Nieuws
image

Man veroordeeld voor inbraak op Citrix-server gemeente Amsterdam

dinsdag 7 september 2021, 15:23 door Redactie, 11 reacties

De rechtbank Overijssel heeft een 23-jarige man veroordeeld voor onder andere het inbreken op een Citrix-server en het Personeelsnet van de gemeente Amsterdam en het wijzigen van salarisgegevens zodat het geld op zijn bankrekening werd gestort.

Voor het inloggen op de Citrix-server maakte de man gebruik van de gebruikersnaam en het wachtwoord van een medewerker van de gemeente Amsterdam. Vervolgens wist hij met de inloggegevens van in totaal vier medewerkers in te loggen op het Mijn Personeelsnet van de gemeente. Daar wijzigde hij van deze medewerkers de bankrekeningnummers en persoonlijke keuzebudgetten en liet het geld naar zijn eigen bankrekening overmaken.

Tevens downloadde de man een scan van het identiteitsbewijs van één van de medewerkers. Hoe de verdachte aan de inloggegevens kwam staat niet in het vonnis van de rechtbank vermeld. Het geld dat de man op deze manier verkreeg heeft hij uitgegeven.

Het inbreken op de systemen van de gemeente Amsterdam was niet het enige misdrijf waarvoor de verdachte werd veroordeeld. In totaal pleegde de man vijftien misdrijven binnen twee jaar, waaronder bedreiging en mishandeling. Hiervoor legde de rechter hem een een gevangenisstraf van één jaar en tbs met dwangverpleging op.

Reacties (11)
07-09-2021, 15:53 door Anoniem
Hoe is het toch mogelijk dat je met alleen naam en wachtwoord bij het personeelsnet kan inloggen!
Is de verantwoordelijke ICT service provider hier ook OGD?
07-09-2021, 16:39 door Anoniem
Wat fijn dat zijn adres en verblijfplaats erin staan :S
07-09-2021, 17:16 door Anoniem
Door Anoniem: Wat fijn dat zijn adres en verblijfplaats erin staan :S
lol dit is het adres van de gevangenis
07-09-2021, 19:10 door karma4
Door Anoniem: Hoe is het toch mogelijk dat je met alleen naam en wachtwoord bij het personeelsnet kan inloggen!
Is de verantwoordelijke ICT service provider hier ook OGD?
Met pc's van de zaak gekoppeld aan een beveiligd VPN gaat dat niet zomaar. Hier is eerder voor de goedkope manier van thuiswerken met byod en zonder mfa gekozen. Die keuze ligt bij de opdrachtgever, helaas zijn kosten budget leiden voor wat realistisch haalbaar is.
07-09-2021, 19:10 door Anoniem
Schandalig.

Gemeente Amsterdam heeft sinds jaar en dag geen interesse voor security.

Hetzelfde wachtwoord uit het woordenboek, als SNMP community naam en als administrator wachtwoord voor alle computers en servers: Het topje van de ijsberg


De overheid geeft zichzelf natuurlijk geen boetes of gevangenisstraffen.
08-09-2021, 04:04 door Anoniem
Wel een meesterdief. Kom ik boek het over naar mijn eigen rekening.... Gebruik dan op zijn minst een katvanger.

Er zijn allemaal cybersecurity trainingen. Misschien moeten we ook een criminele versie ontwikkelen. Dan houden ze elkaar meer in balans ;-)
08-09-2021, 08:45 door Anoniem
Door Anoniem: Hoe is het toch mogelijk dat je met alleen naam en wachtwoord bij het personeelsnet kan inloggen!
Is de verantwoordelijke ICT service provider hier ook OGD?
Ik weet van diverse omgevingen die via Citrix beschikbaar zijn, maar geen MFA vereisen. Dit kan je vanuit de IT aangeven, richting de klant, maar uiteindelijk is dit de klant zijn verantwoordelijkheid. Als de klant niet wil, dan gaat het gewoon niet gebeuren, hoe graag je dit ook als leverancier wilt hebben.

En dit zijn grote bedrijven in de Benelux die de voorpagina zullen halen als het fout gaat.
08-09-2021, 09:12 door Anoniem
Dit is echt niet mogelijk geweest zonder 2FA. Je kunt al jaren niet meer remote op Citrix inloggen met alleen username/passwd. Of de ICT boys hebben dit voor het thuiswerken aangepast maar dat zou dan algemeen bekend moeten zijn. Hier is veel meer aan de hand dan een of andere handige Harry die op Citrix heeft weten in te loggen. Wellicht heeft deze Harry gebruik gemaakt van een lek in Citrix dat ze in 020 nog niet gepatcht hadden of hij heeft een kopie gekregen/of gekopieerd van de 2FA app + code van degene van wie hij de gebruikersnaam heeft gebruikt, maar er is iets meer aan de hand dan er in het artikel wordt gesteld.
08-09-2021, 10:12 door Anoniem
Door Anoniem: Dit kan je vanuit de IT aangeven, richting de klant, maar uiteindelijk is dit de klant zijn verantwoordelijkheid. Als de klant niet wil, dan gaat het gewoon niet gebeuren, hoe graag je dit ook als leverancier wilt hebben.
Eigenlijk deugt dat voor geen meter. Als een IT-leverancier staat voor een bepaald kwaliteitsniveau dan moet die niet accoord gaan met wensen die dat kwaliteitsniveau onhaalbaar maken.

Probeer eens een auto zonder veiligheidsgordels of met inferieure remmen te kopen. Een autofabrikant peinst er niet over om die te leveren. Probeer eens een schilder in te huren met als voorwaarde dat die inferieure verf en inferieure kwasten gebruikt. Ik denk dat ieder schildersbedrijf dat geeft om zijn reputatie en geen gezeik over het resultaat wil zal zeggen dat je dan maar een ander moet zoeken of het zelf moet doen.

Dus als het bij IT-dienstverleners wel de norm is om kwaliteit te laten varen zodra een klant dat wil, zegt dat dan niet dat het een onvolwassen markt is waar beunhazen vrij spel hebben om serieuze partijen uit de markt te prijzen met inferieure producten?
08-09-2021, 11:00 door Anoniem
Als je zonder 2FA draait gooi het dan achter een VPN, IP block en account lock out na 5 foutieve pogingen met logging zodat een beheerder het opvalt als diverse accounts op slot zitten.
09-09-2021, 18:25 door Anoniem
Door Anoniem: Hoe is het toch mogelijk dat je met alleen naam en wachtwoord bij het personeelsnet kan inloggen!
Is de verantwoordelijke ICT service provider hier ook OGD?
Nee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure