Nederlandse onderzoekers scannen 35.000 goede doelen op kwetsbaarheden
Nederlandse beveiligingsonderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben de systemen van 35.000 stichtingen en goede doelen wereldwijd gescand op kwetsbaarheden. Vervolgens werden de kwetsbare organisaties via e-mail gewaarschuwd. Het gaat om duizenden goede doelen.
Aanleiding voor het onderzoek dat op 22 februari startte was de aanval op het Internationale Comité van het Rode Kruis (ICRC) waarbij de persoonlijke en vertrouwelijke gegevens van meer dan 515.000 "zeer kwetsbare" personen werden gestolen. De aanval was mogelijk doordat het Rode Kruis had nagelaten een kritieke beveiligingsupdate voor de Zoho ManageEngine te installeren die al maanden beschikbaar was.
De onderzoekers brachten op 22 februari eerst allerlei goede doelen en stichtingen in kaart, waarna er werd gescand op duizend bekende kwetsbaarheden, gevoelige bestanden die toegankelijk zijn en andere misconfiguraties, zo laat een woordvoerster van het DIVD tegenover Security.NL weten. Vervolgens werden de eerste waarschuwingen op 25 februari verstuurd.
DIVD roept goede doelen op die een e-mail hebben ontvangen om de systemen zo snel mogelijk te patchen. In de e-mail is aangegeven om welke kwetsbaarheid het gaat. Indien organisaties problemen ondervinden met het patchen, kunnen zij met het DIVD contact opnemen. De Nederlandse onderzoekers gaan verder met het scannen van de omgevingen. Goede doelen kunnen daarom nog een e-mail met aanvullende informatie verwachten.
Moeten we daar niet eens een keer een toezichthouder voor gaan aanstellen? Een toezichthouder goede doelen gelden?
Het nut ontgaat mij een beetje, lijkt op makkelijke PR.
Wie krijgt de e-mail? Weet deze persoon wat er mee gedaan moet worden? Wat als de e-mail uitlekt? Een out-of-band oplossing zoals een papieren rapportage was wellicht veiliger geweest. Of vooraf even contact opnemen, Daarnaast blijf ik het vreemd vinden dat men vrolijk alles scant zonder vooraf toestemming te vragen. Een beetje zoals een goedaardige computerworm ontwikkelen. Daar verschillen de meningen ook over. Onbedoeld kan het iets stuk maken.
Heb ik iets gemist? De krant niet goed doorgelezen? Dubieuze linkse mensensmokkel clubjes (sic!)?
Kan iemand uitleggen wat hiermee bedoeld wordt?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
