Nieuws

Overheden monitoren eigen Gov-domeinen op Have I Been Pwned

zondag 4 maart 2018, 08:36 door Redactie, 10 reacties

De Australische en Britse overheid maken gebruik van Have I Been Pwned om te controleren dat er geen e-mailadressen van overheidsdiensten zijn gecompromitteerd, zo meldt beveiligingsonderzoeker Troy Hunt, aanbieder van de dienst. Have I Been Pwned is een zoekmachine waarmee gebruikers in bijna 4,9 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig.

Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. Daarnaast is het voor domeineigenaren mogelijk om binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Volgens Hunt maken al veel bedrijven, onder andere in de Fortune 500, hier gebruik van. De Australische en Britse overheid kunnen nu gratis van deze dienst gebruik maken, zo laat de onderzoeker weten.

Zo kan de Britse overheid zoekopdrachten op .gov.uk en de Australische overheid op .gov.au uitvoeren, aangevuld met een aantal gewhiteliste domeinen. Tevens maken beide overheden gebruik van de waarschuwingsdienst van Have I Been Pwned. Zodra een e-mailadres eindigend op .gov.uk of .gov.au in een datalek of paste voorkomt, wordt er een waarschuwing verstuurd. Hunt stelt dat hij in het kader van transparantie het gebruik van de dienst door de Australische en Britse overheid bekend heeft gemaakt en benadrukt dat ze alleen toegang tot hun eigen domeinen hebben.

Canadees fastfoodrestaurant sluit tijdelijk vestigingen na malwarebesmetting

Opnieuw Androidtelefoons met malware geleverd

Reacties (10)

04-03-2018, 15:37 door Anoniem

Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft en verkoopt ze voor aandacht. Daarmee krijgt hij uitnodigingen om op conferenties te spreken, eventueel betaald, met reiskostenvergoeding, hotelovernachtingen en bijbehorende feestjes.

Bij Troy Hunt navragen of hij persoonsgegevens van je heeft geeft maar over een ding zekerheid: of hij illegaal persoonsgegevens van je verwerkt of niet. Hij kan je niet aangeven of die gegevens echt gelekt zijn, hij kan je niet aangeven wanneer die gegevens gelekt zijn. Hij kan hooguit aangeven wanneer hij de gegevens illegaal heeft verkregen. Waar hij ze vandaan heeft doet hij meestal geen uitspraak over, dan drogen zijn bronnen op en dat is niet goed voor zijn handeltje.

Het enige wat tegen een datalek helpt is er vanuit gaan dat je gegevens uitlekken en preventieve maatregelen namen. Zoals je gegegevens niet met iedere willekeurige website of winkel te delen, alleen te delen wat echt nodig is, je gegevens te laten verwijderen als die niet meer nodig zijn, de toegang tot je accounts niet te beschermen met een slecht wachtwoordbeleid en daar waar je gegevens wel gelekt zijn de verwerker aansprakelijk te stellen.

04-03-2018, 19:15 door Anoniem

Door Anoniem: Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft

Correctie: Troy Hunt verzamelt collecties onrechtmatig verkregen persoonsgegevens en wachtwoorden, al dan niet versleuteld.

en verkoopt ze voor aandacht. Daarmee krijgt hij uitnodigingen om op conferenties te spreken, eventueel betaald, met reiskostenvergoeding, hotelovernachtingen en bijbehorende feestjes.

En dit is verboden in welk land ook alweer?

Bij Troy Hunt navragen of hij persoonsgegevens van je heeft geeft maar over een ding zekerheid: of hij illegaal persoonsgegevens van je verwerkt of niet.

Dit is hetzelfde als zeggen dat een zoekmachine illegaal persoonsgegevens lekt omdat het websites indexeert. En dat jouw persoonsgegevens illegaal door een website worden verzamelt, maakt daarbij niet uit!?

Hij kan je niet aangeven of die gegevens echt gelekt zijn, hij kan je niet aangeven wanneer die gegevens gelekt zijn. Hij kan hooguit aangeven wanneer hij de gegevens illegaal heeft verkregen.

Lijkt me logisch, hij verzamelt collecties van illegaal verkregen persoonsgegevens en wachtwoorden om mensen en organisaties te helpen in te zien dat wachtwoorden niet moeten worden hergebruikt, en als je dat toch hebt gedaan, dan je weet welk wachtwoord zeker NOOIT meer mag worden gebruikt.

Waar hij ze vandaan heeft doet hij meestal geen uitspraak over, dan drogen zijn bronnen op en dat is niet goed voor zijn handeltje.

Lijkt mij vrij evident.

Het enige wat tegen een datalek helpt is er vanuit gaan dat je gegevens uitlekken en preventieve maatregelen namen.

Dit wordt "Assume breach" genoemd, zie ook https://www.google.nl/search?q=%22assume+breach%22

Zoals je gegegevens niet met iedere willekeurige website of winkel te delen, alleen te delen wat echt nodig is, je gegevens te laten verwijderen als die niet meer nodig zijn, de toegang tot je accounts niet te beschermen met een slecht wachtwoordbeleid en daar waar je gegevens wel gelekt zijn de verwerker aansprakelijk te stellen.

Klinkt als een goed idee!
25 mei kun je keihard je recht halen als organisaties in de EER niet willen conformeren aan de AVG/GDPR :)

04-03-2018, 21:06 door Anoniem

@15:37 anoniem.
Wat ben jij een negatieve azijnpisser zeg!
Zeer goed van die Troy Hunt.

05-03-2018, 09:16 door Anoniem

Door Anoniem: Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft ...

