker en de gegevens geverifieerd.
Het gaat in totaal om 32.700 gebruikers van het Nederlandstalige forum. De gebruikers komen uit Nederland en België. De online winkel van Bax, waar je spullen bestelt, is niet gehackt.
Wachtwoorden
De wachtwoorden zijn dermatige slecht beveiligd dat ze gemakkelijk te kraken zijn. Dat komt omdat het forum van Bax Music gebruikmaakt van het sterk verouderde versleutelingsalgoritme MD5. Daardoor zijn de meeste wachtwoorden binnen enkele seconden tot minuten te kraken.
De hacker, die de nickname Chippy1337 gebruikt, heeft vanmiddag ook tijdelijk de voorpagina van het forum veranderd. Op de pagina is te zien hoe hij een sneer uitdeelt naar de Amerikaanse technologiejournalist Brian Krebs en Nederlandse hacker Rickey Gevers.
"Bedankt voor de database [homofobisch scheldwoord]! Oh, en vergeet niet: Rickey Gevers is een ontzettende [homofobisch scheldwoord] skid." Skid is de afkorting van scriptkiddie, de term voor amateurhackers - veelal pubers die websites platleggen.
Lol, geld en chaos
Chippy1337 zegt tegen RTL Nieuws dat hij het forum van Bax Music 'voor de lol, het geld en de chaos' heeft gehackt. Gestolen databases met wachtwoorden worden vaker door criminelen te koop aangeboden. Het forum draait op de software vBulletin dat vaker grote lekken bevat. Bax Music had zijn forum niet geüpdatet waardoor de database via een lek kon worden gestolen.
Jochanan Bax bevestigt dat het forum niet actief werd bijgehouden: "Je kunt het achterstallig onderhoud noemen. Het is ooit begonnen als een forum om kennis over licht en geluid uit te wisselen, maar sinds een jaar of vijf doen we dat via ons blog."
Momenteel is het forum nog online. De technici van Bax Music zijn momenteel een backup aan het herstellen en de laatste updates voor vBulletin aan het installeren. Het doel is om het forum weer online te krijgen.
Autoriteit Persoonsgegevens
Het datalek wordt morgen gemeld bij de Autoriteit Persoonsgegevens, bevestigt Jochanan Bax. Ook de getroffen gebruikers worden over de hack ingelicht.
Gebruikers van Bax Music doen er verstandig aan om hun wachtwoord te veranderen zodra het forum weer online is. Als ze hetzelfde wachtwoord op andere plekken gebruiken, moet het daar ook worden aangepast.
