De werkwijze is weinig legaal, indien de man druk uit gaat oefenen om te betalen, en dreigt met publicatie om betaling af te dwingen. Ordinaire afpersing, en wat dat betreft heeft OM gelijk.


Da's een beetje slap argument, want responsible disclosure beleid, zoals gecommuniceerd door onze overheid, impliceert geen toestemming vooraf. De een mag wel zonder toestemming vooraf, de ander niet. Rest van de werkwijze van deze ''hacker'' maakt zijn akties hoe dan ook illegaal.

Hear hear, zo lopen er nog veel meer van dit soort ' white hackers' rond die bedrijven chanteren met publicatie van lekken als deze niet snel de gevonden lekken oplossen. Hard aanpakken die gasten.
Net als die lui van Faalkaart die ongevraagd even je websites scannen en kwetsbaarheden, zonder wederhoor online publiceren. Ben je het niet eens met een gevonden probleem dan moet je ook nog bijna op je knieeen of ze de fout alsjeblieft op hun website corrigeren. En die foute lui worden ook nog eens door SIDN gesponsord. Tijd om de subsidies aan SIDN ook eens onder de loep te nemen dan.

Daar ga je de fout in. Alleen bij bedrijven die een responsible disclosure beleid hebben mag je, volgens de regels van het beleid, "testen". Grote kans dat deze huisarts geen responsible disclosure beleid had, en dan mag je helemaal NIETS, tenzij je in de bak wil belanden :)

Zo zie je maar, de mensen die zichzelf om het luidste als "one of the good guys" betitelen hoeven dat helemaal niet te zijn.

(Dat geldt net zo goed voor de overheid, maar kennelijk hebben ze bij het OM ook nog mensen die wel het schoonmaakhok uitkomen, gezien deze zaak.)

Dan is er ook nog dat de "computer security"-industrie een gedachtenwereldje heeft geschapen waardoor er mensen zijn die denken dat wat deze vent gedaan heeft door de beugel kan, bijvoorbeeld hijzelf. Dat was mischien niet zo verstandig.

Oftewel, wijze lessen alom.

Dat een huisarstsenpost geen resposible disclosure-beleid heeft, terwijl men toch met wellicht wel het meest gevoelige soort informatie werkt, valt vooral die huisartsenpost aan te rekenen. Juridisch gezien heb je geen poot om op te staan, maar een kort tekstje op de website kan iedere technofoob nog wel voor elkaar krijgen. Het mag voor deze huisartsenpost ook wel een staartje hebben.

Pakken we de huisartsenpraktijken met zeer gammele ICT-omgevingen dan ook eens aan? Geen responsible disclosure-beleid hebben betekent niet dat je zelf niet responsible bent, of tegen een disclosure kunt aanlopen. Het excuus dat artsen niet veel kaas gegeten hebben van ICT is niet meer van deze tijd.

White Hat is iets voor op je hoofd. Niet voor in je neus!

Ik verwacht niet dat de huisartsenpost deze website opgebouwd heeft. Het zal eerder een ICT bedrijf zijn dat dit in opdracht gedaan heeft. De huisartsenpost is natuurlijk juridisch verantwoordelijk, maar je moet dit in eerste instantie het ICT bedrijf aanrekenen. Zij behoren de kennis te hebben dit goed te doen. De huisartsenpost kan er alleen maar op vertrouwen dat alles goed gebeurd is. Zij hebben niet de kennis dit te beoordelen.

Als je niet zelf niet de kennis hebt, moet je dan de slager zijn eigen vlees laten keuren, of zou je een onafhankelijke en wel deskundige partij moeten inhuren die je het vlees laat keuren?

Als dit soort lekken zelden plaatsvinden had die artsenpraktijk een punt gehad. Nieuws over gehackte websites vliegt ons echter om de oren, en het aantal dat wordt ontdekt en de media haalt vormt hoogstwaarschijnlijk het topje van de ijsberg.

Nb. ik vind de beschuldiging van "de hacker" terecht, maar de verantwoordelijken doen veel te weinig om lekken te voorkomen. Ik hoop dat dit lek is gemeld bij de Autoriteit Persoonsgegevens. "Ik heb er geen verstand van en mijn leverancier zegt dat het veilig is" is geen excuus.

Da's een mening, met geen enkele juridische waarde.

Opvallend ,dat de meeste reaguurders hier wederom de schuld bij het slachtoffer willen leggen. Het is toch zo duidelijk, het is niet van jou, dus blijf er met jouw poten vanaf!