Absoluut waar, Troy Hunt verzameld inderdaad persoonsgegevens zonder dat de betreffende personen er toestemming voor hebben gegeven. Maar, de vraag is echter of het in dit geval echt erg is. Criminelen verzamelen ook deze gegevens zonder toestemming. Die houd je niet tegen door met regels te dreigen.

Deze gegevens zijn al te vinden op het 'darkweb', of Troy het nou gebruikt of niet, deze gegevens liggen al op straat. Nu is er in ieder geval iemand die je hiervoor probeert te waarschuwen. En ja, daarvoor moet hij wel je gegevens verzamelen. Als de overheid niet in staat zijn om haar burgers er met zo'n service voor te waarschuwen, dan krijg je zulke initiatieven. Politie.nl bied wel een vergelijkbare service, maar die bevat maar een kleine fractie van wat er daadwerkelijk op straat ligt.

Ik kan snappen dat sommige de dienst van Troy zien als een kwaad, maar het is wel een noodzakelijk kwaad.

05-03-2018, 09:50 door Anoniem

Door Anoniem: Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft en verkoopt ze voor aandacht. Daarmee krijgt hij uitnodigingen om op conferenties te spreken, eventueel betaald, met reiskostenvergoeding, hotelovernachtingen en bijbehorende feestjes.

Bij Troy Hunt navragen of hij persoonsgegevens van je heeft geeft maar over een ding zekerheid: of hij illegaal persoonsgegevens van je verwerkt of niet. Hij kan je niet aangeven of die gegevens echt gelekt zijn, hij kan je niet aangeven wanneer die gegevens gelekt zijn. Hij kan hooguit aangeven wanneer hij de gegevens illegaal heeft verkregen. Waar hij ze vandaan heeft doet hij meestal geen uitspraak over, dan drogen zijn bronnen op en dat is niet goed voor zijn handeltje.

Het enige wat tegen een datalek helpt is er vanuit gaan dat je gegevens uitlekken en preventieve maatregelen namen. Zoals je gegegevens niet met iedere willekeurige website of winkel te delen, alleen te delen wat echt nodig is, je gegevens te laten verwijderen als die niet meer nodig zijn, de toegang tot je accounts niet te beschermen met een slecht wachtwoordbeleid en daar waar je gegevens wel gelekt zijn de verwerker aansprakelijk te stellen.

Begin je nou hier ook al af te geven op Troy Hunt?
Je hebt zeker niet even stiekem gekeken of jouw e-mail ook in een breach voorkomt?

05-03-2018, 10:23 door Anoniem

Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft

En hij doet dat in de vorm van responsible disclosure, zodat mensen geen misbruik kunnen maken van de informatie. Jij stopt liever je hoofd in het zand, en jij hebt liever dat mensen *niet* worden geinformeerd over breaches ?

Daarmee krijgt hij uitnodigingen om op conferenties te spreken, eventueel betaald, met reiskostenvergoeding, hotelovernachtingen en bijbehorende feestjes.

Volgens mij moet jij je nog eens verdiepen in de ''vergoedingen'' bij conferenties. Betaald, met reiskostenvergoeding, en hotelovernachtingen ? Dream on, dat is zeer, zeer zeldzaam.

05-03-2018, 10:25 door Anoniem

Het enige wat tegen een datalek helpt is er vanuit gaan dat je gegevens uitlekken en preventieve maatregelen namen

En indien preventie niet werkt, dan steek je je kop in het zand ? Hoe neem jij trouwens preventieve maatregelen, om te voorkomen dat je gegevens uitlekken bij diensten, waarover jij geen enkele controle hebt ?

Ga jij de beveiliging van LinkedIn verbeteren, indien ze jouw credentials lekken ? Van de bank, belastingdienst, whatever ? Nee natuurlijk niet, want daar ga jij helemaal niet over.

Je bent een zeikerd, die aan het pissen is over een waardevolle dienst, welke bijdraagt om de impact van breaches te verkleinen.

05-03-2018, 11:06 door [Account Verwijderd]

Door Anoniem: Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft en....(knip)

Weer het bekende voorbeeld van:
altijd is het niet goed

Ander voorbeeld:
Ooit hadden we alleen de openbare weg zonder gescheiden rijstroken voor wielrijders: "Mopperdemopperdemopper..." want ik word op het trottoir gedrukt door langsrazend gemotoriseerd verkeer
Toen kwam het verplichte rijwielpad: "mopperdemopperdemopper..." want het is verplicht.

Oh oh oh.....Is er iemand (Troy Hunt) die een service heeft waar je van minuut tot minuut kunt controleren of je ergens een account hebt (waarvoor een emailadres verplicht is) dat is gehackt.... word daar ook weer over gemuggenzifd!!

Tip: het dooit: Ga buiten spijkers op laag water zoeken.

05-03-2018, 13:46 door Anoniem

Wat als commerciele toezichthouders okk nog eens niets wensen te doen aan zeer grote data breaches, zoals in het geval van Equifax? Dan is het toch fijn dat Troy Hunt zich er nog druk over maakt.

Door de mentaliteit hier en in USA is privacy zo goed als verdwenen en komt de dataslurper overal mee weg.
Buiten jezelf beschermen is er geen bescherming.

06-03-2018, 08:41 door Anoniem

Door Aha:

Door Anoniem: Troy Hunt verzamelt miljarden persoonsgegevens zonder dat hij daar recht op heeft en....(knip)

Tip: het dooit: Ga buiten spijkers op laag water zoeken.

hear hear

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer