Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

Een hacker biedt op een ondergrondse marktplaats de gegevens van in totaal ongeveer 655.000 patiŽnten aan. Het gaat om drie databases, die de hacker in handen gekregen zou hebben door een exploit in de manier waarop medische organisaties rdp gebruiken.

De hacker biedt onder het pseudoniem thedarkoverlord drie databases aan op de ondergrondse marktplaats The Real Deal. Hij heeft screenshots van zijn hack verstrekt aan Deep Dot Web, als bewijs voor de authenticiteit. Het gaat om drie databases van niet nader genoemde Amerikaanse organisaties, die via een kwetsbaarheid verkregen zijn met betrekking tot "hoe bedrijven het remote desktop protocol gebruiken". "Het is een zeer specifieke bug. De omstandigheden moeten zeer precies zijn", meldt de thedarkoverlord, zonder meer details over de exploit te geven.

In de databases staan gebruikersnamen en wachtwoorden in klare tekst, en adressen, telefoonnummers, geboortedata en burgerservicenummers. In een van de drie databases, met 396.458 entries, staan ook de verzekeraars van de patiënten. Uit de screenshots blijkt verder dat hij inzage had in medicijngebruik. De hacker claimt dat de databases nog niet elders op internet zijn verschenen en dat de kopers deze exclusief krijgen. Voor de drie databases rekent thedarkoverlord op moment van schrijven afzonderlijk 60, 170 en 300 bitcoin, omgerekend respectievelijk ongeveer 34.700, 98.300 en 173.500 euro. Vice en Deep Dot Web noemen andere bedragen, de prijzen lijken te fluctueren.

Volgens Vice heeft de hacker tegelijkertijd losgeld geëist bij de organisaties. De hacker claimt dat het gaat om een 'bescheiden bedrag, vergeleken met de schade die de organisaties zouden lijden bij een publicatie."

RealDeal thedarkoverlordRealDeal thedarkoverlordRealDeal thedarkoverlord

Moderatie-faq Wijzig weergave

Reacties (90)

Dit soort volk mag van mij echt opgeknoopt worden, bah wat een laag achterbaks gedrag. Ik vind dieven al het laagste van het laagste (je blijft met je poten van andermans spullen af), maar iemands medische gegevens verkopen, gewoon geen woorden voor. En dan helemaal al die zin "De hacker claimt dat het gaat om een 'bescheiden bedrag, vergeleken met de schade die de organisaties zouden lijden bij een publicatie.' " :r
Er is daar een markt voor en een die belachelijk groot is.


Eerste waar je aan moet denken zijn verzekeraars die wel eens willen weten of een werknemer daadwerkelijk zo ziek is als wordt gemeld. En dat is een proces dat al lang gaande is. Er worden externe bedrijven ingeschakeld door verzekeraars om de gangen van een twijfelachtig geval na te gaan en dat is niet goedkoop,
echter,
een zieke werknemer kost je niet alleen kosten werknemer(dus meer dan je bruto-salaris) maar ook proces van re-integratie. Kosten zijn dus relatief laag.


Er is nooit een gezonde scheiding geweest tussen verschillende partijen, alleen zie je dat door ICT en internet die scheiding steeds kleiner wordt, waarbij medische instanties helaas ook te veel lopen te rommelen.
Een arts mag in principe niet meedelen, alleen zie je dat alles in de etalage voor het oprapen ligt.
Nou ik durf er mijn hand wel voor in het vuur te steken, dat er geen een verzekeraar is die dit gaat kopen. Dat is natuurlijk hartstikke illegaal! 8)7
Verzekeraar koopt niets,
er staat een bedrijf tussen.

Enigste wat een verzekeraar nodig heeft is gegronde reden van twijfel om een eis in twijfel te trekken.


En in Nederland hebben we een redelijk sociaal stelsel waardoor eisen niet denderend hoog zijn, maar dan nog zie je dat er methodes worden gebruikt die niet helemaal koosjer zijn.
http://www.intermediair.n...n-zieke-werknemer-mag-dit?
http://demonitor.ncrv.nl/...ive-in-bij-letselschade-2
Dan nog, hoe komt die verzekeraar dus aan zijn gegevens?

"Wij hebben "gerede twijfel" bij uw ziekte?"
Laat ze maar eens bewijzen waar dat op gebaseerd is.

Daarnaast, dit zijn gegevens uit het ziekenhuis, die stroken dus normaal gesproken met wat de verzekeraar ook weet, want die krijgt de rekening van het ziekenhuis. Het zou eerder gaan om werkgevers die veel premies betalen en wel eens willen weten of iemand echt ziek is, denk ik.

