Nieuws

Geheim document Defensie door blunder op internet

dinsdag 20 november 2007, 10:50 door Redactie, 11 reacties

De namen van mariniers en inlichtingenmedewerkers die op de Nederlandse Antillen werken waren door een blunder van Defensie voor iedereen op het internet toegankelijk. Het zou gaan om een een lijst van 340 pagina’s met de volledige namen, functies en de lengte van de arbeidscontracten, die op de website van het Commando Dienstencentra te vinden was. De pagina toont vacatures en vrijkomende banen, maar door een fout waren er ook privégegevens vermeld.

Defensie erkent de fout "De lijst met privégegevens heeft alleen tussen 25 en 27 oktober op internet gestaan en alleen als je over het exacte adres beschikte, kon je erbij" aldus een woordvoerder. Het AD beweert echter dat het document gisteren nog eenvoudig op de website te vinden was.

Ook in het buitenland komt het geregeld voor dat vertrouwelijke informatie over defensiepersoneel online te vinden is, zoals de informatie over 100.000 Amerikaanse marinevliegers en 28.000 matrozen.

"Halvering Windows DNS Servers goed voor internet"

Grootschalige iFrame hack treft Monster, Toyota en bank

Reacties (11)

20-11-2007, 11:08 door Anoniem

Wat een ontzettende blunder! Hoe is het mogelijk dat zulk soort interne
informatie blijkbaar makkelijk op een publieke webserver kan komen?
Volgens mij zijn er wat technische maatregelen alsook procedures niet in
orde daar.

Het kan toch niet zo zijn dat je met een simpele druk op de knop informatie
uit interne databases wordt gehaald en dan op een publieke server terecht
komt?

20-11-2007, 11:39 door Anoniem

Het verbaast mij (helaas) opnieuw weer helemaal niet.

Dit is gewoon werkverschaffing voor de eigen gelederen....
;) Mysterious Phenomena of the Unexplained Database....
http://www.security.nl/article/17325/1/Defensie_werkt_aan_database_voor_vermiste_USB-sticks.html

20-11-2007, 15:33 door Anoniem

Via waybackmachine kun je er ook wel bij komen.

20-11-2007, 16:40 door Anoniem

> Via waybackmachine kun je er ook wel bij komen

Vandaar dat het me erg verbaasd dat dit soort dingen na
het ''verwijderen'' (ahum) gewoon in de media komen. Men veronderstelt
dat het document weg is, en dat men hierover dus "veilig" kan berichten,
terwijl het goed mogelijk is dat je het met de Wayback machine, Google
cache of soortgelijke methoden terug kunt halen.

20-11-2007, 20:13 door Anoniem

Dit toont aan dat je jezelf of bedrijf niet kan beschermen
tegen een stomme gebruiker. De ketting is zo sterk als....

21-11-2007, 08:51 door Anoniem

Grappig, ik was 3 weken geleden op de security beurs in Utrecht waar het
hood van de IT afdeling van defensie juist een heel verhaal stond op te
hangen hoe goed het defensie netwerk was gescheiden van het internet...
en dat de meeste mensen niet eens het internet op mogen vanaf het
defensie netwerk....

21-11-2007, 11:10 door Anoniem

"Grappig, ik was 3 weken geleden op de security beurs in Utrecht waar
het hood van de IT afdeling van defensie juist een heel verhaal stond op
te hangen hoe goed het defensie netwerk was gescheiden van het
internet..."

Dit heeft ook bar weinig te maken met netwerkbeveiliging, maar meer
met het plaatsen van een verkeerd document op een webserver. Dat
een webserver in een DMZ staat, en toegankelijk is vanaf internet indien
het gaat om websites die extern toegankelijk moeten zijn is vrij obvious.

Wat heeft je opmerking over werkplekken binnen defensie te maken met
een publieke webserver ?

21-11-2007, 11:11 door Anoniem

"Dit toont aan dat je jezelf of bedrijf niet kan beschermen
tegen een stomme gebruiker. De ketting is zo sterk als...."

....de gehanteerde procedures.

Het is zeer goed mogelijk om je als bedrijf door strakke procedures te
beschermen tegen dit soort fouten, al is het natuurlijk nooit 100% uit te
bannen.

21-11-2007, 13:40 door Anoniem

Helaas is defensie niet de enige die regelmatig dit soort
ongelukjes laat zien. Het is nog steeds in NL en ook
daarbuiten blijkbaar mogelijk dat onbekwaam en onbewuste
lieden verantwoordelijk zijn voor code ontwikkeling en deze
zooi in productie nemen.

Wie ooit verzint dat NAW of andere gevoelige gegevens op een
openbare website nodig zijn mag m.i. gelijk uit zijn functie
worden gezet en verboden worden om ooit nog een computer
profesioneel aan te raken.
Maar ja --> het echt bewust / bekwaam worden om dit soort
incidenten te voorkomen komt niet aan bij de
verantwoordelijke luitjes.

Mijn raad voor defensie stuur eens wat mensen, en niet
alleen je informatiebeveiligers, maar vooral je ontwikelaars
en informatieeigenaren naar een goede security opleiding.

22-11-2007, 10:50 door Anoniem

Grappig dat iedereen op dit artikel "anoniem" reageert...

22-11-2007, 12:08 door Anoniem

Door Anoniem
Grappig dat iedereen op dit artikel "anoniem"
reageert...

We zijn wel goed maar niet gek ! ;)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer