image

Overheid onderzoekt datalek bij Webex, uit felle kritiek op Cisco

woensdag 5 juni 2024, 21:30 door Redactie, 18 reacties

De overheid doet onderzoek naar een datalek dat is ontstaan door een kwetsbaarheid in Cisco Webex, waardoor informatie over overheidsvergaderingen voor onbevoegden toegankelijk was, en heeft felle kritiek op Cisco geuit, omdat de Nederlandse regering als getroffen klant niet werd geïnformeerd door het netwerkbedrijf. Daarnaast zal er melding worden gemaakt bij de Autoriteit Persoonsgegevens. Dat laat demissionair staatssecretaris Van Huffelen vanavond in een brief aan de Tweede Kamer weten (pdf).

Security.NL berichtte vanochtend over een beveiligingsbulletin waarin Cisco zeer summier meldde dat 'bugs' in het Webex-vergaderplatform door onderzoekers waren gebruikt om toegang tot metadata van vergaderingen te krijgen. Cisco stelde dat het getroffen klanten had ingelicht. Details werden verder niet gegeven. Vervolgens werd bekend dat onderzoekers van het Duitse Netzbegrünung en het Duitse Zeit Online via een beveiligingslek in Webex toegang tot gegevens van duizenden vergaderingen hadden gekregen. Op basis van de gelekte gegevens bij de Duitse overheid kon daarmee worden ingelogd op vergaderingen.

"Gegeven de wijze waarin de Nederlandse Rijksvideo-omgeving is ingericht, is het niet waarschijnlijk dat dit ook bij ons is gebeurd; dit wordt verder uitgezocht. Ook onderzoeken wij of er gegevens zoals wachtwoorden van de vergaderingen of de inhoud van vergaderingen, chats of gedeelde bestanden inzichtelijk zijn geweest", aldus Van Huffelen.

Zeit Online stelde dat metadata van Nederlandse overheidsvergaderingen toegankelijk was en dat Cisco de Nederlandse overheid niet informeerde. Dat wordt nu bevestigd door Van Huffelen. "Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier. Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier."

De staatssecretaris voegt toe dat bestuurders en ambtenaren er altijd vanuit moeten kunnen gaan dat zij veilig kunnen overleggen. "Het ministerie van Binnenlandse Zaken neemt deze kwestie daarom zeer serieus en onderzoekt hoe dit heeft kunnen gebeuren." Nederland zal samen met de Duitse autoriteiten een onderzoek naar het datalek uitvoeren. Daarnaast is Cisco gevraagd om morgen nadere uitleg te geven over zowel de kwetsbaarheden en het proces van het melden van het datalek. Cisco zal tevens verzocht worden om op korte termijn een nader onderzoek naar het incident uit te voeren.

Reacties (18)
05-06-2024, 21:54 door Anoniem
De Duitse journaliste Eva Wolfangel kon in de afgelopen maanden relatief makkelijk informatie verzamelen over duizenden Webex videoconferenties van overheidsinstellingen in meerdere Europese landen. Bij een aantal lukte het ook om in te bellen bij vergaderingen. Nederland bleek in haar onderzoek het kwetsbaarst. Tegen Nieuwsuur zegt Wolfangel dat ze van negen recente vergaderingen van Nederlandse bewindslieden informatie heeft achterhaald, waaronder het gespreksonderwerp en de datum en tijd van de vergadering. Moederbedrijf Cisco adverteert Webex als bijzonder veilig.

https://nos.nl/nieuwsuur/artikel/2523301-gaten-in-beveiliging-videocalls-ministers-vergaderinformatie-in-te-zien
05-06-2024, 22:03 door Anoniem
Mithören, wenn Beamte sprechen

Die Software Webex hat mehr Lücken, als der Betreiber Cisco behauptete. Wir fanden Tausende Videokonferenzen.

