'Hacker publiceert gegevens 9000 medewerkers Homeland Security'

Een hacker zou de gegevens van 9000 medewerkers van het Amerikaanse ministerie van Binnenlandse Veiligheid gepubliceerd hebben, waaronder namen, functies, e-mailadressen en telefoonnummers. Binnenkort zouden de gegevens van 20.000 FBI-medewerkers volgen.

De hacker zou in eerste instantie contact hebben opgenomen met Motherboard en enkele gegevens hebben gedeeld, zo claimt de site. Redacteuren zouden vervolgens willekeurige nummers uit het gegevensbestand hebben gebeld en konden daarmee bevestigen dat het voor een deel om de gegevens van werknemers van Homeland Security en de FBI gaat.

Kort na het verschijnen van het Motherboard-artikel zou de hacker daadwerkelijk de gegevens van 9000 medewerkers met een link op Twitter gepubliceerd hebben met een pro-Palestijnse boodschap. Ook heeft hij aangekondigd vandaag de gegevens te publiceren van 20.000 FBI-medewerkers, van wie er verschillenden in het buitenland verblijven. Hij zou verder in het bezit zijn van meer dan honderd GB aan gegevens van een computer van het ministerie van Justitie.

De hacker liet aan Motherboard weten dat hij eerst toegang had verkregen tot de e-mail van een justitiemedewerker. Daarna probeerde hij een webportaal van het ministerie binnen te komen. Toen dit niet lukte, belde hij een helpdesk en vertelde hij dat hij het portaal niet inkwam. Toen zou hij van een medewerker een token hebben gekregen waarmee hij met de eerder verkregen e-mailgegevens kon inloggen op een online virtual machine.

Daar kreeg hij verschillende opties gepresenteerd, waaronder de mogelijkheid om in te loggen op de werkcomputer van de eigenaar van de e-mailgegevens. Via deze computer had hij toegang tot 1TB aan data, waarvan hij uiteindelijk 200GB heeft gedownload. Dit incident is niet het eerste dit jaar waarbij toegang werd verkregen tot gevoelige gegevens van de Amerikaanse overheid. In januari wist een tiener verschillende accounts van het hoofd van de Amerikaanse inlichtingendiensten te bemachtigen.

IT-banen

Reacties (151)

Eric H 8 februari 2016 12:12

Twee opvallende zaken :
1 : een individu die bewust de levens van honderden mensen in gevaar brengt door rücksichtslos deze lijsten op het net te plempen.

2 : een instelling welke TELEFONISCH toegang verleend tot gevoelige informatie, puus op basis van iemand die meld geen toegang te hebben. Zonder verdere identificatie of gegevens controle. En als deze al wel zijn gecontroleerd, dan schort daar ook nog wel het een en ander aan.

Weet niet wat ik nou erger vind, neig naar puntje 1, maar puntje 2 volgt op zeeeer korte afstand.

Blokker_1999

Verenigde staten
Netwerk en systeembeheer

@Eric H • 8 februari 2016 12:18

En toch word dit bijv. door velen vergeven bij wikileaks/assange toen zij ongecensureerde info online gooiden. Met dat verschil dat het daar om lokale mensen ging die daarna door de vijand konden opgespoord worden terwijl het hier om gewoon gekende medewerkers gaat die men worst case kan terughalen naar het eigen land.

Ik vermoed dat het token in samenwerking met de mailbox hem toegang hebben gegeven en niet alleen het token. Maar hoe kan je anders snel de identiteit nagaan? Als het moet per fax of per post of dergelijke zal het allemaal veel langer duren. Neemt niet weg dat er bijkomende controle noodzakelijk was, maar neem aan dat via de mailbox al direct heel wat informatie over het slachtoffer kon ingewonnen worden.

[Reactie gewijzigd door Blokker_1999 op 24 juli 2024 02:02]

bbob

Verenigde staten
Netwerk en systeembeheer

@Blokker_1999 • 8 februari 2016 12:32

De hacker heeft toegang tot mailbox gekregen, toen met social engineering verder het systeem in., Van daar kon hij dus schijnbaar onbeperkt alles downloaden.

Wat erger is, is dat een willekeurige medewerker schijnbaar gigabytes aan informatie kan downloaden zonder dat er een alarmbel afgaat.

Er moet standaard een alrmbel afgaan als iemand zo veel data opvraagt. Dat dit niet gebeurt laat zien hoe brak het systeem is.

In Nederland niet anders met de politiemol die criminelen een abbo gaf om up to date gehouden te worden. Ook de corrupte agent kon schijnbaar onbeperkt in te veel systemen kijken en hoefde niet te verantwoorden waarom hij dit nodig had.

Overheden moeten toch eens goed nadenken over hoe ze intern met informatie omgaan, dat mag ondertussen wel duidelijk zijn.
Net als met creditcards kun je ook werken met risico algoritmes, als een medewerker verdacht andere dingen doet dan normaal bijv.

Caelestis @bbob • 8 februari 2016 18:08

Ik zou eerder vraagtekens neerzetten naast het punt dat zulke PC's voornamelijk thin clients zijn die geen eens data opslag hebben dus hoe je dan 200 gig eraf haalt is een raadsel.
Dan ook nog eens dat de PC van een medewerker beschikbaar is via een web portal??? Als je al gebruik moet maken van een token systeem geloof ik daar echt helemaal niks van. Beetje zelfde idee als een cabriolet auto voorzien van kogelwerend glas

Het lijkt me eerder dat het die hacker gelukt is een email account password te hacken en vervolgens gewoon het adresboek heeft gedownload met alle contact gegevens en verder helemaal niks, maar om zijn kunstje meer te laten lijken dan een simpele password hack in zijn vriendenkring maak hij er een mooi verhaaltje van.

terradrone

@Caelestis • 8 februari 2016 18:19

In het artikel wordt duidelijk genoemd dat hij ingelogd heeft in een vm.... dus...

Caelestis @terradrone • 8 februari 2016 18:57

In het oorspronkelijke artikel staat dat hij via die VM gelijk kon door linken naar het fysieke PC van de medewerker en dat in de data ook nog eens militaire emails en credit card nummers zaten.

Of je gelooft dat de Amerikaanse overheid en o.a dus het N.S.A een van de meest geavanceerde IT systemen op aarde bezit die alles een iedereen in de gaten houdt onder het mom van terrorisme bestrijding. Of je geloof dat ze geen idee hebben hoe ze IT beveiliging moeten opzetten en dit lachwekkende verhaal waar is.

Anoniem: 1322 @Caelestis • 8 februari 2016 21:52

Volgens mij gebruikt iedereen gewoon de middelen die beschikbaar zijn (ook de NSA).Misschien met wat hardening. Wat ik zo lees is er extern een VDI/RDS omgeving beschikbaar (zoals zoveel bedrijven) met token authenticatie (two-factor authentication, zoals je bank). Hij belde de helpdesk en kreeg een token (response) van hun. Dit lijkt me dus duidelijk menselijk falen. De helpdesk medewerkers hadden dit nooit telefonisch mogen geven maar zoals zoveel van ons: we willen die arme gebruiker gewoon helpen.

IT security is gewoon een lastig punt. Te veel beveiliging en je kunt je werk niet meer doen of alles wordt zo langzaam (change requests,etc) dat alle innovatie weg is. Dat is nou precies het tegenovergestelde van wat IT probeert te bereiken.

Caelestis @Anoniem: 1322 • 9 februari 2016 01:19

Waarom zou een helpdesk medewerker ooit zoiets doen? Je helpt helemaal niemand met het negeren van beveiligings protocollen en je weet zeker dat ja na afloop je baan kwijt bent.
Het is tot daar aan toe om zoiets doms uit te halen in een standaard IT omgeving laat staan dat je het doet met het DoJ of FBI.

Wat ik lees is gewoon een gebakken lucht verhaal want er klopt geen hol van. We hebben het over afdelingen die dagelijks te maken hebben met cyber attacks en complete teams hebben om hackers aan te pakken en dan komt een of ander gast langs en zegt dat hij gewoon kon inloggen met hulp van de helpdesk???

Beveiliging is nooit onfeilbaar dus tja het is niet vreemd als een briljante persoon erin slaagt om daad werkelijk in te breken met een paar goeie hacks.
Maar als iemand tegen je zegt dat hij een militaire basis op liep en een kist met wapens heeft gejat en vervolgens zei dat hij met een goed praatje bij de beveiliging een route beschrijving naar het depot kreeg, geloof je dat ook zonder enig vorm van bewijs?

raro007 @bbob • 9 februari 2016 07:46

Ook de corrupte agent kon schijnbaar onbeperkt in te veel systemen kijken en hoefde niet te verantwoorden waarom hij dit nodig had.

