Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Uitzender Accord - privacy moron
Uit http://www.nu.nl/internet/2863313/uitzendketen-accord-opnieuw-gehackt.html:
Door Brenno de Winter, latste update 20 juli 2012 13:25: AMSTERDAM – Uitzendbureau Accord lekt opnieuw persoonsgegevens van uitzendkrachten via de website. Eerder werden gegevens gestolen en op internet geplaatst.]
[...]
"Het gaat nu om dezelfde klantgegevens als die je al had, dus dat is niet zo bijzonder", reageert een zegsman van het Accord. "Dit is te verwaarlozen bij wat er gebeurt als bedrijven als Proserve 800.000 gegevens op straat heeft laten liggen. Wat maak je je dan druk om 4.000 gegevens van Accord? Wij zijn liever bezig met uitzenden, dat is onze corebusiness."
Volgens de woordvoerder ligt de oorzaak van het probleem in een "programmaatje dat achter de website is geplakt", waardoor de website opnieuw kwetsbaar is. Hij benadrukt dat het lek eerder was opgelost, maar vermoedt dat de vorige hacker mogelijk iets heeft achtergelaten.
[...]
Geen enkel privacy lek is te verwaarlozen! Accord dient een vette boete te krijgen en de site moet uit de lucht gehaald worden. Pas als ze aantoonbaar beseffen dat privacy een primair onderdeel is van hun "core business" mogen ze weer online. Los van privacy is dit ook nog eens oneerlijke concurrentie. Wat een stelletje eikels. Kan het CBP hier niet tegen optreden?[...]
"Het gaat nu om dezelfde klantgegevens als die je al had, dus dat is niet zo bijzonder", reageert een zegsman van het Accord. "Dit is te verwaarlozen bij wat er gebeurt als bedrijven als Proserve 800.000 gegevens op straat heeft laten liggen. Wat maak je je dan druk om 4.000 gegevens van Accord? Wij zijn liever bezig met uitzenden, dat is onze corebusiness."
Volgens de woordvoerder ligt de oorzaak van het probleem in een "programmaatje dat achter de website is geplakt", waardoor de website opnieuw kwetsbaar is. Hij benadrukt dat het lek eerder was opgelost, maar vermoedt dat de vorige hacker mogelijk iets heeft achtergelaten.
[...]
Reacties (10)
Eerst reactie: WTF
nadat ik ook nog eens het verhaal had gelezen op nu.nl zeg ik het nogmaals WTF
Wat mij ook nog opviel was het laatste stukje van de tekst en dan eigenlijk ook nog eens specifiek de laatste zin. Voor de volledigheid heb ik het laatste stukje geqoute maar de opmerking: (want als ) een mediasite zich hiermee gaat bemoeien (wederom WTF ) dan heb je een heel andere discussie.
Natuurlijk heb je dan een andere discussie omdat het nu niet onder de pet gehouden kan worden.
" Het bedrijf wil weten wie de bron is en laat doorschemeren stappen tegen de ontdekker van het lek te overwegen. "Ik heb navraag gedaan bij onze advocaten en juristen, want als een mediasite zich hiermee gaat bemoeien dan heb je een heel andere discussie.""
Totaal met je eens Bitwiper ze zouden een flinke boeten moeten krijgen en de plaat voor een kop moeten wegslopen.
nadat ik ook nog eens het verhaal had gelezen op nu.nl zeg ik het nogmaals WTF
Wat mij ook nog opviel was het laatste stukje van de tekst en dan eigenlijk ook nog eens specifiek de laatste zin. Voor de volledigheid heb ik het laatste stukje geqoute maar de opmerking: (want als ) een mediasite zich hiermee gaat bemoeien (wederom WTF ) dan heb je een heel andere discussie.
Natuurlijk heb je dan een andere discussie omdat het nu niet onder de pet gehouden kan worden.
" Het bedrijf wil weten wie de bron is en laat doorschemeren stappen tegen de ontdekker van het lek te overwegen. "Ik heb navraag gedaan bij onze advocaten en juristen, want als een mediasite zich hiermee gaat bemoeien dan heb je een heel andere discussie.""
Totaal met je eens Bitwiper ze zouden een flinke boeten moeten krijgen en de plaat voor een kop moeten wegslopen.
Kan hier echt niet met me hoofd bij!
Leg dat maar uit aan moeders die in 'blijf van me lijf' huizen zitten en zelfstandig een baan zijn gaan zoeken.
Kan iemand die lui even flink wat stof laten happen a.u.b.?
