image

Bron: Bij aanval op Deloitte zijn alle admin-accounts gehackt

dinsdag 26 september 2017, 11:32 door Redactie, 24 reacties

Bij de aanval op accountantskantoor Deloitte wisten de aanvallers alle admin-accounts te hacken en zijn gigabytes aan data buitgemaakt, zo laat een bron met directe kennis van het incident aan it-journalist Brian Krebs weten. Deloitte bevestigde gisteren dat het slachtoffer van een hack is geweest.

De aanval zou echter op een "klein aantal klanten" impact hebben gehad, aldus het bedrijf. Volgens de bron zou de hack in de herfst van 2016 hebben plaatsgevonden en zijn onderzoekers er nog niet zeker van dat de aanvallers van het netwerk zijn verwijderd. Bij de aanval zouden alle admin-accounts zijn gecompromitteerd, alsmede het gehele interne e-mailsysteem. Krebs stelt dat het erop lijkt dat Deloitte wist dat er iets mis was. De bron, die anoniem wil blijven, laat namelijk weten dat in oktober 2016 alle medewerkers van Deloitte in de Verenigde Staten hun wachtwoord en pincode moesten wijzigen.

"Het is spijtig hoe we dit hebben aangepakt en onder het tapijt geveegd. Het ging niet om een klein aantal e-mails zoals werd gemeld. Ze wisten de gehele e-maildatabase en alle admin-accounts te benaderen. Maar we hebben nooit onze klanten geïnformeerd", aldus de bron. Die laat verder weten dat de aanvallers gigabytes aan data naar een server in Groot-Brittannië wisten te sturen en dat Deloitte nog steeds niet precies weet hoeveel gegevens er zijn gestolen.

Reacties (24)
26-09-2017, 12:07 door buttonius
Anyone remember DigiNotar?
Ik ben benieuwd of Deloitte over een jaar nog bestaat.
26-09-2017, 12:14 door Anoniem
https://www.telecompaper.com/nieuws/nctv-nederland-kan-groeiende-cyberdreiging-niet-het-hoofd-bieden--1213399

Laatste alinea: "Volgens een rapport van Deloitte "
26-09-2017, 12:22 door Anoniem
Breach heeft geen enkele impact voor Deloitte NL (buiten imago schade natuurlijk). Breach heeft betrekking op Deloitte in de Verenigde Staten.

De bron, die anoniem wil blijven, laat namelijk weten dat in oktober 2016 alle medewerkers van Deloitte in de Verenigde Staten hun wachtwoord en pincode moesten wijzigen.

Het periodiek wijzigen van dat soort zaken hoort standaard procedure te zijn, afgedwongen middels een security control framework.
26-09-2017, 12:36 door Remmilou
De gebruikelijke strategische stappen:

1 Stilhouden
2 Ontkennen
3 Erkennen van geringe impact
4 Mea culpa
5 Gewoon weer doorgaan
26-09-2017, 13:04 door Anoniem
Door Remmilou: De gebruikelijke strategische stappen:

1 Stilhouden
2 Ontkennen
3 Erkennen van geringe impact
4 Mea culpa
5 Gewoon weer doorgaan

het erge is is dat ze juist pretenderen 1 van de beste te zijn op het gebied van security ...
26-09-2017, 13:11 door Anoniem
Hmmm... Hoe moeten we de Deloitte: Cybersecurity Challenge dan bekijken?

https://www.infosecurity.nl/seminar/Y102
26-09-2017, 13:28 door Anoniem
Door buttonius: Anyone remember DigiNotar?
Ik ben benieuwd of Deloitte over een jaar nog bestaat.
Diginotar was een heel ander bedrijf dan Deloitte, niet te vergelijken.
Waar diginotar moest zorgen voor digitale veiligheid heeft een accountantskantoor heel
andere klanten.dQvdcpy
26-09-2017, 13:46 door buttonius
Door Anoniem: Breach heeft geen enkele impact voor Deloitte NL (buiten imago schade natuurlijk). Breach heeft betrekking op Deloitte in de Verenigde Staten.

