Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Volgens Amerikaanse officials hebben hackers de gegevens van 21,5 miljoen personen buitgemaakt die voor de overheid werken, of hebben gewerkt. Dat aantal komt bovenop de diefstal van gegevens van 4 miljoen personen, die eerder al werd ontdekt.

Een woordvoerder van de Amerikaanse overheid maakte bekend dat hackers die vorig jaar binnendrongen op de systemen van het Office of Personnel Management, ofwel de afdeling personeelszaken, van maar liefst 21,5 miljoen personen hebben gestolen. De databases van dit overheidsorgaan bevatten persoonlijke gegevens van mensen die onderworpen zijn aan een achtergrondonderzoek, bijvoorbeeld omdat zij voor de overheid wilden werken en daarvoor screening moesten ondergaan. In de systemen zijn ook gegevens van familie en vrienden te vinden van personen die een dergelijk achtergrondonderzoek hebben ondergaan.

De hack vond vorig jaar al plaats, maar de precieze omgeving van de diefstal was nog niet bekendgemaakt. Overigens werd er al eens eerder op de systemen van het OPM binnengedrongen: van deze diefstal, waarvan in totaal 4,2 miljoen mensen het slachtoffer waren, had de Amerikaanse overheid al wel melding gemaakt. Het cijfer van 21,5 miljoen gestolen gegevens staat echter los van deze hack.

Overigens kwamen er al wel eerder geruchten naar buiten dat het door de overheid genoemde aantal van 4,2 miljoen getroffen mensen een forse onderschatting was van de totale omvang van de diefstal. In deze geruchten, afkomstig van bronnen binnen de Amerikaanse overheid, werd gesproken over de diefstal van de gegevens van 9 tot 14 miljoen personen. Nu blijkt dus ook dit aantal te laag ingeschat.

Het is qua omvang en voor zover bekend een van de grootste hacks ooit binnen de Amerikaanse overheid. Volgens het Witte Huis zitten buitenlandse hackers achter de gegevensdiefstal. Specifiek gaat het volgens bronnen binnen de overheid om Chinese staatshackers, zo meldden zij aan The Washington Post. China en de Verenigde Staten zijn al langere tijd verwikkeld in een cyberoorlog. Ook claimt de VS met regelmaat last te hebben van Russische staatshackers.

Moderatie-faq Wijzig weergave

Reacties (47)

Het lijkt erger te worden allemaal. Diensten worden gehackt, meer lekken komen naar buiten en de veiligheid is ver te zoeken momenteel. Of het nou diefstal is of een aanval, ben benieuwd wat er allemaal nog aan gaat komen. Dit soort dingen komen nu dagelijks in het nieuws.

Verder tja, kan er weinig over zeggen. Zoals hierboven staat, is het veel van dit de laatste tijd. Wanneer ben je veilig? Offline werken zonder plug en play apparatuur?
opzich kan ik me aardig vinden in jouw reactie, maar vergeet niet ... het draait om de commersie

.. banken / overheden / educatieve instellingen etc. kunnen hun beveiling wel opschroeven. Los van van de investering, verbreding van kennis en aanscherpen van beleid en procedures is er ook een keerzijde...;

Gebruiksvriendelijkheid; banken, overheden etc. kunnen hun diensten zeker veiliger en weerbaar maken om misbruilk te voorkomen. Echter als dienstverleners zulke strenge maatregelen gaan hanteren (gezicht-, iris-, vingerafdruk-herkenning, 2nd pass of token generator), komt dat de gebruiksvriendelijkheid niet ten goede.
En wanneer een dienst te complex, tijdrovend en omslachtig is geworden kiest de eindgebruiker eerder voor de concurrent; "Als het zo moeilijk moet, stap ik wel over naar andere bank/dienstverlener".
Dus men zoek een (acceptabele) balans tussen veiligheid en gebruiksvriendelijkheid

Bij programma Kassa is dit vraagstuk besproken, misschien de moeite waard

[Reactie gewijzigd door himlims_ op 9 juli 2015 23:45]

