Heel zuur voor DIVD - die zeker erg goed bezig zijn - dat ze zo'n rotte appel aan boord hadden.

Eerste vraag die opkomt is "zou een VoG geholpen hebben" - ik speculeer van niet , gezien de vrij beperkte opsporing van cybercrime . Waarschijnlijk was deze blackhat tot nog toe juridisch schoon.
Zou er "zachte" informatie geweest zijn dat het iemand was die ook rommelde in de foute hoek ? lastig. Een echt goede researcher weet ook wel de weg op darkweb fora .

Wat zouden de eisen van de DIVD zijn, voodat je toegang krijgt tot gevoelige informatie?
Een VOG, Een A screening, Of is blauwe ogen en een belofte genoeg?
Je moet echt meerwerken aan het onderzoek zegt natuurlijk niets…

Pijnlijk. Het is natuurlijk van alle tijden dat white hats de verleiding niet kunnen weerstaan om een andere hoed op te zetten, maar dit is wel schokkend en zeer schadelijk voor de security community. Wat zou je hieraan kunnen doen? Screening e.d. helpt niet. Betere begeleiding? Meer toezicht? Ik heb geen idee.

In mijn kennissenkring zit iemand die bij de Rijksrecherche onderzoek deed naar corrupte politiemensen, zal hem eens vragen hoe ze dat daar voorkomen maar ik denk dat er weinig aan te doen is.

Iemand suggesties?

Zouden ze bij de screening wel gekeken hebben of zijn CEH-diploma niet gefaked was...? Iedere ouder weet toch dat kinderen pas op hun 25e een beetje de gevolgen van hun acties kunnen begrijpen? Beetje naïef is het wel, maar het alternatief is natuurlijk niet echt gezellig (zeker niet bij een vrijwilligersorganisatie).

het is toch bizar dat daar geen controle over is binnen een organisatie in je bedrijf nou nou ik ben blij dat ze die ratten hebben opgepakt.... DIVD (Dutch Institute for Vulnerability Disclosure.....haha ja we kunnen het niet leuker maken...

We moeten meer, meer, meer digitaal. Wat kan er nou toch mis gaan?

Hoe voorkom je zoiets? Een VOG krijgen zegt alleen dat je nog geen strafblad hebt. Of dat redenen om géén VOG te krijgen zijn verjaard, dat het (nog) niet tot een rechtzaak is gekomen, de betrokkene vanwege vormfouten of gebrek aan bewijs is vrijgesproken, of dat er simpelweg niet goed is gezocht (denk ook aan fouten zoals naamsverwisseling). Ook worden VOG's vervalst (https://www.telegraaf.nl/nieuws/786013780/cel-en-taakstraffen-geeist-om-vals-diploma-en-vog-bedreiging-voor-de-zorg).

Ik weet niet of de DIVD een VOG (met "breed spectrum") vereist, maar sowieso zou enige naïviteit bij de DIVD mij niet verbazen.

Een strikte ballotagecommissie instellen, met een assessment van de doopceel van kandidaat door de AIVD.

Minimalisatie van de data die je hebt. Dat werkt altijd. En het aanvalsoppervlak verkleinen en alle veiligheidsupdates bij houden van de software die dan overblijft, maar daar kan de DIVD juist een grote rol in spelen.

Verder klinkt het of verdachte een goede social engineer is, dat niemand doorhad wat hij eigenlijk van plan was.

Het valt altijd wel op dat "ik overzag de gevolgen niet want ik ben nog maar jong" vooral negatieve dingen zijn die vooral een gebrek aan moreel kompas aantonen. Wat gij niet wilt dat u geschiedt, doet dat ook een ander niet. Een heel eenvoudige regel, zonder je onvolgroeide hersenen de schuld te hoeven geven.

Ik beroof mensen "want ik overzie de gevolgen niet". Ik chanteer en bedrieg mensen op internet "want ik overzie de gevolgen niet". Ik sla iemand bont en blauw "maar ja, ik overzie de gevolgen niet".

Je weet heel goed dat je mensen niet voor miljoenen op mag lichten, of mensen niet mag benadelen en de shit in mag trappen. Houd dus maar op met "ik overzie de gevolgen niet", want deze lui hebben HEEL goed in de gaten dat wat ze doen helemaal niet mag. Anders hadden ze hun acties wel aan de grote klok gehangen. Oh nee, dat hebben ze niet gedaan. Komt vast doordat ze de gevolgen daarvan WEL overzagen.

