Sonos lekt e-mailadressen honderden klanten via cc-blunder
Speakerfabrikant Sonos heeft door een blunder de e-mailadressen van honderden klanten gelekt. Het bedrijf reageerde op vragen van klanten over het niet meer uitbrengen van updates voor oudere modellen, maar had onbedoeld in het cc-veld 450 e-mailadressen vermeld.
Die waren zodoende voor alle ontvangers van het bericht zichtbaar. Sonos laat in een verklaring tegenover de BBC weten dat het aan alle klanten excuses heeft gemaakt en processen heeft doorgevoerd die herhaling in de toekomst moeten voorkomen. Het komt nog altijd voor dat e-mailadressen lekken door het niet gebruiken van bcc, maar cc. Vorig jaar overkwam dit de gemeente Etten-Leur waardoor de e-mailadressen van tweeduizend inwoners na een cc-blunder op straat kwamen te liggen.
Hoe komt het toch dat mailclients en -servers daar niet al lang standaardbeveiligingen tegen hebben die ook standaard aan staan? Het is niet bepaald een nieuw probleem, het is typisch een steekje dat mensen makkelijk laten vallen, en dus leent het zich bij uitstek voor wat automatisering om dat te verbeteren.
De baten komen niet in de boekhouding voor en de kosten wel, dan wordt de managementkeuze zeer voorspelbaar.
Het lijkt zo'n ongelofelijk simpel probleem om op te lossen: gewoon een popup met daarin de vraag "Hee, je hebt >20 mensen in de cc in plaats van de bcc. Weet je het zeker?" Bestaat er zoiets? #durftevragen
Dat komt door het afperken van gebieden van verantwoordelijkheid. De makers/beheerders van e-mail servers vinden
het "niet hun probleem" dat gebruikers van die servers fouten maken. Dus gaan ze daar niks aan doen.
En als ze er op aangesproken zouden worden, dan zouden ze komen met irrelevant geleuter over toepassingen die het
wel nodig hebben dat er naar veel ontvangers gestuurd wordt (mailinglijsten ofzo). En dat ze niet de mogelijkheden van
gebruiker A willen beperken voor de fouten die gebruiker B maakt.
Dit is een patroon wat je vaker ziet, en wat er voor zorgt dat er niet echt stappen gemaakt kunnen worden.
Waar mogelijk moet je zulke mail scripten/automatiseren om human error zoveel mogelijk te voorkomen
Hier zit op de mailserver een vrij lage limiet op het aantal mails dat de gewone gebruikers per dag mogen versturen. Alleen de accounts die mailings versturen mogen meer per dag versturen.
Dan kan het nog steeds mis gaan, maar deze accounts hebben wel meer ervaring met versturen.
Bluetooth en microfoon erin en een app, gaaf joh
en handig
Ja, dan vraag je er toch gewoon om ?
De rest van de lekken komen ook nog wel.
(Los van deze cc-blunder)
Dit soort dingen hoor je af te vangen door gebruik te maken van een speciaal programma / script waardoor het voor de gebruiker niet mogelijk is dit soort fouten te maken.
Het is niet heel moeilijk om dit via een web applicatie te doen die er voor zorgt dat de gebruiker geen CC/BCC keuze heeft. Enkel de klant aanvinken en de applicatie regelt de rest.
Maar zolang mensen nog steeds met excel exporten e.d werken zul je dit soort lekken blijven houden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