De verwerkingsverantwoordelijke besteed het uit omdat jij de benodigde specialistische kennis niet heeft en ook niet kan opbouwen. De autoriteit persoonsgegevens heeft die kennis op het technisch ook niet. Daar is het enige dat ze kunnen bedenken een boete en de verwerking zien te stoppen. Niet echt handig om een huisartsenpost te laten sluiten.

Het enige wat je daar kan tegen doen is met gekeurde controleerde software te werken.
Je banden op je auto zijn voorzien van keurmerken, dat is niet voor niets. De bestuurder blijft nog steeds verantwoordelijk om goed materiaal te gebruiken en op tijd onderhoud te laten plegen. Keuringseisen zijn technologie neutraal en beslist niet geleid door een merkje. Gaat er dan iets alsnog mis dan is het niet verwijtbaar. Absolute zekerheid is onmogelijk.

De afpersingspoging gebruikte de boetebevoegdheid van de autoriteit persoonsgegevens. Namen van huisartsen zijn gezien hun vak al prubliek bekend. Als het AP dat een privacyinbreuk vindt, dan zijn ze echt compleet doorgeslagen bij het AP.
Blijft over de userid en passwords voor de huisartenpost. Het is incidenten spoed deel buiten de gewone huisarts om.
Ik mis welke informatie daar rond gaat. Ik kan me de roosters aanwezig/afwezig voorstellen.

Toch wel, hoor. De AVG vereist dat je gegevens afdoende beschermt. Dat is een steeds opschuivende standaard. Zoals eerder al vastgesteld is de tijd van de naïeve en technofobe arts voorbij. Er wordt meer verwacht - en terecht. Een proefzaak met als inzet dat deze huisartsenpost in gebreke is gebleven zou weleens erg interessant kunnen zijn.

Dan is het dus zaak stante pede de leverancier in te schakelen.

En wie moet dat dan doen? En wat als de "gekeurde controleerde software"[sic] toch een lek blijkt te hebben?

Als dataverwerker ben je verantwoordelijk voor de data die je verwerkt, en als je daar blijkens lekke gereedschappen voor gebruikt die je zelf niet kan repareren moet je dat aan iemand vragen die het wel kan. Hoezo is bureaucratie "het enige wat je kan doen"? Lijkt me juist niet.

Die keuring is vrij simpel uit te voeren. Van software is dat... lastiger.

Dat is niet gezegd.

Hier zeg je dat jouw keurmerk eigenlijk een aflaat is. Lijkt me geen goed plan.

Dat van een proefzaak tegen de huisartsenpost zou alleen gerechtvaardigd zijn als er duidelijk meetbare controleerbare eisen voor de in te zetten software zijn. Die zijn er niet, het AP faalt daar volledig er richting aan te geven.

Beste posters dezes draads,

Hier ben ik het zeker met karma4 eens. Het zou toch hoognodig zijn dat er tenminste duidelijk minimale veiligheidseisen aan een website zouden moeten kunnen worden gesteld. Iemand die anderen in gevaar brengt (bezoekers van de website bijvoorbeeld) omdat men bijvoorbeeld de Word Press website niet vakkundig weet in te stellen met user enumeration op enabled en directory listing op enabled gelaten, met tevens afvoerbare of soms verlaten code draaiend en oude versies van de CMS komen hier maar voortdurend mee weg. Wat niet weet, wat niet deert vaak ook nog.

Ik ben wel zo realistisch dat ik nergens zie dat "best practices" worden nageleefd zowel bij website onderhouders en op webservers en in de cloud (want ja kosten gaan vaak voor de baat uit en dat is lastig voor menig CEO, manager en ook de doorsnee website admin/eigenaar), maar er wordt helemaal niets gedaan of vereist in die richting. Men rommelt vaak maar voort. Hier schittert de regelende overheid door afwezigheid. Je mag als burger/kwakzalver niemand boerenwormkruid voorschrijven, maar wel een brakke op elk moment te hacken website in de lucht (laten) tillen. Onvoorstelbaar.

We laten dus G*ds water maar over G*ds akker lopen - is dat omdat anders de AV- en beveiligingsindustrie inkomsten misloopt, of is het wel handig voor staatshackers en handhaving van de surveillance behoefte van overheden all sorts?
Of wil Big Tech het liever niet anders in hun tracking advertentie-verzilver walhalla?

Ik wil niet zo ver gaan om boos opzet te vermoeden, maar op andere plaatsen in de maatschappij is e.e.a. beter geregeld.
Onveiligheid laten voortbestaan en de nare gevolgen beboeten. Hoe dom wil je erin gaan staan? Als je in een auto rijdt met een ingegoten betonnen vloerplaat haalt men je toch ook subito van de weg.