Hahaha lekker voor die paupers.
DIVD is echt een circlejerk groep en ik vind het maar mooi om te zien hoe ze af gaan.

Wat nou als de data gehaald is via DIVD? Ik zeg opdoeken en het gene wat ze doen laten doen door mensen die weten waar ze mee bezig zijn, onder de vlag van de overheid.

Het is een kwestie van geschonden vertrouwen en een dergelijk iemand zal dat waarschijnlijk nooit meer krijgen.
Hij had beter een goede 'gamer' kunnen blijven.

Ik denk dat het hier ook gaat over toezicht en controle. Heeft de persoon zijn werk gedaan en is zijn device door het hoofd van dienst gecontroleerd bij geen verdenking dan de muis omkeren als teken dat alles opgeschoond is en er bijvoorbeeld geen mail-account is open blijven staan e.d.

Het is en blijft een vrijwilligersorganisatie met alle risico's van dien. Alhoewel iemand kan ook goed vrijwilligerswerk doen zonder dat hem of haar over 30 jaar iets na te wijzen valt. Voorzichtig zijn dus met 'kans-pareltjes', die direct na de opleiding willen gaan 'verdienen'. Velen bezwijken voor de verleiding van cybercrime en de bitcoin.

#webproxy

Nou, hier ben ik het zeker niet mee eens.
Een zo een rotte appel maakt niet gelijk alles slecht. Al moeten ze wel duidelijk het een en ander gaan doen met screenen.
Wellicht een goed plan om alleen maar mensen toe te staan die Security+ of CEH hebben. Want dan heb je gelijk de mensen die weten hoe het werkt.

DIVD is een vrijwilligersorganisatie. Hoe houdt een vrijwilligersorganisatie ooit zicht op wat de personen doen buiten die organisatie?
Dierenambulances enzovoort drijven ook op vrijwilligers, maar gaan die ooit zien of zo'n vrijwilliger thuis zijn hond schopt of laat verhongeren?

Een VOG krijgt iedereen die nooit veroordeeld is. Bij iemand die net van school komt is dat meestal niet zo'n issue.
Screening stelt ook niet zoveel voor

Het gaat volgens het AD om de hoofdverdachte (21) in het politieonderzoek. Daarnaast werkte hij bij een niet bij naam genoemd cybersecuritybedrijf in Amsterdam, dat niet bereikbaar was voor een reactie.

https://www.ad.nl/binnenland/opgepakte-hacker-die-bedrijven-afperste-streed-overdag-juist-tegen-hackers~a6492852/

ErikvanStraten
@Tijs Hofmans • 24 februari 2023 12:55


https://tweakers.net/nieuws/207002/gearresteerde-nederlandse-hacker-was-als-vrijwilliger-werkzaam-voor-divd.html?showReaction=18497510#r_18497510

SirBlade
24 februari 2023 13:21

Een A screening van de aivd stelt niet zoveel voor?
Je hebt geen idee waar je over praat, zelf schijnbaar nooit meegemaakt(?)

Als je naar de leeftijd van de verdacht kijkt.. is het aannemelijk dat hij na het uitzitten van zijn straf zal terug keren in de IT.. Natuurlijk wil je deze meneer nooit meer in vakgebied IT hebben.. Echter een beroepsverbod opleggen zal heel moeilijk worden.

Volgens het linkedin profiel van betrokkene, zie je dat meneer de nodige certificeringen heeft..
Als de certificerende organisaties lef hebben, trekken deze certificeringen in.

Nee, dit is echt niet om te lachen!!

En nu kan iedereen zien wat er gebeurt als 1 persoon in de fout gaat en de hele organisatie (DIVD) ten onrechte daarop wordt afgerekend!

Dat ben ik zeker met je eens. Echter is dit bij security “normaal”. Als 1 iemand iets niet goed dus is de hele organisatie ineens fout en wordt daar op afgerekend. Sowieso, in deze business is het bijzonder moeilijk om alles foutloos te doen, hoe graag je ook wilt. Het is eigenlijk te makkelijk om iets te missen, en de huidige maatschappij wil dan gelijk een dader aanwijzen. Nu is DIVD daar de dupe van, maar dit is al zo vaak gebeurd. De volgende zal het bedrijf wel zijn waar de medewerker werkte. En ik durf te wedden dag die best wel een background check deden (dat hoop ik
althans wel als je iemand dit werk laat doen)… ik hoop oprecht dat we met zijn allen wat meer gaan accepteren, leren van fouten zonder oordeel, en daardoor beter worden in de toekomst.

