Massaclaim tegen bedrijf achter datalek TU Delft en Universiteit Utrecht
In de Verenigde Staten is een massaclaim aangespannen tegen het bedrijf Blackbaud, dat onder andere gegevens van de TU Delft en Universiteit Utrecht lekte. Blackbaud is een cloudsoftwarebedrijf dat allerlei diensten aan non-profitorganisaties en onderwijsinstellingen levert, waaronder CRM-systemen (customer relationship management).
In mei werd de cloudprovider het doelwit van een ransomware-aanval. De aanval werd gestopt, maar voordat de aanvaller de ransomware uitrolde wist hij gegevens van allerlei Blackbaud-klanten te stelen, waaronder de twee Nederlandse universiteiten. In het geval van de Universiteit Utrecht en TU Delft kregen de aanvallers toegang tot een oude back-up uit 2017 die onbedoeld nog in de omgeving van Blackbaud stond. Blackbaud betaalde de crimineel achter de aanval om de data te vernietigen. Het bedrijf denkt niet dat de data buiten de cybercrimineel om is verspreid, is of zal worden misbruikt of op andere wijze openbaar zal worden gemaakt.
Volgens de nu aangespannen rechtszaak lopen slachtoffers van het datalek risico op identiteitsdiefstal en fraude. Daarbij zou Blackbaud nalatig zijn geweest in het beschermen van de gegevens van duizenden studenten, patiënten, artsen en donoren die bij het datalek werden gestolen. De eiser stelt verder dat Blackbaud aan klanten liet weten dat gegevens goed beveiligd zouden zijn, maar dat die desondanks toch werden gestolen. Ook kan het bedrijf niet op het woord van de aanvaller vertrouwen dat de gegevens zijn vernietigd, zo staat in de aanklacht vermeld.
"Om te geloven dat een crimineel die heeft ingebroken op je systeem zich aan zijn woord heeft gehouden en alle informatie heeft verwijderd, is denk ik niet voldoende", zegt advocaat Matthew Lee van advocatenkantoor Whitfield Bryson & Mason, die de zaak op verzoek van een gedupeerde cliënt heeft aangespannen. Volgens Lee lopen tienduizenden mensen risico op identiteitsdiefstal. De eiser in deze zaak wil dat Blackbaud kredietmonitoring aan getroffen slachtoffers aanbiedt en hen een schadevergoeding betaalt (pdf).
Ben benieuwd of de CRM client, database server en webserver in native microsoft ontwikkel omgeving zijn geprogrammeerd of werken met plug-ins / eigen software die de data-communicatie verwerkt met elementen als :
- Windows Server 2012 R2 with IIS 8.0 or IIS 8.5
- SQL Server 2014 Enterprise SP1 with compatibility level 110 or SP2 with compatibility level 110
- SQL Server 2016 Enterprise SP2 with compatibility level 130, Windows Server 2016
- Microsoft .NET Framework 4.5.2. 64-bit
- PowerShell 5.0 or higher, required for running jobs in SQL2016.
Wat meldt de TU-Delft over de breuk?
On 16 July 2020, Blackbaud, the provider of TU Delft’s alumni relationship management system, informed us that they had been the victim of a ransomware attack between 7 February and 20 May 2020.
Zo'n lange termijn erover heen laten gaan hindert toch eerder het kunnen reageren met passende maatregelen dan dat het dat versterkt.
Wat is er al die tijd dan door het Blackbaud gedaan?
De boot afhouden?
While Blackbaud assures us that the incident was solved and the back-up file was deleted by the hackers, we immediately launched our own investigation and we wanted to inform you about this. TU Delft informed the Dutch Data Protection Authority of the breach. We are working with Blackbaud to understand why there was a delay between them finding the breach and notifying us, as well as what actions they have taken to increase their security.
Yes. This is indeed the case with a limited number of alumni. If you have received an email/letter from us that does not contain a paragraph about the BSN, your social security number was not stored in the hacked file.
Da's bijna hetzelfde als voor inbrekers een paar kogels en een pistool klaarleggen zodat ze alle kluizen in je huis kunnen open knallen om er kostbaarheden uit te stelen.
When enrolling a student, Utrecht University is legally obliged to request and store the BSN in its student administration, partly because of the exchange of information with DUO. However, the BSN should not have been imported into the alumni file. This is not allowed. We regret that this has happened to 6000 alumni.
Je krijgt hier wel het idee dat Universiteit Utrecht wat eerlijker en opener is over de afhandeling door Blackbaud's.
Utrecht University bases its risk assessment on a number of factors. The attack by the hackers was aimed at shutting down Blackbaud's servers by encrypting them and then making Blackbaud pay for the key. When this failed, the 'bycatch' (a copy of certain data, including the old backup from Utrecht University) was monetised.
Blackbaud paid the hackers to destroy this data. Blackbaud received confirmation of this. According to experts, this commitment is reliable, because the business model of hackers is based on compliance with such agreements.
In addition, Blackbaud has hired an external company to check whether the information has not been resold or disseminated after all. So far, this has not been the case. The so-called dark web will continue to be monitored for signals that (parts of) the datasets could still be traded.
Our risk assessment also takes into account issues such as the nature of the data and the method of registration, which parts of the data were not accessible due to encryption, the fact that millions of individuals have been affected via dozens of organisations worldwide and how much such data is worth on the black market.
Hoe kan ze dan stellen dat ze privacy serieus neemt?
Ze kan wel leuk uitgebreid dingen optuigen maar als je kwalificaties niet echt deugen is dat vooral window dressing.
