Overheid onderzoekt datalek bij Webex, uit felle kritiek op Cisco
De overheid doet onderzoek naar een datalek dat is ontstaan door een kwetsbaarheid in Cisco Webex, waardoor informatie over overheidsvergaderingen voor onbevoegden toegankelijk was, en heeft felle kritiek op Cisco geuit, omdat de Nederlandse regering als getroffen klant niet werd geïnformeerd door het netwerkbedrijf. Daarnaast zal er melding worden gemaakt bij de Autoriteit Persoonsgegevens. Dat laat demissionair staatssecretaris Van Huffelen vanavond in een brief aan de Tweede Kamer weten (pdf).
Security.NL berichtte vanochtend over een beveiligingsbulletin waarin Cisco zeer summier meldde dat 'bugs' in het Webex-vergaderplatform door onderzoekers waren gebruikt om toegang tot metadata van vergaderingen te krijgen. Cisco stelde dat het getroffen klanten had ingelicht. Details werden verder niet gegeven. Vervolgens werd bekend dat onderzoekers van het Duitse Netzbegrünung en het Duitse Zeit Online via een beveiligingslek in Webex toegang tot gegevens van duizenden vergaderingen hadden gekregen. Op basis van de gelekte gegevens bij de Duitse overheid kon daarmee worden ingelogd op vergaderingen.
"Gegeven de wijze waarin de Nederlandse Rijksvideo-omgeving is ingericht, is het niet waarschijnlijk dat dit ook bij ons is gebeurd; dit wordt verder uitgezocht. Ook onderzoeken wij of er gegevens zoals wachtwoorden van de vergaderingen of de inhoud van vergaderingen, chats of gedeelde bestanden inzichtelijk zijn geweest", aldus Van Huffelen.
Zeit Online stelde dat metadata van Nederlandse overheidsvergaderingen toegankelijk was en dat Cisco de Nederlandse overheid niet informeerde. Dat wordt nu bevestigd door Van Huffelen. "Ik vind het onacceptabel dat dit heeft kunnen gebeuren en dat deze kwetsbaarheden bij de Rijksoverheid via de Duitse media tot ons zijn gekomen, in plaats van via de leverancier. Daarbij maak ik mij zorgen over het lekken van informatie op deze wijze en de late reactie van de leverancier."
De staatssecretaris voegt toe dat bestuurders en ambtenaren er altijd vanuit moeten kunnen gaan dat zij veilig kunnen overleggen. "Het ministerie van Binnenlandse Zaken neemt deze kwestie daarom zeer serieus en onderzoekt hoe dit heeft kunnen gebeuren." Nederland zal samen met de Duitse autoriteiten een onderzoek naar het datalek uitvoeren. Daarnaast is Cisco gevraagd om morgen nadere uitleg te geven over zowel de kwetsbaarheden en het proces van het melden van het datalek. Cisco zal tevens verzocht worden om op korte termijn een nader onderzoek naar het incident uit te voeren.
https://nos.nl/nieuwsuur/artikel/2523301-gaten-in-beveiliging-videocalls-ministers-vergaderinformatie-in-te-zien
Die Software Webex hat mehr Lücken, als der Betreiber Cisco behauptete. Wir fanden Tausende Videokonferenzen.
Von Eva Wolfangel, 5. Juni 2024, 8:49 Uhr
https://www.zeit.de/digital/datenschutz/2024-06/webex-sicherheitsluecke-ministerien-cybersicherheit-it
https://www.nrc.nl/nieuws/2024/06/05/software-voor-videovergaderingen-rijksoverheid-gehackt-kabinet-belooft-onderzoek-a4855441p
Terug te vinden bij de fiscus, de gezondheidszorg en op tal van andere door de overheid geregisseerde organisaties.
Wel tekenend dat ze nu het hun 'eigen' data is, dat ze best hoog van de toren blazen. Als het om data van slechts burgers zou geen, dan zou je er niks over horen.
Ondertussen door met digidrammen. Als je maar geïnformeerd wordt als de zooi op straat ligt. Welkom in Nederland.
Goed dat ze ook eens met de neus op de feiten worden gedrukt.
https://nos.nl/nieuwsuur/artikel/2523333-ambtenaren-gebruiken-onveilig-vergaderprogramma-data-waardevol-voor-spionnen
Goed dat ze ook eens met de neus op de feiten worden gedrukt.