Wel zit er wel een behoorlijk inherent risico aan de werkwijze van DIVD die hiermee aan het licht komt; wanneer iemand bij de organisatie zit kunnen ze gebruik maken van de ip blokken van DIVD. Deze “hacker” dus ook. Gevolg is dat hij via DIVD aanvallen uit kon voeren (of de recon kon doen), terwijl dit veel minder opvalt, veel bedrijven vertrouwen immers DIVD tegenwoordig en kijken er minder actief naar in de logs. Of vinden het tenminste minder verdacht. Benieuwd hoe ze daar mee omgaan.

Het probleem wat deze vrijwilligersorganisatie door dit kereltje van 21 krijgt, is dat opdrachtgevers de vraag zullen stellen wat ze nog meer niet weten of vermoeden.
Reputatie schade ligt op de loer.


En dan de potentieel bijkomende schade:

- "Recentelijk besloot het ministerie van Economische Zaken om het DIVD de komende drie jaar te subsidiëren."
- "Eind vorig jaar waren er verschillende partijen in de Tweede Kamer die overheidssubsidie voor ethische hackers zoals het DIVD willen."
- "De VVD pleitte afgelopen september nog voor een formelere rol voor DIVD in digitaal beschermen van Nederland."

Eens kijken hoe snel de steunbetuigingen in de politiek zullen opdrogen. DIVD is nu ongewild besmeurd geraakt.
En mn politici zijn er wars van daar mee geassocieerd te worden.

- "Daarnaast is het DIVD ook een CVE Numbering Authority (CNA) geworden, waardoor het CVE-nummers voor kwetsbaarheden kan registreren."

.... .... ....


Ik hoop dat het met een sisser af loopt voor het DiVD, maar ze hebben een PR nachtmerrie.
Je kunt je hier moeilijk tegen verdedigen, zoals ook wel te zien is aan de zwakke bewoordingen van hun reactie.
De enige optie die ze hebben is pro-actief optreden, en duidelijk uitleggen welke maatregelen ze denken te nemen om dit soort incidenten te voorkomen.
Dit gastje zal veel vrienden bij hrt DIVD gemaakt hebben met zijn actie.

Ze zullen ongetwijfeld goede bedoelingen hebben, maar ze zitten flink bij google onder de plak (check ook de MX records maar eens) en dan kan ik je toch echt niet serieus nemen.

Dat op zich lijkt me een marginaal probleem .
Er is zoveel ruis op Internet dat je gewoon niet enorm actief _kunt_ acteren op alle meuk in de logs .
Acteren in de zin "oeps, dat moet dicht" natuurlijk .

Of het nu van een 'well known scanner network' komt of uit het moeras - als er iets teveel open staat vanaf "het Internet" kun je dat echt niet negeren omdat de scan toevallig van DIVD of Shodan of whatever was , want wat zij vinden kan ook door anderen gevonden worden.

Waarom word de DIVD nu te kakken gezet? Het bedrijf waar hij werkt word ook niet bij naam genoemd.
Vind ook dat er erg veel info over de verdachte word gegeven. Vrij makkelijk te achterhalen wie dit is.

En laten we eerlijk wezen, een VOG zegt alleen dat je niet bent gepakt.

Is dat sarcasme, of serieus ?
Security+ en CEH zijn echt vrij basic certificaten , die hoofdzakelijk zeggen "bekend met de basics, en niet te lui om te leren" .

Het is een beperkte garantie op enige skills - en feitelijk nul garantie op persoonlijke integriteit .(niet dat enig diploma of certificaat integriteit garandeert ; Advocaten eed of hippocratische eed ook niet )

https://www.parool.nl/nederland/piepjonge-hackers-kwamen-niet-uit-rusland-of-noord-korea-maar-uit-zandvoort~b959c22c/

“Ik heb het niet getest, maar ik weet vrij zeker dat ik zelf ook in één van die databases sta,” zegt een van de officieren van justitie die het onderzoek leidt. Hij wil niet zeggen van welke tientallen bedrijven in Nederland er data is gestolen. Het gaat waarschijnlijk om het grootste politieonderzoek naar criminele datahandel tot nog toe in Nederland.

