image

Ex-beheerder wist servers Haags hostingbedrijf Verelox

zaterdag 10 juni 2017, 14:44 door Redactie, 31 reacties

Een voormalige systeembeheerder van het Haagse hostingbedrijf Verelox heeft servers en klantgegevens van het bedrijf gewist, waarop besloten werd het gehele netwerk tijdelijk offline te halen. Verelox biedt KVM- en VPS-hosting aan, alsmede clouddiensten. Het incident deed zich afgelopen donderdag voor.

In een verklaring wijst het bedrijf naar een ex-systeembeheerder die allerlei gegevens zou hebben verwijderd. Verelox heeft naar eigen zeggen geprobeerd de data te herstellen, maar dat bleek niet mogelijk te zijn voor de verwijderde data. Inmiddels zijn alle dedicated servers van klanten en cloudnodes weer online. Daarnaast worden alle virtual machines naar een nieuwe server geupload.

Op deze website laat Verelox weten dat de systeembeheerder backdoors op de servers had geïnstalleerd. Daarom is besloten om de servers opnieuw te installeren en vervolgens de klantgegevens die er nog wel zijn terug te zetten. Zowel op de eigen website als Facebook adviseert het hostingbedrijf aan klanten om van alle servers die ze bij Verelox hosten het wachtwoord te wijzigen. Een van de klanten laat op internet weten dat ze door het incident allerlei data zijn verloren.

Image

Reacties (31)
10-06-2017, 16:38 door Anoniem
Tja, 'cloud' is niet veilig... :-)
Wanneer je als 1 vis in de zee zwemt, ben je net zo dood als je gebeten wordt door een haai als dat je met 40.000 in een school zwemt en dan gebeten wordt...

Sterker nog, die 40.000 valt zeker meer op en is ook interessanter om aan te vallen want meer kans dat je met 1 hap een vis te pakken hebt.

Maar de excelsheet managers van afgelopen 20 jaar maken de ene na de andere fout... Outsourcing naar India.. (leuk als je eigen medewerker dan een indisch sprekend persoon aan de lijn krijgt en denkt dat ie gephished wordt en op hangt en niet een netwerk critisch probleem tackelt met deze indische persoon aan de telefoon...) Dan maar outsourcen naar Polen... maarja, daar hebben het woord CAO ook gehoord en overuren kosten daar 4 keer zoveel dan hier.. Dan maar naar de CLOUD... want dat is de nieuwste Nike Air, Apple Air of blackberry voor managers.... "wat, heb jij nog geen cloud.. wat loop jij achter pummel... Ga jij maar naar hole 11 leul...kom pieter-jan-van-achter-tot-voren, we gaan nog een bahlletje slaan"

maarja, cloud is wel erg afhankelijk van je internet verbinding.... en een dikke internet pijp met zakelijke dienstverlening heb je niet voor 35 euro in de maand. Mijn MPLS aansluiting op een wolk van een grote telco kost 25.000 euro per maand en dan heb je nog maar 2x80mbps... kun je heel wat glasvezel, adsl en kabel abbonnementjes van aanschaffen... dat is niet voldoende als je 500 man hebt youtuben, facetwitten en instabooken, laat staan als er ook nog e-mail, voip en wat bedrijfs communicatie overheen moet... maar daar hebben ze op de golfbaan toch geen verstand van.. internet verbindinkje van 500mbps op glasvezel hebben ze thuis immers ook voor 75 euro of minder...
10-06-2017, 16:45 door Wim ten Brink
Het maakt duidelijk hoe kwetsbaar clouddiensten kunnen zijn. Als een enkele beheerder al zoveel data kan wissen in een kwade bui vraag ik mij af of we eigenlijk wel cloud-technologieën moeten gebruiken.
Ik vraag mij af hoeveel schade dit uiteindelijk oplevert. Die verloren klant-data kan veel waarde vertegenwoordigen. Denk hierbij aan diverse documenten, code-repositories, orderinformatie en natuurlijk veel fotomateriaal.
De vraag is nu vooral in hoeverre Verelox contractueel opdraait voor deze schade. De site ligt momenteel gewoon plat met alleen die specifieke boodschap maar gelukkig is er nog het Internet archief. http://web.archive.org/web/20160423121754/https://verelox.com/legal/terms
En tja... De klant is zelf verantwoordelijk voor het bijhouden van een backup. Het lijkt erop dat een financiële compensatie niet betaald gaat worden aan alle klanten. En dat is toch iets waar je ook op moet letten als je gebruik gaat maken van een clouddienst. Als je cloud neergaat wegens problemen bij de cloudprovider dan moet je contractueel toch de schade kunnen verhalen op die provider. Maar omdat het meestal B2B contracten betreft sta je als klant al snel in de kou in dit soort situaties...
10-06-2017, 17:18 door Tha Cleaner
Door Wim ten Brink: Het maakt duidelijk hoe kwetsbaar clouddiensten kunnen zijn. Als een enkele beheerder al zoveel data kan wissen in een kwade bui vraag ik mij af of we eigenlijk wel cloud-technologieën moeten gebruiken.

