Geheim document Defensie door blunder op internet
De namen van mariniers en inlichtingenmedewerkers die op de Nederlandse Antillen werken waren door een blunder van Defensie voor iedereen op het internet toegankelijk. Het zou gaan om een een lijst van 340 pagina’s met de volledige namen, functies en de lengte van de arbeidscontracten, die op de website van het Commando Dienstencentra te vinden was. De pagina toont vacatures en vrijkomende banen, maar door een fout waren er ook privégegevens vermeld.
Defensie erkent de fout "De lijst met privégegevens heeft alleen tussen 25 en 27 oktober op internet gestaan en alleen als je over het exacte adres beschikte, kon je erbij" aldus een woordvoerder. Het AD beweert echter dat het document gisteren nog eenvoudig op de website te vinden was.
Ook in het buitenland komt het geregeld voor dat vertrouwelijke informatie over defensiepersoneel online te vinden is, zoals de informatie over 100.000 Amerikaanse marinevliegers en 28.000 matrozen.
informatie blijkbaar makkelijk op een publieke webserver kan komen?
Volgens mij zijn er wat technische maatregelen alsook procedures niet in
orde daar.
Het kan toch niet zo zijn dat je met een simpele druk op de knop informatie
uit interne databases wordt gehaald en dan op een publieke server terecht
komt?
Dit is gewoon werkverschaffing voor de eigen gelederen....
;) Mysterious Phenomena of the Unexplained Database....
http://www.security.nl/article/17325/1/Defensie_werkt_aan_database_voor_vermiste_USB-sticks.html
Vandaar dat het me erg verbaasd dat dit soort dingen na
het ''verwijderen'' (ahum) gewoon in de media komen. Men veronderstelt
dat het document weg is, en dat men hierover dus "veilig" kan berichten,
terwijl het goed mogelijk is dat je het met de Wayback machine, Google
cache of soortgelijke methoden terug kunt halen.
tegen een stomme gebruiker. De ketting is zo sterk als....
hood van de IT afdeling van defensie juist een heel verhaal stond op te
hangen hoe goed het defensie netwerk was gescheiden van het internet...
en dat de meeste mensen niet eens het internet op mogen vanaf het
defensie netwerk....
het hood van de IT afdeling van defensie juist een heel verhaal stond op
te hangen hoe goed het defensie netwerk was gescheiden van het
internet..."
Dit heeft ook bar weinig te maken met netwerkbeveiliging, maar meer
met het plaatsen van een verkeerd document op een webserver. Dat
een webserver in een DMZ staat, en toegankelijk is vanaf internet indien
het gaat om websites die extern toegankelijk moeten zijn is vrij obvious.
Wat heeft je opmerking over werkplekken binnen defensie te maken met
een publieke webserver ?
tegen een stomme gebruiker. De ketting is zo sterk als...."
....de gehanteerde procedures.
Het is zeer goed mogelijk om je als bedrijf door strakke procedures te
beschermen tegen dit soort fouten, al is het natuurlijk nooit 100% uit te
bannen.
ongelukjes laat zien. Het is nog steeds in NL en ook
daarbuiten blijkbaar mogelijk dat onbekwaam en onbewuste
lieden verantwoordelijk zijn voor code ontwikkeling en deze
zooi in productie nemen.
Wie ooit verzint dat NAW of andere gevoelige gegevens op een
openbare website nodig zijn mag m.i. gelijk uit zijn functie
worden gezet en verboden worden om ooit nog een computer
profesioneel aan te raken.
Maar ja --> het echt bewust / bekwaam worden om dit soort
incidenten te voorkomen komt niet aan bij de
verantwoordelijke luitjes.
Mijn raad voor defensie stuur eens wat mensen, en niet
alleen je informatiebeveiligers, maar vooral je ontwikelaars
en informatieeigenaren naar een goede security opleiding.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!