Advocatenkantoor krijgt boete voor gevoelig datalek door bruteforce-aanval
Een Brits advocatenkantoor heeft wegens een datalek dat door een bruteforce-aanval ontstond een boete van omgerekend 70.000 euro gekregen. Bij de aanval wisten aanvallers gevoelige en vertrouwelijke persoonlijke informatie te stelen, die vervolgens op internet werd gepubliceerd. Het advocatenkantoor ontdekte het datalek pas nadat de Britse autoriteiten hadden gewaarschuwd dat criminelen de gegevens van cliënten hadden gepubliceerd.
De Britse privacytoezichthouder ICO deed onderzoek naar het datalek en stelde dat de beveiliging van het advocatenkantoor ernstig te wensen overliet. Zo wisten de aanvallers via een bruteforce-aanval toegang tot een legacy admin-account te krijgen. Voor dit 'sqluser' account stond geen multifactorauthenticatie (MFA) ingeschakeld. Vervolgens werd er meer dan 32 gigabyte aan vertrouwelijke data buitgemaakt.
De gestolen data bestond uit pdf-bestanden, Word-documenten, foto's en video's, waaronder bodycambeelden van politieagenten, die betrekking hadden op cliënten van het advocatenkantoor en experts die tijdens rechtszaken door het advocatenkantoor waren ingeschakeld. In het vonnis van de ICO wordt ook over een gecompromitteerde laptop van een eindgebruiker gesproken waarvandaan de aanvallers inlogden op het netwerk. "Databescherming is niet optioneel. Het is een juridische verplichting, en deze boete zou als een duidelijke boodschap moeten dienen", zegt de privacytoezichthouder.
Je moet altijd alle wachtwoorden hebben. Een leverancier kan ook zomaar failliet zijn en naar de Bahamas blijken te zijn vertrokken. Elke jurist zou je op dat risico moeten kunnen wijzen.
Dan is het geen slecht idee om bijvoorbeeld iets als fail2ban erop te zetten tegen brute force aanvallen. Ook geen slecht idee voor elk bedrijf om in huis een data- en onderhoudsverantwoordelijke aan te stellen, zeker voor een advocatenkantoor dat hoogst gevoelige data beheert (dat ze dat zelf niet konden bevroeden geeft te denken, maar misschien enkel gespecialiseerd in echtscheidingen). Ik citeer even een baas van een behoorlijk boekhouderskantoor. "Ik heb de allernieuwste en grootste server gekocht en bij mijn software leverancier in het rek laten hangen. En soms doet ie het drie dagen niet!" Dat heet dus colocation. In vaktermen. Daar moet je zelf op letten. Heb je er zelf geen verstand van, dan moet je daar iemand voor aanstellen die aan je jasje trekt als het nodig is. Mijn citaat "Een dure server kopen is wat anders dan een dure wasmachine!"
Gezien de leeftijd van de software/functie zou het gewoon kunnen zijn dat de beperkingen te groot zijn. De software had mogelijk vervangen moeten worden. Gewoon te weinig informatie vanuit dit artikel.
Zeker, hier is de herschreven versie zonder MFA en met nadruk op oplossingen die buiten de software zelf om kunnen worden toegepast:
Je kunt in zulke gevallen gebruikmaken van oplossingen zoals Fail2ban, een Web Application Firewall (WAF), rate limiting, IP-reputation filtering, geofencing, reverse proxies met ingebouwde beveiligingsfilters (zoals Cloudflare), of een intrusion detection/prevention system (IDS/IPS) om brute-force aanvallen effectief van buitenaf te weren, zonder afhankelijk te zijn van de interne beveiligingsmogelijkheden van de software zelf.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