Anyway, schande dat dit gehackt wordt, schande dat het kan en schande dat de hacker hier probeert rijk van te worden.
Een verzekeraar weet niets van het ziekenhuis. Een zorgverzekeraar weet alleen welke behandelingen je hebt ondergaan, doordat ze de rekeningen krijgen. Ze weten niets van de prognose of onderliggende oorzaken, wanneer dat niet uit de behandeling blijkt.
Een nieuwe zorgverzekeraar (waar je bv. naar wilt overstappen) heeft een aannameplicht voor de basisverzekering, maar niet voor aanvullingen. Voordat hij je een aanvullende verzekeringen wil verstrekken, zou hij graag willen weten hoe vaak ja daarvan in het verleden gebruik hebt gemaakt.
Je moet nu al bij een verzekering voor een hypotheek of andere lening aangeven wat je gezondheid is. Wanneer je op dit moment gezond bent, maar wel regelmatig zaterdagnacht op de eerste hulp verschijnt, dan zou de verzekeringsmaatschappij dat graag willen weten.
En dank zei het nieuwe zorgstelsel, heeft de verzekeraar deze gegevens al.
Ik heb geen EPD maar ik snap niet wat 'rdp' in dit artikel is.

De vraag is wanneer Nederlanders aan de beurt zijn.
rdp is een protocol voor remote werkplekken.
Hij heeft dus remote een werkstation overgenomen en vandaaruit de data verzameld.
Letterlijk staat het voor: Remote Desktop Protocol
Reden om in Europa een wet aan te nemen dat elke verzekeraar verbiedt om hier iets mee te doen. Al denk ik dat zoiets zelfs al geregeld is. (voordeel van EU ~Brexit)
En als boete gewoon de ontbinding van de firma.
'bescheiden bedrag, vergeleken met de schade die de organisaties zouden lijden bij een publicatie'
gelukkig 'kan' dit niet meer in Nederland. Hier is inmiddels de meldplicht doorgevoerd wat eigenlijk garandeert dat het of door de organisaties zelf naar buiten word gebracht of dat het toch wel naar buiten komt en ze een boete (§ 820.000,- of 10% van de jaaromzet per overtreding) (alsnog) aan hun broek krijgen. Want na verhandeling komt vroeg of laat toch wel de dataset bovendrijven of bij het oppakken van de aanbieder natuurlijk.

https://ictrecht.nl/facts...de-meldplicht-datalekken/

p.s. zouden ze extended support voor die 2008 r2 hebben?

[Reactie gewijzigd door Mr_Light op 27 juni 2016 17:19]

Tsja, blame het gevolg en niet de oorzaak 8)7

Ik denk dat we over een aantal jaar een kwart vd wereldbevolking hun medische gegevens kunnen inzien, enkel en alleen omdat gegevens zo goedkoop/simpel mogelijk te benaderen moeten zijn.
Tsja, blame het gevolg en niet de oorzaak 8)7
Nee, dat is het niet. Je kunt als hacker er natuurlijk ook gewoon GEEN misbruik van maken door het spul te verkopen, maar door het netjes bij de organisatie aan te geven zodat ze het kunnen fixen.
Dat is het verschil tussen een white hat en een black hat.
Voor hetzelfde geld krijgt een whitehat voor een lek van dit fomaat 20,000 euro, terwijl een blackhat potentieel miljoenen kan verdienen.

Persoonlijk ben ik van mening dat mensen die zulke gigantische datalekken netjes aankaarten en er niet mee aan de haal gaan, een flinke beloning mogen krijgen.
Zo draait de wereld nu eenmaal ook niet, geef jij geld aan iemand die kan aantonen dat hij je fietsslot kan breken ? Maar voor 15 euro koop je vast je oude fiets terug. (kleine waarde ten opzichte van een nieuwe fiets)

Bedrijven zijn zeker niet "heiliger" dan mensen ...

[Reactie gewijzigd door svennd op 27 juni 2016 16:47]

Dat klopt helemaal, maar ik vind de vergelijking tussen een fietsslot en een gigantisch systeem met ontzettend veel privť data van meer dan een half miljoen klanten toch echt een iets kwalijkere zaak. Daarnaast geef jij geen geld om iemand iets te laten aantonen, die persoon komt naar jou toe met jouw fiets onder zijn arm en zegt iets in de trant van "ik zou maar een ander slot kopen, hier kwam ik zo in". Dan kun je 2 dingen doen, de beste man belonen dat hij je fiets niet heeft gejat, of negatief reageren door de politie o.i.d te bellen.

Zo geven Apple en Google honderdduizenden, soms wel miljoenen euro's per jaar weg aan bug reporters. Daar kan een bedrijf als SRS Soft voorbeeld aan nemen in mijn optiek.

