Door Anoniem: Door Briolet: Door Anoniem: Dus zo te zien is er nog veel meer info in handen van hackers gevallen.
Op de visitekaartjes kun je namelijk nog veel meer invullen dan alleen maar een telefoonnummer...
Ik lees nu voor het eerst dat het de mailomgeving is die gehacked is en niet het personeelsbestand. In dat visitekaartje van outlook zullen ze geen privé adres hebben staan.
Precies. Nou je kunt in Outlook danwel Delve je eigen info editen (kennelijk is dat inmiddels dichtgezet bij de politie) en daarbij kun je allerlei info invullen, zoals je prive nummer inderdaad. Maar de privenummers die er in staan hebben de mensen er dus wel ZELF in gezet.
Je kunt ook allerlei andere info invullen, zoals een stukje tekst over jezelf, de projecten waar je aan werkt, je vaardigheden en expertises, opleidingen, hobby's, etc. Maar je vult dit dus allemaal wel ZELF in, dit komt niet uit een of andere personeelsadministratie ofzo.
Dus je kunt hooguit stellen dat mensen die daar vanalles ingevuld hebben er misschien niet op rekenden dat "de hele wereld" dit kan lezen. Maar al te prive zaken zullen er toch niet in staan want je moest wel snappen dat 65000 collega's hier altijd al bij konden.
En ga nou niet roepen dat het toch idioot is om dat soort info in een computer te willen zetten.
In 1985 had Unix ook al .finger en .plan files!
Dat het in 1985 mogelijk was (kon trouwens al eerder) wil niet zeggen dat het niet idioot is.
We konden ook VB macros invoeren in excel kijk naar wat voor ellende dat heeft opgeleverd.
We kunnen ook chmod 0777 doen in UNIX & Linux based wat is daar ooit het nut van geweest?
Niet alles dat ooit is bedacht is slim sterker nog meeste wat ooit is bedacht was dom en heeft meerdere revisies nodig gehad om remotely zinnig te worden en we hebben er meestal een decenia ellende aan. (IPv4, NAT, fabrieks wachtwoorden, vaste gebruikersnaam etc)
Het hebben van informatie dat totaal niet relevant is voor het doel van enige software is dom.
Politie heeft gesloten systemen waar die info ook in staat personeelsbestand en de meldkamer software die wel redelijk gemonitored worden dus waarom zou het in Outlook moeten staan. Daar moeten meldingen over zijn je kan mij niet wijs maken dat niemand in die hele organisatie de breincellen had om te denken goh we werken met zeer vertrouwelijke data als in undercover operatives waarom publiceren we uberhaubt informatie in client software.
En dat brengt de volgende vraag was het individuele Outlook clients waar ze toegang tot hadden werden de vcf via shared server beheerd en hoe zit het met agenda functionaliteiten hoeveel sht stond daar wel niet in. Hadden medewerkers toegang tot notes extensie? Zijn er meeting invites gestuurd door de omgeving heen waaruit weer mogelijke bronnen herleid konden worden?
We gaan vermoedelijk komende weken of maanden steeds meer van deze beerput horen want de verklaring oh Outlook is ingezien zegt niks over de laterale beweging die er moet zijn geweest. Dit zijn geen hacks waar ze even een client hacken dit zijn geen toevals treffers van een scriptkiddies. Eerder in de hoek staatsgesteund of iedergeval een APT en vermoedelijk al weken als niet maanden is in de systemen via of social engineering of waarschijnlijker een 0day.
Want het is niet eenvoudig om dit op te merken in een druk netwerk hoe graag we dat ook willen. Als je dit niet vanaf eerste moment monitored alerts op hebt zitten is het wachten op ongelukken. Meestal is het bij toeval dat er iets anders niet in de haak lijkt en het daardoor opvalt want als dit een goed georganiseerd gekoppeld SOC betrof was er uberhaubt geen optie tot al die data toegang. Dat was dan al in een eerdere audit bekend geworden dat er een verhoogd risico was of op zijn minst moment dat er boven X aantal entries vanaf een connectie waren gemaakt had een alert plaats moeten vinden in een compliance dashboard voor review.
Ik geloof dan ook geen barst van de verklaring die tot nu toe is gegeven. Te veel in de blueteam en audit kant qua ervaring om te weten dat dit verhaal stinkt naar downplaying, achterliggend te klein budget toekennen aan IT, gemakzucht van hogerop tegen over noodzakelijke compartimentering die afgewongen had moeten zijn, tegenwerking onderzoeken, haantjes gedrag, en klokkenluider documenten in laadjes.
Mij betreft mogen ze de uiteindelijke verantwoordelijken in de organisatie strafrechtelijk ook vervolgen voor roekeloosheid en het in serieus gevaar brengen van medewerkers en staatsveiligheid. En mijn oprechte medeleven richting de medewerkers die hier slachtoffer van zijn want die zullen de rest van hun leven hier mee in het achterhoofd zitten dat ergens criminelen namen en mogelijk meer hebben van deze mensen. Verwacht maar een toename in tekort in agenten want dit gaat mentaal mensen breken.