Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

De gegevens van 93,4 miljoen Mexicaanse kiezers waren toegankelijk via een database op een Amerikaanse Amazon-server. De database omvatte 132GB aan gegevens en was te benaderen zonder gebruikersnaam of wachtwoord.

Het zou gaan om een MongoDB-database, zo schrijft de site Databreaches. Deze is ontdekt door beveiligingsonderzoeker Chris Vickery en bevatte gegevens zoals naam, adres, beroep, namen van ouders en een identificatienummer voor kiezers. Het is onduidelijk wie de eigenaar van de server is of wie de gegevens erop heeft geplaatst. De gegevens zelf bleken afkomstig te zijn van het nationale kiesinstituut van Mexico.

Het duurde ongeveer een week totdat de gegevens offline waren gehaald, nadat Vickery meerdere partijen had benaderd met de informatie. Zo had hij veel moeite de Mexicaanse autoriteiten op de hoogte te stellen. Onder Mexicaans recht zijn deze gegevens vertrouwelijk en er staat een straf van 12 jaar op het stelen van overheidsgegevens. Volgens Databreaches is dit niet de eerste keer dat gegevens van Mexicanen uitlekken. Zo zouden er tussen 2003 en 2012 verschillende incidenten zijn geweest waarbij gegevens openbaar zijn geworden.

Onlangs werden ook persoonsgegevens van 55 miljoen Filipijnse kiezers online aangetroffen, waarin zich onder andere vingerafdrukken bevonden. Hoewel de nu gelekte gegevens niet zeer gevoelig zijn, kunnen zij op grote schaal ingezet worden voor bijvoorbeeld phishing en identiteitsfraude. Chris Vickery was ook degene die een database met de gegevens van 191 miljoen Amerikaanse kiezers ontdekte.

Moderatie-faq Wijzig weergave

Reacties (35)

Na de Filipijnen nu ook Mexico?

Ik ken persoonlijk mensen in de Filipijnen die in de gelekte database daar stonden. Krijg je leuke dingetjes van, o.a.:
-- Identiteitsfraude: rekeningen op jou naam voor zaken die je nooit afgenomen hebt, credit cards op je naam die je zelf nooit aangevraagd hebt, hypotheken die op jou naam aangevraagd worden, huis of auto kopen kan ineens niet meer, omdat iemand fraude met je identiteit pleegt, je wordt ineens gezocht in het buitenland en/of kunt geen VISA meer aanvragen etc etc etc etc.
-- Het adres van rijke en beroemde mensen dat ineens op straat ligt (die kunnen dus maar beter verhuizen). Leuk voor stalkers, ontvoerders die geld willen, dieven, etc.
-- Mensen op het werk die elkaars huis gaan opzoeken in street-view en dan collega's uitlachen die in een arme wijk wonen.
-- Stalkers die het adres van hun slachtoffer zo kunnen opzoeken en ineens na jaren rust weer in beeld komen.

Nederlanders beseffen volgens mij nog niet echt wat het betekend als je persoonsgegevens uitlekken of misbruikt worden. Dit zeg ik aangezien iedereen op de grote Nederlandse politieke partijen blijft stemmen die over duidelijk sinds het CDA aan de macht was sch**t hebben aan privacy van burgers. Het is IMO een kwestie van tijd voor zoiets hier in Nederland ook gebeurd.

[Reactie gewijzigd door GeoBeo op 22 april 2016 23:02]

Dan hoort er meer reclame te komen. TV reclames , op bussen en hokjes noem maar op. Maar probleem is dat de overheid dit tegenhoudt jammer genoeg.
Het is ook niet in het voordeel van de overheid om mogelijke gevolgen van grote datalekken bekend te maken. In 2012 had de overheid al meer Dan 5000 verschillende databases met persoonsgegevens. De gemiddelde burger zit in enkele tientallen van deze databases maar een crimineel, gehandicapte, langdurig zieke enz. staat in meer Dan 100 databases. Hoe veilig zijn deze gegevens en hoe beinvloed het je leven aangezien je niet weet wie toegang heeft tot welke gegevens en hoe de gegevens zelf gezien worden laat staan dat deze gegevens accuraat zijn.
Het probleem is niet het aantal databases, maar de omgeving waar deze databases staan.

Als alle data in een omgeving staat die per definitie dicht staat voor niet white listed bedrijven/organisaties die in die omgeving mogen werken en dat er geen koppelingen gemaakt kunnen worden buiten deze omgeving, dan wordt het wat moeilijker ook onveilig te werken.