Leg dat maar uit aan moeders die in 'blijf van me lijf' huizen zitten en zelfstandig een baan zijn gaan zoeken.
Kan iemand die lui even flink wat stof laten happen a.u.b.?
20-07-2012, 15:32 door
burne101
Door Bitwiper: Kan het CBP hier niet tegen optreden?
Heb je al eens geklaagd bij het CBP? Zonder klagers zullen ze niet weten dat er dingen gebeuren, dus, forward het artikeltje even naar het juiste email-adres en vraag of ze je op de hoogte houden van het eventuele vervolg..
Een betere wereld begint bij jezelf, ook met dit soort dingen.
20-07-2012, 17:30 door
choi
De manier waarop Accord het probleem bagatelliseert is natuurlijk te bizar voor woorden.
Echter, het CPB houdt toezicht op het naleven van de privacywetgeving, en tenzij er bij wet bepaalde eisen worden gesteld aan de beveiliging van servers, websites e.d, vraag ik me af in hoeverre een toezichthouder of opsporingsinstantie hier iets aan kan doen.
Echter, het CPB houdt toezicht op het naleven van de privacywetgeving, en tenzij er bij wet bepaalde eisen worden gesteld aan de beveiliging van servers, websites e.d, vraag ik me af in hoeverre een toezichthouder of opsporingsinstantie hier iets aan kan doen.
20-07-2012, 18:39 door
[Account Verwijderd]
[Verwijderd]
20-07-2012, 22:36 door
Bitwiper
Door burne101:
In het verleden heb ik veel bij instanties geklaagd - met gemiddeld een zeer teleurstellend resultaat. Ik besteed m'n tijd liever aan het doen van security onderzoek en het helpen verbeteren van Internetveiligheid - waar nodig door het aan de schandpaal nagelen van dit soort idioten. Dat heeft meer zin in mijn ervaring. Maar als je het een goed idee vindt, waarom stuur je dan niet zelf een mailtje naar het CBP?Door Bitwiper: Kan het CBP hier niet tegen optreden?
Heb je al eens geklaagd bij het CBP? Zonder klagers zullen ze niet weten dat er dingen gebeuren, dus, forward het artikeltje even naar het juiste email-adres en vraag of ze je op de hoogte houden van het eventuele vervolg.Overigens zou het CBP (en andere vergelijkbare instanties) er goed aan doen als ze sites als security.nl in de gaten zouden houden - als ze dat al niet doen (wat me niet zou verbazen).
Laf trouwens van Brenno de Winter dat hij, in plaats van een aanvullende reactie te plaatsen, de arrogante tekst van de woordvoerder van uitzendbureau Accord aanzienlijk heeft afgezwakt (laatste wijziging 20 juli 2012 15:30). Zou er een relatie bestaan tussen Brenno/NU en Accord (een goedbetalende advertiser wellicht) of zou er met gerechterlijke stappen zijn gedreigd en nu.nl daar geen zin in hebben?
Hoe dan ook, dit laat het ware gezicht zien van Accord uitzendbureau:
- beveiliging niet serieus nemen, gehacked worden, persoonlijke gegevens op straat;
- de server niet rebuilden waardoor er een "programmaatje dat achter de website is geplakt" bleef plakken;
- daardoor nogmaals gehacked worden met als gevolg opnieuw gegevens op straat;
- dan eerst blèren dat er niets aan de hand is, andere hacks veel erger zijn en privacy niet je core business is;
- en ten slotte die laatste arrogante statements weer terugdraaien.
Dit is de reden waarom ik zelden nog bij bedrijven meldt dat hun systemen niet op orde zijn. Alles wordt ontkend en/of gebagatelliseerd en meestal stellen ze dat je hun sytemen gehacked hebt (wat ik nooit doe) en vervolgens sturen ze dreigende antwoorden, meestal in advocatentaal. Zoek het lekker zelf uit dan, ik meld het wel op bijv. security.nl.
21-07-2012, 14:22 door
jasper-koehorst
Door Bitwiper:
Overigens zou het CBP (en andere vergelijkbare instanties) er goed aan doen als ze sites als security.nl in de gaten zouden houden - als ze dat al niet doen (wat me niet zou verbazen).
Laf trouwens van Brenno de Winter dat hij, in plaats van een aanvullende reactie te plaatsen, de arrogante tekst van de woordvoerder van uitzendbureau Accord aanzienlijk heeft afgezwakt (laatste wijziging 20 juli 2012 15:30). Zou er een relatie bestaan tussen Brenno/NU en Accord (een goedbetalende advertiser wellicht) of zou er met gerechterlijke stappen zijn gedreigd en nu.nl daar geen zin in hebben?