Het risico zou kennelijk laag zijn om 3 redenen:
1- Als ik een hack actie zou bedenken zou ik toch denken dat het uitzetten van de data server het ongelogd kopiëren van de heel gevoelige gegevens toch een stuk makkelijker maakt. Dus het uitzetten van de servers is wel de meest logische eerste stap die helemaal geen indicatie biedt over de effecten van het werkelijk opgetreden risico van de hack.
2- Blackbaud schakelde kennelijk een bedrijf in dat voor bedrag x en termijn y aan de slag gaat en kijkt of ze sporen van gelekte informatie ergens / op de zwarte markt tegenkomen.
En heeft nog niets gevonden.
Zo'n monitoring is toch tijdgebonden en een zeer beperkte indicatie-bevestiging.
Hoe uitgebreid die ook ingestoken is.
Zo'n monitoring geeft niet eens een maatgevende waarschijnlijkheid van de daadwerkelijke verspreiding, behalve de gevonden data langs de wc-eendjes weg.
Want dergelijke bevindingen van dat bedrijf zeggen bij het niet in beeld raken of krijgen van informatie-sporen die ze niet hebben weten te vinden.
En dus zegt het niets over de daadwerkelijke verspreiding van de privacy gerelateerde gegevens van de afgestudeerden van de Universiteit Utrecht.
Ook is het weinig zeggend omdat de info evengoed buiten zicht van de zoektocht/monitoring op het internet beschikbaar kan zijn.
3- de hack actie zou kennelijk niet specifiek op de Universiteit Utrecht gericht zijn.
Zoiets zeg je hoogstens bij gebrek aan volledige dader kennis, bij gebrek aan compleet bewijs.
Bovendien, gevoelige informatie al kwijtspelen bij een actie die niet op 1 organisatie (Universiteit Utrecht) specifiek gericht zou zijn is juist wel een reden om de gevolgen van het opgetreden risico anders zeer hoog in te schalen.
Namelijk in de trant van ernstig tot zeer ernstig.
Of zijn de afgestudeerden, toch een (soort van) externe relatie voor de Universiteit Utrecht, een onbeduidende categorie mensen?
Als relatie beheerder / account manager ga je echt niet fijn op de koffie bij die relaties met een bericht als deze.
Als dat gesprek van kopje koffie al langer dan 5 minuten zou duren is dat een wonder en heeft de relatie (de afgestudeerde) in dat gesprek misschien niet echt goed de ernst van de gecomrpomitteerde gemaakte gegevens op het netvlies gekregen.
Even relatief anoniem per brief / internet bericht het lek melden maakt de ernst van de inschatting door de Universiteit Utrecht, hoe logisch en gangbaar de aanpak ervan nu ook lijkt/is, helaas niet een stuk geloofwaardiger.
Hierin zit denk ik ook wel een algemeen aandachtspunt voor de TU Delft waar ze samen mee zeggen op te trekken.
Genoeg stof voor de AP om de touwtjes voor aan te trekken.
Want het eenmaal opgetreden risico van compromitteren van gevoelige gegevens is, van oorspronkelijk vermoedelijk beheersbaar, qua ernst sinds 2017-2020 in ieder geval 100%.
En niet van de orde gering, zoals de Universiteit Utrecht misschien niet volledig uitsplitst in haar toelichting.
Waarbij de gevolg-keten met beheersmaatregelen die ze vervolgens volgen/opvolgden qua risico eerder variëreert per uitgesplitste acties en vervolg-gebeurtenissen en gezien bovenstaande toelichting zeker niet langer over het geheel daarvan een uniforme gelijkelijke lage kans-inschatting kan hebben.
Want 1 van de bijbehorende vervolg maatregelen van een hack is dat Universiteit Utrecht die meldt bij de AP.
En alleen al het moeten melden van een hack bij de autoriteiten herbergt bij voorbaat natuurlijk allerlei bestuurlijke risico's met reputatie schade en is dus ook een opgetreden risico -> Ergo 100%.
On 16 July 2020, Blackbaud, the provider of TU Delft’s alumni relationship management system, informed us that they had been the victim of a ransomware attack between 7 February and 20 May 2020.
Zo'n lange termijn erover heen laten gaan hindert toch eerder het kunnen reageren met passende maatregelen dan dat het dat versterkt.
Wat is er al die tijd dan door het Blackbaud gedaan?
De boot afhouden?
Uit andere berichten bleek dat er een een oude backup server bij Blackbaud gecompromitteerd was.
Recente hack dus - maar met deels oude data - blijkbaar bestanden van 2017 .
On 16 July 2020, Blackbaud, the provider of TU Delft’s alumni relationship management system, informed us that they had been the victim of a ransomware attack between 7 February and 20 May 2020.
Zo'n lange termijn erover heen laten gaan hindert toch eerder het kunnen reageren met passende maatregelen dan dat het dat versterkt.
Wat is er al die tijd dan door het Blackbaud gedaan?
De boot afhouden?
Uit andere berichten bleek dat er een een oude backup server bij Blackbaud gecompromitteerd was.
Recente hack dus - maar met deels oude data - blijkbaar bestanden van 2017 .
Nou speelde eind jaren 90 al op universiteiten onder ICT beheerders en data toeleveraars de discussie of alle data wel live moet worden kunnen benaderd indien de data bijvoorbeeld ouder dan 1,5 jaar is.
Verder waren er medewerkers en directie-leden bij bedrijven in Nederland die onbewust doen alsof gegevens van 1,5 jaar en ouder op remote access backup servers per definitie geen voorbeeld van "live" data is en dus verder veilig en onaantastbaar is voor hacks.
Misschien hebben CIO's die spagaat / de euvels tussen verschillende data-domeinen in de afgelopen 20 jaar nog altijd niet volledig in de vingers.
Dan scoor je echt nep-punten qua privacy beheersing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