Goede vragen. Maar om betrouwbare cloud diensten te selecteren zijn gewoon certificeren voor. Het gevoel bij ik bij dit bedrijf krijg, is dan men gewoon zelf de zaakjes duidelijk niet on orde heeft. Bij een goede architectuur is dit gewoon nooit mogelijk. Achterdeur of niet. Hier hebben gewoon beheerder/architecten zitten slapen.

Ofwel een (cloud/hosting) bedrijf was zijn zaakjes niet op orde heeft. Helaas heb je als klant hier niet zoveel aan.

Met een 2FA icm goed beheers netwerk had dit gewoon nooit mogen gebeuren.
10-06-2017, 18:10 door karma4
Door Tha Cleaner:
......
Ofwel een (cloud/hosting) bedrijf was zijn zaakjes niet op orde heeft. Helaas heb je als klant hier niet zoveel aan.
......
Je hebt gelijk, alleen zou ik zeggen dat zodra een beheerder uit dienst gaat azijn rechten ingetrokken moeten kunnen worden. Een beetje afhankelijk hoe de relatie zit zeer snel dan wel afbouwend gecontroleerd.
10-06-2017, 18:24 door mcb
Door Wim ten Brink: Het maakt duidelijk hoe kwetsbaar clouddiensten kunnen zijn. Als een enkele beheerder al zoveel data kan wissen in een kwade bui vraag ik mij af of we eigenlijk wel cloud-technologieën moeten gebruiken.
Volgens mij is dit een risico bij alle bedrijven waar een niet al te grote beheerdersgroep zit en niet alleen bij clouddiensten.
Interne sabotage kan altijd grote gevolgen hebben vooral als een paar personen erg veel rechten hebben.
10-06-2017, 19:03 door Anoniem
Indien er een systeem beheerder uit dienst gaat/ontslagen wordt, dan pas je ALLE admin wachtwoorden aan en trekt zijn account in voordat die gast zijn ontslag krijgt. Op die manier kan hij nog vrij weinig doen, het gevaar van al ingebouwde backdoors is nauwelijks tegen te gaan en hieruit blijkt maar weer dat admins NOOIT alle rechten over de hele infrastructuur moeten krijgen maar dat de rollen en rechten verspreid dienen te zijn over meerdere admins.

Je kan het bijna niet tegenhouden dat er iemand een mini-computertje ergens verstopt binnen het netwerk wat op een bepaald moment getriggerd wordt om lelijke dingen te gaan doen.
10-06-2017, 19:37 door Anoniem
Ontslag ligt gevoelig.
Ik weet niet wat hier is gebeurd, maar bedrijven moeten niet te makkelijk personeel ontslaan.
Als dat hier wel gebeurd zou zijn, dan kan ik me deze reactie wel een beetje voorstellen.
10-06-2017, 20:27 door karma4
Door Anoniem: Ontslag ligt gevoelig.
Ik weet niet wat hier is gebeurd, maar bedrijven moeten niet te makkelijk personeel ontslaan.
Als dat hier wel gebeurd zou zijn, dan kan ik me deze reactie wel een beetje voorstellen.
Ook al ligt het gevoelig het is nooit goed te praten om op zo'n manier je gelijk te halen. Er zijn andere wegen.
10-06-2017, 22:23 door Anoniem
Door Tha Cleaner: Met een 2FA icm goed beheers netwerk had dit gewoon nooit mogen gebeuren.
Het had gewoon nooit mogen gebeuren, punt. "2FA" doet er overigens niets aan en is dus weer een mooi staaltje security buzzwords en wensdenken.

Door karma4: Ook al ligt het gevoelig het is nooit goed te praten om op zo'n manier je gelijk te halen.
Goed te praten, nee. Maar doe je zoiets dan ben je meestal ook niet echt meer geinteresseerd in goedpraten. Dat is dan een reeds lang geleden gepasseerd station.

Er zijn andere wegen.
Het is makkelijk praten voor de buitenstaander.