En daarom ben ik anti informatie graaiende regering of dat ze overal camera neer plempen.
Kan nooit goed gaan voor lange duur.

WhatsappHack

Netwerk en systeembeheer
Verenigde staten

@Blokker_1999 • 8 februari 2016 13:07

En dat is nou juist het probleem, instanties en medewerkers die zich richten op de snelheid van een recovery procedure, in plaats van de veiligheid.
Bij zulke hoge mate van toegang tot zeer gevoelige data: al duurt het een week, éérst zorgen dat je 100% zeker weet met wie je te maken hebt. Het liefst gewoon vereisen dat ze in person komen opdagen, in t buitenland in een ambassade. Voor die paar die in een land zonder ambassade zitten zullen ze wat anders moeten verzinnen; bijvoorbeeld een speciale recovery code die enkel die persoon weet en kan doorgeven, maar waar een hacker niets over zal kunnen vinden waardoor telefonische/per e-mail social engineering nutteloos wordt...

Slashdotter @WhatsappHack • 8 februari 2016 18:00

> Het liefst gewoon vereisen dat ze in person komen opdagen, in t buitenland in een ambassade

Dan heb ik liever dat je via een Skype webcam video chat achtige functie laat zien dat jij daadwerkelijk de betreffende persoon bent. Jouw pasfoto staat al in het systeem dus daar kunnen ze de webcam persoon mee vergelijken.

m4ikel @Blokker_1999 • 8 februari 2016 13:09

"ongecensureerde info online"

Bij Wikileaks is daar geen spraken van geweest gezien (hoe graag de US dat ook wil doen laten geloven) alle informatie eerst gecontroleerd en geverifieerd is door o.a. The Guardian en ik dacht The Washington Post welke zich aan strikte publicatie regels hebben gehouden.

Er is dus een wezenlijk verschil tussen lukraak data publiceren of door journalisten pagina voor pagina laten controleren en publiceren als er geen gevraag is voor lokale medewerkers.

Anoniem: 112442 @Eric H • 8 februari 2016 12:20

Twee opvallende zaken :
1 : een individu die bewust de levens van honderden mensen in gevaar brengt door rücksichtslos deze lijsten op het net te plempen.

2 : een instelling welke TELEFONISCH toegang verleend tot gevoelige informatie, puus op basis van iemand die meld geen toegang te hebben. Zonder verdere identificatie of gegevens controle. En als deze al wel zijn gecontroleerd, dan schort daar ook nog wel het een en ander aan.

Weet niet wat ik nou erger vind, neig naar puntje 1, maar puntje 2 volgt op zeeeer korte afstand.

Punt 1 is primair de schuld van de VS zelf. Gegevens van zo'n belangrijke personen voor de VS moet je niet van buiten toegankelijk maken.
Als er gegevens toegankelijk zijn van buiten moet dat een slap aftreksel van het werkelijke bestand zijn.
IMO zeer slecht van de VS een natie die net doet alsof ze alles goed voor elkaar hebben.

Pietervs @Anoniem: 112442 • 8 februari 2016 12:57

Het feit alleen dat de gegevens niet goed beveiligd zijn is geen excuus om ze te publiceren.
Als een juwelier zijn deur open laat staan, geeft jou dat dan het recht om de winkel leeg te halen?

In dit geval is het nog erger: het gaat om mensenlevens...

en ja, het is te idioot voor woorden dat organisaties die zich bezig houden met veiligheid hun eigen beveiliging niet eens op orde hebben

Ex Nunc @Pietervs • 8 februari 2016 14:14

De houding wat dit betreft is sowieso al erg veranderd. Ik ben het met je eens dat dit ver gaat. Alleen probeer maar eens aangifte te doen van je gestolen fiets en dat je dan aan de politie verteld dat je de sleutel vergeten was. Dan zeggen ze niet: "Maak niet uit joh, dan hadden ze de fiets nog niet mee mogen nemen." Ze kijken je meewarig aan en vinden het je eigen schuld.

Daar naast vind ik dit en hier boven allemaal teveel vanuit je eigen standpunt geredeneerd. Als ik Palestijn, Afghaan of IS-strijder zou zijn, dan zou mij het helemaal niet boeien wat er gebeurd met de medewerkers van de FBI of Homeland Security. Dat zijn je vijanden, dus hoe meer die ontmaskerd worden, hoe beter. Zij geven niets om ons en willen ons dood hebben, zelfde lot voor hun.

Dus deze instanties moeten hun veiligheid zelf goed op orde hebben. Niet verwachten dat hun tegenstander lief gaat spelen, als zij dat zelf waarschijnlijk ook niet doen.

3raser @Pietervs • 8 februari 2016 14:57

In dit geval vind ik het toch een ander verhaal. Als deze hacker zichzelf bekend zou maken bij Homeland Security of de FBI dan zou hij waarschijnlijk voor de rest van zijn leven worden opgesloten omdat hij een risico voor de staat is. Dacht je nu echt dat de FBI iemand laat lopen die zoveel informatie heeft ingezien?
En als de hacker niet in de VS verkeerd dan heeft hij waarschijnlijk ook lak aan het feit dat hij die mensen in gevaar brengt. We hebben het tenslotte over een Palestijnse vrijheidsstrijder.

Pietervs @3raser • 8 februari 2016 16:20

Dacht je nu echt dat de FBI iemand laat lopen die zoveel informatie heeft ingezien?
Dus dan publiceert hij de gegevens maar van de medewerkers wetende dat hij daarmee een veel zwaardere aanklacht tegemoet kan zien?

En als de hacker niet in de VS verkeerd dan heeft hij waarschijnlijk ook lak aan het feit dat hij die mensen in gevaar brengt
dat ben ik wel met jou en RJC82 eens: dan is het "gewoon" een aanslag.

Of hij een Palestijnse vrijheidsstrijder is valt nog te bezien: iedereen kan claimen een Palestijnse vrijheidsstrijder, lid van de ETA, IRA, IS of wat dan ook te zijn.

[Reactie gewijzigd door Pietervs op 24 juli 2024 02:02]

nst6ldr @Anoniem: 112442 • 8 februari 2016 12:46

[...]

Punt 1 is primair de schuld van de VS zelf. Gegevens van zo'n belangrijke personen voor de VS moet je niet van buiten toegankelijk maken.
Als er gegevens toegankelijk zijn van buiten moet dat een slap aftreksel van het werkelijke bestand zijn.
IMO zeer slecht van de VS een natie die net doet alsof ze alles goed voor elkaar hebben.

Je zou haast denken dat het een organisatie is met meerdere medewerkers. Ik weet niet waar je werkt maar ik durf te wedden dat ook daar de beveiligingsbewustzijn op z'n best matig is. Bij elk bedrijf kom je wel post-it's tegen met wachtwoorden, USB sticks met documenten, noem maar op. Als je verantwoordelijk bent voor de informatiebeveiliging van een bedrijf kijk je altijd als eerste naar de medewerkers, want je kan de hele infrastructuur wel in orde hebben, de medewerkers zorgen net zo makkelijk alsnog voor een ramp.

supersnathan94 @nst6ldr • 8 februari 2016 12:55

Een post-it ergens van een computer plukken is echter wel een stuk lastiger (stelselmatige controles op ID bij overheidsgebouwen, vaste contractanten bij schoonmaak bedrijven, nothing in and out) dan even een helpdesk bellen met valse creds. via telefoon is er geen enkele verificatie mogelijk anders dan bekende info (die je dan ws toch al wel hebt achterhaald). Ja een Post-it met wachtwoord is niet handig (heb het zelf nu ook op stage), maar fysieke beveiliging werkt nog altijd tientallen malen beter en efficiënter dan digitale .

nst6ldr @supersnathan94 • 8 februari 2016 13:04

Post-it's worden op afstand met telescoop uitgelezen, neemt een medewerker per ongeluk mee naar huis en gaat slingeren (heb het meegemaakt bij een werkgever), noem maar op. Digitale beveiliging zijn aanvullend aan personele en fysieke beveiliging, het probleem is dat als er één niet voldoet, de ander vooral voor de sier is.

