Schiphol meldt datalek bij Autoriteit Persoonsgegevens
Schiphol heeft een datalek in de website van het Bewoners Aanspreekpunt Schiphol gemeld bij de Autoriteit Persoonsgegevens, zo laat de luchthaven via de eigen website weten. Bij het Aanspreekpunt kunnen omwonenden terecht met vragen en klachten over het vliegverkeer van, naar en op Schiphol.
Een kwetsbaarheid in de website zorgde ervoor dat gegevens van bijna 60.000 mensen die via de website een klacht of vraag hadden ingediend inzichtelijk waren, zo laat een woordvoerder van Schiphol tegenover Nu.nl weten. Het kan dan gaan om namen, adressen, e-mailadressen, telefoonnummers, gehashte wachtwoorden en de inhoud van achtergelaten klachten.
Volgens Schiphol zijn er geen aanwijzingen dat er persoonsgegevens zijn gestolen. "Ondanks dat er geen aanwijzingen voor zijn, kan niet volledig worden uitgesloten dat gegevens onttrokken zijn. Iedereen krijgt het advies om het wachtwoord bij andere online diensten aan te passen als dezelfde combinatie van e-mailadres en wachtwoord wordt gebruikt als bij het BAS-account."
Onderzoeker Wouter van Dongen die het lek ontdekte en meldde stelt dat de website een zwak algoritme voor het hashen van wachtwoorden gebruikte dat eenvoudig te kraken is. Schiphol heeft de website inmiddels "vanwege technische reden" offline gehaald en maakt excuses aan getroffen gebruikers.
Het is vrij triviaal om zulke data in te pakken en naar een minder publieke plek te verslepen. Tenzij je denkt dat alle servers webservers moeten zijn, ofzo. Dat noemen ze "cloud", geloof ik?
Het is vrij triviaal om zulke data in te pakken en naar een minder publieke plek te verslepen. Tenzij je denkt dat alle servers webservers moeten zijn, ofzo. Dat noemen ze "cloud", geloof ik?
Nee dat noemen ze geen "cloud". Ook in een cloud omgeving kun je namelijk prima publieke webservers hebben die de data van klanten in ontvangst nemen maar afgescheiden servers die niet publiekelijk benaderbaar zijn om de data op te slaan.
Cloud wil niets anders zeggen dan dat je de infrastructuur die je normaal gesproken op je eigen hardware hebt staan, dan op de hardware die in beheer is van een ander hebt staan. Hoe je dit inricht is nog steeds geheel aan jou.
Probleem is dat "cloud" een beetje een containerbegrip is geworden. Alles van je 50 euro router met clouddrive tot aan complete infrastructuren met VPC, loadbalancers, VPN, firewalls, interne databases, publieke webservers, kubernetes stacks en weet ik wat nog meer is "cloud", als het op hardware staat van een ander en je beheert/benaderd via internet.
In een cloud omgeving is een infrastructuur even veilig op te zetten als dat het in je eigen datacenter ook zou kunnen. Je moet het alleen doen. En dat is hier blijkbaar niet gebeurd.
Een cloud duidt erop dat je gebruik maakt van virtualisatie. Fysieke servers kan je ook in je eigen data center, of elders kunnen onderbrengen. Met cloud technologie is dat niet anders. Je hebt geen cloud nodig, om bij derden te kunnen hosten.
Een cloud duidt erop dat je gebruik maakt van virtualisatie. Fysieke servers kan je ook in je eigen data center, of elders kunnen onderbrengen. Met cloud technologie is dat niet anders. Je hebt geen cloud nodig, om bij derden te kunnen hosten.
Wat dus maar aangeeft wat voor container begrip "cloud" is geworden. Want het gaat niet alleen over virtualisatie maar ook over shared resources.
Je webpagina bij een webhoster. Geen cloud / misschien cloud ?
Je webpagina op een EC2 instance bij amazon. Wel cloud.
Je webpagina op een dedicated server in een datacenter. Geen cloud.
Je webpagina op een virtual machine op een dedicated server in een datacenter. Geen cloud.
Je webpagina op een private VM op een shared server in een datacenter. Wel cloud.
En ieder hier zal het weer anders zien, met allerlei valide mitsen en maren. Mijn punt is dat naar aanleiding van een artikel over een datalek zeggen: "ja cloud" is te simpel en geheel nietszeggend en voegt weinig toe aan een discussie.
Het is vrij triviaal om zulke data in te pakken en naar een minder publieke plek te verslepen. Tenzij je denkt dat alle servers webservers moeten zijn, ofzo. Dat noemen ze "cloud", geloof ik?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