Geen idee wat er deze figuur door z'n hoofd ging, maar ik heb zelf op een haar na deze beslissing genomen, om voor mij toen zeer zwaarwegende redenen. Ik had het kunnen doen, alles was lokaal en ik had zelfs alle source backups, zeg maar het hart van het softwarehuis, in beheer. Mijn hobbithol was de designated off-site backup. Dat ik het uiteindelijk niet gedaan heb heeft niets van doen met "goedpraten" of wat de buitenwacht er van zou vinden. De enige redenen die voor mij telden waren dat ik van deze *censuur* *censuur* *censuur* *censuur* *censuur* *censuur* af wilde en als ze achter me aan zouden komen wegens een rokende krater achterlaten dan zou dat mij geen rust hebben opgeleverd. Wat uiteindelijk toch zwaarder woog dan even flink wraak nemen, hoezeer ze het ook verdienden.

Achteraf gezien had ik ze mischien kapot moeten procederen wegens "constructive dismissal", belastingfraude, en andere malversaties. Naast alle hemeltergend slechte management en medische noodgevallen onder hun neus laten ontstaan. Maar alweer, ik wilde alleen maar rust.

Het is zo'n 12 jaar geleden en ik ben het nog steeds niet echt te boven. Gewoon om even perspectief te bieden hoe hard zoiets kan inhakken. Ja, het hoort niet. Nee, je kan het niet zomaar wegwuiven met wat vingergezwaai. Dat is veel te makkelijk gedacht.
10-06-2017, 23:34 door Anoniem
Afijn deze man/vrouw moet dus de schade gaan betalen. Lange rechtzaken etc etc. Ondanks de geloofwaardigheid van het bedrijf in kwestie is aangetast is het lastig te voorkomen. Normaliter bestaan er langdurige relaties direct of indirect met ex werkgevers. Je pakt de werkgever immers veel harder om je ziek te melden voordat je wordt ontslagen. Ander soort wraak wat veeeeeel vaker voorkomt en emotionele zaken zijn lastig hard te maken.
11-06-2017, 00:27 door Anoniem
Door karma4:
Door Anoniem: Ontslag ligt gevoelig.
Ik weet niet wat hier is gebeurd, maar bedrijven moeten niet te makkelijk personeel ontslaan.
Als dat hier wel gebeurd zou zijn, dan kan ik me deze reactie wel een beetje voorstellen.
Ook al ligt het gevoelig het is nooit goed te praten om op zo'n manier je gelijk te halen. Er zijn andere wegen.
Daar denk je meestal niet als eerste aan als het heel kloterig is gegaan.
11-06-2017, 01:04 door Anoniem
@ anoniem van 22.23

En dan komen we opnieuw uit by de dystopie, die we nu hebben en die we aan kunnen merken als oorzaak.
Kunnen we dit uitleggen aan de mensen die het niet begrijpen.?

De beslissers zijn managers, maar ze begrijpen niet wat ze managen. Degenen, die moeten uitvoeren wat het managment stuurt, hebben vaak geen invloed. Zo is het zakelijk, zo is het op de hele infrastructuur. Zo is het bij het security onderricht. En oversight ontbreekt. Omdat big biz gebiedt of dat vanzelfsprekend vindt. Zo gaat dat.
Slimmerikken lopen eerder in de weg, dan dat ze gewenst zijn.

Autoriteit is in vele gevallen geen verworven autoriteit meer. De bouwmesster was iemand die een molen kon tekenen, maar ook een gewelf kon uitslaan, Zijn leerlingen en personeel keken naar hem op. Hij had natuurlijk gezag.

Bij website security zie ik het werk van de "good, bad & ugly", waar de goed gebouwde en beveiligde websites een minderheidspositie innemen. Ik kan alleen maar spreken over dingen waar ik verstand van heb en dat is cold reconnaissance website security.

Na mijn NT4 en de kernel opleiding, heb ik wel mijn eigen dhcp-servertje in kunnen kloppen, die mijn telco router, die men benaderen kan als micro-httpd server enigszins aan banden legt. Netjes worden alle apparaatjes in mijn thuisnetwerkje nu voorzien van adresjes uitgedeeld door dhcp op 192.1.168.1.1.

Als de eindgebruiker is goed IP ranges kon blokkeren, alsmede ads en scripts, ging men misschien iets begrijpen van de digitale omgeving waar ze elke dag vele uurtjes op bezig kunnen zijn.

Ze begrepen dan certificering, sri hashes, waarom server certificaten niet als root moeten worden geserveerd, Waarom hun Telco, meestal in samenhang met KPN hen bestookt met trackers van w4.isad.nl, waarvan de server identiteit niet kan worden vastgelegd, EK Analytics die ook via het algoritme kijkt naar de cultuur van degene die geprofileerd wordt via IS Interned Service Telecity Redbus2, Purmerend.

Als vrijwillig error-huntertje doe ik dus nog volop mee en het geeft me vreugde elke dag weer nieuwe verbanden te zien en gevaarlijke code als het ware te kunnen ruiken. Veel geleerd ook op StackOverflow. Het houdt je jong ondanks het stelletje kruisjes van je leeftijd.

Ik begrijp het spanningsveld, de druk en de frustraties. Helaaas komen er alleen maar meer mensen, die niet meer geleerd hebben, hoe de even en oneven maaden op de knokkels van hun naast elkaar liggende knuisten te tellen,
laat staan dat ze er andere verstandige dingen mee kunnen, het beperkt zich tot wat actie via twee duimtoppen.
Meer fails, meer spanningen. Goed wordt het noot meer, iets beter misschien? Optimist tot in de kist, dat is de goede houding!
11-06-2017, 01:59 door Anoniem
Ten eerste; dit had absoluut niet mogelijk moeten zijn. Inderdaad zodra een Admin uit dienst gaat op z'n minst alle accounts die hem toebehoren locken en de admin/root wachtwoorden wijzigen.

Hoewel er uiteraard bij de klant een verantwoordelijkheid ligt kan Verelox zeker niet van zijn verplichtingen worden ontslagen en zou dit, mijn inziens, een behoorlijke schadepost voor hen kunnen worden. Immers de data is niet verloren gegaan door een storing of een uitzonderlijke situatie die niet van te voren was te voorspellen. Er is hier sprake van het opzettelijk wissen van gegevens door een ex werknemer wat voorkomen had kunnen worden wanneer gedegen security richtlijnen waren nageleefd.

Ik kan absoluut begrijpen dat je een bedrijf wilt terug pakken dat jou, in jouw ogen, groot onrecht heeft aangedaan. Toch vind ik dit niet de manier doordat je hier ook de klanten mee benadeeld. Had dan de data gekopieerd en voor ransom gehouden bijvoorbeeld.
Ik zelf heb mij na ontslag ooit toegang verschaft tot het netwerk en door in te loggen op de telefoon centrale een extensie doorgeschakeld naar een 0906 lijn. Vervolgens belde ik via Voipbuster freedays naar de extensie vanuit huis en koos op de 0906 lijn het account dat ik daar had aangemaakt. Laat ik het zo zeggen, daarmee ging m'n ontslagvergoeding van 0 naar een paar maand salarissen. :) Tot ik na een week of 3 een mail van KPN in de mailbox van de nieuwe beheerder zag binnenkomen over langdurige gesprekken naar 0906 lijnen. :) Toen ben ik uiteraard direct gestopt..
11-06-2017, 05:47 door karma4 - Bijgewerkt: 11-06-2017, 08:07
Door Anoniem:
Het had gewoon nooit mogen gebeuren, punt. "2FA" doet er overigens niets aan en is dus weer een mooi staaltje security buzzwords en wensdenken.
Als je 2fa zou zien als een aparte User privilege escalatie van het aparte tweede persoonlijke account als beheerder naar root sysadmin of welk ander high privileged accountant heb ik met een 2fa aanduiding op dat punt vrede.


Goed te praten, nee. Maar doe je zoiets dan ben je meestal ook niet echt meer geinteresseerd in goedpraten. Dat is dan een reeds lang geleden gepasseerd station.
Slecht onkundig management zal geen houvast bieden bij een rechtszaak waarmee je iets kan winnen. Duidelijke belastingfraude wel de fiod heeft daar tiplijnen voor. Mmedische missers moeten echt aantoonbaar zijn. Het medisch tuchtcollege heeft een slechte naam in het kritisch zijn, de controles zoals vanuit nza (gotlieb) financieel gedreven vanuit de politiek echt niet voor betere medische kwaliteit.

Het is makkelijk praten voor de buitenstaander.
Er zijn velen met gelijksoortige ervaringen. Je ka n er ook zo insteken dat je veel hebt mogen doen en veel geleerd hèbt. Zit er een leuke financiele vergoeding bij dan verzacht dat voor de tijd om te gaan. Een 70k is wat dat betreft niet veel.