Ik zie dat mensen heel veel aannames doen, zo kan ik er ook wel een paar.
De inbraak waar het NOS artikel naar verwijst bij ticketcounter vond al plaats in 2020 voor zover ik kan nagaan, 3 jaar geleden. Mocht de DIVD vrijwilliger dit inderdaad gedaan hebben dan kan het goed dat dit een jeugdzonde was toen hij nog minderjarig was. Inmiddels heeft hij het licht gezien en is hij weer op het goede pad door zijn skills in te zetten als vrijwilliger bij DIVD.
En voor wat betreft die miljoenen gegevens die hij in zijn bezit had: het is niet heel vreemd als white hat hacker om datasets van gelekte gegevens te gebruiken bij een opdracht. Die datasets zijn niet heel moeilijk aan te komen en dat hij die had wil niet zeggen dat hij zelf ingebroken had ergens.

Zelfs de gecontroleerde conspiratie-denkers beginnen zich hierover te roeren:
https://www.martinvrijland.nl/nieuws-analyses/hackers-stelen-miljoenen-persoonsgegevens-tweestaps-verificatie-de-e-100-verantwoording-en-de-identificatie-valkuild/

Dit soort gigantische databreaches, via zogenaamde gerenommeerde gesubsidieerde vrijwilligersomgevingen,
maakt wel dat we het woordje 'trust' met nog veel kleinere lettertjes moeten gaan schrijven.

Aan de ene kant elk bedrag van boven de 100 euro digitaal gaan volgen en aan de andere kant is de infrastructuur,
niet te beveiligen tegen een totaal uit de hand lopende cybercrime-plaag.

Als bij iemand als deze dader het morele kompas al zo ver weg is, wat wil je dan nog?

Vroeger werd je door je ouders meegenomen naar het grootwinkelbedrijf bijvoorbeeld.
Je werd voor een schap met toffees geplaatst en men zei als je meer dan 1 zo'n toffee meeneemt zonder te betalen,
dan groeit later zeker je handje boven je graf uit.

Je was vijf jaar, als dit plaatsvond. Het maakte een verpletterende indruk op je.
Ik heb daarna altijd voor alles wat ik kocht betaald en alleen iets gekocht, als ik er het geld voor had.

Wat is de wereld en ook die digitale, waar we steeds meer ingejaagd worden, toch sterk veranderd over de jaren.

#webproxy

DIVD is geen security bedrijf, dat krijg je ervan.
het is gewoon opgericht om legit te lijken.

De personen erachter zijn gewoon media geile journalisten, ciso's die een naam voor hunzelf hiermee willen maken en een paar beveiliging onderzoekers die ooit in het verleden wel eens iets interessants gevonden hadden.

Het hele DIVD initiatief is een media stunt, een dubbel agenda van andere organisaties.

Ze lijken meer op een cartel dan een serious security bedrijf.

Krijg je ervan als je neppe "security bedrijf" gerund wordt door een presentator :D

Die DIVD is echt grootste onzin ooit.

zelfs de CEH verdiend nog meer respect.

Feit is dat iedereen hoe lang ze ook in dienst zijn, of ze nu een VOG hebben of niet ooit de verkeerde kant op kan gaan. Financiele problemen of zich niet gewaardeerd voelen of gewoon zien hoe makkelijk iets is, etc. kan al lijden tot dit soort misbruik.

Grote IT bedrijven stappen ook steeds meer over op een zero-trust model.

Zijn wij nu zo slim hier allemaal? Of zijn zij juist zo dom?

Je ziet toch ook wel dat alles zich naar het WEF-putje begeeft met hun aankondiging van:
"Er komen nog hele grote maatschappij ontwrichtende cyberaanvallen aan".
Denk hierbij aan de aanval op DOLE.

We gaan het nog zien, we gaan het nog beleven.
Overal om ons heen woedt de chips- en AI-oorlog.
Alle Amerikaanse deskundigen zijn al uit China teruggeroepen naar de VS.
Er wordt niet meer geleverd, geen chips meer en later ook niet dmeer e aardappel-variant uiteraard.

Ga maar vast oefenen op je eigen AI-Bot en er zal ook wel weer over en weer gehackt gaan worden.

#obserwator

Wat heel erg is: er zijn weer BSN gegevens van een grote groep Nederlanders gejat. Daarmee kun je op ID fraude plegen, leningen afsluiten op andermans naam, als je het handig speelt een auto huren enzovoorts

Het BSN moet een veranderbaar gegeven worden. Dit zou voor de Rijksoverheid geen issue moeten zijn want het is over alle ministeries een nummer veranderen, waarvoor een protocol geschreven kan worden. Inmiddens met MijnOverheid en Digitale Overheid is elk ministerie al volledig digitaal met slechts enkele departementen nog uitgezonderd

Want alles is al zo goed als gecentraliseerd. De overheid is al jaren bezig geweest alles nog meer te centraliseren, waarom dan BSN nog niet wijzigbaar? Het staat wel op de achterkant van je paspoort nu. Iets wat komt door inspanningen van ondermeer Brenno Winter en consorten, die dit soort dingen onderzochten

De enige grote probleem maker is de Belastingdienst. Deze organisatie lekt van elke ZZPer de BSN. Want de BSN is wat vroeger het SOFI-nummer was, en het SOFI nummer met een lettertje ervoor is je BTW-identificatienummer welke je op elke factuur MOET delen. Dus ben je zelfstandig dan krijgen al je klanten jouw persoonlijke BSN in de mail.