Hoe dan ook, dit laat het ware gezicht zien van Accord uitzendbureau:
- beveiliging niet serieus nemen, gehacked worden, persoonlijke gegevens op straat;
- de server niet rebuilden waardoor er een "programmaatje dat achter de website is geplakt" bleef plakken;
- daardoor nogmaals gehacked worden met als gevolg opnieuw gegevens op straat;
- dan eerst blèren dat er niets aan de hand is, andere hacks veel erger zijn en privacy niet je core business is;
- en ten slotte die laatste arrogante statements weer terugdraaien.
Dit is de reden waarom ik zelden nog bij bedrijven meldt dat hun systemen niet op orde zijn. Alles wordt ontkend en/of gebagatelliseerd en meestal stellen ze dat je hun sytemen gehacked hebt (wat ik nooit doe) en vervolgens sturen ze dreigende antwoorden, meestal in advocatentaal. Zoek het lekker zelf uit dan, ik meld het wel op bijv. security.nl.
Door burne101:
In het verleden heb ik veel bij instanties geklaagd - met gemiddeld een zeer teleurstellend resultaat. Ik besteed m'n tijd liever aan het doen van security onderzoek en het helpen verbeteren van Internetveiligheid - waar nodig door het aan de schandpaal nagelen van dit soort idioten. Dat heeft meer zin in mijn ervaring. Maar als je het een goed idee vindt, waarom stuur je dan niet zelf een mailtje naar het CBP?Door Bitwiper: Kan het CBP hier niet tegen optreden?
Heb je al eens geklaagd bij het CBP? Zonder klagers zullen ze niet weten dat er dingen gebeuren, dus, forward het artikeltje even naar het juiste email-adres en vraag of ze je op de hoogte houden van het eventuele vervolg.Overigens zou het CBP (en andere vergelijkbare instanties) er goed aan doen als ze sites als security.nl in de gaten zouden houden - als ze dat al niet doen (wat me niet zou verbazen).
Laf trouwens van Brenno de Winter dat hij, in plaats van een aanvullende reactie te plaatsen, de arrogante tekst van de woordvoerder van uitzendbureau Accord aanzienlijk heeft afgezwakt (laatste wijziging 20 juli 2012 15:30). Zou er een relatie bestaan tussen Brenno/NU en Accord (een goedbetalende advertiser wellicht) of zou er met gerechterlijke stappen zijn gedreigd en nu.nl daar geen zin in hebben?
Hoe dan ook, dit laat het ware gezicht zien van Accord uitzendbureau:
- beveiliging niet serieus nemen, gehacked worden, persoonlijke gegevens op straat;
- de server niet rebuilden waardoor er een "programmaatje dat achter de website is geplakt" bleef plakken;
- daardoor nogmaals gehacked worden met als gevolg opnieuw gegevens op straat;
- dan eerst blèren dat er niets aan de hand is, andere hacks veel erger zijn en privacy niet je core business is;
- en ten slotte die laatste arrogante statements weer terugdraaien.
Dit is de reden waarom ik zelden nog bij bedrijven meldt dat hun systemen niet op orde zijn. Alles wordt ontkend en/of gebagatelliseerd en meestal stellen ze dat je hun sytemen gehacked hebt (wat ik nooit doe) en vervolgens sturen ze dreigende antwoorden, meestal in advocatentaal. Zoek het lekker zelf uit dan, ik meld het wel op bijv. security.nl.
Brenno de Winter is niet laf!
Door Bitwiper:
Overigens zou het CBP (en andere vergelijkbare instanties) er goed aan doen als ze sites als security.nl in de gaten zouden houden - als ze dat al niet doen (wat me niet zou verbazen).
Laf trouwens van Brenno de Winter dat hij, in plaats van een aanvullende reactie te plaatsen, de arrogante tekst van de woordvoerder van uitzendbureau Accord aanzienlijk heeft afgezwakt (laatste wijziging 20 juli 2012 15:30). Zou er een relatie bestaan tussen Brenno/NU en Accord (een goedbetalende advertiser wellicht) of zou er met gerechterlijke stappen zijn gedreigd en nu.nl daar geen zin in hebben?
