Beveiligingsbedrijven blunderen met site Geschillencommissie
Niet één, niet twee, maar drie beveiligingsbedrijven hebben een enorme blunder in de beveiliging van de website van de Geschillencommissie over het hoofd gezien. NOS-verslaggever Jeroen Wollaars kwam per ongeluk achter het lek toen hij de uitslag van een geschil zocht. Door het documentnummer in de adresbalk te wijzigen, kreeg Wollaars andere documenten te zien. Onder de documenten zaten gedetailleerde jaarafrekeningen, correspondentie van advocaten en rechtsbijstandsbureaus, facturen en bankafschriften. De op te vragen bestanden gingen terug tot 2005 en bevatten bijna allemaal privacy-gevoelige informatie.
De directeur van de Geschillencommissie is verbijsterd over het enorme lek. Volgens hem is de site door drie afzonderlijke beveiligingsbedrijven bestudeerd met als conclusie dat het systeem veilig was.
Computervredebreuk
Je kunt je afvragen of Wollaars zich niet schuldig aan computervredebreuk heeft gemaakt. "Dat is een goede vraag. Je kunt zeggen van wel: je verkrijgt toegang tot iets waar je niet bij hoort te komen. Aan de andere kant, deze truc is zo simpel dat ik het moeilijk als "binnendringen" kan betitelen, zoals de wet het noemt", zegt ICT-jurist Arnoud Engelfriet tegenover Security.nl. Hij vergelijkt het met het ontvangen van een stapel dossiers, waarbij de juffrouw van de balie zegt dat je alleen het bovenste papiertje mag lezen. "Pleeg je nu een misdrijf als je toch even onderaan kijkt?"
Wanneer leren de bedrijven nu eens dat echte security niet in compliance en andere administratieve regeltjes zit. Schop die 180 euro per uur kosten pakken de deur uit en huur eens een langharige nerd in. Dan weet je tenminste hoe het echt zit. Ik heb te vaak in discussies gezeten met de grote namen en hun zogenaamde security experts. Meestal was binnen 10 minuten duidelijk dat het CISSP-ers waren met een beetje theoretische kennis en weining echte kennis en ervaring van de onderliggende techniek. Dan moet je ook niet stom staan te kijken als het dan verkeerd gaat. Een boek lezen over remmen maken is niet hetzelfde als het 10 jaar gedaan hebben.
My two cents...
Je kunt je afvragen of Wollaars zich niet schuldig aan computervredebreuk heeft gemaakt. "Dat is een goede vraag. Je kunt zeggen van wel: je verkrijgt toegang tot iets waar je niet bij hoort te komen "
ohhhhhhh shitttttt.
En ik maar denken dat ik een braaf mens ben “”
Laat ik dit nu regelmatig zelf ook doen.
Als ik bij een leverancier iets zoek, wil ik wel eens. Als blijkt dat hetgeen ik voor mij krijg, niet dat is wat ik zocht,
Dan verander ik vaak in de balk een artikel nummer of iets dergelijks, en vaak geeft dat het gewenste resultaat.
Maar ja …….. wie weet of ik dat wel mocht zien, dus ben ik nu mogelijk in mijn onschuld een cyber crimineel.
Denk het niet he, wil de eerste rechte nog zien die me daarvoor veroordeeld
( ondertussen in mijn gedachten speelt de volgende gedachten flits )
( hmmmm, ik moet wel oppassen wat ik zeg denk ik, er zijn mensen op idiotere gronden de bak in gevlogen, en ik heb net bekend mij er aan schuldig te maken, oh oh )
Met vriendelijke groet,
De Hooge
1 hij is goedkoper.
2 hij is beter
3 hij is cooler
Hij krijgt geen zin op papier zonder
a) dat er 10 spelfouten in staan; en
b) de lezer (de directie bvb) in verwarring te brengen.
Waarom verbaasd me dit absoluut niets. Het zit em soms gewoon in de cijfers niet in de risicos. Erg maar realiteit
Laat idd de echte audits maar komen
Op de website staat een persbericht over het probleem dat begint over een te bouwen nieuw en uniek systeem. Men prijst het systeem dus nog steeds liever eerst aan dan er objectief over te praten. Vervolgens komt de directeur met een verhaal dat hem gegarandeerd was dat de site veilig was en dat het wel door drie beveiligingsbedrijven was onderzocht en ook nog intern.
Het onvermogen van de commissie om objectief naar het systeem en beveiliging te kijken druipt er vanaf. Wie komt er nu aanzetten met woorden als gegarandeerd veilig, laat staan wie geloofd dat vervolgens? En hoeveel waarde moet je hechten aan een aantal aan beveiligingsbedrijven als je de opdracht niet weet en geen zicht hebt op de reputatie van die bedrijven?
Beveiliging is risicomanagement. Als je als directeur of organisatie niet in staat bent om dat zelfs maar te begrijpen dan kan beveiliging nooit in goede handen zijn. Dan is de directie en de organisatie zelf al een te groot risico waarmee de buitenwereld kan spelen. Zie hier het resultaat. Ik zie het met de nieuwe site straks weer gebeuren als er binnen zo'n organisatie geen frisse wind gaat draaien.
Zolang een programmeur nog websites bouwt waar dossiers terug te vinden zijn met een ophoogbaar ID.
Zolang risico management gedaan wordt zonder kennis.
Zolang een audit gedaan wordt met een te beperkte scope.
Zolang een directie er mee weg komt en geen verantwoordelijkheid hoeft te nemen.
Zolang er andere niets van leren.
Kan je je zorgen maken en / of er een goede boterham aan verdienen.
SOFAR RFV
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