De belastingdienst is het enige deel van de overheid wat de privacy van de burgers in de weg zit, los daarvan moet het een veranderbaar gegeven worden in de nabije toekomst vanwege de cyber dreiging. Kan de overheid daar misschien eens wat subsidie op in zetten? Er lezen vast ambtenaren mee die dit ook een goed idee vinden en de weg weten....

Ik ken een man die werkt in de zorg en die had een kopie van zijn zaak naar huis gebracht. Ik hielp hem bij het fixen van een PC issue. Ik trof daar een database aan met 200.000 Nederlanders met BSN. Die had ik best kunnen kopieren als ik had gewild maar ik heb die intentie niet. Alle zorginstellingen gebruiken je BSN namelijk ook, en gegevens blijven ook daar over jou bewaard voor vele jaren en dus is een lek in de moderne wereld slechts een kwestie van tijd. Want zorgbedrijven en instellingen houden zich weer aan hun 5- of 10- jaar bewaarplicht nadat je een behandeling stopt volgens en de zorgwet gaat in hun ogen boven de AVG. Zij hebben geen logische reden waarom gegevens bewaard moeten worden en meestal wordt het argument "ja misschien moet het want er is ergens een wet die dat voorschrijft".

De data van deze persoon die ik holp met 200.000 Nederlanders bevatte records die 25 jaar terug gaan.

Het wordt tijd dat de overheid wat minder subsidies uitgeeft in externe partijen (lobby? vriendjespolitiek? controlemaffia?:)) en wat meer in de ICT binnen de eigen systemen om de burger beter de beschermen. Ze zijn goed bezig maar ze zijn er nog niet.

Alles leuk voor reklamespotjes en om mee te paraderen al die CERTs enzo maar spendeer dat geld liever om het BSN veranderbaar te maken. En om de ICT bij de belastingdienst eens op orde te krijgen.... eerst eigen huis opruimen ....

Ja, dit kon wel een of andere smeeractie van politiek rechts zijn (in de ICT). Die vinden namen noemen niet erg (kijk maar op geenstijl)


Yep, oorlog op meerdere niveaus. Pas op....

Die arme jongen kan nu wel zijn carriere vergeten in deze sector.

DIVD was altijd al een kak organisatie, dit soort dingen gebeuren nu eenmaal als je geen idee hebt wat je doet en wie je aan neemt.

Bijvoorbeeld de algemeen Directeur is een presentator xD

Zelf proclaimed "researcher"

Echt ongeloofelijk

Wederom, waarom de naam van het bedrijf niet maar DIVD wel? En laten we niet doen of een partij die 'wel weet wat die doet' hem in de screening zou ontmaskeren

Kun je hier iets uitgebreider op in gaan?
Als niet ict of it er ben ik niet bekend met wat je schrijft over bijvoorbeeld MX records, en bij google onder de plak zitten.

Tegenwoordig hebben eenmanszaken, ZZP'ers, etc een nieuw BSN gekregen voor zakelijke toepassingen, dus je geeft dat nieuwe BSN (btw nr van je bedrijf) aan je klanten.
Dit is weliswaar veel te laat geregeld, wat je schrijft klopt niet meer.

De politie heeft bij hem 550.000 euro aan bitcoins en een schoenendoos met 45.000 euro contant geld in beslag genomen. Hij zou in totaal voor 2,5 miljoen euro aan bitcoins hebben witgewassen.

https://www.rtlnieuws.nl/nieuws/nederland/artikel/5367898/hacker-opgepakt-divd

De belastingdienst lekt nog steeds BSN’s, bijvoorbeeld door het BSN te gebruiken in het betalingsverkeer. Totaal overbodig gebruik van BSN. En mi ook onwettig, omdat het niet in de wetten over BSN staat.

