Datalek onthult duizenden sollicitanten beveiligingsbedrijf VS
Door een datalek waren de privégegevens van duizenden mensen die bij een privaat Amerikaans beveiligingsbedrijf solliciteerden, en eerder bij de Amerikaanse overheid actief waren en over 'top secret' machtigingen beschikten, voor iedereen op internet toegankelijk. Dat meldt securitybedrijf UpGuard.
Onderzoeker Chris Vickery van UpGuard ontdekte op 20 juli een Amazon Web Services S3-bucket die voor iedereen toegankelijk was. Dit is de cloudopslagdienst van Amazon waar organisaties allerlei gegevens op kunnen slaan. In het geval van deze specifieke S3-bucket werden 9400 documenten gevonden van mensen die bij het private beveiligingsbedrijf TigerSwan hadden gesolliciteerd.
De documenten bevatten namen, adresgegevens, telefoonnummers, e-mailadressen en rijbewijsnummers, alsmede informatie over de vorige werkgever. Zo werd er informatie van vier Irakezen en vier Afghanen aangetroffen die eerder als tolk voor de coalitietroepen in Irak en Afghanistan actief waren. Ook werden er gegevens gevonden van Amerikaanse politieagenten, inlichtingenpersoneel en militairen die onder andere in Irak en Afghanistan dienden. 295 sollicitanten claimden dat ze eerder een 'top secret' machtiging hadden.
Hoewel TigerSwan op 21 juli werd ingelicht, werden de gegevens pas op 24 augustus beveiligd. Volgens TigerSwan was een derde partij verantwoordelijk voor het niet beveiligen van de gegevens. Het contract met deze partij was al eerder dit jaar in februari opgezegd. Volgens de onderzoekers laat dit 'cloudlek' opnieuw zien hoe belangrijk het is dat organisaties en de leveranciers met wie ze samenwerken ervoor zorgen dat gegevens tegen misconfiguraties en andere fouten beschermd zijn. In dit geval waren de standaardinstellingen van de S3-bucket aangepast zodat de informatie voor iedereen op internet toegankelijk was. Alleen het kennen van de url was voldoende.
En het valt op dat er nogal eens een keer wat mis is met Amazon cloud opslagdienst.
En het valt op dat er nogal eens een keer wat mis is met Amazon cloud opslagdienst.
Cloud ??
Moeten we hier nog iets over zeggen / uitleggen ?
3 jarige kids zijn nog slimmer
Cloud ??
Moeten we hier nog iets over zeggen / uitleggen ?
3 jarige kids zijn nog slimmer
Jij weet blijkbaar niet hoe AWS werkt en de mensen die deze fout veroorzaken ook niet, het is zo makkelijk om AWS daar de schuld van te geven. Dit is geen cloud probleem, maar een eindgebruiker fout.
En het valt op dat er nogal eens een keer wat mis is met Amazon cloud opslagdienst.
Het valt mij ook nog al eens op dat er vaak domme opmerkingen over gemaakt worden door personen die er helemaal niets van snappen.
En net zoals over al, als je beheerders er een pijnhoop van maken, dan maakt het niet uit, wat je draait, waar je het draait. Een ophoop of foute configuratie kan je overal maken. Zoals dit ook weer bewijst.
Het blijkt dan ook door vertrouwelijk info die het volledige bedrijf rond gaat.
Het zijn ook deze personen die telkens mensen aanzetten tot een volledige tijdslijn uit te zetten.
Zij kunnen niet omgaan met een onbekende factor en dat maakt dat mensen die het achterhouden van qualified info moeilijk aan de bak komen.
Het is de overheid die hier te kort schiet door het niet te reguleren en deze periode verplicht onder qualified te steken.
Een dienst die dan over deze info gaat en gewoon kan melden dat simpele hr-personeelslid er gewoon geen zaken mee heeft.
Er werd mij al veel gemeld een projectnaam te dienen te vermelden.In vele gevallen vroegen ze nog net niet de wachtwoorden van het betreffende bedrijf . In vele gevallen zie je die persoon tilt slaan als je siberis stil blijft.