Again, medewerkers zijn een ramp voor beveiliging.

sjameasypoo @nst6ldr • 9 februari 2016 11:51

"Again, medewerkers zijn een ramp voor beveiliging."
Dat is waar, maar daar moet beveiliging juist op inspelen. Te veel beveiligers denken nog te veel alleen aan de 'onkraakbaarheid' van een wachtwoord. Ze denken dat als je maar genoeg vereisten verzint (geen bestaand woord, minstens 2 van dit en 2 van dat, minstens 21 karakters, geen herhalingen van karakters, de vorige 10 keer een ander etc.), dat het dan veiliger is. Dit is een misvatting. Hierdoor gaan mensen het juist opschrijven. Wachtwoorden die je zowel thuis als op je werk nodig hebt, ga je dan ofwel meenemen, of zowel thuis als op het werk toegankelijk maken, wat beiden het 'laten slingeren' enorm bevordert.
Terwijl een stuk of 5 à 6 willekeurige woorden voor (bijna) iedereen makkelijk te onthouden is en zeker zo moeilijk machinaal te kraken.

Anoniem: 112442 @nst6ldr • 8 februari 2016 15:26

[...]

Je zou haast denken dat het een organisatie is met meerdere medewerkers. Ik weet niet waar je werkt maar ik durf te wedden dat ook daar de beveiligingsbewustzijn op z'n best matig is. Bij elk bedrijf kom je wel post-it's tegen met wachtwoorden, USB sticks met documenten, noem maar op. Als je verantwoordelijk bent voor de informatiebeveiliging van een bedrijf kijk je altijd als eerste naar de medewerkers, want je kan de hele infrastructuur wel in orde hebben, de medewerkers zorgen net zo makkelijk alsnog voor een ramp.

Nee, dat zul je bij ons niet zien, zo ja dan heeft medewerker een probleem.

Laten we eerlijk zijn, het gaat bij Homeland Security niet om de eerste de beste mkber zonder enige IT affiniteit. Homeland Security is volgen wiki.

Homeland security is an American umbrella term for "the concerted national effort to ensure a homeland that is safe, secure, and resilient against terrorism and other hazards where American interests, aspirations, and ways of life can thrive to the national effort to prevent terrorist attacks within the United States, reduce the vulnerability of the U.S. to terrorism, and minimize the damage from attacks that do occur."

Zie de woorden safe en secure. Als je dan niet eens je eigen IT goed opgetuigd hebt.

nst6ldr @Anoniem: 112442 • 8 februari 2016 15:35

[...]

Nee, dat zul je bij ons niet zien, zo ja dan heeft medewerker een probleem.

En dat zal ongetwijfeld het geval zijn bij Homeland en FBI, maarja, het kwaad is al geschied.

Onderschat niet wat gebruikers kunnen aanrichten, je hebt het over een gigantische organisatie. Het beheer en beveiligen van zoiets is vreselijk complex. Een ander dingetje is dat de organisatie ook al heel lang bestaat. Als je van de grond af aan een nieuwe organisatie opzet dan kom je met een goede planning heel ver, maar dat is nu niet het geval. Je zit met oudere medewerkers die je wegwijs moet maken in digitalisering, oudere processen, en tevens bedrijfsspecifieke processen waar geen vaste oplossingen voor bestaan. Dat zijn allemaal problemen die op kleinere schaal al vrij vervelend zijn, laat staan als je het hebt over enkele tienduizenden medewerkers verspreid over een X aantal kantoren op een heel continent.

Anoniem: 112442 @nst6ldr • 8 februari 2016 15:53

[...]

En dat zal ongetwijfeld het geval zijn bij Homeland en FBI, maarja, het kwaad is al geschied.

Onderschat niet wat gebruikers kunnen aanrichten, je hebt het over een gigantische organisatie. Het beheer en beveiligen van zoiets is vreselijk complex. Een ander dingetje is dat de organisatie ook al heel lang bestaat. Als je van de grond af aan een nieuwe organisatie opzet dan kom je met een goede planning heel ver, maar dat is nu niet het geval. Je zit met oudere medewerkers die je wegwijs moet maken in digitalisering, oudere processen, en tevens bedrijfsspecifieke processen waar geen vaste oplossingen voor bestaan. Dat zijn allemaal problemen die op kleinere schaal al vrij vervelend zijn, laat staan als je het hebt over enkele tienduizenden medewerkers verspreid over een X aantal kantoren op een heel continent.

Verdiep je a.u.b in Homeland Security en waar ze voor staan.
Je hebt het over bedrijven waar veiligheid een bijzaak is.
Bij Homeland Security is hun kern activiteit VEILIGHEID.

In zo'n organisatie is deze fout onvergefelijk.

nst6ldr @Anoniem: 112442 • 8 februari 2016 16:05

[...]

Verdiep je a.u.b in Homeland Security en waar ze voor staan.
Je hebt het over bedrijven waar veiligheid een bijzaak is.
Bij Homeland Security is hun kern activiteit VEILIGHEID.

In zo'n organisatie is deze fout onvergefelijk.

Je doet net alsof de organisatie daardoor feilloos zou zijn, en of ik het goed probeer te praten. Even met beide beentjes op de grond:

Organisaties van die grootte zijn niet feilloos, je kan er niks aan doen dat er mensen bij betrokken worden die niet beveiligingsbewust werken. Je kan de kans verkleinen, maar voor iedere afdeling (dus óók HR, facilitair beheer, etc) en iedere medewerker (alle X duizend) is de kans groter dat je een risico in huis haalt.

Ik praat niet recht wat zo krom als een wokkel is. Ik vind het zelfs heel erg wat hier speelt, en de mensen hier die het afdoen als "net goed" moeten zich heel diep gaan schamen. Een overgroot deel van de medewerkers die zich nu zorgen moet gaan maken om hun eigen veiligheid heeft helemaal niks in te brengen op het beveiligingsbeleid of de implementatie ervan. Die vertrouwen op de competentie van hun collega's.

Anoniem: 112442 @nst6ldr • 8 februari 2016 16:53

[...]

Je doet net alsof de organisatie daardoor feilloos zou zijn, en of ik het goed probeer te praten.

Ja dat zou zo moeten zijn. In zo'n organisatie zou je sowieso gescreend moeten worden en een veiligheidsinstructie moeten doorlopen. Waar ook in staat dat je geen passwords reset via de telefoon.

Even met beide beentjes op de grond:
Organisaties van die grootte zijn niet feilloos, je kan er niks aan doen dat er mensen bij betrokken worden die niet beveiligingsbewust werken. Je kan de kans verkleinen, maar voor iedere afdeling (dus óók HR, facilitair beheer, etc) en iedere medewerker (alle X duizend) is de kans groter dat je een risico in huis haalt.

Ik praat niet recht wat zo krom als een wokkel is. Ik vind het zelfs heel erg wat hier speelt, en de mensen hier die het afdoen als "net goed" moeten zich heel diep gaan schamen. Een overgroot deel van de medewerkers die zich nu zorgen moet gaan maken om hun eigen veiligheid heeft helemaal niks in te brengen op het beveiligingsbeleid of de implementatie ervan. Die vertrouwen op de competentie van hun collega's.

Volgens mij heb je nog nooit iets voor de staat gedaan, waar veiligheid belangrijk is, alleen wat voor wat standaard (mkb) bedrijven.

slb @Anoniem: 112442 • 8 februari 2016 22:43

De IT van de staat is door de omvang van het personeelsbestand gevoeliger voor beveilingslekken. Dacht je dat de Nederlandse staat de IT op alle onderdelen op orde had?
Zelfs bij de fiscus zitten de systemen nog vol vauten. https://www.security.nl/p...9gegevens+toeslagpartners

Anoniem: 112442 @slb • 9 februari 2016 09:57

De IT van de staat is door de omvang van het personeelsbestand gevoeliger voor beveilingslekken. Dacht je dat de Nederlandse staat de IT op alle onderdelen op orde had?
Zelfs bij de fiscus zitten de systemen nog vol vauten. https://www.security.nl/p...9gegevens+toeslagpartners

Systemen vol fouten is heel wat anders dan de security policy niet op orde, en de fiscus is geen veiligheidsorganisatie in Nederland, je moet dit vergelijken met de AIVD. Dat je bij zo'n instantie passwords reset via de telefoon is onvergefelijk.
Dit is een blunder van de bovenste plank.

nst6ldr @Anoniem: 112442 • 9 februari 2016 09:21

[...]

