Weer een gevalletje 'wen er maar aan?'

Nederland en uiteraard de rest van de wereld gaat hard richting een digitaal infarct en dat is helemaal geen doemdenkerij. Van waterleidingbedrijven in de USA tot nu weer de politie in Nederland. Niets blijft vermoed ik verschoond van deze ellende in de (naaste) toekomst.

De verwoording lijkt er op dat om alle accounts / interne emailadressen gaat.
Dat is een gegeven dat bij elke organisatie interen bekend is m dat je elkaar moet kunnen bereiken.
Is er meer dan dat bekend?

Gevalletje…. We moeten alles kunnen op internet en iedere site moet open staan. En ja, JavaScripts en VBA moet ook werken in Outlook want je weet nooit……

Ergens heeft iemand een policy met maximaal aantal results bij een query niet aangezet.

Lees nu net dat ook de namen van de undercover agenten zijn gelekt.

Gaat duidelijk de goede kant op daar...

Wel nu is het wachten op de compleet nutteloze onderzoek rapporten weer van KMPG of welke groep ze inhuren dan komt weer naar buiten dat er al jaren voor de risico's gewaarschuwd was intern, maar niks mee gedaan is. Dan komt er weer een tijdelijke commissie die nutteloze vragen gaat stellen er zogenaamd verdere acties komen en die net zo lang rekken tot publieke interesse *wat al bijna 0,0 is) zover is gezakt dat het lekker weer genegeerd kan worden. Of uiteraard als een veel te duur decennia durend verbetering traject wordt verkocht waar bij de consultants al vanaf dag 1 weten dat het nooit het dag licht gaat zien en verkwisting is van geld.

Zullen we gokken hoelang ze dit al wisten?
Ik zeg drie maanden en over ± half jaar komen ze ermee ongewild naar buiten via een journalistiek lek dat het al veel langer speelde. Ik zal optimistisch zijn en zeggen dat de kwetsbaarheid waar de hackers gebruik van hebben gemaakt er pas twee jaar in zat in de systemen.

ICT beveiliging en privacy blijft 'n ondergeschoven kindje in Nederlandse (en veel buitenlandse) organisaties en bedrijven. Men wil er gewoon niet het benodigde budget voor uittrekken, veelal omdat men de essentie ervan wezenlijk niet begrijpt. Het wordt vaak gezien als 'n ongrijpbare en abstracte zaak, waarvan de werking als 'n zwarte doos aan experts wordt overgelaten. Er is dus een brede culturele ommekeer nodig en een fundamentele herziening van wat de rol en het belang van ICT beveiliging en privacy inhoudt anno 2024.

Tot die tijd zullen zulke naïeve organisaties en bedrijven om de haverklap gehackt worden of datalekken lijden en machteloos en vol onbegrip toekijken welke ongekende schade dit veroorzaakt. De Autoriteit Persoonsgegevens verdient 't verzochte budget, zodat zij krachtig kunnen handhaven en zodoende breder besef en noodzaak creëren.

"Verschoond".... mooi

Dit is dus een les en een hele goeie!

DUS

Stop met die doorgeslagen digitalisering
Decentraal internet

DigID
CBCD
centrale opslag paspoort gegevens
DOM DOM DOM
Ik wacht op de volgende HACK

Dat help geen r*k, pas als men ervoor in de bak gaat (wanbeleid) zal er wat veranderen.
Stop met roepen in deze woestijn en fli**er de (momenteel) verantwoordelijke in de bak voor minstens een maand.

Van Weel stond na de wekelijkse ministerraad de pers te woord. Op de vraag of het lekken van de namen gevolgen kan hebben voor agenten die undercover werken zei hij: "We kijken naar de risico's van het uitlekken van deze informatie en waar de informatie terecht is gekomen. In het belang van het onderzoek doe ik daar geen nadere uitspraken over."

https://nos.nl/artikel/2538710-datalek-bij-politie-hackers-bemachtigen-contactgegevens-alle-politiemedewerkers

Het stimuleert juist innovatie, net zoals de tweede wereldoorlog veel innovatie bij machines voortbracht.
Ook dit is een soort oorlog, maar dan digitaal, maar het zal geen ondergang zijn, het is juist een aanmoediging voor digitale uitvindingen, we leven in een prachtige pionierstijd! (-:

Ze gaan mij toch niet vertellen dat ze zijn binnengekomen via een credential stuffing aanval hè?