Het kan mij niet zoveel schelen of een system app in Android er voor kan zorgen dat je RAM in een specifiek geval volloopt en je telefoon reboot. Ik vind het belangrijker dat mijn medische gegevens niet uitlekken. (Ook al heb ik praktisch geen medische geschiedenis)

Nou hoeft een bedrijf natuurlijk geen beloning uit te loven aan hackers, ongeacht welke hoed ze dragen, maar dan is de kans extreem groot dat de data alsnog op de zwarte markt beland, en daar zijn uiteindelijk de nietsvermoedende patiŽnten slachtoffer van.

p.s
"geef jij geld aan iemand die kan aantonen dat hij je fietsslot kan breken ?"

Er zijn bedrijven bij die professionele hackers (penetration testing) inhuren om te kijken hoe ver ze kunnen komen, die eventueel daarna de lekken dichten. Bij een systeem als dit was dat geen gek idee geweest.

[Reactie gewijzigd door Zexion op 27 juni 2016 17:10]

Met dit soort gegevens die vanaf de hele wereld te benaderen zijn krijg je nu eenmaal misbruik, dat mensen dan toch nog willens en wetens het hebben en houden van patienten voor een prikkie online willen zetten dat is hier de grootste misdaad in mijn ogen.
Zelfs dat laatste hoef je niet te doen. Je zou ook gewoon helemaal niet kunnen gaan proberen in te breken. Je gaat toch ook niet bij iedere deur die je ziet kijken of het slot misschien niet zo goed is en vervolgens zoeken naar manieren om 'm open te krijgen. Blijft gewoon van andersmans spullen af. Of dat nu fysieke spullen zijn of data maakt niet uit.
Alles is te kraken zolang je maar goed genoeg je best doet. Onder ons motorrijders is het gezegde "de beste beveiliging is een goede diefstalverzekering, want als ze hem willen hebben ben je hem toch kwijt" een bekende. Beveiliging is altijd te breken/omzeilen.

Daarnaast kunnen we het ook andersom leggen, als iedereen eens met zn poten van andermans spullen af zou blijven was er ook helemaal geen beveiliging nodig. Als ik een fiets zie staan die niet op slot zit laat ik die toch gewoon staan. helaas zijn er andere mensen die niet zo denken. Zit degene die zijn slot vergeet dan fout, of degene die hem onrechtmatig meeneemt? Hetzelfde hier. Misschien was de beveiliging slecht, maar dat geeft nog niemand het recht om de gegevens te stelen en te gaan verkopen. Deze gegevens openbaren kan levens gaan kosten hoor.
"Misschien was de beveiliging slecht, maar dat geeft nog niemand het recht om de gegevens te stelen en te gaan verkopen. Deze gegevens openbaren kan levens gaan kosten hoor."

Juist daarom vind ik dit zo kwalijk van deze organisatie, niemand heeft het recht deze gegevens te bemachtigen maar waarom geven we ze de kans??
Imo is deze organisatie gewoon nalatig geweest en zou hier keihard voor aangepakt mogen worden. Door de staat en individuen.
Het is aan de juiste autoriteiten om daar sancties aan te hangen. Als individuen hier opeens zelf iets aan mogen gaan doen, eigen rechter mogen gaan spelen, is het hek van de dam. De gegevens van een half miljoen mensen gaan verkopen voor eigen gewin kan nooit het antwoord zijn. De organisatie is zeker nalatig geweest, maar degene die de gegevens nu probeert te verkopen is gewoon een smerige crimineel.
Natuurlijk is het een crimineel, alleen wel eentje die vroeg of laat gewoon langskomt als je dit soort gegevens moedwillig in de etalage zet.

En ik heb het ook niet over eigen rechter spelen, maar dit via de rechter afhandelen uiteraard, aangezien juist de patienten zelf hier onherroepelijk de dupe van zijn(en niet een klein beetje ook).
En dan ook nog eens dit met open ogen zien gebeuren omdat een stelletje bestuurders enkel naar de meest rendabele oplossingen geinteresseerd is.

[Reactie gewijzigd door Sergelwd op 27 juni 2016 16:50]

Het probleem is altijd dat er maar een heel klein deel van de mensen genoeg is om misdaad in alle vormen een actueel probleem te maken.
Handel beveiligingswaarschuwingen dus maar goed af (de kans dat de goedwillende eerder is, is eigenlijk best groot).
Dit soort volk mag van mij echt opgeknoopt worden, bah wat een laag achterbaks gedrag. Ik vind dieven al het laagste van het laagste (je blijft met je poten van andermans spullen af), maar iemands medische gegevens verkopen, gewoon geen woorden voor.
Uiteraard is het niet netjes wat de hacker heeft gedaan, maar het feit dat de hacker dit kon doen vanuit een zolderkamer is mede mogelijk gemaakt door degenen die medische dossiers aan het internet hebben gekoppeld.
Zeiken op de hacker zonder iets te zeggen over degenen die de dossiers aan het internet hebben gekoppeld, is zeiken buiten de context.