Ja dat zou zo moeten zijn. In zo'n organisatie zou je sowieso gescreend moeten worden en een veiligheidsinstructie moeten doorlopen. Waar ook in staat dat je geen passwords reset via de telefoon.

Je overschat mensen nogal. Screening? De politie doet dat ook, maar dit soort dingen gebeuren alsnog. Je doet net alsof de staat een heilig oord is waar alles klopt. Wake-up call: ook daar werken gewoon mensen en ondanks dat het streven er is, de omvang maakt het nagenoeg onmogelijk om alles perfect voor elkaar te hebben. Ik heb genoeg redenen daarvoor aangedragen maar tot zo ver lijk je die niet te lezen en kom je vooral terug met "Ja maar alles moet kloppen".

[...]

Volgens mij heb je nog nooit iets voor de staat gedaan, waar veiligheid belangrijk is, alleen wat voor wat standaard (mkb) bedrijven.

Grapjas. Trouwens, het feit dat je verschillende bedrijven afdoet als 'standaard' geeft al aan dat je geen idee hebt hoe je moet beveiligen. Ieder bedrijf is anders, de belangen zijn verschillend en het budget toch wel. Ik mag in ieder geval hopen dat je 'standaard' vooral aanhaalde om die zin te verzwaren, want inhoudelijk raakt het kant noch wal. Je kan geen 'standaard' bedreigingsmodel gebruiken voor kantoor X, een kant en klaar beveiligingsbeleid van de plank halen voor bedrijf Y, of document Z bij ieder bedrijf dezelfde rubricering geven.

Maargoed, jij je zin, iedereen heeft het fout en gescreend personeel is feilloos, doei

Anoniem: 112442 @nst6ldr • 9 februari 2016 10:48

Je overschat mensen nogal. Screening?

Ik zeg screening en instructie, want in dit geval heeft de persoon hoop ik voor hem/haar geen fatsoenlijke instructie gehad.
In de instructie wordt bijvoorbeeld verteld of, hoe en wanneer een password reset gedaan wordt.

Ik mag in ieder geval hopen dat je 'standaard' vooral aanhaalde om die zin te verzwaren, want inhoudelijk raakt het kant noch wal. Je kan geen 'standaard' bedreigingsmodel gebruiken voor kantoor X, een kant en klaar beveiligingsbeleid van de plank halen voor bedrijf Y, of document Z bij ieder bedrijf dezelfde rubricering geven.

Mij opmerking heeft helemaal niets met een bedreigingsmodel te maken.
Maak puur met iets simpels als een password policy.

Daar staat in buiten hoe vaal het gewijzigd moet worden de lengte en de karakters hoe je een password kan laten resetten.

Bij welk bedrijf dan als jij niet zeker weet dat de gene aan de andere kant de echte persoon is moet je het password niet resetten.

Het "zeker" weten kun je door bijvoorbeeld het telefoonnummer waarmee iemand belt en een aantal veiligheidsvragen zoals salarisnummer, adres, geboorte datum, naam chef etc.

Zoals banken ook doen als je een nieuwe pin aanvraagt of een andere wijziging.

it0 @Eric H • 8 februari 2016 12:24

Security through obscurity geloof ik niet zo in, er zijn meerdere manieren om legitiem achter komen of iemand voor een veiligheidsdiesnt werkt dus deze hack doet niks af aan de veiligheid van de mensen.

Ten tweede is de werkgever verantwoordelijk voor de beveiliging anders zou men al helemaal geen beveiliging bouwen.

jqv @it0 • 8 februari 2016 13:18

Maar deze hack maakt dat je niet meer hoeft te zoeken. Je hebt ineens gegevens van duizenden personen...en sommige zullen niet eens bekend zijn.

it0 @jqv • 8 februari 2016 14:09

Dat klopt, maar je mag verwachten dat dit begeerde informatie is en dat dit goed beveiligd moet zijn. Dit was niet afdoende gedaan en daarom ligt de verantwooordelijkheid bij homeland. Dat keurt de actie van de hack niet goed, maar de verantwoordelijkheid kan je niet afschuiven.

BrammeS @Eric H • 8 februari 2016 13:24

Het zal wel iets genuanceerder liggen, een medewerker van een helpdesk probeert zijn klant zo goed mogelijk te helpen niet wetende dat de e-mail al gehackt is.

Daarnaast heeft de hacker de systemen waarop hij hierna toegang had gebruikt als een steppingstone om verder in het systeem/netwerk te komen. Helpdesk medewerkers hebben veelal geen idee wat de rol van een medewerker is ,laat staan welke toegang tot bepaalde systemen en informatie iemand heeft.

Het is als organisatie best moeilijk om dit soort processen in te richten, je wilt aan de ene kant een social engineering proof proces. en aan de andere kant moet het ook werkbaar blijven voor de mensen die hier gebruik van maken.

BillyTheClit @BrammeS • 8 februari 2016 16:15

Lijkt me toch ook weer een probleem van een grote anonieme logge organisatie en een erg harde SLA voor helpdesk calls.
In een kleinere organisatie kan Jan (die niet op de payroll staat) niet even naar de helpdesk bellen en zeggen dat hij eigenlijk Erik is die wel op de payroll staat. De helpdesk kent Erik namelijk en heeft dat snel in de gaten.

Met korte afsluittijden voor calls wordt er bespaard op controles, niet twijfelen, onmiddellijk het standaard antwoord geven/sturen en op naar de volgende call. Een helpdesk wordt namelijk aanzien als een vervelende kostenpost terwijl die toch ook heel gevoelig is voor social enginering.

tweaknico @BrammeS • 8 februari 2016 14:30

Van een veiligheidsorganisatie MAG je verwachten dat dit soort processen WEL goed geregeld zijn.

Tha_Butcha @Eric H • 8 februari 2016 12:19

Puntje 2, aangezien het gaat om Homeland Security en de FBI. Beiden (en vooral de eerste) hebben zo goed als onbeperkte macht. Dus dat hun eigen beveiliging niet op orde is, terwijl ze hun macht ontlenen aan het feit dat zij Amerika moet beveiligen, maakt het alleen nog maar erger.

En de reactie op puntje 1 is heel simpel, eentje die zij zelfs altijd gebruiken:

"Als je niks te verbergen hebt..."

AWiersma @Tha_Butcha • 8 februari 2016 12:53

"Als je niks te verbergen hebt..."

Het is heel goed mogelijk dat deze mensen wel iets te verbergen hebben omdat ze bijvoorbeeld undercover werk doen. Als identiteit dan uitlekt kan dat wel eens grote gevolgen hebben.

Anoniem: 80487 @AWiersma • 8 februari 2016 13:48

Het punt is denk ik meer dat _iedereen_ iets te verbergen heeft, een gegeven waar de meeste overheidsinstanties volledig lak aan lijken te hebben bij het verzinnen van "maatregelen".

Countess @Tha_Butcha • 8 februari 2016 12:57

medewerkers van homeland security and de FBI hebben natuurlijk wel gegronde redenen om niet bekend te willen zijn.

jqv @Sergelwd • 8 februari 2016 13:17

Dus als hierdoor mensen worden opgespoord en geliquideerd door een andere dienst is dat een koekje van eigen deeg?

Ja, dan hebben ze daar recht op.

Sommigen van die gasten sporen grote drugsnetwerken op en kinderporno.
Dus wat jou betreft nog steeds een koekje van eigen deeg?

Of zit er dan toch enige nuance in jouw kort door de bocht reactie.

Trashed @jqv • 8 februari 2016 15:10

Dus als hierdoor mensen worden opgespoord en geliquideerd door een andere dienst is dat een koekje van eigen deeg?

Ja, dan hebben ze daar recht op.

Sommigen van die gasten sporen grote drugsnetwerken op en kinderporno.
Dus wat jou betreft nog steeds een koekje van eigen deeg?

Of zit er dan toch enige nuance in jouw kort door de bocht reactie.

De door jou aangehaalde reactie is inderdaad erg kort door de bocht. Maar toch zit er wel iets in naar mijn idee. Is het immers niet zo dat dergelijke instanties maar lukraak, al dan niet tegen alle regels en afspraken in, zoveel mogelijk gegevens verzamelen van en over iedereen die ze maar in beeld (kunnen) krijgen? En daar vervolgens zeker niet altijd de nodige voorzichtigheid bij betrachten?