Zou het kwartje bij de politie nu vallen dat dat privacy toch wel een belangrijk iets is?

Is wel een goede zaak. Normaal komt men niet verder dan "zorg dat je je beveiliging (of je backups) goed op orde hebt" maar nu gaat men (bij politie en politiek) misschien inzien dat je niet de slachtoffers maar de daders moet aanpakken.

https://www.bnr.nl/nieuws/nieuws-politiek/10557678/ook-namen-en-functies-van-undercovers-gelekt-bij-datalek-politie?utm_term=Autofeed&utm_campaign=Owned&utm_medium=Social&utm_source=Twitter#Echobox=1727445760

Dus ook namen van undercover agenten en andere speciale eenheden lijkt het

Tja. Op facebook zijn (weliswaar besloten) groepen waar duizenden politiemensen lid van zijn, op LinkedIn vind je van honderden politiemensen volledige cv's - inclusief werkervaring bij OT en AT - en als je iemand kent die bij de politie werkt, plak je @politie.nl achter zijn/haar/hen naam om te mailen (of te phishen ...)

Nog erger is het als in de data-set namen van niet-agenten als agenten staan, en het lek van binnen uit de organisatie is. Dat is pas kwalijk, en bijzonder gevaarlijk voor die onschuldigen. Ben heel benieuwd wat politie zelf onderneemt om onderzoek te doen wat met de opbrengst van de hack gedaan wordt, waar de gegevens opduiken. Zelf spoofen agenten ook, het zal allemaal niet erg sfeerverhogend gaan uitwerken.

Zal niet de eerste keer zijn dat onschuldigen ingezet worden als lok-agent door het verspreiden van valse gegevens ín het 'milieu'.

Heeeel eerlijk gezegd verbaasd het mij wel. Ik heb zelf een tijdje rond mogen wandelen bij de politie en als ik zag hoe daar e.e.a. geregeld was, auditing, enz enz. Niet zo sterk ingericht als bij mindef maar d'r wordt (werd?) wel degelijk nagedacht over een hoop securityzaken. Ben benieuwd hoe dit lek heeft kunnen ontstaan.

Bij dit soort lekken mag je ook denken: opzettelijk? Dat kan ook een oorzaak zijn. Als onderdeel van een onderzoek, of grotere operatie.

Of weer een bcc gevalletje?

Er moet minder op hierarchie gestuurd worden en meer op kwaliteit.

Ok inside job or outside? Zagen ze een account inloggen op rare tyden en via logging vastgelegd dat er gegevens werden geraadpleegd? En hebben ze netwerklogs? Konden ze remote erin via die citrix site van ze? Want dat is ook zo lekker handig opgezet. NOT

Hoe worden dingen dan geregeld bij defensie? Kun je voorbeelden noemen uit de praktijk?

Een recente hack bij de Nederlandse politie, ondanks de aanwezigheid van tweefactorauthenticatie (2FA), roept vragen op over de gebruikte methoden. 2FA biedt een sterke extra beveiligingslaag, maar blijft niet onfeilbaar.

Een van de mogelijke oorzaken is een phishing-aanval waarbij aanvallers via een man-in-the-middle-aanval toegang tot een actieve sessie kunnen krijgen, zelfs nadat de 2FA-code is ingevoerd. Een ander scenario is het misbruik van OAuth-machtigingen via malafide applicaties, waarmee aanvallers zonder directe toegang tot inloggegevens toch gevoelige informatie kunnen verkrijgen. Verder kan de aanval afkomstig zijn van een externe dienstverlener met toegang tot politiedata, of door malware-infecties via kwaadaardige bijlagen. Ten slotte blijft een interne bedreiging ook een mogelijkheid, waarbij een medewerker onbewust of opzettelijk informatie lekt.

Deze scenario’s tonen aan dat, hoewel 2FA effectief is, geavanceerde aanvallen nog steeds mogelijk zijn.

Meer info: https://www.ccinfo.nl/cybercrime/hacking/2067326_politiehack-mogelijke-scenario-s-achter-de-aanval-in-het-licht-van-2fa

Van Weel liet op TV los dat het om een Outlook address book gaat.

