Atos Origin verliest USB-stick met gegevens 12 miljoen Britten
IT-dienstverlener Atos Origin is een USB-stick met de inloggegevens van 12 miljoen Britten voor een belangrijke overheidssite verloren, waardoor de Britse overheid die per direct moest sluiten. Het "online Government Gateway system" geeft burgers toegang tot honderden overheidsdiensten, zoals kinderbijslag, belastingteruggave en pensioenregelingen. Naast de wachtwoorden bevatte de USB-stick ook de broncode van het systeem. De datadrager die de 29-jarige IT-analist Daniel Harrington verloor, werd twee weken geleden op een parkeerplaats gevonden.
Volgens Atos Origin is het meenemen van de gegevens door de werknemer in strijd met de procedures. Een woordvoerder voor het het Ministerie van Werk en Pensioenen laat weten dat de schade meevalt, omdat het alleen om de wachtwoorden en gebruikersnamen voor een oude testversie ging en de informatie versleuteld was. Toch besloot men om de website, waar burgers zichzelf voor moeten registreren, direct te sluiten. Harrington zou in strijd met het bedrijfsbeleid hebben gehandeld en kan worden aangeklaagd. Het bedrijf zegt in een reactie dat het de volledige verantwoordelijkheid neemt en de IT-analist zal straffen.
Risico
De overheid mag dan doen alsof er niets aan de hand is, beveiligingsexpert Jacques Erasmus van PrevX ziet wel degelijk problemen. Zo zou de broncode op de stick slechts een paar maanden oud zijn en is de wachtwoord encryptie "relatief eenvoudig" te kraken, gegeven de informatie op de USB-stick. "Ik kan de wachtwoorden ontsleutelen en het netwerk verkennen. Zoals we kunnen zien aan de data op de USB-stick, bevatten de systemen zeer gevoelige persoonlijke informatie." Erasmus denkt dat het kraken van de wachtwoorden slechts een kwestie van tijd zou zijn, waardoor een aanvaller toegang tot de 12 miljoen accounts krijgt. "Er is zelfs een kaart op de geheugenstick die laat zien hoe het geheel werkt, wat een aanvaller zou helpen."
Inmiddels is de Britse overheid het afgelopen jaar 30 miljoen records verloren. "Dat is één datablunder voor elke twee mensen in dit land. Toch blijven ze met hun Big Brother ambities doorgaan; identiteitskaarten en de enge centrale communicatie database. Dit zijn rampen die wachten, ten koste van ons", zegt Shami Chakrabarti van burgerrechtenbeweging Liberty. Liberaal Democraat Norman Baker voegt eraan toe dat de overheid informatie van belastingbetalers vraagt die het niet kan beschermen. "De overheid is niet met deze informatie te vertrouwen, toch verzamelen ze meer en meer."
Update: Tekst verduidelijkt
Het bedrijf dat in haar procedures een regel opneemt dat je geen bedrijfsmiddelen mag verliezen is natuurlijk goed bezig!
Het zal wel niet letterlijk zo bedoeld worden. Toch??
De overheid is nu ook op de hoogte van dit feit:
http://www.timesonline.co.uk/tol/news/politics/article5065795.ece
Peter
Gezien de hoeveelheid zijn het best domme mensen geweest.
Het is asociaal dat een commercieel bedrijf dit soort gegevens (en waarschijnlijk meer) kan benaderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