Misschien dat ze hierdoor gaan beseffen dat chats met een ingebouwde client-side scanning een ronduit slecht idee is.
Regeren is vooruitzien.
Nu is de tijd gekomen om vooruit te zien. (eigenlijk is die al gepaseerd, maar beter laat dan nooit)
Het bonnetje zullen ze nog wel hebben.
Goed dat ze ook eens met de neus op de feiten worden gedrukt.
Misschien dat ze hierdoor gaan beseffen dat chats met een ingebouwde client-side scanning een ronduit slecht idee is.
Misschien dat ze hierdoor gaan beseffen dat chats met ingebouwde client-side scanning prima gebruikt kan worden om Eva en die Zeit te bespioneren en het delen van de link naar het artikel te blokkeren. Want nationale veiligheid
Normaliter maak je afspraken met de leverancier waarin dit soort issues direct naar de contractant worden gestuurd en anderzijds Normaliter hou je zelf in de gaten welke kwetsbaarheden bekend worden/ zijn en neem je gepaste maatregelen.
De houding van "Waarom weten wij hier niets van" klinkt mij meer in de oren als een kind stampend met de voeten op de grond die zijn zin niet krijgt.
Serieus IT afdeling van de overheid doe beter je best!
De hoogste baas van de Bundeswehr en Luftwaffe-generaals werden door de Russen afgetapt, terwijl ze via een onveilige videoverbinding over raketaanvallen op de Krim met Duitse wapens filosofeerden. Te horen was hoe de militairen informeel een mogelijke raketaanval bespraken op de Krimbrug, die de Krim verbindt met het Russische vasteland.
Normaliter maak je afspraken met de leverancier waarin dit soort issues direct naar de contractant worden gestuurd en anderzijds Normaliter hou je zelf in de gaten welke kwetsbaarheden bekend worden/ zijn en neem je gepaste maatregelen.
De houding van "Waarom weten wij hier niets van" klinkt mij meer in de oren als een kind stampend met de voeten op de grond die zijn zin niet krijgt.
Serieus IT afdeling van de overheid doe beter je best!
ergens in een bureau lade bij de ict ligt een risk-letter dat de it het management op de hoogte heeft gesteld van de risico's van webex en dat het management het toch wilde....
Dus ze moeten wel klagen bij Cisco en niet bij eigen ICT
Normaliter maak je afspraken met de leverancier waarin dit soort issues direct naar de contractant worden gestuurd en anderzijds Normaliter hou je zelf in de gaten welke kwetsbaarheden bekend worden/ zijn en neem je gepaste maatregelen.
De houding van "Waarom weten wij hier niets van" klinkt mij meer in de oren als een kind stampend met de voeten op de grond die zijn zin niet krijgt.
Serieus IT afdeling van de overheid doe beter je best!
ergens in een bureau lade bij de ict ligt een risk-letter dat de it het management op de hoogte heeft gesteld van de risico's van webex en dat het management het toch wilde....
Dus ze moeten wel klagen bij Cisco en niet bij eigen ICT
Dit schrijf jij omdat je weet dat die Letter met een negatief advies erin bestaat?
Dan nog steeds mag de overheid naar zichzelf kijken en niet naar de leverancier (waarmee duidelijk afspraken gemaakt zouden moeten zijn hoe te handelen in het geval dat deze situatie zich voordoet).
ergens in een bureau lade bij de ict ligt een risk-letter dat de it het management op de hoogte heeft gesteld van de risico's van webex en dat het management het toch wilde....
Dus ze moeten wel klagen bij Cisco en niet bij eigen ICT
Dit schrijf jij omdat je weet dat die Letter met een negatief advies erin bestaat?
Dan nog steeds mag de overheid naar zichzelf kijken en niet naar de leverancier (waarmee duidelijk afspraken gemaakt zouden moeten zijn hoe te handelen in het geval dat deze situatie zich voordoet).
Ik (andere anoniem) kan me niet voorstellen dat het gebruiken van webex geen problemen en betrokkenheid van de ICT afdeling tot gevolg gehad heeft.
Iedere fatsoenlijk ingerichte Windows omgeving (met beperkte rechten voor gebruikers en bescherming tegen malware) geeft issues met webex, waarvoor de beveiliging gedeeltelijk moet worden uitgeschakeld.
Dat geeft altijd discussie.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
