Je hebt een klacht over de onderstaande posting:
Een externe partij heeft een pentest gedaan en het zwakke wachtwoord gemist, de te hoge rechten gemist. Mag ik de naam van die partij weten, juist HIEROM laat je pentesten uitvoeren. En wat dan ? Ken je ook de scope, van de desbetreffende pentest ? Zou de Gemeente zelf verder niet moeten werken aan een security control framework, om te zorgen dat het kiezen van bijvoorbeeld zwakke wachtwoorden niet mogelijk is ? Idem, met betrekking tot het uitvoeren van een bruteforce aanval op de FTP server (hopelijk sFTP?), geen controle t.b.v. maximum aantal pogingen, om dergelijke basale aanvallen te voorkomen ? Account lockout ? IP ban ? Zonder verdere details van de scope en findings m.b.t. zo'n pendelt vind ik het trappen naar een externe partij nogal gemakkelijk. Verder kunnen zij, gezien non disclosure, niet reageren. P.s. pentesters kunnen je ondersteunen, maar je blijft altijd zelf verantwoordelijk voor de cyberveiligheid, van je organisatie.
Beschrijf je klacht (Optioneel):