OWASP lekt persoonsgegevens leden via misconfiguratie webserver
Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden.
In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden. Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd. Daarnaast zijn de cv's van leden van de wikiwebsite verwijderd en is de CloudFlare-cache opgeschoond om verdere toegang te voorkomen. Tevens is het Web Archive verzocht de informatie te verwijderen.
Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd. De organisatie zegt het datalek te betreuren, zeker omdat het zich juist met cybersecurity bezighoudt.
Het bewijst: het kan de beste overkomen.
Van owasp verwacht ik wel een full writeup nu, zodat anderen ervan kunnen leren.
Met alleen directory browsing uitzetten verberg je immers hooguit data, dan zat er ook geen authenticatie op.
Klinkt wel alsof de AVG hier niet helemaal goed was toegepast, data van zo lang geleden had al mogelijk al verwijderd moeten zijn?
Het bewijst: het kan de beste overkomen.
Van owasp verwacht ik wel een full writeup nu, zodat anderen ervan kunnen leren.
Met alleen directory browsing uitzetten verberg je immers hooguit data, dan zat er ook geen authenticatie op.
Klinkt wel alsof de AVG hier niet helemaal goed was toegepast, data van zo lang geleden had al mogelijk al verwijderd moeten zijn?
Als het met Directory Browsing te maken heeft, is dat ZEKER geen best-in-class implementatie geweest, OWASP had beter moeten weten dan een luie oplossing te kiezen !
En zoals het spreekwoord zegt: "als het kalf verdronken is, dempt men de put."
Heb maar geen illusies dat zoiets nooit weer gebeurt.
Het begint bij teveel persoonlijke data verstrekken. Dit hoort bij onszelf stevig op de rem te staan,
Als men teveel vraagt dan maar geen lid van OWASP of van welke organisatie dan ook.
Wanneer het bij wet verplicht is, kan je er niet zomaar omheen, maar anders...
Altijd goed afwegen of voordelen wel voldoende opwegen tegen de nadelen, en niet hals-over-kop maar snel doen.
Meestal ben je gelukkiger zonder zulke ballast.
Euro-pappa
Uit hun verklaring over dit lek:
Als je op zolder gaat grasduinen in de rommel die je daar in de loop van de jaren verzameld hebt kan je er makkelijk achter komen dat je dingen hebt waarvan je allang vergeten was dat je ze had. Iets dergelijks zal hier gebeurd zijn en dat kan ook heel makkelijk gebeuren. Om dit soort dingen te voorkomen volstaat het daarom niet om uit het oog te verliezen wat je hebt, je moet het actief bijhouden en actief actie ondernemen op dingen die je niet meer nodig hebt, en dat zijn precies de dingen waar je organisatie vanuit de huidige bezigheden geen aandacht voor heeft. Je moet dus actief denken aan de dingen waar je niet aan denkt. Dat gaat niet vanzelf, dat gaat juist vanzelf mis. Je moet daarom organiseren dat je dit doet en blijft doen. Het gaat al mis als je het ziet als iets dat je later nog kan doen omdat je organisatie het nu te druk heeft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