Op de digitale snelweg echter lijkt het wel of niemand ergens naar kijkt. Minimale eisen stellen, maar welke en door wie?
De discussie wordt niet eens gevoerd. Men heeft er kennelijk nog niet over nagedacht.

Wij hebben niets te eisen qua infrastructuur in India en zij niet hier, terwijl ze hier soms wel een webserver hebben draaien.
In Quatar ligt men er immers niet wakker van en in Indonesia Raja ook niet (brandal php-hacker = fleksibel).

Ik zal maar weer een DOM-XSS scannetje gaan analyseren op sources en sinks, lijkt me zo. Enerverend tijdverdrijf in lock-down-tijd (iron.).

luntrus

Onduidelijk in dit stukje is:


1. kwam de onderzoeker dit lek toevallig tegen, of zocht hij ernaar?
Ik heb zelf zo vaak dat je op een site bv ‘s-Hertogenbosch invult als plaatsnaam en dan SQL injection kansen ziet.

2. Heeft de onderzoeker duidelijke uitleg gegeven wat het lek was, gratis, en daarnaast gewoon aangeboden dat hij het ook kan oplossen met de offerte (op zich best “green light”). Of was die offerte vooral een “dan vertel ik het niemand” (red light) of een “kan vertel ik je wat er aan de hand is” (orange light).

Die zijn er: ``Niet lekken''.

Hoe je dat verder in specifieke regeltjes zou willen gieten is vrij lastig, want voor je het weet heb je jouw speciaal aangepaste wordpress-distributie tot goudstandaard verheven, en daarmee php als script-engine en mysql als database. En die keuzes zou ik om veel meer redenen dan alleen beveiliging niet zo maken.

Dit hoeft geen probleem te zijn, maar dat ligt dan weer net aan wat voor data er op de website te vinden is.

En gevoelige data zou daar eigenlijk gewoon in het geheel niet te vinden moeten zijn.

Dit is wel de kern van het probleem.

Maar dan moet je wel doorhebben dat wat je doet onveilig is en ook nog eens hoe dan en waarom dan.

Probeer het maar eens, kijken hoe lang het duurt.

Of kijk eens naar hoe de veiligheid van de auto zich ontwikkeld heeft en hoe lang dat geduurd heeft. Ze zijn nu helemaal los aan het gaan met privacyhatende onzin in naam van de veiligheid, maar als we dat buiten beschouwing laten: Hoe lang heeft het geduurd voordat met doorhad dat autogordels toch wel een goed idee waren? Kreukelzones? Airbags?

En dat is met autos, dus waar je kan zien dat het misgaat en als dan vaak gelijk bloederig. Dat is allemaal meestal* niet het geval ``in de cybers''.

* Zie ``always mount a scratch monkey''.

Dat doodstaren op details is de ``cyber security'' wel eigen.

Maar je ziet het ook bij websites die in een "Hall of Shame" verschijnen. Sommigen zijn verontwaardigd en vragen dit soort van "gratis reclame" te verwijderen. Je hebt zelfs website admins, die na jaren nog vragen om een bepaalde draad ergens te verwijderen, zodat een nieuwe baas hun aperte fouten uit het verleden niet gewaar wordt. Maar ja, het spreekwoord zegt: "Wie z'n k*ntje brandt meestal op de blaren dient te zitten".

Wat ik nog steeds niet begrijp is, dat kennelijk niemand website security een issue vindt. Er worden geen minimale eisen gesteld. Alleen verschijnen websites met verdachte of kwaadaardige code op blokkeringslijsten of blacklists en soms worden ze neergehaald en na verlopen te zijn soms gesinkholed. Ook sedoparking is soms zo'n onveilige oplossing.

Andere webstekken, die al lange tijd op omvallen staan wegens een heel scala aan kwetsbaarheden van de website of op de hostende webserver of clouddienst kunnen onverdroten verder draaien.

Snapt u het nu nog, geachte veiligheidsonderzoeker?

Wie krijgen het dan steeds weer voor elkaar dat we de andere kant blijven opkijken? Net als bij cyber- en andere criminelen. Hun privacy is beter geborgd vaak als die van de eerzame eindgebruiker/burger, die niets in de melk te brokken lijkt te hebben. Hij, zij en het zijn voornamelijk product. De online wereld is een hele vreemde in die opzichten.

luntrus (ook vaak gefrustreerd in de traagheid van de geboden security oplossingen)

De AP voorheen het CBP is een bureaucratentent die in toetsen of de regeltjes gevolgd worden doet, niet een tent die inhoudelijk op softwaregebied wat in de melk te brokkelen heeft.

Wat voor eisen zou je voorstellen?

