image

Datadiefstal bij politie vond vermoedelijk plaats via 'pass-the-cookie-aanval'

vrijdag 8 november 2024, 18:14 door Redactie, 7 reacties

De datadiefstal bij de politie, waarbij de gegevens van 62.000 medewerkers werden gestolen, vond vermoedelijk plaats via een 'pass-the-cookie-aanval'. Dat laten zowel de politie als minister Van Weel van Justitie en Veiligheid vandaag weten (pdf), op basis van onderzoek van het Team High Tech Crime (THTC) van de Eenheid Landelijke Opsporing en Interventies (LO).

"Het doel van zo’n aanval is om toegang te krijgen tot het account of de applicatie van een gebruiker zonder dat inloggen met een wachtwoord opnieuw vereist is. Bij een succesvolle pass-the-cookie-aanval wordt een actieve sessie van een account overgenomen met de bijbehorende rechten", aldus de politie en minister. Die voegen toe dat het verkrijgen van toegang op verschillende manieren kan plaatsvinden, bijvoorbeeld door middel van phishing.

"Na een succesvolle aanval kan er malware worden geïnstalleerd die data zoals cookies doorstuurt naar een hacker waarmee toegang kan worden verkregen. In dit geval weten we dat het adresboek is buitgemaakt", zo laten de politie en minister verder weten. Wat de aanvallers gedaan hebben met de hoeveelheid buitgemaakte data wordt nog onderzocht.

"Er zijn op dit moment nog altijd geen aanwijzingen dat er naast de gegevens uit de global address list van outlook nog andere gegevens zijn buitgemaakt", merkt minister Van Weel op. "Op dit moment kunnen we in het belang van het onderzoek inhoudelijk verder niets delen over de bevindingen van het onderzoek", zegt Stan Duijf, hoofd Operatiën bij de LO.

Reacties (7)
09-11-2024, 10:56 door Anoniem
Volgens de politie hebben de aanvallers een zogenoemd browsercookie buitgemaakt. Zo'n browsercookie wordt bewaard op een computer of smartphone om gebruikers in te loggen, bijvoorbeeld bij het lezen van e-mail. Wie zo'n cookies weet te ontfutselen, kan in sommige gevallen de sessie van een gebruiker kapen. In dit geval is dat dus gelukt

https://nos.nl/artikel/2543741-hackers-bij-politie-kaapten-inlogsessie-van-medewerker
10-11-2024, 00:56 door Anoniem
Door Anoniem: Volgens de politie hebben de aanvallers een zogenoemd browsercookie buitgemaakt. Zo'n browsercookie wordt bewaard op een computer of smartphone om gebruikers in te loggen, bijvoorbeeld bij het lezen van e-mail. Wie zo'n cookies weet te ontfutselen, kan in sommige gevallen de sessie van een gebruiker kapen. In dit geval is dat dus gelukt

https://nos.nl/artikel/2543741-hackers-bij-politie-kaapten-inlogsessie-van-medewerker

Dat betekent in deze zaak dus dat de computer niet keurig werd onderhouden door de werkgever of de overheid.
10-11-2024, 10:50 door Anoniem
Who cares hoe het heeft kunnen gebeuren. Er is gewoon een medewerker in een phishing mail getrapt en die heeft incl. 2fa ingelogd op een foute website en daarmee hebben aanvallers volledig toegang gekregen tot alles waar deze medewerker ook toegang toe heeft gehad. En waarschijnlijk zijn er nog meer van die 62K medewerkers ingetrapt want dat zie je bij veel organisaties terug, er is nooit maar 1 slachtoffer bij een phishing aanval maar altijd meerdere.
De Politie heeft zijn beveiliging gewoon niet op orde en dat geven ze nog steeds niet toe. Ook niet tot welke dossiers de aanvallers allemaal toegang toe hebben gehad of ook niet tot welke andere systemen, via SSO, toegang mogelijk is geweest. Deze zaak is vele malen groter dan dat ze ooit gaan toegeven. Bij de Solarwinds hack dacht Microsoft ook weg te komen met de mededeling dat het alleen maar om een test omgegeving gegaan zou zijn. Inmiddels weten we dat de aanvallers tot veel broncode toegang hebben gehad want na de aanval vlogen de noodpatches om onze oren. En nog steeds komen er ineens kwetsbaarheden aan het licht die allang bekend waren bij MS maar die nu ook in de handen zijn van de aanvallers.
Mark my words, op termijn komen we er vanzelf wel achter hoe groot de schade is geweest bij de Politie.
10-11-2024, 13:03 door Anoniem
Het moet eerst "warren" om te kunnen "rejen".

Betere beveiliging groeit uit ontstane chaos.
10-11-2024, 14:28 door Anoniem
Door Anoniem: Who cares hoe het heeft kunnen gebeuren. Er is gewoon een medewerker in een phishing mail getrapt en die heeft incl. 2fa ingelogd op een foute website en daarmee hebben aanvallers volledig toegang gekregen tot alles waar deze medewerker ook toegang toe heeft gehad. En waarschijnlijk zijn er nog meer van die 62K medewerkers ingetrapt want dat zie je bij veel organisaties terug, er is nooit maar 1 slachtoffer bij een phishing aanval maar altijd meerdere.
De Politie heeft zijn beveiliging gewoon niet op orde en dat geven ze nog steeds niet toe. Ook niet tot welke dossiers de aanvallers allemaal toegang toe hebben gehad of ook niet tot welke andere systemen, via SSO, toegang mogelijk is geweest. Deze zaak is vele malen groter dan dat ze ooit gaan toegeven. Bij de Solarwinds hack dacht Microsoft ook weg te komen met de mededeling dat het alleen maar om een test omgegeving gegaan zou zijn. Inmiddels weten we dat de aanvallers tot veel broncode toegang hebben gehad want na de aanval vlogen de noodpatches om onze oren. En nog steeds komen er ineens kwetsbaarheden aan het licht die allang bekend waren bij MS maar die nu ook in de handen zijn van de aanvallers.
Mark my words, op termijn komen we er vanzelf wel achter hoe groot de schade is geweest bij de Politie.

Tegen emailspoofing is weinig te doen, er zullen altijd mensen zijn die menen dat de afzender authentiek is. Alle criminele organisatievormen hebben een mannetje of vrouwtje verantwoordelijk voor misleiding, list en bedrog.
11-11-2024, 09:17 door Anoniem
Of er is een interne medewerker die meewerkt en inlogged op de gepreprareerde website. Op deze manier is er nooit een 'smoking gun'. Dit kan een gebruiker altijd gebeuren en het is de schuld van de ITC die de spullen niet op orde heeft. Waarom zouden interne mensen wel werrk doen voor, lekken en geronseld worden maar deze simpele vorm niet gebruiken.
11-11-2024, 13:58 door Anoniem
Door Anoniem:
Door Anoniem: Volgens de politie hebben de aanvallers een zogenoemd browsercookie buitgemaakt. Zo'n browsercookie wordt bewaard op een computer of smartphone om gebruikers in te loggen, bijvoorbeeld bij het lezen van e-mail. Wie zo'n cookies weet te ontfutselen, kan in sommige gevallen de sessie van een gebruiker kapen. In dit geval is dat dus gelukt

https://nos.nl/artikel/2543741-hackers-bij-politie-kaapten-inlogsessie-van-medewerker

Dat betekent in deze zaak dus dat de computer niet keurig werd onderhouden door de werkgever of de overheid.

Of er zat/zit een XSS in de website waardoor document.cookie doorgestuurd kon worden naar een malafide server.
Hopelijk is dat gechecked....
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.