En als je dan de brief van Min. van Weel waarmee de kamer wordt geïnformeerd over het datalek download, blijkt het een .docx. bestand te zijn.
Ben ik nu gek of hadden we al jaren geleden afgesproken dat .doc of .docx bestanden niet meer gebruikt gaan worden vanwege openingen naar digitale kwetsbaarheden?

Zie en verder: https://www.communicatierijk.nl/vakkennis/rijkswebsites/documenten/rapporten/2014/december/22/bestandsformaten-ods

Feitelijk toch echt bizar dat een minister die eindverantwoordelijk is voor deze hack zelf gebruikt maakt van een bestandsformaat dat moet worden vermeden volgens de regelgeving die het rijk aan zichzelf stelt...

Het lijkt erop dat er gegevens uit Outlook gehaald zijn. Lijkt ook op een account van HRM of payroller. Want het gaat om álle mensen werkzaam bij de politie (62000 personen). Belangrijk is om te weten of er functies en afdelingen gelekt zijn waardoor sommige namen nog waardevoller zijn. Een 'gewone' straatagent zijn naam 'ligt al op straat' nadat hij een bekeuring uitschrijft. Een 'gewone' rechercheur zijn naam staat in elk afgenomen verhoor of opgenomen aangifte. Maar als er bij de weggenomen data méér functie of afdelinggegevens staan (AT etc) dan is het veel ernstiger.

Ik ben wel benieuwd of de politie nu, tegen het eigen advies in, geld gaat betalen om te voorkomen dat deze data verder verspreid wordt.
Immers daarmee houd je de criminaliteit in stand! En dat moet de politie niet willen, natuurlijk.

Of toch wel, als het ineens jezelf betreft en overwegingen mbt algemeen nut minder belangrijk worden dan eigenbelang?
Want dat geldt ook voor andere betalers...

Hoe beveilig je een intern telefoonboek, waar 65.000 mensen bij moeten kunnen voor hun dagelijks werk, tegen lekken?
Dat beveilig je niet, onmogelijk.

Ja dat het om ongeoorloofde toegang tot Microsoft Active Directory gaat volgens een blonde security dame op het journaal.

Ik ben ook verbaasd dat mensen denken dat dat nu ineens mogelijk zou zijn "door digitalisatie".
30 en meer jaar geleden had ieder bedrijf van de grootte-orde van de politie een intern telefoonboek op papier.
Vaak waren het losse bladen in een kleine ringmap, soms was het ook gewoon een gedrukte pocket.
Hier stonden alle medewerkers in met naam, functie, afdeling, intern telefoonnummer, interne post adres, en toen e-mail begon op te komen ook het e-mail adres.
Deze boekwerkjes werden regelmatig nieuw verspreid en het was heel gebruikelijk dat mensen de vorige uitgave (of zelfs een actuele) mee naar huis namen omdat ze het soms ook thuis wel nodig hadden.
Kan zijn dat er soms regels waren of dat wel of niet mocht, maar heel vaak niet. En de rest van de afgedankte exemplaren ging gewoon de papierbak in.
In die tijd was het heel normaal dat er zo'n boekje "in verkeerde handen" terecht kwam natuurlijk.
Alleen toen noemde men het nog geen datalek.

Door het niet via het internet toegankelijk te maken, zodat dienders er vanaf een onveilige werkplek thuis er niet bij kunnen.

Door encryptie. Ooit van gehoord?

En zoals altijd in voorkomende gevallen.

Zij die er geen verstand van hebben, nemen de besluiten
en beknibbelen liefst op de kosten op valse gronden vaak.

De rekening zit achteraf natuurlijk altijd onder in de zak
en die kan dan zeer aanzienlijk zijn in geval van een "data-lek".

Zij die er wel verstand van hebben, kunnen en mogen geen noodzakelijke beslissingen nemen
en staan aan de spreekwoordelijke zijlijn en ergeren zich vaak groen en geel.

Waarom zien we die toestand zowat overal. Beleid via Onverstand & Co.
En komen te laat met "huilie, huilie" aanzetten.

Soms bekruipt je het gevoel, dat het wel eens opzettelijk zou kunnen zijn.
Maar, dat mag je natuurlijk niet hardop denken, laat staan zeggen (wat ik hier toch wel even doe).