Het probleem is dat voor elke applicatie het wiel opnieuw wordt uitgevonden en dat et er simpelweg te weinig geld en kennis betaalbaar aanwezig is voor ontwikkeling en beheer van elke applicatie.
Het probleem is dat je Łberhaupt met naam en toenaam in ontelbaar veel databases staat. Niet alleen van de overheid, maar ook van web winkels, van banken, etc. Er zijn nu alleen al waarschijnlijk al met al zo'n 100.000 mensen (grove schatting) in Nederland die legaal bij jou gegevens mogen, omdat ze bij een organisatie werken die zaken doet met je gegevens. Het is een kwestie van tijd voordat dat een keer massaal verkeerd gaat.

Bedenk eens hoeveel mensen bij verschillende bedrijven en overheidsinstanties rechtmatig toegang hebben tot jouw gegevens:
-- iedereen die bij de NIVD en AIVD inhoudelijk werk doet heeft toegang tot AL je gegevens, zelfs (door de NSA) afgeluisterde gegevens. Die weten niet alleen je adres, maar kunnen ook te weten komen waar je op stemt, wat je eet en of je nog met je ex-vriendinnen praat. Om maar wat te noemen.
-- Zowat alle bank medewerkers waar jij een rekening hebt kunnen jouw gegevens inzien inclusief adres en paspoort scan.
-- Als je een elektronisch patiŽnten dossier hebt (wat nu een andere naam heeft waar ik niet op kan komen) dan kunnen enkele 1000'en huisartsen, apothekers en verplegers hierbij. Dat gaat dan om adres, verzekeringsverleden en je patiŽntendossier (denk ik).
-- De gemeente, de belastingdienst. Daar werken alleen al 1000'en zo niet 10.000'en mensen die zo bij je gegevens kunnen.
-- verzekeringsbedrijven,
-- Webwinkels waar je ooit besteld hebt,
-- Ziekenhuizen, apotheken, huisartsen waar je ooit geweest bent,
-- Alle stagiaires die bij een van bovenstaande organisaties werken. Als je als kwaadwillende bijvoorbeeld de gegevens van een bekend persoon wilt hebben is het een kwestie van een stagiair een kratje bier aanbieden en je bent er al.
-- Alle ICT'ers die alle bovenstaande systemen bouwen hebben ook toegang tot al die systemen met live info om te testen. Voorbeeld.

In feite ligt alles dus al op straat. Als je naar organisaties als de AIVD en NIVD kijkt valt er weinig meer te redden en hebben die in feite toegang tot je volledige privť leven zonder enige beperking (via NSA: toegegeven door Plasterk).

Het is een kwestie van tijd voor je privť gegevens massaal van (bijna) alle Nederlanders via een van de kanalen uitlekt. Dit kan een hack zijn of het bewust verkopen van gegevens aan criminelen door bijvoorbeeld een bank-medewerker (geloof me er zijn plekjes op TOR die daar vies veel geld voor betalen) of eentje van de belastingdienst of een gefrustreerde AIVD medewerker, noem maar op. Sterker nog, er hoeft niet eens opzet in het spel te zijn om alle gegevens uit te lekken, bijvoorbeeld de verkeerde harde schijf, laptop of USB-stick op een verkeerde plek laten liggen is voldoende.

[Reactie gewijzigd door GeoBeo op 23 april 2016 10:43]

Toevallig worden dit jaar wel de straffen flink verhoogd voor het slecht omgaan met privť gegevens (tot 10% van de jaaromzet). Nu was de maximale boete een voor grote bedrijven lacherige 4500 euro. Er komt een meldingsplicht van lekken en tevens moet bij ieder bedrijf een functionaris gegevensbescherming worden aangesteld.
Ik vind het stuitend dat de overheid ons allerlei beperkingen oplegt wat betreft het delen en beveiligen van gegevens maar zelf er gewoon met de pet naar gooit. Iemand zou zwaar moeten boeten (gevangenisstraf) als zoiets hier ooit zou plaatsvinden.