Een concurrent van de overheid :o , please tell me more. Dat is het voordeel van de overheid die heeft geen concurrent, want wat gaan die mensen dan doen, naar Canada of Mexico verhuizen? Alleen omdat ze moeilijk in kunnen loggen op de website van de overheid? Voor bedrijven, etc. daar heb je helemaal gelijk in, maar bij de overheid heb je geen keuze ;) .
De overheid moet de datasystemen waar ze gebruik van maken ook inkopen. (Het is altijd makkelijk om de overheid de schuld te geven van ICT zaken die bij de overheid misgaan, maar ook zij maakt gebruik van systemen die door commerciŽle bedrijven zijn gemaakt.)
Bij overheidsaanbestedingen staat gebruiksgemak meestal niet erg hoog op de prioriteitenlijst, maar de aanbieder van een zeer veilig systeem met 10-factor inloggen zal het niet snel winnen van een aanbieder van een 'voldoende' veilig systeem met ťťn- of twee-factor inloggen.
Softwarebedrijven zijn elkaars concurrenten voor het maken en onderhouden van datasystemen voor de overheid.
Nee dat zie je helemaal verkeerd, de overheid is perfect in staat om gegevens te beveiligen en er zit dus geen enkel risico aan het verzamelen van al deze data en het afluisteren van alle burgers! [/sarcasme]
Daarom moeten we ook heel blij zijn met DigiD, elektronische patiŽntendossiers, en expert Ton Elias. [/sarcasme]
Mja... stap 1: hang de boel niet aan het internet.
Maar goed, die discussie is al vaker gevoerd :) En als je na gaat dat mensen ook explosieven, ontstekers, etc. uit legerbases kunnen stelen, dan maakt het niet aan het internet hangen van gegevens waarschijnlijk ook niet zo bijster veel uit, want dan loopt er wel iemand met een USB stick binnen en vindt wel een niet-afgedichte USB poort op een machine waarvan de beveiliging zwak is.
Zulke systemen worden vaak onder meerdere instanties verdeeld. Die kan je niet enkel gebruiken op een gesloten netwerk of op een netwerkloze terminal.
Is het nodig om meerdere instanties van dezelfde gegevens te laten gebruiken?
Is het onmogelijk om hiervoor een privaat netwerk aan te leggen?

Nee, maar de beslissing is genomen om dit toch via internet te delen.

Dat is namelijk ook wel erg makkelijk.
En geld besparend. Gaat tegenwoordig toch boven veiligheid, dat zie je heel veel.
Zo zie je idd dat geen instantie betrouwbaar genoeg is data toe te vertrouwen. Overheden, militaire diensten en zelfs NSA slaagt er niet in om interne data veilig weg te steken. Er lopen nog wel Swowdens rond, maar dan ook met minder goede intenties.

Nu encrypties beter worden willen overheden nog meer toegang via backdoors. Ik hoop dat iedereen beseft dat die backdoors ook misbruikt kunnen worden door criminelen. Het is nu wel duidelijk dat overheden ook niet te vertrouwen zijn.

Cryptografen waarshuwen overheden voor implementeren backdoors.

En dan is lek nog naar buiten gekomen tijdens en sales pitch van een beveiligingsbedrijf.

Grote databses zijn altijd gevoelig voor aanvallen. 64miljoen gegevens dattingsite (daar laat je vaak veel persoonsgegevens achter)

De laatste grote publiekehack was die van LastPasss in juni. 7miljoen gebruikers, 2 miljoen actieve.(onduidelijk of encryptie gekraakt is)

Als de overheid criminelen wil afluisteren moeten ze maar de oude toer opgaan en effectief schaduwen en afluisteren. Zo kan je ook terroristen inrekenen en aanslagen verijdelen zonder miljarden onschuldigen af te luisteren en criminelen toegang te geven tot backdoors. We moeten durven betalen voor onze vrijheden. Criminelen en terroristen mogen niet de oorzaak zijn dat de hele mensheid over controle komt van ťťn overheid. De geschiedenis leert ons hoe gevaarlijk dat is.
Weer een stap dichterbij een volledig gecontroleerd internet....
Inderdaad. Het 9-11 effect. 21 miljoen, is dat niet wat heftiger zelfs dan 9-11? Ik denk op lange termijn wel...we'll see.
ik vind de vraag "of er tussen de 21,5 miljoen ook buitenlanders zitten." belangrijker dan de vraag "of de hackers buitenlands zijn."
de NSA hacked er lustig op los tot ver over de grenzen "for the greater good", rusland en china idem. Je zou haast zeggen dat het een pointless wapenwedloop is waarbij iedereen elkaars gegevens uiteindelijk min of meer heeft :)
ik vind de vraag "of er tussen de 21,5 miljoen ook buitenlanders zitten." belangrijker dan de vraag "of de hackers buitenlands zijn."