#laufer

De reden dat het een substantieel probleem werd en we er wetgeving voor hebben is niet dat er daarvoor helemaal niets misging maar omdat de schaal waarop gegevens verspreid werden veel kleiner was. Papier kopiëren is bewerkelijk en kopieën van kopieën worden (en werden zeker vroeger) al snel steeds slechter. Digitale gegevens laten zich als een gek kopiëren, zonder kwaliteitsverlies, en ook als een gek combineren met andere gegevens die digitaal beschikbaar zijn. Daar is iets fundamenteel veranderd.

Analogie: vroeger was het een vlammetje in een omgeving die voor het grootste deel nauwelijks of niet brandbaar was en daardoor uitdoofde voor het veel schade aanrichtte, nu gaat alles heel makkelijk in de hens, is de kans op een grote brand met grote schade enorm. En omdat we met zijn allen verslaafd zijn geraakt aan die brandbaarheid gaan we dát niet aanpakken; niemand wil het internet afsluiten.

Dat soort stupiditeiten wordt ook alleen verkondigd door knulletjes die zichzelf heel erg 'edgy' vinden en nul komma nul ervaring hebben met enige werksituatie die verder gaat dan "jij gaat de zuivelrekken bijvullen".
Maar denken dat de steentijd vlak voor hun kleuterschool was en dat ze enorm inzicht hebben dat ZIJ snappen hoe de wereld moet werken als je maar naar hen luistert.


Yep, hacktick in de jaren '80 (en 2600 etc etc) werken er zo blij mee om een stukje te schrijven over de interne telefoongids van de PTT, en de locatie namen van telefooncentrales, en uitleggen wat "dumpster diving" was. (in vuilcontainers duiken om dat soort boekjes, en print-afval te vinden).

Ben je van de kerk of zo?
https://www.ninefornews.nl/advocaat-trekt-aan-de-bel-we-leven-in-griezelige-tijden/

Hilarisch hoe gemakkelijk we allemaal door onze overheid om de tuin geleid worden! De politie heeft nu ethical hackers ingehuurd die blijkbaar hun werk beter doen dan zijzelf. En het mooiste? Er is helemaal niks buitgemaakt!

Het lijkt wel alsof de politie zich zo zwak mogelijk wil voordoen, zodat meer hackers hun honeypots gaan hacken. “Kijk ons eens klunzen! Kom maar, we hebben een superleuke val voor je!” Misschien moeten ze ook maar een realityshow beginnen: "De zwakste schakel!" Wie weet, misschien winnen ze wel een prijs voor de beste act!

Inderdaad, met zo veel medewerkers hoeft er er maar eentje te zien die.. zeker iets wat meegenomen zal worden.

De politie opent een meldpunt voor agenten die zich zorgen maken over het grote datalek van gisteren. Daarbij werden "werkgerelateerde contactgegevens" van vrijwel alle 65.000 politiemedewerkers gestolen. Volgens de politie gaat het om namen, e-mailadressen en telefoonnummers. Het aantal meldingen is bijna niet te overzien.

https://nos.nl/artikel/2538819-politie-opent-meldpunt-voor-medewerkers-vanwege-zorgen-over-datalek

Als er encryptie op zit, dan kun je het telefoonboek niet lezen. Dat is wel veilig natuurlijk, maar niet praktisch.
Wie beheert de sleutels? Wie heeft toegang tot het telefoonboek? Nog steeds 65.000 mensen toch? Ze zullen toch de encryptie op een of andere manier moeten kunnen breken om in het telefoonboek te komen. Anders heb je er niets aan.

Anoniem 10:26

Korpschef Janny Knol heeft zaterdagmiddag alle politieagenten een lange e-mail gestuurd met uitleg. Ze schrijft dat „een kantoorautomatiserings-account gehackt is”. Er zijn volgens haar „zakelijke contactgegevens van collega’s uit Outlook buitgemaakt." [...] Afgelopen zomer wees de commissie onder leiding van oud-burgemeester Bernt Schneiders, die toezicht hield op de reorganisatie van de Landelijke Eenheid, al op de risico’s van cybercriminaliteit in eigen huis.

https://www.nrc.nl/nieuws/2024/09/28/hackers-hebben-grote-onrust-veroorzaakt-na-inbraak-bij-de-nationale-politie-a4867522

Echt serieus. Ik heb ooit een relatie gehad met de zoon van de hoofdcommandant van de stad waar ik toen woonde. Die werd al bedreigd toen hij als jochie naar de lagere school ging. "Jouw vader heeft mijn vader opgesloten".