Ik heb wel eens bedacht dat criminelen of corrupte ambtenaren de 'Nederlander-database' zouden kunnen wijzigen om bijvoorbeeld buitenlanders plotseling Nederlander te laten worden (tegen forse betaling uiteraard). Als zoiets naar buiten zou komen dan zou er grote onrust ontstaan in de samenleving.
Er staat nergens dat de Mexicaanse overheid de eigenaar van de server / gegevens. Je weet ook niet wie verantwoordelijk is voor de database. De database kan als service zijn afgenomen van Amazon, maar misschien gaat het om een virtuele server waarop de klant zelf de databasesoftware heeft geinstalleerd. In dat laatste geval is de klant daar zelf verantwoordelijk voor.
Als het gaat om gegevens van Mexicaanse kiezers dan is uiteraard de Mexicaanse overheid daar de eigenaar van.
De overheid zal ongetwijfeld wel eigenaar zijn van de gegevens, maar dat zegt nog niets over de server. Misschien zijn de gegevens wel gestolen en door de dader op de onbeveiligde server gezet. Of een corrupte medewerker heeft een kopietje gemaakt.
De vraag is meer wie de eigenaar is van de server. Ik bedoel, Amazon word toch in de USA gehost of heeft Mexico een eigen versie ervan?
Amazon heeft data centers in verschillende landen, ondanks dat iedereen hier meteen aanneemt dat het in de Verenigde Staten is. (Of stond dat ergens?) Maar geen AWS in Mexico zelf...
Ik begrijp uit dit artikel niet of de informatie beveiligd (dus niet benaderbaar) had moeten zijn op die server, ongeacht of de data er nu op had mogen staan of niet. DŠt zou namelijk wel degelijk een kwalijke zaak zijn voor Amazon.
In andere landen (ook nl) worden dit soort databases gewoon gebruikt door software bedrijven helaas. Makkelijker dan een fictieve database.

:'(
Leuk om te zien wie er allemaal stemmen in Mexico :)
Hoe lang kunnen ze dit bij MongoDB nog volhouden? Er is al jaar en dag kritiek dat default authenticatie uit staat. Ik gebruik zelf MongoDB en je db beveiligingen houdt meer in dan er een wachtwoord op zetten. Maar ze komen toch heeel vaak in het nieuws met dit soort data breaches. MongoDB wordt er nu al mee geassocieerd, straks komen ze in een situatie terecht waarbij zoals bv java het volledige ecosysteem per definitie als onveilig wordt beschouwd in elke discussie.
Als je nu een mongo installeert staat remote toegang standaard uit. Overigens zijn er (waren er) veel meer database-vendors die default alles open lieten staan...Lekker makkelijk :)
Gegevens van 93,4 miljoen Mexicaanse kiezers waren toegankelijk op Amazon-server
Dus, dit is volledig de schuld van de Mexicaanse overheid zelf en niet van Amazon. Waarom Amazon dan als de bad-guy framen in de titel?
Waarom staan gegevens van Mexicanen op een Amerikaanse Amazon servers?!
Dat het een server is van Amazon is niet eens zo erg,
dat het niet op Mexicaans grondgebied staat waar je minder jurisdictie hebt mag je inderdaad vraagtekens bij zetten.


En in Nederland mogen we ons nog gelukkig prijzen dat de info relatief veilig is,
maar het is een kwestie van tijd voordat een organisatie een ongelooflijke blunder maakt. Hier hebben tig instanties toegang tot oa gegevens van GBA en belastingdienst.

Het is een stupide fout die meer landen kan overkomen.

[Reactie gewijzigd door Iblies op 22 april 2016 22:46]

Dat gebeurt (waarschijnlijk) niet in Nederland daarvoor zijn er iso normeringen met de bijbehorende wetgeving aan datacenters gegeven/opgedragen.

[Reactie gewijzigd door dezwarteziel op 22 april 2016 23:23]

Welk Nederland woon jij in? :/
Volgens mij zijn we hier fulltime aan het klagen dat overheid en ICT niet samen gaan...
Gaat vaak genoeg mis hier, wordt alleen niet zo groot in het nieuws gebracht wanneer het weer eens gebeurt.
Leuk dat je een goedbeveiligd datacenter hebt, maar dat zegt niks over de beveiliging vd servers zelf.
Het is om te illustreren dat het om een Amerikaanse Amazon server gaat. Er wordt nergens met de vinger gewezen; dat is jouw interpretatie.

Wat wel ontbreekt in dit bericht is de locatie van deze server. Stond deze op Amerikaans grondgebied?
Ik denk dat de meeste tech-lezers wel begrijpen wat de titel inhoudt, maar je hebt gelijk dat het beter verwoord kan worden.
Om een idee te geven: Op slashdot is de titel: MongoDB Config Error Exposed 93M Mexican Voter Records https://it.slashdot.org/s...93m-mexican-voter-records
Als dataverwerker heeft Amazon een verantwoordelijkheid. Zo zouden ze bijvoorbeeld standaard penetratie testen kunnen uitvoeren en bij fail data uploads weigeren of zelfs verwijderen.

De mate van beveiliging die gewenst is,v kan met een vragenlijst al afgevangen worden: gaat u ....ja, nee, misschien, weet ik niet...liegen is hiermee aantoonbaar, niet liegen triggert een goede policy.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True