Wie garandeert ons dat de aldus verzamelde informatie niet op een gegeven moment tegen ons gebruikt wordt omdat we volgens de dan geldende normen "ongepast/ongewenst/onaanvaardbaar gedrag" hebben vertoond? Dán zijn wij vogelvrij, allemaal onder het mom van "bestrijding van terrorisme en kinderporno" terwijl die categoriëen zelfs ook volgens de genoemde diensten slechts "bijvangst" zijn..

bogy @stresstak • 8 februari 2016 14:15

gelukkig gebruiken infiltranten nooit hun echte naam; het zou ze namelijk nogal bloot in hun gat zetten...
infiltranten werken altijd met pseudoniemen (schuilnamen)

Pietervs @Tha_Butcha • 8 februari 2016 12:55

En de reactie op puntje 1 is heel simpel, eentje die zij zelfs altijd gebruiken:

"Als je niks te verbergen hebt..."
Dat is te simpel. Deze mensen zijn bezig met de beveiliging van een land. En of je het wel of niet met de werkwijze van de FBI en/of Homeland Security eens bent: gegevens van individuele medewerkers publiceren is feitelijk een oproep om hen te vermoorden.
Tenminste: degene die die informatie publiceert kan niet zeggen dat hij niet kon voorzien dat er gewonden en/of doden zouden vallen naar aanleiding van de publicatie: de FBI en Homeland Security zijn gehaat genoeg om te kunnen weten dat publicatie tot zeer vervelende gevolgen kan leiden voor de betrokkenen.

Tha_Butcha @Pietervs • 8 februari 2016 15:50

Als je mensenrechten op grote schaal schendt met simple argumentaties als 'wanneer je niets te verbergen hebt' en 'if you're not with us, you're against us', heb je zo goed als geen poot om op te staan als het bij jou gebeurt. Laat staan dat wanneer je eigen argumentatie tegen je wordt gebruikt, ineens oproepen tot nuance.

Ongeacht hoe je (geo)politieke standpunt daarin is (overigens vind ik beide zijdes kansloos, maar dat is een totaal andere discussie). "One man's terrorist, is another man's freedom fighter."

tweaknico @Pietervs • 9 februari 2016 20:00

Als je weinig in het openbaar te zeggen hebt, mag de vrijheid van menings uiting ook wel geschrapt worden dan?
"Als je niets te verbergen hebt...." ben je of dood of nog niet verwekt"

Pietervs @tweaknico • 9 februari 2016 20:06

Jammer dat ik je geen +1 kan geven, mooi gezegd!

Anoniem: 725495 @Eric H • 8 februari 2016 12:20

Hacker had al toegang tot de mailbox. Ik vermoed dat er een reset wachtwoord email is gestuurd aan het betreffende account, en zodoende had de hacker toegang tot het portaal.

Over je eerste stelling, je kan er over discusseren of het etisch is of niet dit soort gegevens online te zetten, aan de andere kant illustreert het precies hoe onveilig het is complete databases met gegevens aan te leggen. Lijkt wel of er niemand bij stilstaat welke risico's er genomen worden, en het gaat maar door. Alles moet verplicht gedigitaliseerd worden, gekoppeld worden aan het internet en beveiliging valt of staat met de zwakste schakel. En ga er maar vanuit dat er altijd ergens een zwakke schakel is.

Ben alleen bang dat we het nooit gaan leren, tenzij het een keer echt compleet fout loopt.

Jvds1987 @Eric H • 8 februari 2016 13:26

Punt 1 is alleen mogelijk door punt 2. Naar mijn idee is dus het feit dat er anno 2016 nog steeds overheden zijn waarbij de IT op deze manier is ingericht en er via een simpel telefoontje is in te breken toch echt een velen malen erger.

Anoniem: 80487 @Eric H • 8 februari 2016 13:51

Ik vind het vrij misselijkmakend dat je er voor kiest die data gewoon te publiceren. Die gozer ontneemt de eventuele goodwill die hij met het het publiceren van de hack gewonnen heeft.

Dat gezegd hebbende is punt 2 wel hetgeen dat me het meest tegen de borst stoot.
Als één hacker het wint van een hele organisatie die toegespitst is op security dan moet je eigenlijk gewoon als organisatie ophouden te bestaan.
Vergeet niet dat die organisatie zich moet verdedigen tegen precies deze mensen... dat is hun functie.

[Reactie gewijzigd door Anoniem: 80487 op 24 juli 2024 02:02]

tweaknico @Eric H • 8 februari 2016 14:32

Als GEHEIM geclassificeerde informatie niet achter minimaal (werkelijk) 2 factor authenticatie zit is het goed fout.
2 factor is niet vanaf mobiel toestel aanloggen met een SMS bericht.

davince72 @Eric H • 8 februari 2016 16:20

Punt 1. Hoezo brengt hij levens in gevaar?

Punt 2. De hacker had toegang tot de email-box. Dus die helpdesk heeft vast de normale procedure gevolgd en was zich van geen kwaad bewust.

Dat je vervolgens via de VM met dezelfde gegevens op de machine van de eigenaar kunt inloggen....die ongetwijfeld allerlei netwerk-shares zal hebben...ja dan is het lek.

btw de hacker is mogelijk een Palestijn (of sympathisant), dus dan heeft die best een motief om de hack 'te vieren' met publicatie

Cafe Del Mar

@Eric H • 8 februari 2016 17:00

Dit probleem is klein bier in vergelijking met de hack bij Office of Personnel Management op 04/06/215. Daar ging het niet over 9K of 20K mensen, maar 4 miljoen

On June 4th his point was proved when the Office of Personnel Management (OPM), the government’s recruitment agency, revealed that the personal records of some 4m current and former federal employees had been stolen by hackers. The thieves are thought to be from a group connected to the Chinese government. Their attack, which was uncovered in April, apparently took place over several months and exploited long-known holes in the OPM’s technical systems.

En het was een IT-probleem (geen 2factor) ipv een social engineering probleem.

The vulnerability of the OPM was well-known. A report last November by the Office of the Inspector General noted that, among other failings, the agency did not use multi-factor authentication to access its systems. Such tools—common in online banking and e-mail services—typically require users to enter a one-time code, often from a text message sent to their phone, to log in. This frustrates hackers using “spoofing” or “spearphishing” to trick users into handing over their passwords.

Op basis van die lijst van in juni kan je beginnen filteren: wie kennen we als echt personeelslid en wie niet. Wie werkt er bij de ambassade als "echt personeel" en wie is er een spion. En dat over heel de wereld. China. Rusland. Etc
TheEconomist

[Reactie gewijzigd door Cafe Del Mar op 24 juli 2024 02:02]

xoniq @Eric H • 8 februari 2016 12:46

Puntje 2 vind ik ook bijzonder. Ik moet met regelmaat bij een grote klant in hun intranet voor werkzaamheden via diensten als Citrix. Zij verstrekken mij dan een OTP token hiervoor, maar alvorens moet ik toch echt eerst vanaf mijn werk e-mail een mailtje vooruit sturen met de mededeling dat ik werkzaamheden ga verrichten, en wat voor werkzaamheden dit zijn, met meerdere mensen in de CC. Met een telefoontje alleen ga ik het dus echt niet krijgen.

3raser @xoniq • 8 februari 2016 14:16

maar alvorens moet ik toch echt eerst vanaf mijn werk e-mail een mailtje vooruit sturen met de mededeling dat ik werkzaamheden ga verrichten...

Het faken van een e-mailadres is enorm eenvoudig. In welk opzicht is dit een goede controle? Het zou logischer zijn als zij ter verificatie een e-mail naar jou zouden sturen. Dat betekend in ieder geval dat je toegang hebt tot de mailbox.

Jeoh @3raser • 8 februari 2016 14:41

Met DKIM / SPF / DMARC is dat toch wat lastiger. Als je dan ook nog gebruik maakt van S/MIME heb je nog een extra stukje zekerheid dat de afzender daadwerkelijk de afzender is.

3raser @Jeoh • 8 februari 2016 14:49

En in hoeveel gevallen zullen er zulke controles worden uitgevoerd? Zoveel mailservers zijn er niet uitgevoerd met een goede DMARC / DKIM controle, en SPF is vrijwel nutteloos omdat vrijwel niemand mail afkeurt op basis van SPF. Bovendien kun je met een goed praatje je ook wel weer om de controle heen kletsen. "De mailserver heeft een storing, dus we moeten via een andere server werken". Je hebt die mensen toch al aan de lijn.
Ik blijf erbij dat de omgekeerde methode een heel stuk veiliger is omdat je dan daadwerkelijk toegang nodig hebt tot een bepaalde mailbox. Dat valt niet te faken.