Maar waarom de boel in rokende puinhoop achterlaten? Was het zo slecht wat je gedaan hebt? Als dat wel goed is/was moet je jezelf een compliment maken en dat gebruiken voor de toekomst.
11-06-2017, 10:41 door Anoniem
Door karma4:
Het is makkelijk praten voor de buitenstaander.
Er zijn velen met gelijksoortige ervaringen. Je ka n er ook zo insteken dat je veel hebt mogen doen en veel geleerd hèbt. Zit er een leuke financiele vergoeding bij dan verzacht dat voor de tijd om te gaan. Een 70k is wat dat betreft niet veel.
Je zit nog steeds vast in je eigen wereldje. "Dankbaarheid" is vrij betekenisloos als je iedere dag een uur koud moet douchen na het wakkerworden voor je je woede een beetje afgekoeld hebt zodat je de dag kan beginnen. Dit bandmerkt je als werknemer dus geen andere werkgever zal je aan willen nemen. Je bent zelf een giftige werknemer geworden, en even overstappen zit er dus gewoon niet in.

En onslagvergoeding? Denk "minder dan niets", wegens truukjes, malversaties, en fraude van de CFO. Ik was naïef en de CFO was vreselijk gehaaid, ook tegenover het eigen personeel. Dat was bekend behalve dat niemand mij dat ook even verteld had, en ik was te druk om het op te merken voordat het te laat was. Heel fijn.

Maar waarom de boel in rokende puinhoop achterlaten? Was het zo slecht wat je gedaan hebt? Als dat wel goed is/was moet je jezelf een compliment maken en dat gebruiken voor de toekomst.
Ik ben nog twee keer teruggevraagd door mijn opvolger, expliciet om mijn technische kunde. Mijn bloeddruk stond dat niet toe. Beantwoordt dat je vraag?

Problemen die hij naar eigen zeggen ook had, overigens. "Als ik niet wist dat je al bij de dokter liep wegens je bloeddruk had ik acuut een ambulance laten komen" -- apotheker bij check-up tegen opvolger.

Hij was ook zeker niet de enige in dat bedrijf met vergelijkbare problemen.
11-06-2017, 14:24 door karma4
Door Anoniem:
Je zit nog steeds vast in je eigen wereldje. "Dankbaarheid" is vrij betekenisloos als je iedere dag .....
....
Mijn bloeddruk stond dat niet toe. Beantwoordt dat je vraag?
..
Het is geen eigen wereldje. Genoeg gezien van collega's nabij in de eigen nabije omgeving en zelf ervaren. Daar zaten heel gekke zaken bij en her der verrassingen die je niet bedenkt.

Voor dat afstand wegens de emoties dat is verstandig.
Je eigen gezondheid is belangrijk.
11-06-2017, 15:25 door Anoniem
Door karma4: Voor dat afstand wegens de emoties dat is verstandig.
Je eigen gezondheid is belangrijk.
Er zijn momenten dat zoiets opmerken een nuttige toevoeging kan zijn.
11-06-2017, 17:52 door Anoniem
Ah, het blijkt dat een medewerker (meer?) geld wilde zien.
Toen hij dat niet kreeg, begon hij met het systeem te rotzooien om de boel plat te kunnen gooien.
Toen dat werd ontdekt, werd hij op staande voet ontslagen.
Nadat dit was gebeurd, gooide hij m.b.v. een backdoor die hij al had gemaakt de boel plat.
http://nieuws.tpo.nl/kort-nieuws/2017/06/10/boze-werknemer-dupeert-hosting-provider/
volgens eigenaar: Vishaal Soekhradj.

Maar was deze tent oorspronkelijk niet een "unmanaged" team toen ze in 2014 deze toko oprichtten?
Hoe kan er dan opeens sprake zijn van een "eigenaar"? (die dan vanzelf opeens ook het meeste geld moet verdienen?)
11-06-2017, 18:37 door Anoniem
Prutsers bedrijf. Hoort gewoon niet te kunnen.
11-06-2017, 20:53 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Ontslag ligt gevoelig.
Ik weet niet wat hier is gebeurd, maar bedrijven moeten niet te makkelijk personeel ontslaan.
Als dat hier wel gebeurd zou zijn, dan kan ik me deze reactie wel een beetje voorstellen.
Ook al ligt het gevoelig het is nooit goed te praten om op zo'n manier je gelijk te halen. Er zijn andere wegen.
Daar denk je meestal niet als eerste aan als het heel kloterig is gegaan.

Allemaal flut excuses, gewoon zelfbeheersing, je weet wel het verschil tussen volwassen en kind. (Behoor je dus tot de laatste categorie, dan hoor je niet in de it te werken maar in een zandbak te spelen)

Je krijgt als het goed is loon voor elke maand arbeid die je leverd, daarmee is de kous af.