Von Eva Wolfangel, 5. Juni 2024, 8:49 Uhr

https://www.zeit.de/digital/datenschutz/2024-06/webex-sicherheitsluecke-ministerien-cybersicherheit-it
05-06-2024, 22:04 door Anoniem
Weer buitenlandse technologie, terwijl we hiervoor in Nederland een perfect vervangend tool hebben zoals Zaurus voor in de zorg. Die zouden het platform mooi kunnen uitbreiden voor de overheid.
05-06-2024, 22:25 door Anoniem
Die Zeit begon het onderzoek nadat een Webex-videovergadering uit februari, waarin Duitse officieren spraken over steun aan Oekraïne, werd gedeeld in Russische media. De journalist in kwestie ontdekte dat de software kwetsbaar is en verzamelde maandenlang informatie over videovergaderingen door verschillende Europese overheden.

https://www.nrc.nl/nieuws/2024/06/05/software-voor-videovergaderingen-rijksoverheid-gehackt-kabinet-belooft-onderzoek-a4855441p
06-06-2024, 01:24 door Anoniem
Dat was geen lek, dat was een feature.
06-06-2024, 07:38 door Anoniem
Dus ze zijn aan het piepen omdat ze niet zijn ingelicht? De achterlijke houding van de Nederlandsche overheid: het is niet erg als er data op straat ligt, als je maar bent ingelicht.
Terug te vinden bij de fiscus, de gezondheidszorg en op tal van andere door de overheid geregisseerde organisaties.

Wel tekenend dat ze nu het hun 'eigen' data is, dat ze best hoog van de toren blazen. Als het om data van slechts burgers zou geen, dan zou je er niks over horen.

Ondertussen door met digidrammen. Als je maar geïnformeerd wordt als de zooi op straat ligt. Welkom in Nederland.
06-06-2024, 08:48 door Anoniem
En de alpha's in de 2e kamer blijven in de almachtige digitale god geloven.
Goed dat ze ook eens met de neus op de feiten worden gedrukt.
06-06-2024, 09:44 door Anoniem
Om de data te verzamelen, hoefde Wolfanger niets te hacken. Ze legt uit dat de url's van de Webex-vergaderingen makkelijk te vinden waren. "En door alleen een cijfer aan de url toe te voegen, kon je daaropvolgende vergaderingen ook vinden. Het is echt een basale regel in cybersecurity dat dit niet moet kunnen."

https://nos.nl/nieuwsuur/artikel/2523333-ambtenaren-gebruiken-onveilig-vergaderprogramma-data-waardevol-voor-spionnen
06-06-2024, 09:50 door Anoniem
Door Anoniem: En de alpha's in de 2e kamer blijven in de almachtige digitale god geloven.
Goed dat ze ook eens met de neus op de feiten worden gedrukt.

Misschien dat ze hierdoor gaan beseffen dat chats met een ingebouwde client-side scanning een ronduit slecht idee is.
06-06-2024, 10:00 door Anoniem
Ongemakkelijke les voor de dames en heren in de Tweede Kamer: Digitaal is niets meer veilig te houden. En dat gaat in de toekomst alleen maar erger worden. Bereidt u zich er maar vast op voor.

Regeren is vooruitzien.
Nu is de tijd gekomen om vooruit te zien. (eigenlijk is die al gepaseerd, maar beter laat dan nooit)
06-06-2024, 10:17 door Anoniem
Onderzoekt de overheid zichzelf dan ook? Of stappen ze gelijk naar de Consumentenbond. Of naar de ANWB.

Het bonnetje zullen ze nog wel hebben.
06-06-2024, 10:41 door Anoniem
Door Anoniem:
Door Anoniem: En de alpha's in de 2e kamer blijven in de almachtige digitale god geloven.
Goed dat ze ook eens met de neus op de feiten worden gedrukt.

Misschien dat ze hierdoor gaan beseffen dat chats met een ingebouwde client-side scanning een ronduit slecht idee is.

Misschien dat ze hierdoor gaan beseffen dat chats met ingebouwde client-side scanning prima gebruikt kan worden om Eva en die Zeit te bespioneren en het delen van de link naar het artikel te blokkeren. Want nationale veiligheid
06-06-2024, 11:06 door Anoniem
heeft felle kritiek op Cisco geuit, omdat de Nederlandse regering als getroffen klant niet werd geïnformeerd door het netwerkbedrijf.

Normaliter maak je afspraken met de leverancier waarin dit soort issues direct naar de contractant worden gestuurd en anderzijds Normaliter hou je zelf in de gaten welke kwetsbaarheden bekend worden/ zijn en neem je gepaste maatregelen.
De houding van "Waarom weten wij hier niets van" klinkt mij meer in de oren als een kind stampend met de voeten op de grond die zijn zin niet krijgt.