Slider82 @3raser • 8 februari 2016 16:17

Ik blijf erbij dat de omgekeerde methode een heel stuk veiliger is omdat je dan daadwerkelijk toegang nodig hebt tot een bepaalde mailbox. Dat valt niet te faken.

In het geval van het artikel, had de hacker als eerste het bewuste email account in handen gekregen. Als dat al niet goed beveiligd is, heeft dat gebruiken als verificatie voor de token dus ook geen nut, welke kant je de email ook op stuurt ter controle.

xoniq @3raser • 8 februari 2016 22:02

Wij krijgen dan een telefoontje van de klant als ze een token klaar hebben liggen, dus een fake mailtje zal bij ons een belletje opleveren, dus die token krijg je niet met een fake mailtje. Die token gaat ook niet via de mail aangezien de token 30 seconden geldig is, krijg je die aan de telefoon.

ongewoongewoon @xoniq • 8 februari 2016 14:53

Mij verbaast het juist veel minder: Ik ben een tijd als zelfstandige webdeveloper bezig geweest, waarbij ik ook eventuele communicatie met webhosts afhandelde in opdracht van mijn opdrachtgevers.

Je schrikt je dood hoe snel je met een "ben ingehuurd door X en wij kunnen niet inloggen op Y" one-liner je doodleuk een nieuwe set wachtwoorden binnen krijgt.

Slider82 @xoniq • 8 februari 2016 14:59

Wellicht heeft die helpdesk medewerker wel per email een verificatie uitgevoerd.
Maar zoals staat vermeld is, had de hacker toegang tot die mailbox.
Dus dat is een controle van niets natuurlijk.

Meerdere mensen in CC lijkt wellicht iets veiliger, maar is vooral nuttiger achteraf.
Die CC emails wellicht pas 2 uur (of wat dan ook) later worden gelezen, die mensen moeten dat vervolgens eerst in twijfel gaan brengen, melden het hopelijk aan hun meerdere of de eigenaar van de email zelf. Dan pas gaat er een balletje rollen......
Dan ben je zo uren verder terwijl de hacker allang druk bezig is met downloaden op zijn verkregen token.

Mijn Blizzard account is beter beveiligd dan dit

Nickvda @Slider82 • 8 februari 2016 16:12

Blizzard authenticatie is volgens mij nog behoorlijk goed.

FlyingDutchMen @xoniq • 8 februari 2016 14:41

Ik zie het punt nog niet zo eerlijk gezegd. Ook ik moet voor het werk bijna dagelijks inloggen op systeem van klanten met grote niet naar te benoemen namen. hiervoor heb ik een token + mijn persoonlijke gegevens nodig. Zo te lezen is dit ook het geval bij Homeland .

Toen zou hij van een medewerker een token hebben gekregen waarmee hij met de eerder verkregen e-mailgegevens kon inloggen op een online virtual machine.

Alleen de token geven is dus geheel veilig. dit veranderd hoogst waarschijnlijk om de 2 min. En je hebt dus nog steeds de inloggevens naast de token nodig.

FlyingDutchMen @xoniq • 9 februari 2016 09:40

Of jij hun eerst mailt of dat je direct een nummertje krijgt maakt voor de kwestie geen eene zak uit lijkt me. Komt er hoe dan ook op neer dat je de inloggegevens nodig hebt, en alleen een token nummer geven is dus prima.

aswelter @Eric H • 8 februari 2016 13:18

1 : een individu die bewust de levens van honderden mensen in gevaar brengt door rücksichtslos deze lijsten op het net te plempen.

Waarom brengt dat het leven van deze mensen in gevaar?

Eric H @aswelter • 8 februari 2016 14:31

Ik draai hem om voor je, dan snap je misschien waarom je vraag niet bijster intelligent is :

Waarom zou het bekend worden van de namen van de mensen welke zich bezig houden met de binnenlandse veiligheid de levens van mensen in het algemeen niet in gevaar brengen ???

aswelter @Eric H • 8 februari 2016 16:22

Ik draai hem om voor je, dan snap je misschien waarom je vraag niet bijster intelligent is

Oftewel je deponeert een stelling, iemand is zo beleeft om dat niet meteen een "niet bijster intelligente" stelling te noemen en vraagt naar het waarom. Omdat jij je daarom opeens beseft dat jij je eigen stelling niet kan onderbouwen gaan je gewoon lekker van je af slaan.

Ik stel voor dat je even op bijv. linkedin gaat kijken hoeveel mensen daar zelf melden dat ze voor homeland security werken. Volgens jouw zijn de levens van al die mensen nu in gevaar...

Bijv deze lijst https://www.linkedin.com/...ment-of-homeland-security

[Reactie gewijzigd door aswelter op 24 juli 2024 02:02]

Eric H @aswelter • 8 februari 2016 21:02

Misschien iets beter je best doen.

er staan hier in de comments genoeg redenen om mijn stelling te onderbouwen. Dat je het hier niet mee eens bent mag, vrij land en zo.
Maar verwacht niet van mij dat ik je iets ga uitleggen wat je met een beetje nadenken ook zelf kunt verzinnen....

Nou vooruit, klein voorbeeldje dan, speciaal voor jou

Er zijn genoeg mensen die op Linkedin melden dat ze bij defensie werken.
Maar de term "logistiek medewerker" betekend niet altijd juist dat

Daarbij zijn er ook mensen die bij defensie werken die je juist niet op Linkedin vindt, en daar is een verdomd goede reden voor

Trek nu even de parallel met Homeland Security en/of de FBI....begint er al iets te dagen ???

aswelter @Eric H • 8 februari 2016 23:16

begint er al iets te dagen ???

Ja, dat je nog steeds het antwoord ontwijkt. Mag, is vrij land, beetje dom maar ja, mag ook...

[Reactie gewijzigd door aswelter op 24 juli 2024 02:02]

sjameasypoo @aswelter • 9 februari 2016 12:32

Nee, dat is niet wat Eric H zegt. 'Er worden levens in gevaar gebracht' is iets anders dan 'alle levens worden in gevaar gebracht.'
Natuurlijk kan ik trots melden dat ik bij Homeland Security werk, als ik daar schoonmaker ben. Dat zal mijn leven niet in gevaar brengen.
Het is maar de vraag of er op deze lijst die de hacker bemachtigd heeft daadwerkelijk mensen staan voor wie het gevaar zal opleveren. De kans bestaat echter zeker. Dat betekent dat je levens in gevaar brengt, want je verhoogt de kans dat deze mensen het verliezen.
Stel bijvoorbeeld dat een terroristische cel bedenkt dat ze deze lijst als "hitlist" gaan gebruiken. Op zich zijn deze namen en adressen vast ook op een andere manier te achterhalen, maar terroristische organisaties moeten het ook van de publiciteit hebben. Er is al publiciteit dát de lijst gehackt is en als dan vervolgens de één na de ander van die lijst omgelegd wordt, dan is dat een enorme overwinning voor betreffende terroristische organisatie. Zelfs al zit er geen enkele ook maar een beetje hoge pief bij, zelfs al zijn het alleen maar de schoonmakers.

aswelter @sjameasypoo • 9 februari 2016 15:17

zelfs al zijn het alleen maar de schoonmakers.

De lijst van linkedin bevat "special agents" lijkt mij sterk dat dat schoonmakers zijn.

Dat die lijst bestaat ontkracht je argument. Homeland had zijn medewerkers er zelf wel even op gewezen dat ze een target zijn door op linkedin publiekelijk bekend te maken dat ze voor dat departement werken. Dat doet homeland niet dus waarom is jouw aanname dat het gevaarlijk is beter/correcter dan die van homeland security zelf?

En als je jouw redenatie verder volgen dan kunnen we wel echt elke naam als target zien, er is namelijk altijd wel iemand die ruzie heeft met iemand. Of het nu een ambtenaar is of een medewerker van een (groot) bedrijf.

Je redenatie gaat er verder uit van een extreem grote groep zeer active terroristen die moord geen enkel probleem vinden en die zowel de infrastructuur, geld en informatie hebben. Oftewel alleen door te stellen dat er extreem veel terroristen zijn kan je het standpunt "lijst kan levens kosten" verdedigen.

sjameasypoo @aswelter • 9 februari 2016 16:37

Volgens mij heb je mijn redenatie totaal niet begrepen. De kern ervan is de publiciteit die de hack op zich al krijgt. Dat genereert aandacht. Juist niet de namen die je op andere manieren, zoals linkedin kunt achterhalen.