Hoe dan ook, dit laat het ware gezicht zien van Accord uitzendbureau:
- beveiliging niet serieus nemen, gehacked worden, persoonlijke gegevens op straat;
- de server niet rebuilden waardoor er een "programmaatje dat achter de website is geplakt" bleef plakken;
- daardoor nogmaals gehacked worden met als gevolg opnieuw gegevens op straat;
- dan eerst blèren dat er niets aan de hand is, andere hacks veel erger zijn en privacy niet je core business is;
- en ten slotte die laatste arrogante statements weer terugdraaien.
Dit is de reden waarom ik zelden nog bij bedrijven meldt dat hun systemen niet op orde zijn. Alles wordt ontkend en/of gebagatelliseerd en meestal stellen ze dat je hun sytemen gehacked hebt (wat ik nooit doe) en vervolgens sturen ze dreigende antwoorden, meestal in advocatentaal. Zoek het lekker zelf uit dan, ik meld het wel op bijv. security.nl.
Door burne101:
In het verleden heb ik veel bij instanties geklaagd - met gemiddeld een zeer teleurstellend resultaat. Ik besteed m'n tijd liever aan het doen van security onderzoek en het helpen verbeteren van Internetveiligheid - waar nodig door het aan de schandpaal nagelen van dit soort idioten. Dat heeft meer zin in mijn ervaring. Maar als je het een goed idee vindt, waarom stuur je dan niet zelf een mailtje naar het CBP?Door Bitwiper: Kan het CBP hier niet tegen optreden?
Heb je al eens geklaagd bij het CBP? Zonder klagers zullen ze niet weten dat er dingen gebeuren, dus, forward het artikeltje even naar het juiste email-adres en vraag of ze je op de hoogte houden van het eventuele vervolg.Overigens zou het CBP (en andere vergelijkbare instanties) er goed aan doen als ze sites als security.nl in de gaten zouden houden - als ze dat al niet doen (wat me niet zou verbazen).
Laf trouwens van Brenno de Winter dat hij, in plaats van een aanvullende reactie te plaatsen, de arrogante tekst van de woordvoerder van uitzendbureau Accord aanzienlijk heeft afgezwakt (laatste wijziging 20 juli 2012 15:30). Zou er een relatie bestaan tussen Brenno/NU en Accord (een goedbetalende advertiser wellicht) of zou er met gerechterlijke stappen zijn gedreigd en nu.nl daar geen zin in hebben?
Hoe dan ook, dit laat het ware gezicht zien van Accord uitzendbureau:
- beveiliging niet serieus nemen, gehacked worden, persoonlijke gegevens op straat;
- de server niet rebuilden waardoor er een "programmaatje dat achter de website is geplakt" bleef plakken;
- daardoor nogmaals gehacked worden met als gevolg opnieuw gegevens op straat;
- dan eerst blèren dat er niets aan de hand is, andere hacks veel erger zijn en privacy niet je core business is;
- en ten slotte die laatste arrogante statements weer terugdraaien.
Dit is de reden waarom ik zelden nog bij bedrijven meldt dat hun systemen niet op orde zijn. Alles wordt ontkend en/of gebagatelliseerd en meestal stellen ze dat je hun sytemen gehacked hebt (wat ik nooit doe) en vervolgens sturen ze dreigende antwoorden, meestal in advocatentaal. Zoek het lekker zelf uit dan, ik meld het wel op bijv. security.nl.
@BitWiper, hoe kom ik met jou in contact om je een vraag te stellen?
23-07-2012, 11:19 door
bjornpieneman
@Bitwiper,
contact via Tweaker gelukt. Excuses.
contact via Tweaker gelukt. Excuses.
23-07-2012, 14:46 door
Bitwiper
@bjornpieneman: Ik heb je zojuist een mailtje gestuurd.
@jasper-koehorst: normaal gesproken is Brenno inderdaad allesbehalve laf, hij steekt enorm zijn nek uit om slechte beveiliging aan de kaak te stellen. In dat kader begrijp ik ook niet dat hij is gezwicht en de tekst heeft aangepast, temeer daar de volgende tekst er nog wel staat:
@jasper-koehorst: normaal gesproken is Brenno inderdaad allesbehalve laf, hij steekt enorm zijn nek uit om slechte beveiliging aan de kaak te stellen. In dat kader begrijp ik ook niet dat hij is gezwicht en de tekst heeft aangepast, temeer daar de volgende tekst er nog wel staat:
Het bedrijf wil weten wie de bron is en laat doorschemeren stappen tegen de ontdekker van het lek te overwegen.
Accord geeft kennelijk liever geld uit aan advocaten (wel core business vermoed ik) dan aan beveiliging.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