[Reactie gewijzigd door Jael_Jablabla op 28 juni 2016 12:51]

Een centrale database blijft altijd kwetsbaar Hiervoor is maar een oplossing ; The Blockchain ! Hier wordt alle data decentraal opgeslagen . In het ergste geval voor een individu gehackt. Philips healthcare heeft plannen om medische gegevens van patiŽnten op te slaan in de Blockchain..http://www.2.forms.healthcare.philips.com/blockchainlabs
Het blijft een kat en muis spelletje; maar ik hoop wel dat de toezichthouders meteen aan de slag gaan om te kijken of de ziekenhuizen in kwestie wel voldeden aan goede beveiliging en controles hierop... Zo niet, dan mogen ze wat mij betreft geforceerd worden koste wat het kost die databases te krijgen en een gigantische boete tegemoet zien.
De toezichthouders mogen van mij aan de slag gaan om te kijken welke bedrijven de softwaresystemen met ondeugdelijke beveiliging geleverd hebben en hoeveel geld ze daaraan verdiend hebben.

Het gaat om een ziekenhuis, niet om een beveiligingsbedrijf. Ze hebben dus verstand van medische zaken, niet van softwarebeveiliging. Wanneer ik een auto koop, dan verwacht ik dat die aan de veiligheidseisen voldoet en ga ik niet allerlei mensen inhuren die constant moeten controleren of mijn auto nog wel aan alle veiligheidseisen voldoet.
Wanneer ik nu een auto koop en volgend jaar verlies ik een wiel omdat de wielbouten doorgeroest zijn, dan is de autofabrikant aansprakelijk en verantwoordelijk, omdat hij een ondeugdelijk product geleverd heeft, en niet ik omdat ik niemand de wielbouten heb laten controleren.
*EPD critici incoming*

Zonder dollen, 100% veiligheid is nooit te garanderen. Gelukkig hebben wij in NL een acceptatieplicht voor de basisverzekering, maar in landen waar dat anders ligt (zoals in de VS als ik mij niet vergis), kan dit voor burgers ernstige gevolgen hebben. Om nog maar te zwijgen over werkgevers die contracten niet gaan verlengen i.v.m. cardiovasculaire aandoeningen en het risico op langdurig verzuim...
Ik denk dat het in de VS extra kwalijk is omdat medicijnen e.d voor grof geld over de toonbank gaan, en in veel gevallen particulier aangeschaft worden ipv vergoed door een verzekeraar.

Als crimineel met toegang tot deze gegevens kunnen groeperingen (gangs, cartels, ander gespuis) precies zien welke medicijnen op welk adres te vinden zijn.

Dit is natuurlijk maar een fractie van de werkelijke problematiek die een lek van dit formaat kan aanbrengen natuurlijk.. maar nou denk ik (hoop ik) niet dat werkgevers een illegale, gehackte database gaan aankopen om zich te behoeden voor kwaaltjes onder het personeel

[Reactie gewijzigd door Zexion op 27 juni 2016 16:22]

Je hebt volledig gelijk.

Wall-Mart, McDonalds, IBM. Laten we maar hopen dat ze het niet kopen! Met gezamenlijk 3.000.000 werknemers is $300.000 voor de databases natuurlijk een schijntje. Die 300k heb je er met 1 (op tijd ontslagen) hoog risico langverzuimer er al dubbel en dwars uit.
Zou dit te maken hebben met de recente TeamViewer hack?
die via een kwetsbaarheid verkregen zijn met betrekking tot "hoe bedrijven het remote desktop protocol gebruiken".
Nee dus.

Het zal eerder met security issues als deze te maken hebben: https://technet.microsoft...ry/security/ms15-067.aspx

Anyway, RDP direct op het internet was nooit een goed idee. Met NLA is het iets beter maar mocht je RDP via internet willen doen is een Remote Desktop Gateway aan te raden. Extra bonus, het verkeer gaat via HTTPS dus je kan het vrijwel overal gebruiken in tegenstelling tot 3389 wat uitgaand nog wel eens dichtstaat.

[Reactie gewijzigd door PolarBear op 27 juni 2016 16:19]

Alleen kunnen die patienten weinig doen aan de beveiliging terwijl het om hun, over het algemeen nogal gevoelige, gegevens gaat. Nogal erg kort door de bocht reactie dus.