Het gaat om personeel, ex-personeel en mensen waar een background check gedaan is om personeel te worden bij die betreffende getrofen overheidsinstanties.

Dus waarom vind jij dat zo interessant? Het zijn in ieder geval 100% mensen die of Amerikaan zijn, of een werkvergunning hebben voor de USA _/-\o_
ik vind de vraag "of er tussen de 21,5 miljoen ook buitenlanders zitten." belangrijker dan de vraag "of de hackers buitenlands zijn."
Die kans is aanwezig. Toen m'n ex haar clearance aanvroeg (ze is Amerikaans Diplomate) heeft ze mij opgegeven als iemand uit het buitenland die voor haar kon instaan. Toen ze vroeg of ze dat mocht doen, zei ze er expliciet bij dat ik dan OOK deels doorgelicht zou worden, en dat de kans bestond dat iemand van de FBI me kwam interviewen over haar.

Daarmee zijn mijn gegevens dus ook waarschijnlijk verstrekt aan datzelfde departement wat nu gehacked is.
Wat hebben de hackers dan aan die gegevens die ze hebben gestolen?
Chantage. Nu weten ze wie er toegang heeft tot secret / top secret informatie, en wat er allemaal uit hun background check kwam.
Wanneer het inderdaad overheidshackers uit China of Rusland zijn, kunnen ze die personen in de gaten houden.
Tien Amerikanen die een security-check hebben gekregen en voor een obscuur onderdeel van het ministerie van landbouw werken, die binnen een bestek van drie weken onafhankelijk van elkaar een toeristenvisum aanvragen en daarbij een onrustige regio of stad nabij een militair testcentrum als bestemming aangeven kan interessante informatie zijn.
Volgens het Witte Huis zitten buitenlandse hackers achter de gegevensdiefstal.
Een rookgordijn. Het echte probleem is dat deze gegevens worden verzameld en bewaard ook zijn ze al lang niet meer nodig. Alle bureaucratieŽn lijden aan deze bewaarverslaving, ook de Nederlandse. Dit is geen beveiligingsprobleem, het is een procesprobleem.
Dat het en rook gordijn is ben ik mee eens, maar ik begin langzamerhand mijn twijfels te trekken of dit soort berichtgevingen wel klopt. Het zal weleens waar zijn, maar het lijkt me steeds meer dat het maar geroepen wordt om verder de bevoegdheden van 'veiligheidsdiensten' uit te breiden.

Het zal niet de eerste keer dat de pers verhalen van het Witte Huis overneemt zonder er verder onderzoek te doen (en hoe kan die in dit soort zaken?)..

Voor Tweakers die bronnen willen, Chomsky schrijft er nogal veel over (of deze korte colleges door Hamelink)

[Reactie gewijzigd door Babrak op 9 juli 2015 23:18]

Ik denk dat je nog een keer moet nadenken. Hoeveel denk je dat dit soort informatie waard is voor, pakembeet China of Rusland? Het front is allang niet meer aan de IJzer of bij Verdun, het front is aan poort 8080, 3309 etc. Een aanval vanuit China is dan ook bijzonder plausibel, daar hoef je helemaal geen samenzwering voor te verzinnen.
De VS het land dat oorlogen start op basis van zelf gefabriceerde leugens. Net als de oorlogsindustrie is ook de surveillance industrie een miljarden business.
Ben het wel met je eens, maar je vergeet te vermelden dat dit voor alle landen en groeperingen geldt? Zonde om de VS als enige te noemen.
Van landen met een democratie en rechtsstaat zijn zij het belangrijkste land dat zich op deze wijze gedraagt. Het is daarom ook helemaal niet onmogelijk dat het hier gaat om een leugen om te komen tot meer een verdergaande bevoegdheden met betrekking tot censuur op het internet, aftappen, backdoors in encryptie en zo verder.
Dat dit soort berichten wordt aangegrepen voor het verder uitbreiden van de surveillance-bevoegdheden, hoeft niet te betekenen dat de berichten niet op waarheid berusten. Sterker nog, het handig inzetten van de waarheid is de ideale tool om nieuw beleid erdoor te drukken.