Politie zelf ben ik geen grote fan van. Mijn vader had ze nog bezig gezien in de oorlog. Die zei toen al tegen me, jongen, je kunt elk beroep kiezen wat je maar wil, behalve bij de politie.

Maar ze hebben allemaal een familie en de kinderen moeten veilig naar school kunnen. Het is meer dan pruts en klungel dat al die gegevens konden uitlekken. Degene die dat lek niet goed beschermd heeft mogen ze wat mij betreft morgen opsluiten. Dat hoort gewoon niet te mogen kunnen gebeuren. Welke kneus heeft dat niet goed beschermd.

Ik weet niet of je vanaf de top van de berg of vanonder een steen schrijft, of doelbewust trolt maar die reality show is al jaren aan de gang. De zwakste schakel is degene die zich voor het meest fout denkbare karretje laat spannen in de hoop dat er iets van de superioriteit van de hoogste IT berg op hem afstraalt.

nou als ik dit zo leest komt het niet van buiten maar van binnen uit of wel een Trojaans paart uit eigen gelederen..binnen de politie ik opa van 72 moet constateert.....

Casus wordt nogal overdreven lijkt me, betreft puur zakelijke contactgegevens en functienamen. De naamgevingsconventie was ongetwijfeld al bekend bij degenen die ernaar zochten. En een functienaam als 'undercover-agent' zal echt niet bestaan.
Tsja, en contact vanuit het publiek met de politie wordt mogelijk wat gemakkelijker, wat is daar nou mis mee?

Van die kopspijker imitatoren als Peter Siebelt die mensen hierover aan het lachen moest krijgen, hebben heel veel mensen in Nederland last. Want al die reten wilden toen -niemand nog televisie keek of radio serieus nam-, een Dumpert dive op het internet, zo was het toch? Man man (en vrouw) wat een land is dit geworden. Zelfs een lek bij politie wordt niet meer serieus genomen, maar brengt wel mensen in gevaar.

https://www.groene.nl/artikel/priveneuzen

Politieke voorkeuren misschein? Ik heb al genoeg ellende mogen vernemen over die 'zwakzinnige processen verbaal' van de tap.

en, gaat de AP de politie nu een boete geven?

Nee.

t was weer een word document...

https://nos.nl/artikel/2538819-politie-opent-meldpunt-voor-medewerkers-om-zorgen-over-datalek

Je vergeet dat de verkeerde mensen die dit aan het licht brengen en proberen met de zeer beperkte middelen die ze tot hun beschikking hebben te bewaken, de schuld krijgen.

De managers die dit negeren en die risico's accepteren, die moeten de schuld!
Wat dat betreft kan die NIS2 niet snel genoeg worden geïmplementeerd

Beter opletten bij maatschappijleer (en uberhaupt naar school gaan).

"De politie" gaat niet over wat er belangrijk is of niet.
Die zijn er om uit te voeren wat de minister van justitie en veiligheid aan prioriteiten en taakstelling meegeeft.

Een meerderheid in de tweede kamer kan Min J en V daarop bijsturen.

Inderdaad. Altijd weer verbazingwekkend waarom mensen denken dat ze met 'encryptie' een zinvolle oplossing voor ieder probleem gegeven hebben.

Ik kan nog een dom "advies" geven hier - al die data niet bewaren dan kan het ook niet lekken.

Popo schaam je.

Bijzondere hack en bijzondere comments zoals altijd.
In mijn tijd deed men bij de Politie al behoorlijk aan beveiliging. Meer dan de gemiddelde commerciele instelling. Maar ja, inmiddels is alles vast commercieel uitbesteed of zo :p
Kortom, moeilijk voor te stellen, dat dit is gebeurd en dat ineens de buurman van verderop in het lijstje gelekte mailaddressen blijkt te staan.....terwijl die altijd volhoudt, dat hij tandenborstels verkoopt of zo.
Hopelijk is dit de druppel. Gaan we allemaal weer lekker van die gekke cloud onzin af en terug naar basic...

De reden dat er BSN gebruikt wordt is dat namen niet uniek zijn. Dus als je in de lijst een Kees Pieterse tegenkomt weet je nog niet of dat de buurman van verderop is, of iemand anders die zo heet.