Onder de plak zitten
https://nl.wiktionary.org/wiki/zitten

- niets durven tenzij de partner het goed vindt

Anoniem 24-02-2023, 16:57 beweert dus dat de DIVD bij Google op schoot zit om toestemming voor scans te krijgen.

In plaats van miljarden aan klomaathysterie clubs en zakkenvullende vriendjes links OF rechts kan de overheid misschien wat geld investeren in het veranderbaar maken van de BSN.

Dan kunnen ze meteen de BSN noodzaak voor zorg loskoppelen door secundair veranderbaar nummer (via digid bijv max 1x per 5 jaar) voor uitgifte aan die tak van sport.

Zo word de BSN een nummer alleen voor gebruik binnen de overheid.

Er word ook genoeg gekopieerd in hotels in bepaalde landen heb ik gemerkt.

Het is gewoon wachten op een datalek dat ook bewindslieden treft.

Je kunt gewoon een apotheek bellen onder iemands naam en dan geef je je number op of je doet alsof je het uit je hoofd west en zegt zo iemand zijn zorgverzekering op.

Het is heel simpel allemaal. Een wegwerp mobieltje en je kunt achterhalen wat voor medicijnen iemand slikt.

Waarschijnelijk wel, dit gebeurd niet bij bedrijven die een diepgaand achtergrond check doen en meerdere gesprekken voeren.

Zo een verhaal zul je niet zien over iemand die vrijwilliger was bij de defensie cyber commando's ... niet eens over iemand bij de rabobank of een van de andere echter cybersecurity bedrijven.

Reden is simpel, DIVD nam mensen aan puur om hun kennis, kunde en hadden laks aan de sociale aspect waar iemand mogelijk in zijn vrije tijd iets zou kunnen doen om de integriteit te kunnen schenden van hun eigen organisatie.

Die hele code of conduct ding op hun website is slechts een disclaimer om hunzelf te dekken voor het geen wat sowizo op een dag stond aan te komen.

Het valt de DIVD te volledig te verwijten als je het aan mij vraagt.

Een presentator moet niet iemand aan nemen voor security, een security guy moet niet iemand aan nemen voor security en zelfs geen ciso.

Daar moet een HR persoon voor zijn, goede coordinatie en beleid omheen omtrent de integriteit van een individu.
Het DIVD heeft hierin enorm in gefaald.

En wat dan als de ballotagecommissie vindt dat er toch iets niet klopt, maar er niet achter komt wat?
Betonnen schoentjes, misschien en kijken of 'ie daarmee kan zwemmen?

Als ik ergens werk, waar eigen info beschermd moet worden,
moet ik een overeenkomst tot geheimhouding tekenen.

Bij vragen van buiten moet ik verwijzen naar een interne inlichtingen-contact-persoon.

Verder kom ik zonder VOG niet binnen. Dan volgt er nog een proefperiode.

Dan kan het ook nog zijn, dat ik me aan bepaalde werk-protocollen dien te houden
en er voor mijn eigen veiligheid cameratoezicht is.

Na gebleken geschiktheid kan ik pas echt aantreden.

Een organisatie is niet professioneel bezig, als ze dit alles achterwege laat.

@ voorgaande


Er is nul reden om dit bedrijf hier te noemen.

Er is hier sprake van "framing". Vaak heeft dat een zakelijke of politieke reden.

Je moet gaan kijken naar de Bron en de eerste media berichten.

Het most niet moeilijk zijn deze te achterhalen. Want dit kan niet. Die jongen kan eenvoudig gedeanonimiseerd worden en later worden afgeperst of zijn baan verminderen. Hopelijk krijgt hij strafvermindering voor deze stealthy smaad by proxy.

Het bedrijf is niet fout geweest. Ze waren slachtoffer van een rogue werknemer. Zii worden door de MSM besmeurd.

Je moet je werkelijk afvragen of er geen andere belangen achterzitten , zoals het willen blokkeren van de subsidie...

Nee, een BSN zou moeten worden gebruikt waarvoor het bedoeld is en meer niet: een gemeenschappelijke sleutel hebben voor personen zodat er bij gegevensuitwisseling over die personen tussen de instanties die het mogen gebruiken niet van alles misgaat. Het bewijst niet iemands identiteit, net zo min als iemands identiteit bewezen is als je een telefoonnummer of IBAN kent.

Oude BSNs zitten her en der in systemen van allerlei overheden, ziektekostenverzekeraars, artsen, medische instellingen en ik weet niet wie nog meer. Het oude BSN moet ondersteund blijven worden om geen gegevens en koppelingen kwijt te raken. Maar dan moeten overal systemen opeens met het bestaan van meerdere BSNs voor dezelfde persoon om kunnen gaan. Dat is echt geen kleine aanpassing, zeker niet als je bedenkt dat al die instanties hun eigen systemen hebben die het gebruiken, en dat die allemaal aangepast moeten worden. En als je dat probleem wilt vermijden door met één BSN per persoon te werken en dat aan te passen dan moet je zorgen dat BSN-aanpassingen over al die systemen heen synchroon gebeuren. Om dat te ondersteunen moeten ook al die systemen aangepast worden.

MX records vertellen een mailserver waar mail voor een domein afgeleverd moet worden. In geval van de divd.nl krijg je dan te zien dat ze hun inkomende email bij google afgeleverd willen hebben. Daarmee gooien ze dus de privacy van iedereen met wie ze email contact hebben te grabbel aan een grote datagraaier.

Gaat de politie nu ook onderzoek doen naar al die bedrijven die zijn gehackt en dit niet hebben gemeld?

Bewijs?

Twee aannames. Wellicht kwam het gewoon op zijn pad.

Straks gaat die nog aan de hard-drugs.
Daar zal hij vooraf ook geen enige idee hebben wat de gevolgen kunnen zijn.


Nee, wat jij schrijft is onjuist. Niemand heeft een nieuw BSN.
Of andersom: alle BSN's zijn er nog. En daarnaast is er BTW ID gekomen.

Dan wordt hij of zij niet als DIVD vrijwilliger geaccepteerd en volgt er een gesprek tussen de AIVD en de werkgever.

Dat dit überhaupt kan is het probleem.

Eens, maar ik maak bezwaar tegen het woord "sleutel" dat uitgelegd kan worden als een geheim iets. En als één of meer andere mensen een BSN kennen of kunnen voorspellen, is het geen geheim meer.

Een BSN is een (binnen NL) uniek identificerend gegeven, net als (wereldwijd) een e-mailadres of een (met +31 beginnend) telefoonnummer. Juist omdat het geen strikt geheim is, d.w z. veel mensen er toegang tot hebben waarvan niemand kan garanderen dat zij 100% integer zijn, en -zoals nu opnieuw blijkt- niet voorkomen kan worden dat deze gegevens in verkeerde handen vallen, mag je een BSN niet vergelijken met een wachtwoord: een BSN is onbruikbaar als authenticatiemiddel (ook al misbruikt, notabene de overheid, het BSN wél voor dat doel).

Een fysiek paspoort is wel een authenticatiemiddel, niet omdat de informatie daarop geheim is, maar omdat het echtheidskenmerken (zichtbaar met het blote oog, geholpen door een blacklight-lamp, en middels een "chip") bevat waardoor het erg lastig gekopieerd, vervalst of gemanipuleerd kan worden.

Daarentegen is een digitale scan of fotokopie van een fysiek paspoort géén authenticatiebewijs, precies omdat het een kopie is - waarbij ook nog eens de echtheidskenmerken zijn verdwenen en zo'n scan of kopie ongelofelijk eenvoudig gemanipuleerd kan worden (bijv. andere pasfoto erop, of juist andere gegevens wijzigen). Net zoals jouw stem geen betrouwbare authenticatie (meer) is: https://www.security.nl/posting/787196/Bank-inloggen+met+AI-stem.

Als een verifiërende partij nog niets van jou weet is betrouwbare online authenticatie fundamenteel onmogelijk. Zelfs met asymmetrische cryptografie weet de verifiërende partij nooit zeker dat de persoon "aan de andere kant van de lijn" is wie zij of hij zegt te zijn, want het kan om persoon Y gaan die met de private key van persoon X authenticeert. Waarbij Y de private key van X in handen kan hebben of kan gebruiken, maar ook een AitM (Attacker in the Middle) kan zijn.

We moeten af van het idee dat authenticatie op afstand met technische middelen voldoende betrouwbaar gemaakt kan worden om dusdanige "zaken" te doen dat identiteitsfraudeurs (en evt. secundaire criminelen) daar significant rijker mee kunnen worden.

Kortom, het kennen van een BSN garandeert op geen enkele wijze dat jij degene bent aan wie dat BSN is toegekend.