(Ontslagvergoeding is mooi als je het krijgt (in nl), maar er zijn genoeg die niets krijgen. En wat mij betreft ook niet meer van deze tijd. Het is ook niet zo dat als een werknemer een beter betaalde baan vindt, dat hij zijn oude werkgever een premie geeft. Je weet wel voor het opnieuw investeren in het kennisniveau etc. etc.)
11-06-2017, 22:45 door Anoniem
Niet automatisch "heel gewoon". In ieder geval niet in alle situaties.
Stel dat iemand "ouwe jongens krentenbrood" jarenlang zijn ziel en zaligheid in dat bedrijf heeft gelegd en zich helemaal de pestpokke heeft (over)gewerkt en vervolgens gaat iemand die nauwelijks een zak heeft uitgevreten er met de poet vandoor (oneerlijk door verduistering of zo) of men betaalt doodleuk geen overuren of salaris uit o.i.d. dan kunnen in de bovenkamer de stoppen wel eens doorslaan. Je moet eerst precies de situatie weten voordat je kunt oordelen.
Je zou eerder denken: als iemand zo uit z'n slof schiet, dan is er vast iets heel ergs gebeurd.
12-06-2017, 00:11 door gogonal - Bijgewerkt: 12-06-2017, 00:13
'Ex-beheerder wist servers Haags hostingbedrijf Verelox'

Ik zou als Verelox toch wat voorzichtiger zijn met dit soort overhaaste statements. Je bent in Nederland nog altijd onschuldig tot het tegendeel is bewezen en de rechter zich erover heeft uitgesproken. Er kunnen meerdere scenario's spelen. Inloggegevens kunnen bijvoorbeeld worden misbruikt door anderen, etc.

Security.nl zou slim zijn als ze deze kop tussen enkele aanhalingstekens hadden geplaatst: 'Ex-beheerder wist servers Haags hostingbedrijf Verelox'
12-06-2017, 00:20 door Anoniem
Ha gogonal,

Er staat in het bericht nergens dat het kwaad opzet was. Dat de beheerder heeft gewist is eenvoudig vast te stellen, dat is dan geen onwaarheid. De rest is inderdaad aan de rechter, als het zo ver komt. Verder staat er 'naar eigen zeggen', dat is net zo iets als "vermeend". Stellige uitspraken werden niet gedaan, de dader blijft derhalve een vermeend dader.

Maar je hebt gelijk bij publieke reacties altijd even blijven denken over het algemene kader van wat kan ik wel en wat kan ik niet zeggen, maar men weet .... een kniesoor....
12-06-2017, 08:17 door Anoniem
Nou, daar schiet die persoon ook niets mee op dan. Ik ken wel een waargebeurd verhaal van een beheerder die ontslagen werd en die alle servers en backups verblijde met encryptie. Vervolgens vertrok hij naar Isnietbekendistan met een niet uitleververdrag en belde doodleuk met zijn ex-baas dat deze de sleutel kon kopen voor $10.000.000,-. Baas ging natuurlijk niet akkoord en zou hem van alles en nog wat... Maar betaalde netjes na heel korte tijd. Omdat een concern zich niet zulke nieuwsfeiten kan veroorloven.
Moraal: Een cursus Security en IAM kost 10 miljoen als je niet oplet.
12-06-2017, 09:50 door Anoniem
Door Anoniem: Allemaal flut excuses, gewoon zelfbeheersing, je weet wel het verschil tussen volwassen en kind. (Behoor je dus tot de laatste categorie, dan hoor je niet in de it te werken maar in een zandbak te spelen)
Tjongejongejonge...

Een paar punten:

1. Niemand heeft een incasseringsvermogen dat ongelimiteerd is. Er is altijd een niveau van stress en getreiter denkbaar waar je niet meer tegen kan. En het is bekend dat stress je IQ met 10-15 punten doet dalen. Mensen gaan met andere woorden domme dingen doen als ze onder te veel druk staan. Dat zeg ik niet om domme dingen goed te praten, maar omdat het een gegeven is, en het is dom om met zo'n gegeven geen rekening te houden. En die domheid is net zo min goed te praten.

2. Als je vindt dat iedereen maar hetzelfde oneindige incasseringsvermogen moet hebben dat je jezelf vermoedelijk toeschrijft, vind je dan ook dat de talenten van al die mensen met een eindig incasseringsvermogen maar onbenut moeten blijven? Zou de maatschappij niet beter af zijn als die talenten wel beschikbaar zijn om te benutten? Voor mij is dat een open deur.