Dit is bijvoorbeeld een krantenkop: "Homeland Security hack: 10 doden"

Niet: "IS toegang tot Linkedin"

Je redenatie gaat er verder uit van een extreem grote groep zeer active terroristen die moord geen enkel probleem vinden en die zowel de infrastructuur, geld en informatie hebben.

Waar heb jij de laatste jaren gezeten? Niet op planeet aarde, denk ik. Volgens mij heb je in ieder geval een paar grote aanslagen gemist van "een extreem grote groep zeer active [sic] terroristen die moord geen enkel probleem vinden en die zowel infrastructuur, geld en informatie hebben." Volgens mij is dat zo'n beetje één van de belangrijkste bestaansredenen van instanties als Homeland Security.

Eric H @aswelter • 10 februari 2016 07:28

Okee, laatste poging en dan geef ik het op (iets met een plaat beton)

De mensen wiens gegevens zijn buitgemaakt met de hack zitten niet allemaal op Linkedin. (net zo min als dat alle mensen op LinkedIn bij Homeland Security werken of bij de FBI)

Sommige van de mensen op de gehackte lijst houden zich bezig (zijn betrokken bij) diverse onderzoeken. Van georganiseerde misdaad tot kinderporno tot binnenlandse veiligheid.

Dit gebeurt in sommige gevallen in een undercover rol. En undercover betekend niet automatisch onder een andere naam.

Wat denk je dat het betekend voor die onderzoeken als de namen van deze agenten bekend worden/zijn bij dezelfde mensen als waar er onderzoek naar gedaan wordt.

Of denk jij dat de georganiseerde misdaad in Amerika dan een net briefje stuurt naar zo'n agent om hem mede te delen dat, gezien zijn CV, van gebruikmaking van zijn verdere diensten wordt afgezien.

434365 @Eric H • 8 februari 2016 15:29

Ik kan me voorstellen dat ze bij punt 2 wel gegevens controle hebben gedaan, maar de man had toen al toegang tot de email van z'n slachtoffer, dus die gegevens konden waarschijnlijk daar uit gehaald worden.

Punt1, ik weet niet of dat wel op gaat, vrijwel al die mensen dragen een wapen, dus dat hun gegevens op straat liggen betekend niet zoveel, als een of andere idioot naar ze toe gaat kunnen ze zichzelf wel verdedigen hoor.

En ja, wij vinden dit natuurlijk 'niet cool', maar vanuit het oogpunt van de Palestijn snap ik het ergens nog wel, als Amerika hier een beetje de Benelux komt verzieken onder het mom 'massa-vernietigings-wapens' en vervolgens niet oprot, zou ik ook niet vies zijn van een beetje 'e-terrorisme', ik ga echt geen mensen pijn doen (dmv aanslagen etc) en ik denk dat dat ook een beetje het idee achter dit soort acties is, je kan als een idioot 30 man neermaaien en vervolgens zelf neergeschoten worden of de rest van je leven de cel in, of je houd je ver van het 'echte' slagveld en doet de ander morele schade toe.
Voor het overgrote deel van de wereld valt dit nieuws onder 'lekker boeiend', maar voor Palestijnen is het een opstekertje (kijk eens wat 'wij woestijnmensen' kunnen Amerika, steek die maar lekker in je zak!) en voor Amerikanen een dikke vinger (holy sh- een van die woestijn bewoners heeft de meest beveiligde overheids instanties gehackt)

Al met al kan ik er wel om lachen, er zal niemand echt in gevaar komen van deze lek (zoals gezegd, de mensen die zijn gelekt kunnen zich beschermen tegen terroristen) maar Amerika staat even met de mond vol tanden, en dat juich ik altijd toe (helemaal nu die Trump mongool zo'n aandacht krijgt)

Fluxpuck @Eric H • 8 februari 2016 19:19

In het Twitterberricht van de desbetreffende persoon/personen wordt er gesproken van "We". Dit zou inhouden dat het geen individu is.

MaxxBass @Eric H • 9 februari 2016 14:02

Hij heeft telefonisch aangegeven dat hij geen toegang had, aangezien de email veilig geacht werd, heeft hij daarop het token ontvangen. Toen kon hij verder..
Hij heeft zich dus wel eerst onrechtmatig toegang verschaft tot de email...

tijnvw 8 februari 2016 12:12

Lijkt me vanuit Amerikaans perspectief een ramp: alle (half-)geheime gegevens van FBI-werknemers onder andere in het buitenland zijn nu bekend, ook bij buitenlandse inlichtingendiensten dus.
Klinkt alsof de VS hier een opvolger van Manning en Snowden hebben: de heksenjacht om deze hacker te pakken zal vermoed ik héél snel beginnen.

Anoniem: 24417 @tijnvw • 8 februari 2016 12:16

Manning en Snowden hadden/hebben tenminste ethiek hoog in het vaandel. Deze idioot geeft hackers een slechte naam..

Anoniem: 112442 @Anoniem: 24417 • 8 februari 2016 12:28

Manning en Snowden hadden/hebben tenminste ethiek hoog in het vaandel. Deze idioot geeft hackers een slechte naam..

Hackers zijn ook net mensen, je hebt ze in alle soorten en maten. Van eerlijk tot zware criminelen.
Tevens weet je niet of deze hacker met een, terroristische, organisatie samenwerkt.

Anoniem: 16328 @Anoniem: 112442 • 8 februari 2016 12:34

Dat lijkt inderdaad het motief te zijn. Ik zie in het Twitter bericht geplaatst door de hacker '#FreePalastine' staan.

[Reactie gewijzigd door Anoniem: 16328 op 24 juli 2024 02:02]

tijnvw @Anoniem: 16328 • 8 februari 2016 12:46

Het is niet zo dat mensen die sympathie hebben voor het Palestijnse standpunt in de Israel-Palestinakwestie ook gelijk terroristische idealen/wensen hebben he?
Je kunt je zelfs afvragen of Israel supporten niet eerder blijk is van terroristisch gedachtengoed, maar dat is een andere kwestie

Blijft vaak moeilijk wat je hier nou ethisch van moet vinden, maar zonder duidelijk(er) statement dan een hashtag worden we niet veel wijzer. Denk dat hier sprake is van iemand die het een kick vond om deze 'hack' naar buiten te brengen, en hier een vage ideologie aangehangen heeft en niet iemand die dit met een ideologisch uitgangspunt uitgevoerd heeft.

nst6ldr @tijnvw • 8 februari 2016 13:09

Het is niet zo dat mensen die sympathie hebben voor het Palestijnse standpunt in de Israel-Palestinakwestie ook gelijk terroristische idealen/wensen hebben he?

"Terrorisme is het uit ideologische motieven dreigen met, voorbereiden of plegen van op mensen gericht ernstig geweld, dan wel daden gericht op het aanrichten van maatschappijontwrichtende zaakschade, met als doel maatschappelijke veranderingen te bewerkstelligen, de bevolking ernstige vrees aan te jagen of politieke besluitvorming te beïnvloeden."

Als iemand een dergelijke actie opzet met daarbij een politiek beladen leus dan mag je er toch redelijk van uit gaan dat het terrorisme betreft. Al was zijn intentie om bloemen te planten, zijn actie is dat niet.

[Reactie gewijzigd door nst6ldr op 24 juli 2024 02:02]

zvbhvb @Anoniem: 112442 • 8 februari 2016 12:40

Je vergeet een belangrijke partij:de hackende staten.

jqv @Anoniem: 24417 • 8 februari 2016 13:25

Nou slechte naam?
Die hebben ze al, maar daarnaast enkele ook een betere naam.

Anonymus is ook zo'n "groep" die wat mij betreft een slechte naam hebben.
Hangen een beetje de ongecontroleerde zooitje moraalridders uit.
Zoals zogenaamd Ziggo platleggen omdat ze een betere service willen. Maar vervolgens honderdduizenden burgers tot last zijn.

De hacker heeft net als snowden nog een doel ook...hij is pro-palestijnen...So what's the difference?

Anoniem: 24417 @jqv • 8 februari 2016 16:54

Het verschil is dat deze pipo (veeeeel) mensen in gevaar brengt. En dan ook nog zonder nut. (Want hier is de Palestijnse zaak echt niet bij gebaat)

jqv @Anoniem: 24417 • 8 februari 2016 18:08

Dat in gevaar brengen van anderen klopt. Dat heb ik in mijn andere reacties ook aangegeven.