Waar ik wél voor pleit is een organisatie-afhankelijk BSN dat is afgeleid [*] van een algemeen BSN zodanig dat, indien noodzakelijk en onder strikte voorwaarden, een daartoe geautoriseerde dienst verbanden kan leggen. Dit niet met als doel authenticatie maar privacy: om te voorkomen dat allerlei partijen er op eenvoudige wijze koppelbare databases op na gaan houden, en/of die koppelingen ook daadwerkelijk realiseren - met als argument "handig" en/of "economisch gunstig" - voor die organisaties, niet voor de betrokken personen (want zij lopen de risico's op misbruik en/of het in verkeerde handen vallen van hun gegevens).

[*] Met opzoektabellen, voor cryptografische hashes zijn de huidige BSN's veel te kort om "reversing" van afgeleiden te voorkomen.

Mocht zo'n gegevensset gestolen worden van een organisatie, kunnen alle afgeleide BSN's voor die organisatie (evt. verplicht) worden gereset, ter verbetering van de privacy (het verlagen van het risico), niet omdat het om een authenticerend gegeven zou gaan - maar omdat het een privacygevoelige unieke identier betreft.

Dat google een datagraaier is behoeft geen bewijs denk ik?

Waarom zou je die faken, die CEH diploma's zijn zo makkelijk te halen dat zou mijn dochter nog kunnen.
Je weet meestal al wel wat ze willen dat je antwoord.

Zowieso zou ik als blackhat hacker deze een keer doen, dan weet je wat de tegenpartij denkt.

Een andere post zei:
"Het is natuurlijk van alle tijden dat white hats de verleiding niet kunnen weerstaan om een andere hoed op te zetten,"

Het meest logisch is dat een blackhat hacker gewoon wou infiltreren in een intressant target. Dat is wat men altijd vergeet bij meer politie etc. Criminelen werken graag bij de politie want van binnenuit kan je veel meer.

Het lijkt mij toch een bestuurlijke misser van de DIVD, wanneer een vrijwilliger slechts een code of conduct hoeft te tekenen en bij misbruik geschorst wordt. Waar blijven de broodnodige controls voor IV in dit verhaal?
Het enige dat we nu mogen hopen is dat die persoon levenslang krijgt, voor zover wettelijk haalbaar, zodat anderen niet ditzelfde pad kiezen.

Vertel jij nou eens wat jij zou doen dat precies dit scenario voorkomt ?

Gezien de leeftijd (21) is het vrij waarschijnlijk dat ie een blanco strafblad heeft - dus een VoG check komt ie door .
En dan ?


Schooldiploma's opvragen ?
Mogelijk heeft hij die, mogelijk niet - en is daar eerlijk over - maar wat zegt dat over het niet doen van (cyber)criminele zaken ?
Identiteit vaststellen - ja en , hoe voorkomt dat precies dat je (nog niet veroordeelde ) criminelen aanneemt ?


Ah, duidelijk enorm bekend met het juridisch kader, maar natuurlijk wel zeker weten dat het een misser was die voorkomen kon worden als ze jou om tips gevraagd hadden .

Want bij inlichtingendiensten werken alleen maar white hats.

Eentje die het snapt! Wat een goede uitleg, dank u zeer!

Lezen er Uberhaupt ambtenaren mee? Zou het een idee zijn (als U ambtenaar bent) om (voor ons en u zelf) te kijken wat de mogelijkheden zijn om het BSN probleem bij de overheid te laten escaleren?

In opsporing verzocht dd 28-02-23 op de publieke omroep werd er medegedeeld dat deze hackers van vrijwel alle Nederlanders data hadden gestolen. Veel data is doorverkocht aan criminelen. Dit ging om pinpasfraude want Opsporing Verzocht is nogal een 1 issue programma.

A.h.v.d. een BSN en een naam en geboortedatum kun je telefonisch veel info inwinnen bij allerlei artsen, apothekers, ziekenhuizen, assurantiebedrijven en verzekeraars. Heel handig om informatie te vergaren over een doelwit persoon.

Jazeker :-)
Helaas is dit iets wat buiten mijn persoonlijke invloed ligt en zelfs buiten de invloed van de organisatie waar ik voor werk.

DIVD maakt conclusies openbaar van onderzoek naar verdachte vrijwilliger
vrijdag 22 september 2023, 10:10 door Redactie

https://www.security.nl/posting/811315/DIVD+maakt+conclusies+openbaar+van+onderzoek+naar+verdachte+vrijwilliger

Vog zou standaard gevraagd moeten worden net als en screening.
Ja dat kost geld maar als je deze verantwoordelijkheid niet wilt nemen dan kan je beter inpakken.


Ik realiseer me dat niet iedereen door de screen zal komen van wegen bv een buitenlandse partner of niet 10 jaar woonachtig.
Het zei zo.