Overigens zijn veel van de "big brother-streken" van de Westerse overheden en veiligheidsdiensten geen verbetering van de cyberveiligheid, maar een verslechtering. Denk aan het langer opslaan van gegevens en de ontwikkeling van achterdeurtjes in encryptietechnieken die misbruikt kunnen worden. Dus waar ze vijandige hackers aangrijpen als reden voor meer bevoegdheden en aanpassingen, werken deze in de praktijk wellicht averechts.

Ook eens met Kalief hierboven dat het langdurig opslaan van gegevens een groot probleem kan zijn in verband met hacken. Er zou door elke instantie en overheid flink nagedacht moeten worden of al die oudere data wel echt zo bruikbaar is, en of die bruikbaarheid opweegt tegen de potentiŽle gevaren van zo veel data dat zo lang wordt opgeslagen. Echt goed beveiligen lukt bijna niet, zeker niet in gevallen waarin niet-techneuten de gegevens dagelijks gebruiken. Data dat gebruiksvriendelijk en snel toegankelijk moet zijn is vaak minder veilig, en menselijke onkunde is een groot risico waarbij zelfs de beste beveiliging niet helpt.

[Reactie gewijzigd door geert1 op 10 juli 2015 00:08]

Doch is het relatief normaal dat bedrijven gegevens van hun huidige en ex-werknemers bewaren. Voor tenminste 7 jaren, en daarna vaak nog wel wat langer.

Met de omvang van de Amerikaanse overheid waar heul veel mensen werken, en over de jaren heen er wel een behoorlijk aantal komen en gaan, zit je al snel aan miljoenen mensen die in de sector aan 't werk zijn en die dus geregistreerd worden.

Ik vind dat eigenlijk niet zo heel gek.
Zoiets gevoeligs als een achtergrond controle moet nog beter worden afgeschermd dan waar je gewerkt hebt.
In Nederland maar ook andere landen zijn we heel actief allerlei diensten aan elkaar te koppelen.

En met een instantie als CBP zijn we in de veronderstelling dat we het redelijk voor mekaar hebben, totdat je beseft dat in het gros van de gevallen er pas iets geconstateerd wordt als er ruchtbaarheid aan wordt gegeven.


De vraag is hoe er nu gereageerd zal worden nu deze gegevens bekend zijn geworden. Theoretisch moet je nu de mensen als chanteerbaar achten.
Ik hoop van ganser harte dat deze hack mogelijk is gemaakt door ingebouwde backdoors door de Amerikaanse overheid en als dat zo is hoop ik meteen ook dat dat breed wordt uitgesmeerd in de media en niet enkel onder "tweakers".

nieuws: Cryptografen waarschuwen overheden voor implementeren backdoors
321.320.000 mensen leven in amerika. Er zijn al veel hacks geweest. Zoals van krediet kaarten.