Patiëntgegevens zijn net zo min van de huisarts als van een dief. Huisartsen mogen daar best met "hun poten" aanzitten, maar dan moeten zij die gegevens wel goed beschermen. Immers die huisartsen hebben hooguit indirecte schade als gegevens van hun patiënten in verkeerde handen vallen.

En als zo'n huisarts, als verantwoordelijke, niet weet of die gegevens redelijkerwijs beveiligd zijn, of een leverancier inhuurt wiens afgeleverde werk en/of producten hij niet zelf kan controleren, moet hij de betreffende ICT systemen laten controleren (auditten en/of pentesten) door een of meer onafhankelijke en deskundige partijen.

En als huisartsen en anderen nalaten om gegevens van derden voldoende te beveiligen, ongeacht het excuus, moeten ze keihard op hun vingers worden getikt. Want het gaat hier niet om iets wat je niet had kunnen weten, maar voor een kwartje op de eerste rang willen zitten.

@Luntrus
De discussie wordt niet eens gevoerd. Men heeft er kennelijk nog niet over nagedacht. [/quote]Logisch. Check de EULA. Alle verantwoordelijkheid wordt afgeschoven.

Er zijn vrij heldere eisen. Die zijn, met een ongebruikelijk inzicht, niet expliciet gemaakt, juist omdat de regelgeving geen hoop heeft de praktijk en stand van de techniek bij te houden. Wie dit onduidelijk vindt, gaat moderne ICT de pet te boven en dan is het raadzaam om een kundige partij in te schakelen die goed op de hoogte is van de huidige stand van zaken.

Het is ook verre van een uitzonderlijke manier van formuleren. De wet staat vol met bepalingen die aan interpretatie onderhevig zijn. Je mag geen gevaar veroorzaken, of overlast geven. Daar staat ook geen concrete risico-percentages in of decibellen en dat werkt prima. Soms moet je het ook niet moeilijker maken dan het is.

Zo werkt de wereld natuurlijk niet. Misschien willen we dat, maar zo is het niet.
De huisarts zal echt wel vragen aan de leverancier, middels een verwerkersovereenkomst, al het nodige te doen om het veilig te maken. Maar de huisarts heeft geen verstand van deze systemen, dat heeft de leverancier. Een arts wil gewoon zijn werk doen: mensen helpen. IT helpt hem, maar daar besteed hij het liefst zo min mogelijk tijd aan.

Andersom werkt dat het zelfde: jij als IT-security-expert hebt geen verstand van het menselijk lichaam, toch maak je daar gebruik van :P. Dan roepen we ook niet foei foei. En bij problemen ga je naar die arts, die daar dan wel verstand van heeft.

We zouden als security community natuurlijk de LHV (landelijke huisarts vereniging) eens kunnen vragen hier experts op te zetten als wij zouden merken dat iets niet op orde is. Als die met een lijstje komen van leveranciers die zichzelf hebben onderworpen aan een expertpanel-lijstje heb je tenminste iets, en dat bijvoorbeeld LHV dan vraagt of je als huisarts je site doorgeeft en zij bv. maandelijks een simpele scan uitvoeren dan is dat een tasbaar iets voor elke arts en zal die vast geen nee-zeggen. Leveranciers vervolgens verplichten om responsible disclosure aan te bieden past prima natuurlijk, moeten ze wel een demo omgeving opzetten.

Dat zien we ook bij webwinkels: ben je aangesloten bij thuiswinkel.org dan wordt je website gescaned (of dat was in iedergeval zo in het verleden ooit een idee - current status onduidelijk). Dat zijn goede ontwikkelingen.

Het gaat om een huisartsenpost, eerste noodhulp.Een huisartsenpraktijk is heel wat anders wat taken betreft.
De enige overeenkomst is de huisarts als gespecialiseerde kennis in een persoon.

Die wordt lastig, voor ziekenhuizen heb je de NEN7510 voor Nederland met de toezichthoudende instantie https://www.igj.nl/zorgsectoren/ziekenhuizen-en-klinieken/toezicht-op-ziekenhuizen IGJ kijkt naar de techniek https://www.igj.nl/onderwerpen/ehealth of het toezicht voldoende is, is een ander vraag.

Je zou een vaste richtlijn moeten hebben in die zelfde lijn waar de software voor een huisartsenpost moet voldoen.
Heb je die richtlijn dan kan je er ook een keuringsinstantie op loslaten. Kema keur TNO keur in ieder geval niet een horizontaal toezicht eigen verklaring. Nu zal het bij een huisartsenpost om minimale zaken gaan. Roostering met de vergoedingen die er bij horen. Alleen degenen die zich daar melden moeten zich kunnen identificeren, daar loopt een declaratietraject achter.
Er is een NCSC met veel meer technische kennis, helaas staat die er buiten.