De bron, die anoniem wil blijven, laat namelijk weten dat in oktober 2016 alle medewerkers van Deloitte in de Verenigde Staten hun wachtwoord en pincode moesten wijzigen.

Het periodiek wijzigen van dat soort zaken hoort standaard procedure te zijn, afgedwongen middels een security control framework.
De imago schade lijkt me gigantisch. Er zullen zeker klanten weglopen; ook bij de Nederlandse tak.

Een plicht om wachtwoorden periodiek te wijzigen lijdt tot het gebruik van zwakkere wachtwoorden. Het is veel beter je gebruikers ervan te overtuigen dat ze onmiddelijk een nieuw wachtwoord moeten instellen bij vermoeden dat het huidige wachtwoord mogelijk in verkeerde handen is geraakt.
Een two-factor authorisatiesysteem is altijd beter. (E.g. inloggen vergt een smart card plus een wachtwoord, of inloggen kan alleen vanaf de eigen werkplek.)
26-09-2017, 14:44 door Whacko
Door Anoniem: Hmmm... Hoe moeten we de Deloitte: Cybersecurity Challenge dan bekijken?

https://www.infosecurity.nl/seminar/Y102
Dat ze hun eigen security niet op orde hebben, wil natuurlijk niet zeggen dat ze de kennis niet in huis hebben.
Maar als ik de foto van de spreker van het seminar bekijk... dan heb ik niet zo'n vertrouwen in een broekie van 17 die even over Cyber Security gaat praten ;)
26-09-2017, 15:26 door Hyper
Door Anoniem: Breach heeft geen enkele impact voor Deloitte NL (buiten imago schade natuurlijk). Breach heeft betrekking op Deloitte in de Verenigde Staten.

De bron, die anoniem wil blijven, laat namelijk weten dat in oktober 2016 alle medewerkers van Deloitte in de Verenigde Staten hun wachtwoord en pincode moesten wijzigen.

Het periodiek wijzigen van dat soort zaken hoort standaard procedure te zijn, afgedwongen middels een security control framework.

Als je gebruikers dwingt om wachtwoorden te wijzigen dan krijg je vaak slechte wachtwoord omdat het voor de meesten niet te doen is om elke X maanden een nieuw, sterk en complex wachtwoord te onthouden.

Het is mijns inziens beter om complexiteit te vragen zonder te dwingen om te wijzigen. Wanneer je meer beveiliging wilt kun je dit verkrijgen met two-factor authenticatie.
26-09-2017, 16:32 door Anoniem
Door Whacko:
Door Anoniem: Hmmm... Hoe moeten we de Deloitte: Cybersecurity Challenge dan bekijken?

https://www.infosecurity.nl/seminar/Y102
Dat ze hun eigen security niet op orde hebben, wil natuurlijk niet zeggen dat ze de kennis niet in huis hebben.
Maar als ik de foto van de spreker van het seminar bekijk... dan heb ik niet zo'n vertrouwen in een broekie van 17 die even over Cyber Security gaat praten ;)

Hmm... ik snap het sentiment, maar moet toch ook vaststellen dat veel grijs (of niet :-) behaarde CISO's/CSO's etc er weliswaar ervaren uitzien maar in de praktijk buitengewoon weinig kaas gegeten hebben van beveiliging in de moderne wereld. En dat uitgerekend die grijze heren een belangrijke reden zijn waarom er binnen veel organisaties zo weinig voortgang wordt gemaakt qua beveiliging (omdat ze vasthouden aan achterhaalde dingen als de BIR, audits, etc).
26-09-2017, 18:39 door karma4 - Bijgewerkt: 26-09-2017, 18:43
Door Anoniem: .... zo weinig voortgang wordt gemaakt qua beveiliging (omdat ze vasthouden aan achterhaalde dingen als de BIR, audits, etc).
Eerder de onbezonnen nieuwelingen die alle aandacht naar hypes brengen maar eigenlijk de boel frustreren.