3. Als de mensen zonder indrukwekkend incasseringsvemogen maar in de zandbak moeten spelen, ben jij, samen met het selecte clubje sterke mensen, bereid om in het onderhoud van al die anderen te voorzien?
12-06-2017, 12:19 door Anoniem
Door Anoniem: Nou, daar schiet die persoon ook niets mee op dan. Ik ken wel een waargebeurd verhaal van een beheerder die ontslagen werd en die alle servers en backups verblijde met encryptie. Vervolgens vertrok hij naar Isnietbekendistan met een niet uitleververdrag en belde doodleuk met zijn ex-baas dat deze de sleutel kon kopen voor $10.000.000,-. Baas ging natuurlijk niet akkoord en zou hem van alles en nog wat... Maar betaalde netjes na heel korte tijd. Omdat een concern zich niet zulke nieuwsfeiten kan veroorloven.
Moraal: Een cursus Security en IAM kost 10 miljoen als je niet oplet.

Moraal: goedkoop is duurkoop,
Als je 10kk kan ophoesten, had je ook meer kunnen besteden aan kwalitatief systembeheer.

Dit 'type' personen kan je misschien wel psychologisch screenen. Lijkt me toch dat dit gedrag voorspelbaar moet zijn. Daarnaast ook kiezen voor iemand met gezin (maar ja ouder he, kost meer)

Het enige goede aan dit soort acties is, dat er misschien andere bedrijven van leren, en het beter gaan doen.
12-06-2017, 14:06 door Anoniem
Door Anoniem: Ha gogonal,

Er staat in het bericht nergens dat het kwaad opzet was. Dat de beheerder heeft gewist is eenvoudig vast te stellen, dat is dan geen onwaarheid. De rest is inderdaad aan de rechter, als het zo ver komt. Verder staat er 'naar eigen zeggen', dat is net zo iets als "vermeend". Stellige uitspraken werden niet gedaan, de dader blijft derhalve een vermeend dader.

Maar je hebt gelijk bij publieke reacties altijd even blijven denken over het algemene kader van wat kan ik wel en wat kan ik niet zeggen, maar men weet .... een kniesoor....

O gutteguttegut.... Waarvoor heb ik eigenlijk de moeite genomen gisteren 17:52 dit bericht te posten?
Er is inmiddels dus wel bekend dat het kwaad opzet was:

Ah, het blijkt dat een medewerker (meer?) geld wilde zien.
Toen hij dat niet kreeg, begon hij met het systeem te rotzooien om de boel plat te kunnen gooien.
Toen dat werd ontdekt, werd hij op staande voet ontslagen.
Nadat dit was gebeurd, gooide hij m.b.v. een backdoor die hij al had gemaakt de boel plat.
http://nieuws.tpo.nl/kort-nieuws/2017/06/10/boze-werknemer-dupeert-hosting-provider/
volgens eigenaar: Vishaal Soekhradj.