Opvallend dat veel reageerders Troy Hunter dan weer wel als een White Hat zien terwijl die gewoon heler/dief is van al die e-mail adressen.

Een keurmerk voir een giexgwksurd iets betekent inderdaad dar er alsnog niets mis kan gaan. Het is een onderbouwing dat er voldoende aandacht voor dat deel is geweest. In dit kader van her artikel: dreigen dat er onderhoud gepleegd moet worden met deze kosten omdat het AP anders een gigantische boete zal geven, gaat niet meer op.
Het AP heeft daartoe geen onderbouwd verhaal meer.

oordeel er kan zonder angst naar de oorzaak gekeken worden en die oorzaak aangepakt worden
Nu heb je een angst cultuur zonder duidelijke kaders met een willekeur vanuit een toezichthouder. Dat is een slechte zaak.

Beste draad-deelnemers en draad-bezoekers,

Laten we de zaak eens wat verder concretiseren. Wat willen we niet zien bij een website, die voor veilig moet doorgaan?

Weet hierbij,dat dit is geen volledige inventarisatie is. Zie het meer als een eerste opzet, als ik zo uit het hoofd mijn vrijwillige 3rd party cold recon website analytische en website-error scannetjes doorloop en mij de resultaten voor de geest haal.

In de eerste plaats maken we onderscheid tussen websites en domeinen, die echt met het oogmerk op verspreiden van malware of met het doel te mal-adtracken, spammen en scammen zijn gemaakt. Ze leven soms minder dan 24 uur en zijn soms persistent (meer dan 1000 uur online te vinden). Dit zijn dus websites waar cybercriminelen achter zitten.
Die websteks dienen zo veel mogelijk neergehaald te worden. Ook moet er naar de gedogende hosting gekeken worden.
Hoeveel misbruik per AS vindt er plaats.

Dan zijn er websites, die verdacht zijn en overgenomen kunnen worden, maar niet met die intentie door malcreanten in de lucht zijn getild. Die moeten zo snel mogelijk gemaand worden maatregelen te nemen, zodat ze niet meer aantrekkelijk zijn voor malcreanten om te kunnen worden misbruikt. Opschonen die hap en wel a.s.a.p.

Er is geen sprake van cloaking. Dus de site toont geen code aan Google die verschilt van die getoond aan Googlebot.
Status code zijn hetzelfde. We zien geen spammy looking links. Er zijn geen verdachte Iframes. De site komt niet voor in blacklists en wordt niet gevlagd bij VirusTotal etc.

De gebruikte CMS is up to date, alsmede de thema code en de plug-ins hebben de laatste versie.
Voor Magenta is de magereport scan site een goede graadmeter voor het patch gehalte en de veiligheid i.h.a.

Er draait geen "verlaten"code op de site. De site heeft kwetsbare jQuery libraries afgevoerd.
Er zijn geen te misbruiken DOM-XSS sources en sinks. Header security is op orde, Disown-opener heeft de juiste attr. waarden. Strict-transport-security goed ingesteld. Validate-set-cookie-header, X-content-Type-options, dus header security, waar nodig juiste CSP policy.

HTTP (only) cookies, Flash, HTML5 localStorage, sessionStorage, CANVAS, Supercookies, Evercookies. Scannen op SSL/TLS, HTML and HTTP zwakheden. Javascript -errors. Websniffer zaken en Quick Source view voor inline script en inline CSS.

Maar ook op waar de site gehost wordt moet gekeken worden naar eventuele kwetsbare code, kwetsbare PHP code,
nginx header kwetsbaarheden bijvoorbeeld en andere vulners.. Hosters die traag zijn met verwijderen van malware, scamware, spam etc. aanpakken. Maken ze geen onderdeel uit van de oplossing, zijn ze dus onderdeel van het probleem.

Heeft een website in deze opzichten de zaakjes zo veel mogelijk op orde, zou deze een zogenaamd "clean bill of health" moeten krijgen en de rest een B, C of F graad status. WOT extensie werkte zo als aardige graadmeter, maar de hele kaboodle werd vermarkt aan de hoogstbiedende door een tijdelijk admin/durfkapitalist. Krijgen het vertrouwen nooit meer terug, helpt geen lieve moederen en webrep management aan.

De strijd is moeilijk en verloopt vaak ongelijk. Maar alleen het verworven inzicht maakt het de moeite waard.

Fijne, gezonde en malware-vrije week gewenst door

luntrus