De bir is net zoals als de iso 27k een continue verbeter en controle proces met een risico impact gebeuren.
Als je zoiets niet snapt en op vinkenlijstje van audities afgaat dan wel achter de fantasten van nieuwe oplossingen aangaat dan ben je reddeloos verloren.

Leg eens uit wat er mis is met: https://www.noraonline.nl/wiki/BIR_(Baseline_Informatiebeveiliging_Rijksdienst)
Voor je informatie, ik ben nog niet tegengekomen dat hij door leveranciers dan wel interne ict afdelingen bekeken en gevolgd is.
26-09-2017, 20:47 door Remmilou - Bijgewerkt: 26-09-2017, 20:54
Door karma4:
De bir is net zoals als de iso 27k een continue verbeter en controle proces met een risico impact gebeuren.
Als je zoiets niet snapt en op vinkenlijstje van audities afgaat dan wel achter de fantasten van nieuwe oplossingen aangaat dan ben je reddeloos verloren.
Klopt op zich, maar het wordt als heel erg stroef en inflexibel ervaren.
Toegegeven... ik zie de oplossing ook niet.

Leg eens uit wat er mis is met: https://www.noraonline.nl/wiki/BIR_(Baseline_Informatiebeveiliging_Rijksdienst)
Voor je informatie, ik ben nog niet tegengekomen dat hij door leveranciers dan wel interne ict afdelingen bekeken en gevolgd is.
Hij wordt wel degelijk gelezen en geïmplementeerd.
Een voorbeeld van waar het kan wringen: in een forensisch lab kunnen de voorgeschreven virusscanners digitaal bewijsmateriaal (dat elders vergaard is) aantasten, of niet doorlaten. In een forensisch lab wordt voor onderzoek regelmatig gebruik gemaakt van stand alone machines, dus zonder domein aanlog. Dat vindt BIR niet goed, want alles moet gelogd worden. Nog even over die virusscanners: BIR gaat van een Windows omgeving uit, zonder andere omgevingen zelfs maar te noemen. Zo ben ik tegen nog wel meer dingen aangelopen.
26-09-2017, 22:02 door karma4
Door Remmilou: .... Dat vindt BIR niet goed, want alles moet gelogd worden. Nog even over die virusscanners: BIR gaat van een Windows omgeving uit, zonder andere omgevingen zelfs maar te noemen. Zo ben ik tegen nog wel meer
dingen aangelopen.

De BIR velt geen oordeel. Als "de BIR het niet goed vindt" heb je te maken met een dwarsligger met een eigen mening die aan de inhoud van de BIR onderuit gehaald kan worden. Vermoeiden en moeizaam het toont een probleem van nerds.

Kijk even naar https://www.noraonline.nl/wiki/Kaders_beveiliging dan je alle verhalen en richtlijnen als doel nergens iets van specifieke technische realisatie. Daarmee heb je meteen het probleem te pakken als je mensen hebt op de vloer die dat ook niet aan kunnen. Neem de ISO27001 en 27002 eens grondig door dan zie dat er nergens die harde verplichting staat. het is een pas toe of leg uit aanpak. Dat betekent nadenken en vastleggen.

In de normen staat nergens een OS genoemd, voor de vloer als toelichting wat er bedoelt wordt is dat vaak wel zo. ( helaas de betreffende pagina is slecht onderhouden)
Deze ziet er beter uit: https://www.communicatierijk.nl/vakkennis/r/rijkswebsites-verplichte-richtlijnen/baseline-informatiebeveiliging-rijksdienst-bir--nen-iso-iec-27001-en-27002

Ik kom vaak op service accounts en privileged accounts terug. Die zijn OS techniek onafhankelijk en zitten volledig in: wie wat wanneer waarom hoe welk risicio, welke impact. Ik heb nog nergens meegemaakt dat het goed ingevuld werd.
Leveranciers komen met het setup enter enter verhaal (goedkoop niet nadenken). Intern zegt de lijn dat de ICT de security richtlijnen doet terwijl ze daar zelf verantwoordelijk voor zijn (data / informatie eigenaar).

