image

Autoriteit Persoonsgegevens vorig jaar slachtoffer social engineering-aanval

donderdag 18 mei 2023, 12:40 door Redactie, 7 reacties

De Autoriteit Persoonsgegevens (AP) is vorig jaar slachtoffer geworden van een social engineering-aanval, waarbij een legitiem lijkend pdf-bestand naar de privacytoezichthouder werd verzonden. Het openen van de link naar het pdf-bestand zorgde ervoor dat er een poortscan op de systemen van de AP werd uitgevoerd. In totaal kreeg de Autoriteit Persoonsgegevens vorig jaar met vijftig beveiligingsincidenten te maken, zo staat in het jaarverslag over 2022 (pdf).

In 26 gevallen was er sprake van een datalek, aangezien het om een incident met persoonsgegevens ging. Voor vier datalekken deed de toezichthouder een melding bij zichzelf. Van de datalekken gaat het grootste deel om verkeerd geadresseerde brieven en e-mails. Een volgens de AP noemenswaardige uitzondering is het datalek dat ontstond bij de Dag van de FG-website.

De leverancier van de website had third party-plug-ins op de pagina staan, die gegevens naar Google doorstuurden. Op verzoek van de Autoriteit Persoonsgegevens heeft de leverancier deze plug-ins verwijderd. Ook heeft Google bevestigd dat de persoonsgegevens bij Google Fonts en reCaptcha zijn verwijderd. Verder deden zich enkele incidenten voor tijdens de verhuizing naar de locatie van de Autoriteit Persoonsgegevens. Ook noemt de toezichthouder een aantal verstoringen waardoor de kantoorautomatisering onbeschikbaar was.

Aanval

De AP meldt verder dat het slachtoffer van een social engineering-aanval is geworden. Er werd een legitiem lijkend pdf- bestand aan de toezichthouder verzonden, dat via een onvertrouwde website werd aangeboden. Het openen van de link naar het bestand zorgde ervoor dat er een poortscan werd uitgevoerd op de systemen van de AP. Omdat deze poortscan een paar specifieke netwerkpoorten scande die horen bij systemen die niet in gebruik zijn bij de AP, heeft er volgens de toezichthouder geen verdere inbreuk op de beveiliging plaatsgevonden. Naar aanleiding van dit incident is er extra aandacht besteed aan de ‘security awareness’ van medewerkers.

Reacties (7)
18-05-2023, 13:15 door Anoniem
Mooi dat dat de AP nu bevestigd dat bij zowel google fonts als recaptcha inderdaad persoonsgegevens gedeeld worden met google.
Zal dan van het weekend eens een paar uurtjes uittrekken om wat klachten te deponeren bij de AP. Legio sites die deze tools gebruiken zonder enige toestemming.
18-05-2023, 14:48 door Anoniem
Heel netjes dat ze dit in hun jaarverslag zetten, dat zouden meer organisaties moeten doen.

Helaas denk ik dat het gros van de organisaties (cyber)beveiligingsincidenten niet (tijdig) herkend, laat staan dat geëvalueerd wordt of het een datalek kan zijn.
18-05-2023, 16:54 door Anoniem
Hoe kan een pdf een scan uitvoeren? Is er dan sprake van het draaien van een script? Als dat het geval is: dat moet altijd uit staan in de PDF viewer. Of iemand heeft het aangezet.

Dus wiens schuld is dit: security management of een personeelslid?
19-05-2023, 11:18 door Anoniem
Door Anoniem: Mooi dat dat de AP nu bevestigd dat bij zowel google fonts als recaptcha inderdaad persoonsgegevens gedeeld worden met google.

Van de datalekken ging het grootste deel om verkeerd geadresseerde brieven en e-mails.

Een noemenswaardige uitzondering is het datalek dat is ontstaan bij de Dag van de FG-website, dat is opgemerkt door een oplettende beveiligingsonderzoeker. De leverancier had third party-plugins op de pagina staan, die gegevens doorstuurden. Op verzoek van de AP heeft de leverancier deze plugins direct verwijderd. Ook heeft Google bevestigd dat de persoonsgegevens bij Google Fonts en reCaptcha zijn verwijderd.

Citaat uit de 'Toelichting beveiligingsincidenten' op pagina 28 van het AP Jaarverslag 2022


Er werd dus gespioneerd op de FG promotie en registratie website, van nota bene de AP zelf.
19-05-2023, 11:32 door Anoniem
Door Anoniem: Legio sites die deze tools gebruiken zonder enige toestemming.

Het gerucht gaat al langer rond dat de reactietijden, de volgorde waarin en de wijze van het oplossen van reCaptcha's, met de bijbehorende en onvermijdelijke cookies, gebruikt kunnen worden om de gebruiker daarvan te identificeren. Die mogelijkheid is iets waar een journalist, onderzoeker of klokkenluider die Tor Browser gebruikt, beducht voor moet zijn.
19-05-2023, 11:50 door Anoniem
Door Anoniem: Hoe kan een pdf een scan uitvoeren? Is er dan sprake van het draaien van een script? Als dat het geval is: dat moet altijd uit staan in de PDF viewer. Of iemand heeft het aangezet.

Dus wiens schuld is dit: security management of een personeelslid?

Lezen is een beetje moeilijk ?

Het openen van de link naar het pdf-bestand zorgde ervoor dat er een poortscan op de systemen van de AP werd uitgevoerd.

Als jij een webserver draait is het echt heel simpel om bij download verzoek ook even een portscan naar de downloader te starten. Heeft niks te maken met een pdf-die zelf actief scant.
19-05-2023, 14:29 door Anoniem
De infrastructuur blijkt dus wederom 'gatenkaas',te zijn, de favoriete aanduiding van wijlen Cruijff.

Of je ziet het of je ziet het niet. Als je het ziet, kun je het niet meer ongezien maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.