Bijzonder kwalijk dat die organisaties dit zo slecht beveiligd lijken te hebben, nog kwalijker dat iemand anders daar een slaatje uit probeer te slaan.
Lijkt me ook dat je (helemaal in de gezondheidszorg) van grote centrale systemen met privacy gevoelige informatie af wilt. Je kunt ook de keten omkeren en individuen zelf de autorisaties laten beheren. Zoals bij OpenPDS (Personal Data Stores). Zie het architectuur plaatje.

Idee is dat je per verzoek tot inzage diegene autorisatie verleend.

http://openpds.media.mit.edu/
Maar dat gaat over data in het algemeen, niet over medische data in het bijzonder. Ik heb niet alle documenten doorgelezen (het zijn er nogal veel), maar zo op het eerste gezicht laat dit systeem je volledig in de steek als je buiten bewustzijn op de spoedeisende hulp wordt binnengebracht...
Allereerst, "zo slecht"? Nogmaals, 100% veiligheid bestaat niet en de exacte details over de hack zijn niet bekend.

Ten tweede, bestuurders van een ziekenhuis moeten moeilijke keuzes maken. Gaan ze het leven van 1000 extra patiŽnten redden middels een dure/nieuwe techniek X, of gaan ze de kans op een hack verkleinen?
Het ťťn sluit het ander niet uit. Meer investeren in beveiliging van je ICT systemen wil niet zeggen dat er meer doden vallen.
Meer investeren in beveiliging van je ICT systemen wil ook niet zeggen dat je altijd alle hackers buiten kunt houden.
Het ťťn sluit het ander niet uit.
Maar in zekere zin toch wel verbonden: je hebt maar 1 zak geld te besteden om te beveiligen Ťn mensen te helpen?
[...]

Maar in zekere zin toch wel verbonden: je hebt maar 1 zak geld te besteden om te beveiligen Ťn mensen te helpen?
En daarom zou beveiliging altijd een standaard onderdeel moeten zijn van een dergelijk automatiseringssysteem en geen sluitpost, wat het nu vaak is.
Als het vanaf het begin erin zit, is een degelijke beveiliging nauwelijks duurder dan geen beveiliging en vaak goedkoper dan een halfslachtige beveiliging.
Dingen die pas later erbij gemaakt moeten worden, zijn veelal slechter van kwaliteit en veel duurder in onderhoud.
Beveiliging zal standaard onderdeel zijn van het softwaresysteem. Alleen beveiliging staat nooit stil, er worden altijd nieuwe exploits gevonden waartegen extra beveiligd moet worden.
En iedereen weet hoe het met softwaresystemen gaat: het basissysteem waar de vertegenwoordigers mee lopen te zwaaien is mooi en goed betaalbaar. Voor de aanpassingen die het voor de specifieke toepassing binnen een organisatie enigszins werkbaar maken betaal je de hoofdprij en voor het service-abonnement waar de beveiligingsupdates in zitten mag nog eens elk jaar een klein fortuin betaald worden. En na twee jaar hoor je dat voor jouw versie geen beveiligingsupdates meer gemaakt worden, omdat het te veel verouderd is en je service-abonnement omvat geen upgrade naar de nieuwe versie.
Dan staat de directie voor de keuze: het softwaresysteem upgraden of een aantal defecte medische apparaten vervangen.
Beveiliging zal standaard onderdeel zijn van het softwaresysteem. [...]
en dan een quote uit de tekst van dit artikel:
In de databases staan gebruikersnamen en wachtwoorden in klare tekst
Klinkt niet als 'standaard onderdeel'.
En zo zijn er heel veel pakketten waarbij zelfs de meest simpele basale vorm van beveiliging niet aanwezig is, omdat het bijvoorbeeld oorspronkelijk opgezet was op een compleet gesloten systeem en later verkocht is aan andere partijen, etc.
Tuurlijk moet je met beveiliging bij blijven, maar zeer vaak zie je dat het echt een sluitpost van de begroting blijkt te zijn en zelfs achterwege is gelaten. "Dat zien we later wel".
Dus dan wordt er bewust een onveilig pakket verkocht door een leverancier. Hoe is de afnemer daarvoor verantwoordelijk?
Wanneer ik een onveilige auto koop van een dealer, ben ik dan verantwoordelijk omdat ik geen veiligheidsexpert ingehuurd heb om mijn auto veilig te maken? Wanneer ik een auto koop, dan verwacht ik dat deze veilig is. Wanneer ik een softwarepakket koop, dan verwacht ik dat dit veilig is. In beide gevallen verwacht ik dat de leverancier mij een deugdelijk product levert. Waarom is dat in het geval van een auto wel vanzelfsprekende en in het geval van een softwarepakket niet?
[...] Waarom is dat in het geval van een auto wel vanzelfsprekende en in het geval van een softwarepakket niet?
Dat ligt er maar net aan hoe het product aangekocht is.
Als er een component "beveiliging" bij zit, welke bewust niet aangekocht is, dan is dat duidelijk de klant aan te rekenen.
Denk bijvoorbeeld aan het EPD, waarbij op een gegeven moment in de media duidelijk gemaakt werd dat de 'module' waarin de patient een bericht zou krijgen als zijn/haar dossier ingezien is, nog niet af is en nog wel even op zich zou laten wachten.
Dat is duidelijk een verkeerde opzet van zo'n systeem, aangezien je op z'n minst moet kunnen traceren dat iets ingezien is, anders kun je geen actie ondernemen en zou gewoon bij de basis moeten horen.
Net als "wachtwoorden plain text opslaan" gewoon nooit mag voorkomen, in geen enkel basis systeem wat met gegevens om gaat. Dat kun je de leverancier dus aanrekenen.