Je geeft nu net aan waar het wringt. Met beweert dat het goed ingevuld is (kop dicht zeurpieten) terwijl als je er echt naar zou kijken het niet zo is. Dan is het wachten op het verdrinken van het kalf. Zie je nu ineens vaak gebeuren: Deloitte Equifax piriform.
27-09-2017, 01:41 door Anoniem
"een klein aantal klanten"

Altijd maar weer bagatelliseren van het probleem, kleiner maken. terwijl verderop staat dat ze niet precies weten wat er weg is. Er is iets serieus mis daar. "Practice what you preach" hebben ze vast nog nooit van gehoord (zoals zoveel dienstverleners), Want dat kost geld dus dat doen we niet, daar willen de partners niet voor betalen.
27-09-2017, 12:46 door Anoniem
Altijd maar weer bagatelliseren van het probleem, kleiner maken

Wat zou jij doen, als het om jouw bedrijf zou gaan ? Damage control ? Of zou je de zaken zo groot mogelijk opblazen. Natuurlijk probeert men zaken kleiner te maken.
27-09-2017, 12:48 door Anoniem
.... zo weinig voortgang wordt gemaakt qua beveiliging (omdat ze vasthouden aan achterhaalde dingen als de BIR, audits, etc).

Er is helemaal niets mis met de BIR, met audits en dat soort zaken. Zolang je maar mensen hebt die snappen waar ze mee bezig zijn, en geen tick-in-the-box monkeys die checklists afwerken, en verder weinig snappen van de inhoud. Niet anders dan bij bijvoorbeeld penetration testing.
27-09-2017, 12:53 door Anoniem
Dat ze hun eigen security niet op orde hebben, wil natuurlijk niet zeggen dat ze de kennis niet in huis hebben.
Maar als ik de foto van de spreker van het seminar bekijk... dan heb ik niet zo'n vertrouwen in een broekie van 17 die even over Cyber Security gaat praten ;)

Lol. Deloitte team is afgelopen jaren bij onder meer de Global Cyberlympics CTF meerdere keren met hun team als #1 of #2 uit de bus gekomen. Maar ik zou zeggen, heb vooral niet te veel vertrouwen in mensen die wereldwijd aan de top staan, jij bent ongetwijfeld veel beter dan dit soort ''broekies'' ;)
27-09-2017, 12:54 door Anoniem
Laatste alinea: "Volgens een rapport van Deloitte "
Interessant, maar wat wil je daarmee zeggen ? Klopt het wat ze stellen, klopt het niet ? Name dropping zonder inhoud, wat hebben we daaraan ?
27-09-2017, 12:56 door Anoniem
.... dan wel achter de fantasten van nieuwe oplossingen aangaat dan ben je reddeloos verloren.

Want oude oplossingen zijn beter, of oplossingen bestaan niet ? Leg eens uit wat er mis is met 'nieuwe oplossingen' en hoe zij ervoor zorgen dat je 'reddeloos bent verloren' ? En als iets nieuw is, maakt dat de bedenker tot fantast ?
27-09-2017, 18:30 door karma4
Door Anoniem:
Want oude oplossingen zijn beter, of oplossingen bestaan niet ? Leg eens uit wat er mis is met 'nieuwe oplossingen' en hoe zij ervoor zorgen dat je 'reddeloos bent verloren' ? En als iets nieuw is, maakt dat de bedenker tot fantast ?
Wat voorbeelden uit de oude doos:
- mainframe tijdperk. Sla's met de business voor beschikbaarheid backup. Tevens software ontwikkeling in pakket infra met leveranciersmanagement.
Natuurlijk een lastig en complex gebeuren om goed te doen.
Fantastische oplossing geef iedereen een pc en dump alle bedrijfsgegevens erop die ze willen en laat zelf software op de machines zetten.
Argument ict probleem opgelost want geen mainframe meer. Dacht je dat er iets opgelost werd of een groter issue gecreëerd is?
-de volgende al die software in huis laten we er vooral niets zelf aan doen en alleen maar inkopen en uitbesteden. Blijkt ineens dat niemand meer weet wie voor welke data verantwoordelijk is. Prachtige vernieuwingen en successen volgens alle externe sales figuren maar dacht je niet dat er alleen maar meer en grotere problemen zijn gemaakt.

