XS4ALL privacy-jaarverslag kent vijf security-incidenten
Internetprovider XS4ALL heeft vandaag haar privacy-jaarverslag gepresenteerd. Het verslag geeft inzicht in privacy-discussies en (technische) ontwikkelingen in de periode juli 2004 – december 2005. Het verslag kaart onder andere een vijftal security-incidenten aan die bij de provider hebben plaatsgevonden.
In november 2005 was er een security incident met het externe incasso bureau. De extern ingehuurde interim-manager voor de financiele administratie wilde eenmalig een batch klantgegevens voor verdere verwerking overdragen aan het externe incassobureau. Hij wilde dat doen door de bestanden onbeveiligd op een USB-stick te zetten en deze door te geven. Gelukkig rapporteerden medewerkers dit voornemen op tijd aan de security manager, die de verwerking kon blokkeren.
Naast het incident met de USB stick heeft XS4ALL in 2005 te maken gehad met een hack-incident, een discussie over het opvragen van 06 nummers van klanten, een beveilingsfout in de webshop en de wens van beheer om een 'sniffer' te installeren.
In augustus 2005 bleek een aantal dedicated hosting servers van klanten te zijn gehackt. Dit zijn machines die door XS4ALL worden beheerd en beveiligd. De oorzaak was in alle gevallen een kwetsbaar CGI-script. Het script gaf derden op klant-niveau toegang tot de machine, en alle data die de machine bevatte. Het misbruik bleef gelukkig beperkt tot het online komen van IRC-bots. Dit werd snel ontdekt en verholpen.
krijgen we ongetwijfeld de omgekeerde wereld te zien...
Ipv 5 incidenten heb je dan 5 dagen waarin NIETS gebeurde... (1ste en 2de
kerstdag, oud-op-nieuw, hemelvaart en koninginnedag.
dat de Xs4All klanten meer als 5 incidenten hebben gehad.
Vraag het bijv. maar eens aan de scholen die gratis internet van Xs4all
hebben.
Laat ALSJEBLIEFT eens zo'n rapport komen over UPC's
Chello... Dan
krijgen we ongetwijfeld de omgekeerde wereld te zien...
Ipv 5 incidenten heb je dan 5 dagen waarin NIETS gebeurde...
(1ste en 2de
kerstdag, oud-op-nieuw, hemelvaart en koninginnedag.
Erg suggestief, laten we jou security indicenten eens onder
de loep nemen.
sarcasme/ironie/cynisme.
Maar het CGI lek, ik vraag me af of dit door een klant is
geschreven, als dat het geval is dan is dit nog erg netjes.
De beheerder die een sniffer wilde installeren begrijp ik
niet. Misschien undercover AIVD?
Het gaat hier bedrijfsinterne security incidenten. Ik kan me zo voorstellen
dat de Xs4All klanten meer als 5 incidenten hebben gehad.
Vraag het bijv. maar eens aan de scholen die gratis internet van Xs4all
hebben.
Inderdaad. Ik kan hier uit eigen ervaring over meepraten. Overigens
handelde XS4ALL dit uitstekend af, met duidelijke informatie naar de
school over welke moeten worden ondernomen. Deed elke provider dat
maar zo netjes!
Het gaat hier bedrijfsinterne security incidenten. Ik kan me zo voorstellen
dat de Xs4All klanten meer als 5 incidenten hebben gehad.
Vraag het bijv. maar eens aan de scholen die gratis internet van Xs4all
hebben.
Inderdaad. Ik kan hier uit eigen ervaring over meepraten. Overigens
handelde XS4ALL dit uitstekend af, met duidelijke informatie naar de
school over welke moeten worden ondernomen. Deed elke provider dat
maar zo netjes!
Ze nemen het inderdaad erg serieus bij XS4ALL. Op zich niet zo vreemd
aangezien ze zich op dit vlak (willen) onderscheiden van de andere
providers.
Wat wel opmerkelijk is dat de waardering van gebruikers hoog is maar de
loyaliteit tamelijk laag. Over het algemeen wint de laagste prijs bij het
kiezen van een provider. Typisch Nederlands?
Tijd voor een gedragscode voor ISP's op dit vlak?
werken aan de opsporing (en daar bij privacy schendend) van een aantal
mensen zonder dat daar een gerechtelijke bevel tegenover stond.
Zie ook: http://www.webwereld.nl/articles/37699/nederlanders-
aangehouden-om-groot-zombienetwerk.html
Indien XS4ALL onder een gerechtelijk bevel hadden gehandeld hadden ze
nooit in de media geweest, iets wat ook blijkt uit het onderzoeksdossier.
Dus vertrouw ook hen niet blind, want ze doen meer dan dat ze "zo
openlijk" publiceren.
bureau door xs4all. In hun voorwaarden staat dat ze nimmer
ongevraagd persoonsgegevens aan derden door geven, daar
vallen incasso gegevens ook onder. Daarbij zijn die incasso
bureau's alleen nodig voor een organisatie die zelf geen
goede financiele administratie wil hanteren. Een externe
partij je klanten laten sommeren om te betalen zonder dat
die meer rechten hebben dan het bedrijf is een erg vreemde
voorkeur voor een bedrijf dat zoveel met privacy zegt op te
hebben.
Dus vertrouw ook hen niet blind, want ze doen meer dan dat ze "zo
openlijk" publiceren.
Tja een zombie netwerk oprollen daar is de hulp van een (aantal) ISP('s)
voor nodig. Juist de ISP's worden door dit soort ongein getroffen met (zeer)
verhoogde netwerk belasting waardoor de hele keten verstoord kan raken.
Dat de dader(s) geen anonimiteit hoeven te verwachten spreekt voor zich
en slachtoffers (de zombie's) moeten ook bekend worden om de omvang
van het netwerk bloot te leggen en om de malware te verwijderen.
In hoeverre de privacy van slachtoffers geschonden is weet ook ik niet
maar XS4ALL kennende zal dat hooguit tot IP niveau gebeurd zijn.
Een ISP die zo de privacy bewaakt als deze zal die goede naam niet voor
iets 'onbenulligs' als een zombienetwerk te grabbel gooien.
gerechereerd heeft als dan dat jij schetst, men zou op zijn minst mogen
verwachten dat er een niet al te inhoudelijke verwijzing naar staat.
Nu geeft men wat voorbeelden aan waaruit blijkt dat ze volledig openkaart
spelen, maar dat is dus niet waar.
Verder vergeet XS4all melding te doen van de aantal buiten rechtelijke
keren dat ze medewerking hebben verleend aan de overheid, zoals de
keren dat ze aan de AIVD getapte informatie hebben verstrekt.
@E uit onderzoeks dossier blijkt wel dat men iets verder mee
gerechereerd heeft als dan dat jij schetst, men zou op zijn minst mogen
verwachten dat er een niet al te inhoudelijke verwijzing naar staat.
Nu geeft men wat voorbeelden aan waaruit blijkt dat ze volledig openkaart
spelen, maar dat is dus niet waar.
Verder vergeet XS4all melding te doen van de aantal buiten rechtelijke
keren dat ze medewerking hebben verleend aan de overheid, zoals de
keren dat ze aan de AIVD getapte informatie hebben verstrekt.
Verstrekking aan de AIVD valt zondanig onder de wet dat je dit niet hoeft te
publiceren. Het valt wel onder wetgeving maar betreft geen opsporing
onder wetboek van strafvordering.
In alle gevallen dat XS4ALL meewerking verleende aan opsporing was
daar een wettelijke grondslag voor. Ook in bovengenoemd 'botnet'
voorbeeld was dit het geval.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