Kortom, waar de verantwoordelijkheid ligt, is nogal verschillend van geval tot geval.
Maar het maakt geen verschil voor mijn eerdere opmerking dat later toevoegen duurder is en qua design vaak de mindere oplossing is, ongeacht wie daarvoor kiest.
Het zou juist een plicht moeten worden dit soort hacks uit te sluiten..
Kun je dat niet, dan geen online database!!
Eigenlijk de hoofd reden waarom ik liever niet al mijn gegevens in een online medische database heb, waar nog maar onduidelijk is wie er normaal al bij kan, laat staan wie er bij kan als er een hack plaats vind.
Dan kan je wel de hele digitale wereld uitzetten.
Dan kan je wel de hele digitale wereld uitzetten.
Misschien moet dat dan maar, tot mensen inzien dat beveiliging net zo belangrijk is als de functionaliteit.
Er zijn niet echt heel veel exacte details die zouden kunnen missen.
Het is bijvoorbeeld mogelijk gebleken om via een machine die externe RDP ingericht had alsnog een RDP-sessie naar belangrijkere machines te openen en zo vrij makkelijk lateraal te bewegen over het netwerk en haar devices.

En helaas kom je het volgende vaak tegen;
Dat het mogelijk is om vanaf een machine waar je met RDP verbonden bent een nieuwe RDP-sessie te maken. Een situatie die eigenlijk nimmer nodig is en zodoende vooral kansen tot incidenten (als vermoedelijk ook deze) biedt.

Je ziet namelijk vrij vaak dat er een externe RDP-verbinding is en die redelijk dicht getimmerd wordt, maar vervolgens lijkt men er vaak uit te gaan dat een inbraak in dŠt (of net-zogoed alle andere) apparaat(en) uitgesloten is, waarbij meer rapen gaar zijn op momenten als-deze...

Je ziet dat de RDP-machine met 'standaard' externe toegang dan vaak degelijke instellingen heeft, maar "interne" apparaten veelal de RDP-service staat ingesteld op "Allow reconnections, but prevent new logons." wat bij servers tot microsoft server 2008 r2 ook inhoudt dat zolang een user ingelogd was, en niet bij screensaver/power-saving de user uitgelogd wordt, je eigenlijk zonder-meer in die oude sessie terug kan komen omdat die user "niet uitgelogd is geweest" of als het een overeenkomend account is met de client en de credentials waren opgeslagen... Combineer dit met het welbekende feit van de TeamViewer-hacks afgelopen periode en we zien een behoorlijk gevaarlijke aanvalsvector...

[Reactie gewijzigd door Annihlator op 27 juni 2016 17:20]

Je beschrijft een situatie waarvan we allerminst weten of deze hier ook van toepassing is. Er zijn geen details vrijgegeven over de achtergrond van de hack.

Dat was mijn punt.
Tja, hadden ze maar gewoon moeten investeren in beveiliging heb er geen medelijden mee.
Het nadeel is alleen dat de patiŽnten daar de dupe van wordt, en die heeft waarschijnlijk bijzonder weinig invloed op het gebruikte systeem en de beveiliging ervan.
Natuurlijk moet er geÔnvesteerd worden in beveiliging, dat ben ik helemaal met je eens, maar het is niet de maker van het systeem die nu mogelijk de shit over zich heenkrijgt, maar wel de 655000 mensen van wie de (mogelijk vrij gevoelige) gegevens verkocht worden.
Hoop ooit dat de Nederlandse overheid wordt gehackt en alles op straat ligt.
Want jij hoopt dat iemand ook jouw gegevens zomaar kan gaan misbruiken?
Advocaat van de duivel: het is te hopen dat er in de gegevens die nu beschikbaar komen flink wat hoogwaardigheidsbekleders met naam en toenaam naar voren komen, en dan bij voorkeur met privacyschendende kwalen als SOA's, aambeien, erectiestoornissen en dergelijke: het zijn de hoogwaardigheidsbekleders die moeten leren wat voor risico er digitaal gelopen wordt wanneer alles maar in een grote database gesodemieterd wordt.

In die zin ben ik het met de trollende firstposter eens dat dat voor Nederland ook geen kwaad zou kunnen.

edit: overigens, deze hacker mag wat mij betreft opgeknoopt worden; ook dat soort lui moet leren dat er consequenties kunnen zijn...

[Reactie gewijzigd door jeroen_loeffen op 27 juni 2016 16:37]

...privacyschendende kwalen als SOA's, aambeien, erectiestoornissen en dergelijke...

De kwalen zijn niet zozeer privacyschendend, maar het onthullen daarvan is het wel. Maar afgezien van de formulering: het is inderdaad waar dat gÍnante onthullingen eerder of meer als privacyschendend worden gezien dan minder gÍnante. Maar vreemd genoeg blijkt het nogal persoonlijk, maar ook cultureel bepaald, te zijn wat als gÍnant wordt gezien. Reden te meer om iedere vorm van privacyschending als ongewenst te zien.
U is, inhoudelijk en taaltechnisch, helemaal juist ;)
overigens, deze hacker mag wat mij betreft opgeknoopt worden; ook dat soort lui moet leren dat er consequenties kunnen zijn...
Laten we hopen dat zijn eigen profiel er ook ergens in staat en dat hij dat domweg nog niet ontdekt heeft.
Erg jammer dat dit soort criminelen zonder moraal of ethiek bestaan (als er al ethische criminelen bestaan...).
Dus... als iemand op straat jou een bloedneus slaat, dan hoeven we geen medelijden met jou te hebben omdat je maar had moeten investeren in vechtsporten?
Als iemand iets uit de winkel steelt, dan is het ook de schuld van de winkel?

Laten we de rollen hier niet omdraaien. Iemand die steelt is fout, ongeacht hoe goed de beveiliging is.
“an exploit in how companies use RDP. So it is a very particular bug. The conditions have to be very precise for it “
Ik ben wel benieuwd of dat een bekende bug was/is, anders vind ik dat je het bedrijf ook wel verantwoordelijk mag houden. Als je zulke gevoelige gegevens in een database bewaard zouden er geen onopgeloste maar wel bekende bugs in het systeem moeten zitten.
Maar dat zal in de loop van de week wel duidelijk worden.
Als ik jou betaal om oa vechtsporten te leren dan ben je een boer als je dat niet doet.

Patienten betalen voor oa de beveiliging van hun info. Althans de kosten die ze er nu aan hebben zullen niet via een geldboom betaald worden.

Hacker is fout dat die info steelt en laat zien dat het bedrijf niet veilig is. Het bedrijf (organisatie of wat dan ook) had de veiligheid niet op orde, dat is ook niet goed wanneer je wel betaald wordt om het op orde te hebben.
Dus als iemand straks in jouw huis inbreekt zeg je ook "achja had ik maar betere sloten moeten kopen"?
Wat een domme reactie!

Er liggen patiŽntengegevens op straat, en dat kan de schuld van veel personen of instellingen zijn (de medische instelling, de verzekeraar, de ICT dienstverlener, ...), maar zeker niet van de patiŽnt!

Ik zou zeggen: maak jacht op de hacker, en zet hem voor een paar jaar vast!
Waarom zouden de patiŽnten of burgers slachtoffer moeten worden van een falend IT-beleid?
Dan kan je zeggen "ja, dan zullen ze wel goed in beveiliging investeren", maar dan demp je de put nadat het kalf verdronken is.
Ja? Inclusief al jouw medische en financiŽle gegevens? Met dat EPD/LSP dat alles makkelijker moet maken. Alles wat de belastingdienst over jou weet en ook alles wat het OM over jou bijhoudt?

Als dat zo is, kan je terecht zeggen "Ik heb niks te verbergen"
Met de medische organisaties heb ik ook geen medelijden. Maar wel met de 655.000 patiŽnten wiens medische gegevens nu op straat liggen, dit is natuurlijk zeer gevoelige informatie.

Ik hoop liever dat de Nederlandse overheid z'n beveiliging gewoon op orde heeft (i'm a dreamer :) ) en niet dat jou en mijn gegevens, waarvan de overheid er heel veel heeft, op straat komen te liggen.

