Aanvaller kreeg via bruteforce-aanval toegang tot server softwarebedrijf Nebu
Een aanvaller wist begin 2023 via een bruteforce-aanval toegang tot een terminal server van softwarebedrijf Nebu te krijgen, waarna toegang werd geforceerd tot de Google Cloud Server van Nebu. Op die server stonden gegevens van klanten van Nebu, waaronder verschillende marktonderzoeksbureaus, zoals het bureau Blauw. Dat staat in een vonnis van de Rechtbank Rotterdam. Blauw en andere onderzoeksbureaus gebruikten de software van Nebu voor het uitvoeren van klanttevredenheidsonderzoeken.
Om gebruik te kunnen maken van de diensten van Nebu bewaarden Blauw en andere marktonderzoeksbureaus grote hoeveelheden data op de servers van Nebu. Het ging onder meer om een grote hoeveelheid persoonsgegevens van de klanten van Blauw’s klanten, zoals bijvoorbeeld reizigers van de Nederlandse Spoorwegen en abonnees van VodafoneZiggo. De opgeslagen data bestond uit namen en adresgegevens, maar in bepaalde gevallen ook om gegevens van medische aard over natuurlijke personen die klanten zijn van Blauw’s klanten.
Begin maart 2023 deed zich een veiligheidsincident voor bij Nebu. "Een ongeautoriseerd en onbekend persoon heeft zich met een brute force attack digitaal toegang verschaft tot de terminal server van Nebu., waarna toegang werd geforceerd tot de Google Cloud Server van Nebu. Op die server zijn data opgeslagen van klanten van Nebu (zoals Blauw), die die klanten met de software van Nebu hebben verzameld en verwerkt. Bij dat incident zijn mogelijk data van Blauw betrokken geraakt die zij bij Nebu had opgeslagen", aldus het vonnis.
Multifactorauthenticatie
Naar aanleiding van het datalek besloot Blauw een rechtszaak tegen Nebu en moederbedrijf Enghouse aan te spannen, onder andere over het niet standaard aanwezig zijn van multifactorauthenticatie (MFA). Voor het incident werd MFA niet standaard kosteloos door Nebu aan klanten aangeboden. Na het incident werd de maatregel kosteloos voor alle klanten ingevoerd. Volgens Blauw is Nebu haar verplichtingen uit de Data Processing Agreement (DPA), om passende beveiligingsmaatregelen te treffen, niet nagekomen omdat het geen MFA had geïmplementeerd."Volgens Blauw had (verplichte) MFA de kans op een succesvolle cyberaanval met 99 procent verminderd, zeker bij een brute force attack als hier aan de orde. Dat geldt nog sterker als Nebu daarnaast ook voldoende maatregelen had getroffen om de gegevens van de klanten van Blauw, af te schermen van die van haar andere klanten (data segregation; datascheiding). Nebu heeft ten onrechte nagelaten datascheiding toe te passen. Dat Nebu onvoldoende maatregelen heeft getroffen om de scheiding van data te waarborgen, blijkt volgens Blauw daaruit dat de brute force attack en de daardoor geforceerde toegang tot de gegevens plaatsvond via het account van een andere klant van Nebu en dat toch toegang werd verkregen tot de data van Blauw en mogelijk tot de persoonsgegevens van Blauw’s klanten", zo laat het vonnis verder weten.
Nebu is het daar niet mee eens. Het softwarebedrijf stelt dat in de periode waarin het incident plaatsvond niet van haar mocht worden verwacht dat zij MFA voor al haar klanten had ingevoerd. Volgens Nebu waren er op dat moment verschillende producten op de markt zonder MFA en werd door (potentiële) klanten niet gevraagd om MFA. Nebu wijst er op dat in de contractuele afspraken tussen partijen noch in de relevante regelgeving is opgenomen dat MFA verplicht was. Dat Nebu na het incident MFA bij al haar klanten kosteloos MFA heeft ingevoerd, doet hier niets aan af, aldus Nebu.
Bovendien had MFA er volgens Nebu in dit geval niet voor gezorgd dat het incident niet had plaatsgevonden en evenmin verschil gemaakt voor het betrokken raken van de gegevens van Blauw’s klanten. Nebu wijst er daarnaast op dat sprake was van een multi tenant environment-contract met Blauw, waarbij verschillende klanten gebruik maakten van dezelfde omgeving voor de gegevensopslag. Dat was volgens Nebu heel gebruikelijk. Volgens Nebu hadden haar klanten in 2021 noch in 2023 toegang tot de gegevens van andere klanten van Nebu en is van daadwerkelijk volkomen gescheiden data alleen sprake als een klant ervoor kiest de gegevens niet in de cloud op te slaan.
"Hieruit volgt dat partijen uiteenlopende visies hebben op de gangbaarheid van MFA en de gebruikelijke wijze van datascheiding in de periode voorafgaand aan het incident. Ook hun standpunten over het effect dat MFA, al dan niet in combinatie met scheiding van data van klanten, in dit geval had gehad, lopen zeer uiteen", laat de rechter weten. Die wil nu dat er een onafhankelijke deskundige komt die hier uitsluitsel over geeft. Ook moet de deskundige een oordeel geven of Nebu Blauw niet onmiddellijk en adequaat heeft geïnformeerd, zoals het marktonderzoeksbureau beweert.
Deskundige
De rechter wil dat de deskundige verschillende vragen beantwoordt, waaronder of het begin 2023 gebruikelijk was in de branche om MFA en datascheiding toe te passen voor het beveiligen van persoonsgegevens, dan wel een combinatie van beide. De zaak gaat over een maand verder.Nebu mag zich eens flink achter de oor krabben en hard nadenken over hetgeen ze zeggen. Hier is duidelijk kennis te kort.
Data segregatie kan zeker goed ingericht worden in elke omgeving. Heeft iets maar ook niet alles met de cloud te maken. In een on-premises situatie is data segregratie voor sommigen ook een flinke uitdaging, soms zelfs complexer dan in een cloudomgeving.
(1) Je kunt jouw beveiliging redelijk op orde hebben, maar toegang tot jouw data kan nog steeds plaatsvinden doordat een andere klant zijn zaken niet op orde heeft die van dezelfde infra en applicatie gebruik maakt.
(2) Als een leverancier MFA optioneel aanbiedt, ga er vanuit dat minder security-bewuste klanten geen MFA implementeren, zeker als er voor moet worden betaald.
(3) Op papier kun je eisen opstellen in een contractueel document, maar de invulling van en de verplichtingen gelieerd aan de overeengekomen maatregelen is niet zelden een bron van discussie. Bij rechtszaken verdwijnt "de geest van het contract" heel snel, en wordt "de letter van het contract" leidend. Ook hier is dat het geval, gegeven de zin "Nebu wijst er op dat in de contractuele afspraken tussen partijen noch in de relevante regelgeving is opgenomen dat MFA verplicht was."
(4) Niet alleen de beveiliging van de applicatie is van belang, maar ook van de beheeromgeving, gegeven de tekst "This morning we verified that in addition to compromising our cloud environment, the attacker was also able to harvest credentials maintained in our LastPass file which is shared among our Nebu IT Support Team." Dit staat niet in het artikel en is mogelijk niet relevant voor het verdere verloop van de inbraak, maar ik ben toch benieuwd hoe dat heeft plaatsgevonden.
(5) Het komt vaak voor dat veel persoonsgegevens onversleuteld worden opgeslagen, en dat een applicatieleverancier bij klantdata kan ("handig bij troubleshooten, en ze weten erg veel van de applicatie").
(6) Supply chain risk assessments kunnen bij veel bedrijven nog wel een boost gebruiken. Alleen uit gaan van een ISO-certificering is volstrekt onvoldoende. Bekijk hoeveel ISO-gecertificeerde bedrijven in het verleden succesvol zijn aangevallen en je weet voldoende. Assurance reikt zoveel verder dan een certificaat en wat tekst in een contract. Peter Neumann heeft daar in het verleden nog een lijvig document over geschreven als onderdeel van het Composable High-Assurance Trustworthy Systems (CHATS) programma (http://www.csl.sri.com/~neumann/chats4.pdf). Wat zou het toch mooi zijn als de maatregelen die in dat document zijn beschreven wat meer in de praktijk zouden worden gebracht, al dan niet als knock-out eisen in het voortraject bij de keuze van een leverancier.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?