Maar was deze tent oorspronkelijk niet een "unmanaged" team toen ze in 2014 deze toko oprichtten?
Hoe kan er dan opeens sprake zijn van een "eigenaar"? (die dan vanzelf opeens ook het meeste geld moet verdienen?)
13-06-2017, 13:40 door Wim ten Brink
Door karma4:
Je hebt gelijk, alleen zou ik zeggen dat zodra een beheerder uit dienst gaat azijn rechten ingetrokken moeten kunnen worden. Een beetje afhankelijk hoe de relatie zit zeer snel dan wel afbouwend gecontroleerd.
In dit geval was dat lastig aangezien de ex-beheerder had gezorgd dat hij extra backdoors had verkregen tot het systeem van Verelux, waardoor hij gewoon toegang had, ook al waren zijn rechten ingetrokken. Daar doe je dan weinig tegen. In ieder geval is die beheerder met voorbedachte rade te werk gegaan.
Dit betekent eigenlijk ook dat je een beheerder die je wilt ontslaan ook per direct naar huis moet sturen en direct de rechten moet ontnemen op het moment van ontslag. Niet direct ontslag op staande voet maar hij mag gewoon de rest van de tijd thuis op de bank gaan zitten, of zo.
13-06-2017, 13:55 door Wim ten Brink
Door Anoniem: Afijn deze man/vrouw moet dus de schade gaan betalen. Lange rechtzaken etc etc. Ondanks de geloofwaardigheid van het bedrijf in kwestie is aangetast is het lastig te voorkomen. Normaliter bestaan er langdurige relaties direct of indirect met ex werkgevers. Je pakt de werkgever immers veel harder om je ziek te melden voordat je wordt ontslagen. Ander soort wraak wat veeeeeel vaker voorkomt en emotionele zaken zijn lastig hard te maken.
Meh! Denk dat dit weinig indruk maakt. Deze beheerder heeft bewust vernielingen uitgevoerd, wetende dat hij daarbij mogelijk gepakt zou worden. En dat maakt kennelijk weinig indruk op hem. De schade zal enorm oplopen en veel klanten van Verelux gaan nu vast overstappen naar een andere provider zodat het nog maar de vraag is of Verelux kan blijven voortbestaan. Waarschijnlijk gaan ze nu failliet en staan alle werknemers op straat en zal iedereen proberen hun schade te verhalen. Alleen, wie moet die schade gaan vergoeden?
De ex-beheerder is de eerste keuze maar die gaat waarschijnlijk ook de cel in en zal mogelijk niet genoeg bezitten om alles te vergoeden. Een huis van twee ton minus een hypotheek van anderhalf ton en mogelijk 20,000 euro spaargeld en wat andere bezittingen en dan heb je wel het maximum bereikt van wat hij zou kunnen vergoeden. Verelux zal als eerste dat proberen te claimen maar alle klanten gaan gewoon hun schade verhalen op Verelux, aangezien het bedrijf uiteindelijk de verantwoording had voor een goede beveiliging.
Dus Verelux dan, die de schade mag proberen te verhalen bij de verzekeraars. Hopelijk zijn ze goed verzekerd. Verelux zal ook proberen door middel van hun algemene voorwaarden om zoveel mogelijk schade af te wijzen, aangezien de klanten zelf voor backups verantwoordelijk waren. Enige verwijt zou dan eerder de lange downtime van de services kunnen zijn, wat misschien betekent dat ze 2 maanden per klant aan abonnementskosten moeten terugbetalen.
De verzekering zal ook samen met Verelux proberen om alle klanten door te verwijzen naar de ex-beheerder met de melding dat ze maar achteraan aan moeten sluiten bij de rest van de schuldeisers. En als dat niet werkt zal de verzekering proberen om zelf er onder uit te komen door aan te geven dat de verzekering om wat voor reden dan ook dit soort schade gewoon niet dekt.
En dan de klanten zelf, die als het goed is dagelijks een backup van hun data maakten en regelmatig een backup van de gehele site. Immers, dat moesten ze doen volgens de algemene voorwaarden omdat Verelux daar niet verantwoordelijk voor was. Dat betekent dat ze dataverlies niet als schadepost kunnen claimen en het dus moeten houden met verloren inkomsten omdat hun services al een tijdje plat liggen. En dan hangt het af van welke inkomsten ze hieruit verkregen en dat bedrag kon nog best laag uitvallen.
Maar misschien dat zelfs enkele klanten hierdoor failliet gaan omdat ze hun backups niet op orde hadden en nu veel data missen die grote waarde voor hen heeft. Klanten die b.v. een webwinkel hebben draaien bij Verelux zijn nu mogelijk hun eigen klantdata kwijt, inclusief alle orders binnen het systeem. Goed, de betere webwinkels zullen deze data snel naar hun eigen systemen kopiëren maar de kleine winkels doen mogelijk alles online. En die zitten dan flink in de problemen...
14-06-2017, 14:36 door Anoniem
Tja, 'cloud' is niet veilig... :-)

Als bedrijven zaken zelf hosten, dan kan daar hetzelfde gebeuren door een ontevreden (ex-) medewerkers. De cloud is niet per definitie (on) veiliger dan zelf hosten als bedrijf, dat verschilt van geval tot geval. Net zoals het ene bedrijf zaken beter kan beveiligen dan een cloud aanbieder, en het andere bedrijf niet. In alle gevallen werk je met mensen, en daar kan een rotte appel tussen zitten.
14-06-2017, 14:41 door Anoniem
Ontslag ligt gevoelig. Ik weet niet wat hier is gebeurd, maar bedrijven moeten niet te makkelijk personeel ontslaan.
Als dat hier wel gebeurd zou zijn, dan kan ik me deze reactie wel een beetje voorstellen.

Ontslag is nooit leuk, maar rechtvaardigt dit soort wraak akties nooit en te nimmer. Begrip voor een aktie als deze is volslagen misplaatst. Onterecht ontslag kan je aanvechten, om je recht te halen. En bij terecht ontslag moet je niet zeuren. Ik vind het merkwaardig hoe je hier schijnbaar de werkgever als (mede) schuldige lijkt te positioneren. Dat ontslagen worden niet leuk is, dat is een open deur.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.