Hoeveel nog te gaan voordat iedereen wel eens gehackt is?
Het gaat niet alleen om "sofinummers", maar de inhoudelijke onderbouwing (drugsgebruik, geaardheid, (psychische) gezondheid, inkomen e.d.) van een soort VOG.. Waarmee deze mensen nu volgens de Amerikaanse overheid chanteerbaar zijn.. Dit betreft dus alleen mensen die functies uitoefenen waarvoor zo'n VOG nodig is, dus de meest kwetsbare plekken.. En juist daarom moet de overheid ook voorzichtiger omgaan bij gegevenskoppeling.. (In mijn optiek moet je alleen *live* data koppelen, met anonimiseerde (quantum) sleutels en alle gegevens gedecentraliseerd houden bij de bron, al dan niet genormaliseerd). De uitvrager zou ook door de bron geverifieerd moeten worden en bij bulk uitvraag zou de bron moeten blokkeren. En gegevens die niet nodig zijn bij de specifieke uitvoering van een wet, zoals NAW-gegevens, moeten niet in je individuele dataset voorkomen.. (Is ook onlogisch als ze in NL bijv. kijkt naar Wet Eenmalige Uitvraag). Simpel blokkeren op basis van geolocatie zou deze hack ook waarschijnlijk hebben verkomen, overigens, als de daders zich buiten de VS bevonden en niet via een VPN o.i.d. werkten.. Mijn ervaring is, dat de enige reden dat dit mogelijk is, is dat men niet echt 99,999% bestendigheid tegen het worst case-scenario nastreefte.. Men gaat gewoonweg vaak niet de extra mile, omdat je je dan qua beveiliging ook moet gaan bemoeien met de procesmatige uitvoering van de wet en dus met de ketenregie.. Qua tijdsdruk op invoeren van gewijzigde wetten en bezuinigingen op menskracht, gaat men, in mijn optiek, dan de "grote stappen, snel thuis"- tactiek volgen.. "Since at least 2007, OPM leadership has been on notice about the vulnerabilities to its network and cybersecurity policies and practices," "en tot 2013 zou het OPM helemaal geen beveiligingspersoneel hebben gehad." Hier zou vervolging op basis van "criminal disloyalty" niet mistaan.. Hier hebben de Chinezen wel een bepaalde oplossing voor.. http://www.nu.nl/.../hack-amerikaanse-overheid-erger-dan... Op basis van deze persoonlijke gegevens kunnen ze wachtwoorden gaan raden van andere diensten.. Als men zich bij andere instanties ook niet heeft gehouden aan common security practises ligt alles in de VS zo op straat.. http://www.nbcnews.com/.../opm-hack-security-breach-n389476
Leuk toch, meteen de (wapen)vergunningen, gegevens, belastinggegevens, medische gegevens, en wat al niet meer van iedereen bekend. Dat is handig om te weten waar je kan inbreken! Wat kan er toch fout gaan met een overheid die alles van je weet? /s
Zullen de chinezen wel weer zijn. Zie link voor realtime aanvallen.
Ik vraag me af of dit geen propaganda is om aan te tonen dat China de bad guy is...
Dit soort nieuws moet je altijd maar met een korreltje zout nemen. Er is gigantisch veel Amerikaanse propaganda in omloop in de voortdurende strijd tegen Rusland en China. Waarom? De dollar is de enige macht die de VS heeft. En wat te denken van de onrust in het midden oosten? Allemaal veroorzaakt door trojaanse paarden om onrust te stoken en instabiliteit te veroorzaken, omdat Gaddafi van plan was olie niet meer in dollars te verkopen, evenals Saddam, Mubarak, Mursi en nog velen.

Dit "nieuws" is gewoon weer de zoveelste kogel in de eeuwig durende strijd.
En ik ontken deze gebeurtenis (de hack) zeker niet, maar de VS kennende is dit een hypocriete roep van "Kijk wij zijn slachtoffer!", terwijl zij ondertussen overal met hun vingers in zitten, maar daar horen we niet veel van. En als we wat horen, is het snel vergeven... zie bijv de afluisterpraktijken in Europa die aan het licht kwamen door Edward Snowden.

[Reactie gewijzigd door Mocro_Pimpģ op 10 juli 2015 01:51]

Bij mij staat Netherlands fier bovenaan de "attack origin" lijst...
Dit lijkt me zo'n beetje de grootste hack qua identiteitsdiefstal. Gegevens als burgernummer, documentnummer, financiŽle informatie, vingerafdrukken (1,1 miljoen), alle persoonsgegevens en waarschijnlijk ook familierelaties etc staan in die dossiers.
Je kunt erop wachten dat het ook een keer in Europa plaats zal gaan vinden. Vooral NL met hun patientendossier. Ik vind het een vervelende ontwikkeling en vind niet dat dat soort gegevens toegankelijk over internet moeten zijn.
In Europa hebben we voorlopig nog het schaal-voordeel: Volgens mij hebben alleen Duitsland en Frankrijk genoeg inwoners om voor 20 miljoen personen gegevens te bewaren. Er zijn niet eens 20 miljoen Nederlanders, Belgen of Denen. Zo groot kunnen die databases niet worden. En voorlopig zijn die databases nog per land dus is het iets lastiger om zoveel gegevens te krijgen. ;-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True