Serieus IT afdeling van de overheid doe beter je best!
06-06-2024, 13:23 door Anoniem
Door Anoniem: Die Zeit begon het onderzoek nadat een Webex-videovergadering uit februari, waarin Duitse officieren spraken over steun aan Oekraïne, werd gedeeld in Russische media.

De hoogste baas van de Bundeswehr en Luftwaffe-generaals werden door de Russen afgetapt, terwijl ze via een onveilige videoverbinding over raketaanvallen op de Krim met Duitse wapens filosofeerden. Te horen was hoe de militairen informeel een mogelijke raketaanval bespraken op de Krimbrug, die de Krim verbindt met het Russische vasteland.
06-06-2024, 13:28 door Anoniem
Door Anoniem:
heeft felle kritiek op Cisco geuit, omdat de Nederlandse regering als getroffen klant niet werd geïnformeerd door het netwerkbedrijf.

Normaliter maak je afspraken met de leverancier waarin dit soort issues direct naar de contractant worden gestuurd en anderzijds Normaliter hou je zelf in de gaten welke kwetsbaarheden bekend worden/ zijn en neem je gepaste maatregelen.
De houding van "Waarom weten wij hier niets van" klinkt mij meer in de oren als een kind stampend met de voeten op de grond die zijn zin niet krijgt.

Serieus IT afdeling van de overheid doe beter je best!

ergens in een bureau lade bij de ict ligt een risk-letter dat de it het management op de hoogte heeft gesteld van de risico's van webex en dat het management het toch wilde....

Dus ze moeten wel klagen bij Cisco en niet bij eigen ICT
06-06-2024, 16:25 door Anoniem
Door Anoniem:
Door Anoniem:
heeft felle kritiek op Cisco geuit, omdat de Nederlandse regering als getroffen klant niet werd geïnformeerd door het netwerkbedrijf.

Normaliter maak je afspraken met de leverancier waarin dit soort issues direct naar de contractant worden gestuurd en anderzijds Normaliter hou je zelf in de gaten welke kwetsbaarheden bekend worden/ zijn en neem je gepaste maatregelen.
De houding van "Waarom weten wij hier niets van" klinkt mij meer in de oren als een kind stampend met de voeten op de grond die zijn zin niet krijgt.

Serieus IT afdeling van de overheid doe beter je best!

ergens in een bureau lade bij de ict ligt een risk-letter dat de it het management op de hoogte heeft gesteld van de risico's van webex en dat het management het toch wilde....

Dus ze moeten wel klagen bij Cisco en niet bij eigen ICT

Dit schrijf jij omdat je weet dat die Letter met een negatief advies erin bestaat?

Dan nog steeds mag de overheid naar zichzelf kijken en niet naar de leverancier (waarmee duidelijk afspraken gemaakt zouden moeten zijn hoe te handelen in het geval dat deze situatie zich voordoet).
06-06-2024, 16:42 door Anoniem
Door Anoniem: Dus ze zijn aan het piepen omdat ze niet zijn ingelicht? De achterlijke houding van de Nederlandsche overheid: het is niet erg als er data op straat ligt, als je maar bent ingelicht.
Je doet wel heel erg je best om vooral niet te begrijpen wat er staat. Misschien moet je het nog een keer lezen en wat minder je best doen.
06-06-2024, 17:56 door Anoniem
Door Anoniem:
Door Anoniem:
ergens in een bureau lade bij de ict ligt een risk-letter dat de it het management op de hoogte heeft gesteld van de risico's van webex en dat het management het toch wilde....

Dus ze moeten wel klagen bij Cisco en niet bij eigen ICT

Dit schrijf jij omdat je weet dat die Letter met een negatief advies erin bestaat?

Dan nog steeds mag de overheid naar zichzelf kijken en niet naar de leverancier (waarmee duidelijk afspraken gemaakt zouden moeten zijn hoe te handelen in het geval dat deze situatie zich voordoet).

Ik (andere anoniem) kan me niet voorstellen dat het gebruiken van webex geen problemen en betrokkenheid van de ICT afdeling tot gevolg gehad heeft.
Iedere fatsoenlijk ingerichte Windows omgeving (met beperkte rechten voor gebruikers en bescherming tegen malware) geeft issues met webex, waarvoor de beveiliging gedeeltelijk moet worden uitgeschakeld.
Dat geeft altijd discussie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.