434365 @Anoniem: 24417 • 8 februari 2016 15:40

Dat valt ook wel mee hoor, Manning en Snowden hebben net zo goed persoons gegevens op straat gepleurd, het is meer dat de 'journalisten' (not) die de meeste van die documenten hebben gequote eerst alle persoonsgegevens hebben verwijderd, want anders waren zij de lul geweest.

Daarbij valt het ergens ook wel mee dat deze man hackers een slechte naam geeft, bekijk het eens vanuit zijn perspectief, beter dit dan onschuldige mensen vermoorden, nu is het meer symbolische/morele schade, in dat opzicht vind ik het een goeie actie, 100x liever dit dan een aanslag.
En het effect is hetzelfde, zo niet groter, nu moet iedere Amerikaan weer even slikken dat 'die terroristen daar' zo makkelijk de grootste veiligheids instanties van het land hacken, ondanks dat ze nu sinds een paar jaar eigenlijk gewoon geen privacy meer kennen in dat land.

Anoniem: 24417 @434365 • 8 februari 2016 16:56

Ik denk dat dit geval best veel mensen in reeel gevaar brengt hoor!

Overigens, voor zover ik weet heeft Snowden die persoonsgegevens bewust/in overleg gefingeerd waar deze verder toch niet nuttig waren. Wat mij betreft is hij toch echt een stuk ethischer bezig geweest; dwz. gehandeld uit noodzaak, niet uit wraakgevoelens. (Maar dat is slechts mijn subjectieve mening natuurlijk)

[Reactie gewijzigd door Anoniem: 24417 op 24 juli 2024 02:02]

nst6ldr @tijnvw • 8 februari 2016 12:20

De FBI is geen inlichtendienst, maar een federale politie. Die hebben niks in het buitenland te zoeken.

Overigens zouden agenten die met een undercover operatie bezig zijn zich wél zorgen moeten maken.

Ex Nunc @nst6ldr • 8 februari 2016 14:22

Toch maar even beter lezen wat de FBI allemaal doet, want ze gaan ook over de grenzen heen. Het is publieke kennis dat ze ook gestationeerd zijn over de hele wereld, zoals onder andere ambassades. Daar naast ook betrokkenheid bij internationale geheime missies.

Om je alvast op weg te helpen: http://www.nbcnews.com/id...h-fbi-joins-cia-overseas/

Tiny 8 februari 2016 12:12

Beetje raar verhaal.
Eerst toegang krijgen tot de e-mail van een medewerker.
Vervolgens via de helpdesk toegang krijgen tot het werkstation.
En op dit werkstation zou dan toevallig 200GB aan persoonsgegevens staan?

aadje93 @Tiny • 8 februari 2016 12:15

dat werkstation heeft misschien toegang tot shared resources *denkt aan databases van opsporings instanties*

Anoniem: 24417 @Tiny • 8 februari 2016 12:16

Nee, VIA dat werkstation kreeg hij toegang tot..
Dus gewoon een bakje op het netwerk waar ergens die data rondhing.

Plofkotje @Tiny • 8 februari 2016 18:42

Werkstations zijn vaak de beste machines die je onder controle kan krijgen, je kan vanuit het VLAN waarin ze vaak zitten vrijwel overal bij.

schekker

8 februari 2016 13:21

Don't shoot the messenger zou ik zeggen. Als zo'n hacker zo simpel aan al die gegevens kan komen, dan kunnen criminele organisaties dat ook. Oftewel, hun leven liep al gevaar, maar nu weten ze het tenminste.

En reken maar dat die organisaties al lang wisten dat hun beveiliging brak was, maar het kon ze niet genoeg schelen. Nu misschien wel.

Sowieso vind ik dat gepraat over het gevaar dat ze lopen nogal overtrokken. Het risico op identiteitsfraude en verdere inbraken op grond van de hier behaalde persoonlijke gegevens lijkt mij veel groter. Veel van die mensen hebben gewoon een kantoorbaan.

Neemt niet weg dat ik tegen dergelijke acties ben. Ik vind een dergelijke publicatie van personeelsgegevens van elke organisatie verwerpelijk, het zijn namelijk gewoon mensen als jij en ik wiens leven je zo flink onderuit kunt halen. Maar de schuld ligt wel primair bij de werkgevers, die hun verantwoordelijkheid (een adequate beveiliging) niet serieus nemen.

stresstak @schekker • 8 februari 2016 13:55

Als zo'n hacker zo simpel aan al die gegevens kan komen, dan kunnen criminele organisaties dat ook. Oftewel, hun leven liep al gevaar, maar nu weten ze het tenminste.

Ze kunnen er niet vaak genoeg op gewezen worden. Je wilt bij een geheime dienst werken waarbij je mogelijkerwijs met fraude, terreur, moord en doodslag te maken krijgt ? En dan niet verwachten dat er ooit zaken naar buiten komen. Naief.

dasiro 8 februari 2016 12:11

social hacking, veel te hoge security clearances en slechte monitoring. leuke combo

Melantrix

8 februari 2016 12:12

Daarna probeerde hij een webportaal van het ministerie binnen te komen. Toen dit niet lukte, belde hij een helpdesk en vertelde hij dat hij het portaal niet inkwam. Toen zou hij van een medewerker een token hebben gekregen waarmee hij met de eerder verkregen e-mailgegevens kon inloggen op een online virtual machine.

Blijkt maar weer dat de mens de zwakste schakel in de security keten is

Wat ongeloofelijk knullig dat dat bij zo'n organisatie gaat. Het is natuurlijk ook proces gewenning maar naar mijn idee mag dit gewoon niet op zo'n manier kunnen

Anoniem: 112442 8 februari 2016 12:13

De hacker liet aan Motherboard weten dat hij eerst toegang had verkregen tot de e-mail van een justitiemedewerker. Daarna probeerde hij een webportaal van het ministerie binnen te komen. Toen dit niet lukte, belde hij een helpdesk en vertelde hij dat hij het portaal niet inkwam. Toen zou hij van een medewerker een token hebben gekregen waarmee hij met de eerder verkregen e-mailgegevens kon inloggen op een online virtual machine.

LOL, good old social engineering.

Dit zegt heel veel over de kwaliteit van Homeland security .

CobraVE 8 februari 2016 12:24

Niet echt een hacker dus als je toegang "krijgt" via de telefoon.

En gegevens publiceren van mensen die al dan niet bezig zijn met undercover operaties, altijd -1.

Tiny @CobraVE • 8 februari 2016 13:20

Zeker nog geen "support" medewerkers aan de lijn gehad?

[Indiaas accent]
"Hello this is Steve from Windows support....."
[/]

brid 8 februari 2016 12:43

Hier gaat weer genoeg fout.
Helpdesk die een token naar de hacker stuurt zonder aanvraag en verificatie adres

Een remote desktop omgeving welke het mogelijk maakt om gegevens naar een extern systeem te sturen....

Eric H 8 februari 2016 12:47

Ik heb er geen problemen mee als mensen dit soort misstanden aan het licht brengen.
Maar dan wel op de juiste manier, oftewel eerst melding aan betreffende instantie en als deze geen actie onderneemt het doorspelen aan de e.o.a. toezichthouder.

Maar de mensen die puur voor eigen gewin (hetzij vanuit sociaal zelfbelang, of financieel gewin) dit soort acties ondernemen....daar heb ik geen goed woord voor over.

Ergens hierboven wordt het woord "terrorisme/terrorist" gebruikt voor deze persoon, en i n dit geval vind ik dat nog terecht ook. Het bewust in gevaar brengen van agenten in overheidsdienst mag best als zodanig bestempeld worden.

Twitteraccount mag dan wel een verwijzing bevatten naar Palestina, als deze persoon daadwerklijk de intentie had om deze gegevens te gebruiken voor dit doel, dan had hij het niet op deze manier op Twitter gegooid. Een simpel berichtje naar wat bevriende "strijders" zou dan voldoende moeten zijn.

Maar nee, deze "dappere" strijder gaat lopen pronken op social media over zijn behaalde buit.
Lijkt mij niet echt een hele slimme actie, maar dat terzijde

Op dit item kan niet meer gereageerd worden.

'Hacker publiceert gegevens 9000 medewerkers Homeland Security'

Lees meer

IT-banen

Reacties (151)

Sorteer op:

Weergave: