Het forum van Bax Music, een van de grootste muziekwinkels van Nederland, is gehackt. De site maakte gebruik van kwetsbare software, een sterk verouderd versleutelingsmechanisme en had te kampen met achterstallig onderhoud. Hierdoor zijn de inloggegevens van meer dan 30.000 forumleden op straat beland. Het lek is inmiddels gedicht. Het datalek wordt doorgegeven aan de Autoriteit Persoonsgegevens.
Dat bevestigt oprichter en eigenaar van Bax Music Jochanan Bax tegenover RTL Nieuws. Tevens ontving RTL Nieuws de gestolen database en sprak het met de persoon die verantwoordelijk is voor de hack.
Of je nou een gitaar zoekt, drums, elektrische piano, keyboard, koptelefoon, microfoon, mixapparatuur, verlichting of software om je muziek te maken of video’s te bewerken: Bax Music heeft het. Het is naar eigen zeggen de grootste online muziekwinkel van de Benelux, met dependances in Engeland, Frankrijk, Duitsland, Spanje, Italië en Zweden. De shop handelt jaarlijks honderdduizenden pakketten af en is een begrip bij muziekliefhebbers.
Naast een zeer uitgebreide webshop heeft Bax Music ook een forum. Daar kunnen leden elkaar om hulp vragen en hun ei kwijt over hun hobby. Het forum kent enkele tienduizenden leden. Het Nederlandstalige forum van de muziekwinkel is gehackt, zo werd dinsdag bekend. Hierdoor zijn de e-mailadressen en wachtwoorden van 32.700 leden gestolen. De leden zijn afkomstig uit Nederland en België. De webshop zelf is niet gehackt.
De hack is uitgevoerd door een hacker die zichzelf Chippy1337 noemt. Tegenover RTL Nieuws zegt hij dat hij het forum van Bax Music heeft gehackt “voor de lol, het geld en de chaos”. Het komt regelmatig voor dat hackers een database buitmaken en deze op internet te koop aanbieden. Daarvan is ook in dit geval sprake.
De hacker veranderde dinsdagmiddag tijdelijk de voorpagina van het forum. Hij plaatste daarop een bericht waar hij fel uithaalde naar technologiejournalist Brian Krebs en de Nederlandse hacker Rickey Gevers. De hacker gebruikte volgens RTL Nieuws een ‘homofobisch scheldwoord’ om Krebs uit te schelden, Gevers noemde hij een skid. Skid is een term die gebruikt wordt voor amateurhackers.
Hoe heeft deze massale hack kunnen plaatsvinden? Daarvoor zijn een aantal oorzaken aan te wijzen. Om te beginnen maakte Bax Music gebruik van het forumsoftware vBulletin. Van deze software is algemeen bekend dat hij grote beveiligingslekken bevat. Bax Music erkent dat de software niet up-to-date was, waardoor Chippy1337 in staat was om de database te stelen.
Jochanan Bax bevestigt dat het forum niet actief werd bijgehouden. “Je kunt het achterstallig onderhoud noemen. Het is ooit begonnen als een forum om kennis over licht en geluid uit te wisselen, maar sinds een jaar of vijf doen we dat via ons blog”, zo zegt hij tegenover RTL Nieuws. Het forum was dinsdag enige tijd offline, inmiddels is hij bijgewerkt en weer in de lucht.
Daarnaast maakt het forum gebruik van het sterk verouderde versleutelingsmechanisme MD5. Deze wordt gebruikt voor het maken van hashes, die op hun beurt gebruikt worden om de inloggegevens van forumleden te controleren. Daardoor zijn de meeste wachtwoorden binnen enkele seconden of minuten te kraken.
Waarschijnlijk heeft de Autoriteit Persoonsgegevens al lucht gekregen van het voorval vanwege de grootschalige media-aandacht. Vandaag meldt Bax Music het datalek officieel bij de toezichthouder. Bedrijven die in Nederland actief zijn, hebben de plicht om een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens te melden.
Gebruikers waarvan het e-mailadres en wachtwoord zijn buitgemaakt, worden op de hoogte gesteld. Zij doen er verstandig aan om hun wachtwoord te veranderen. Gebruiken ze deze ook op andere websites, dan is slim om deze ook aan te passen.
