image

OWASP lekt persoonsgegevens leden via misconfiguratie webserver

dinsdag 2 april 2024, 07:44 door Redactie, 9 reacties

Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden.

In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden. Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd. Daarnaast zijn de cv's van leden van de wikiwebsite verwijderd en is de CloudFlare-cache opgeschoond om verdere toegang te voorkomen. Tevens is het Web Archive verzocht de informatie te verwijderen.

Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd. De organisatie zegt het datalek te betreuren, zeker omdat het zich juist met cybersecurity bezighoudt.

Reacties (9)
02-04-2024, 07:51 door Anoniem
Ze zeggen toch altijd “Het is de vraag wanneer, niet of je gehackt wordt. “.
Het bewijst: het kan de beste overkomen.

Van owasp verwacht ik wel een full writeup nu, zodat anderen ervan kunnen leren.
Met alleen directory browsing uitzetten verberg je immers hooguit data, dan zat er ook geen authenticatie op.

Klinkt wel alsof de AVG hier niet helemaal goed was toegepast, data van zo lang geleden had al mogelijk al verwijderd moeten zijn?
02-04-2024, 08:03 door Anoniem
Extra pijnlijk...
02-04-2024, 08:16 door Anoniem
Goed voorbeeld van een gevalletje, bij de loodgieter thuis lekt de kraan ook ;-).
02-04-2024, 08:32 door Anoniem
18 jaar oude CV's bewaren. Dan ben je lekker bezig.
02-04-2024, 09:40 door Anoniem
Ironisch
02-04-2024, 09:46 door Anoniem
Waarom zou je zolang cv's willen bewaren van leden? Dat vind ik nog veel slordiger dan deze config fout. Goed dat ze het niet meer doen, maar het is een goed voorbeeld van "geef de info maar, dan zien we wel wanneer we de data opschonen."
02-04-2024, 10:22 door Anoniem
Door Anoniem: Ze zeggen toch altijd “Het is de vraag wanneer, niet of je gehackt wordt. “.
Het bewijst: het kan de beste overkomen.

Van owasp verwacht ik wel een full writeup nu, zodat anderen ervan kunnen leren.
Met alleen directory browsing uitzetten verberg je immers hooguit data, dan zat er ook geen authenticatie op.

Klinkt wel alsof de AVG hier niet helemaal goed was toegepast, data van zo lang geleden had al mogelijk al verwijderd moeten zijn?

Als het met Directory Browsing te maken heeft, is dat ZEKER geen best-in-class implementatie geweest, OWASP had beter moeten weten dan een luie oplossing te kiezen !
02-04-2024, 10:44 door Anoniem
Inderdaad, alles bij elkaar opgeteld bijzonder knullig.
En zoals het spreekwoord zegt: "als het kalf verdronken is, dempt men de put."

Heb maar geen illusies dat zoiets nooit weer gebeurt.
Het begint bij teveel persoonlijke data verstrekken. Dit hoort bij onszelf stevig op de rem te staan,
Als men teveel vraagt dan maar geen lid van OWASP of van welke organisatie dan ook.
Wanneer het bij wet verplicht is, kan je er niet zomaar omheen, maar anders...
Altijd goed afwegen of voordelen wel voldoende opwegen tegen de nadelen, en niet hals-over-kop maar snel doen.
Meestal ben je gelukkiger zonder zulke ballast.

Euro-pappa
02-04-2024, 10:51 door Anoniem
In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden.
Dan is er ook geen reden meer om die gegevens te bewaren en hadden ze verwijderd moeten worden op het moment dat de vereiste verviel. Dataminimalisatie bevelen ze zelf aan. "Insufficient deletion of personal data" is het zeste punt uit hun top-10 van privacyrisico's. Ze hebben dus niet toegepast wat ze zelf uitdragen.

Uit hun verklaring over dit lek:
How does OWASP protect current membership data? We apply modern cloud-based security best practices such as two-factor authentication, minimal access, and resiliency to protect our membership data. We also purposefully collect only minimal information for OWASP membership to minimize any potential data loss in the future.
Je moet het alleen niet uitsluitend op actuele data toepassen maar op alle data die je hebt.

Als je op zolder gaat grasduinen in de rommel die je daar in de loop van de jaren verzameld hebt kan je er makkelijk achter komen dat je dingen hebt waarvan je allang vergeten was dat je ze had. Iets dergelijks zal hier gebeurd zijn en dat kan ook heel makkelijk gebeuren. Om dit soort dingen te voorkomen volstaat het daarom niet om uit het oog te verliezen wat je hebt, je moet het actief bijhouden en actief actie ondernemen op dingen die je niet meer nodig hebt, en dat zijn precies de dingen waar je organisatie vanuit de huidige bezigheden geen aandacht voor heeft. Je moet dus actief denken aan de dingen waar je niet aan denkt. Dat gaat niet vanzelf, dat gaat juist vanzelf mis. Je moet daarom organiseren dat je dit doet en blijft doen. Het gaat al mis als je het ziet als iets dat je later nog kan doen omdat je organisatie het nu te druk heeft.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.