Wat nu speelt is ongeveer hetzelfde. Huur een extern adviesbureau in. Laat die een beleid maken en tools inkopen.
De eigen mensen moet je vooral als goedkope marionetten afdoen. Mensen die niet bijgebleven zijn / zich in een silo / op een eiland zitten moet je er tussen zetten om de boel stil te houden om zo goedkoop mogelijk op oude voet door te gaan.

Kijk de bs7799 is oud bijgehouden tot nu als oa 27002:2013. Als ik die aanhaal krijg je reacties als te moeilijk, ken ik niet wil ik niet weten etc.
Als iets goed is hoef je dat niet af te danken enkel omdat het niet nieuw is.

Met dat reddeloze verloren zijn bedoel ik het achterna lopen van de zoveelste sales met een pakket dat de oplossing voor alles is. Of je neemt die nerd ergens die zonder zich druk te maken over wat er echt speelt of echt nodig is loopt te verkondigen dat zijn ideaal de oplossing voor alles biedt.
27-09-2017, 21:22 door Anoniem
Wel een juiste analyse, heel herkenbaar, beste karma4, maar is het nog inmiddels niet erger?

- Zij die er weet van hebben, doen er niet meer toe,
Zij die nergens weet van hebben, zijn de enigen, die er toe doen. -

Nu deze faaltoestand nog even uitbesteden in de cloud aan een cdn op non-public, dus niet te controleren, internet,
qua veiligheidsstatus dan.

Uitkomst: wachten op de volgende data breach en dan echt niet weten hoe dat allemaal zo gekomen is.

Security through Obscurity en wat jij zegt blind geloof in de lobbyende predikers van de one click oplossingen,
allemaal heel modern en heel herkenbaar.

Daarom tikken jij en ik hier af en toe de viogers blauw in ijdele hoop, maar waarschijnlijk weer voor de kat z'n ...
vul maar in.

luntrus
28-09-2017, 14:41 door Anoniem
Door Hyper:
Door Anoniem: Breach heeft geen enkele impact voor Deloitte NL (buiten imago schade natuurlijk). Breach heeft betrekking op Deloitte in de Verenigde Staten.

De bron, die anoniem wil blijven, laat namelijk weten dat in oktober 2016 alle medewerkers van Deloitte in de Verenigde Staten hun wachtwoord en pincode moesten wijzigen.

Het periodiek wijzigen van dat soort zaken hoort standaard procedure te zijn, afgedwongen middels een security control framework.

Als je gebruikers dwingt om wachtwoorden te wijzigen dan krijg je vaak slechte wachtwoord omdat het voor de meesten niet te doen is om elke X maanden een nieuw, sterk en complex wachtwoord te onthouden.

https://www.passwordping.com/surprising-new-password-guidelines-nist/

Peter
28-09-2017, 18:44 door Anoniem
Door Anoniem:
Door buttonius: Anyone remember DigiNotar?
Ik ben benieuwd of Deloitte over een jaar nog bestaat.
Diginotar was een heel ander bedrijf dan Deloitte, niet te vergelijken.
Waar diginotar moest zorgen voor digitale veiligheid heeft een accountantskantoor heel
andere klanten.dQvdcpy
Ander bedrijf idd, maar wat wil je daat mee zeggen? Deloitte is niet zo maar een boekhouderskantoortje. Deze jongens zitten bij vele grote organisaties tot in de top binnen. Ze begeleiden fusies en overnames van beursgenoteerde ondernemeingen. Als die info op staat ligt is handel met voorkennis mogelijk en zijn de rapen gaar. Dit is niet zomaar een security incident....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.