In sommige gevallen gaan ze dan zover dat zij denken dat je ex gedetineerde bent gewoon wansmakelijke idioten die headhunters.
oftewel, soms hebben mensen niet door dat de techniek die ze gebruiken ze net aan boven de pet gaat.
Gaat het niet om de vraag of zaken fatsoenlijk beveiligd worden, en of gevoelige data encrypted wordt opgeslagen ? Je kunt zaken veilig, danwel onveilig, opslaan in de cloud. Ben je zelf verantwoordelijk voor. En indien je een prutser bent, dan is zelf hosten echt niet per definitie veiliger. Kan net zo goed mis gaan.
Misschien kan je even uitleggen waarom anderen zo dom zijn, en wat er zo geniaal is aan je eigen reactie. Beveiliging hangt af van de maatregelen die je neemt, en niet van een merknaam. Of van de vraag of je shared hosting, dedicated hosting, cloud hosting, of hosting in eigen beheer gebruikt.
Indien de gegevens waarover het hier gaat met fatsoenlijke encryptie waren opgeslagen, dan hadden de aanvallers bestanden gehad waar ze niets mee konden. En als de systemen beter waren beveiligd, dan had men niet bij deze informatie kunnen komen.
Kan gebeuren bij iedere hosting provider, indien je zelf geen oog hebt voor beveliging, en je je zaken niet goed configureert. Dit bedrijf heeft zelf ervoor gezorgd dat hun data toegankelijk was vanaf internet. Lekker boeiend of dat bij Amazon was, of bij een willekeurige andere hosting provider.
De fout is hier gemaakt door een derde partij, die als leverancier niet zorgde voor het goed afschermen van de data. En die zelf de configuratie zo heeft aangepast dat het datalek mogelijk werd. Daar kan een provider, zoals Amazon, weinig aan doen. Met de standaard instellingen kan je niet bij de data komen.
Indien een bedrijf een anonymous FTP host, met al hun bedrijfsgegevens, die voor de hele wereld toegankelijk is, gaan jullie dan ook de provider aansprakelijk houden voor de fouten gemaakt door medewerkers van dit bedrijf ? Of is het dan hun eigen verantwoordelijkheid dat ze zaken onveilig configureren ?
Providers hebben in principe niets te maken met de vraag hoe (on-) veilig de configuratie is van systemen die je bij hun host (buiten de achterliggende infrastructuur natuurlijk). De reacties hier lijken aardig kortzichtig.
Indien jouw systeem wordt gehacked, dan is het zeker ook de schuld van KPN, Ziggo of een andere provider ? Of is het toch echt je eigen verantwoordelijkheid om je systeem veilig te configureren, te patchen en ga zo maar door ? Jouw inzicht in IT beveiliging lijkt minimaal te zijn.
Volgens mij is TigerSwan zelf verantwoordelijk voor de vraag of de gegevens fatsoenlijk beveiligd zijn. Ongeacht of ze die taken uitbesteden aan een derde partij. Typisch een gevalletje van ketenaansprakelijkheid.
Een IT professional, of een C-level medewerker of een beginnend medewerker?
Belangrijk is dat je de patronen bij een data-lek herkent.
De kennis daarvan voorkomt dat data-lek ellende bij je bedrijf ontstaat.
Meest voorkomende oorzaken en aanvalspatronen:
Verschillende optredende fouten, verkeerde configuraties en instellingen – 17.7 %
Insider kennis van en toegangsmisbruik van data– 16.3 %
Fysieke diefstal en verlies van data – 15.1 %
Denial of service – 15 %
Criminele malware – 12.4 %
Web app aanvallen– 8.3 %
Point-of-sale (POS) intrusion malware (aanvallen tijdens verkoop transacties)– 0.8 %
Cyber-spionage – 0.4 %
Carding (betaalkaart skimming etc.) – 0.2 %
Anders - 18,3%
Hierop moet staf en personeel worden voorgelicht, hier dient op te worden gechecked
en preventief gehandeld. Info gegevens uit de Paycheck wereld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