De reden dat je een +3 heb is mij ook niet helemaal duidelijk.... (sorry +3 had)

[Reactie gewijzigd door garriej op 27 juni 2016 16:17]

Tja, hadden ze maar gewoon moeten investeren in beveiliging heb er geen medelijden mee.
[...]
Tsja, want met medische hulpverlening heb je als patient ook zoveel keus dat je kunt kiezen voor een die niet gehackt zal worden.
Het zullen je eigen gegevens maar zijn die in verkeerde handen komen.
Een gestolen credit-card is geen probleem. Nieuwe kaart verstrekken, oude blokkeren en geld terug, maar hoe doe je dat bij medische gegevens?
En wat als je ineens veel hogere premies moet gaan betalen omdat iemand je dossier heeft? Of dat je geen kans meer maakt op die ene baan omdat de werkgever het risico te groot vind?
Of dat je je niet meer kunt verzekeren?
Of geen hypotheek meer krijgt?
En zo kan ik nog wel even door gaan.

Maar goed dat jij er geen medelijden mee hebt.
Daar is alleen sprake van als je zelf je ''ziekte/aandoening'' zou verzwijgen bij de aanvraag. Een verzekeraar vind dat geen probleem, die keert gewoon niet uit als je dood gaat aan een ziekte die je al had op moment van aanvragen. Hypotheek hangt weer samen met of je verzekerbaar bent. Alleen een werkgever kan inderdaad wel vervelende gevolgen hebben, de vraag is natuurlijk wel hoe groot de kans is dat je werkgever je op zoekt in die database. Aangezien hij daar momenteel 100.000,- dollar voor moet betalen. :9
Ik kan me zo voorstellen dat er vast wel "onderzoeksbureau's" te vinden zullen zijn die erg veel interesse in zo'n database zouden hebben, ookal is dat over het randje van de wet heen.
Zo zijn er ook bedrijven/verzekeraars zat die van te voren dingen willen weten die ze nu niet mogen vragen.
En er is geen sprake van "verzwijgen" als er bijvoorbeeld alleen maar het vermoeden van een bepaalde aandoening bestaat, terwijl dat voor veel bedrijven/verzekeraars al een behoorlijk risico zou betekenen om jou aan te nemen als personeelslid of klant.

Daarnaast ben ik van mening dat een verzekeraar geen medische geschiedenis zou moeten weten om te bepalen of 'ie je als klant opneemt. Dat is een risico van de verzekeraar en zou er niet toe moeten leiden dat je je niet meer kunt verzekeren als je bepaalde dingen overkomen die buiten jouw schuld liggen.
Maar goed, ik zie een zorgverzekering dan ook meer als een nutsvoorziening en nutsvoorzieningen zou je nooit moeten privatiseren, noch aan de markt overlaten.
We praten even langs elkaar heen ik had het over levensverzekeringen. Zorg verzekeringen is een ander verhaal, die moeten iedereen accepteren althans de basis (die had ik ook liever aangepast ipv geprivatiseerd gezien). Levensverzekeraars vragen momenteel al alles, ook vermoedens en lopende onderzoeken.

Dat er altijd mensen zijn die wat met deze info kunnen klopt helemaal, de vraag is wel of die zo veel voor een database uit gaan geven. Wie weet zit er een rijke vent met een mal ziekte beeld tussen die het terug koopt voor zichzelf 8)7. Al blijft het natuurlijk gokken of de hacker de gegevens daarna niet online zet.
Dat er altijd mensen zijn die wat met deze info kunnen klopt helemaal, de vraag is wel of die zo veel voor een database uit gaan geven.
Ik denk dat er al zat 'screening agencies' in de rij staan. Dat zijn bedrijven die voor toekomstige werkgevers/ verzekeraars/ etc. personen doorlichten op risico's. Wanneer het gegevens zijn van ziekenhuizen in een middelgrote stad, dan zijn die gegevens zeer waardevol voor een screening agency dat in die stad werkzaam is voor lokale bedrijven.
Ja en dan jouw gegevens als eerste.
Zo makkelijk om die organisaties af te zeiken. Natuurlijk was hun beveiliging niet up to date, maar de personen wiens gegevens in de database staan kunnen daar niets aan doen.
Niet iedereen weet hier zoveel van als jij waarschijnlijk, gebruik je kennis en opmerkingen dus opbouwend.
Tja kom jij thuis en blijkt je hele inboedel op straat te liggen, omdat jij geen geld hebt uitgegeven voor goede beveiliging en maar voor een goedkoop slotje van de praxis bent gegaan....

Je reactie slaat dus nergens op, en wie zegt dat ze niet hebben geÔnvesteerd in beveiliging, wie weet hoe goed die jongen zijn hackskillz zijn?

Wel vind ik dat de jongen te ver gaat door deze gegevens aan te bieden aan derden. Deze gegevens kunnen dusdanig misbruikt worden, dat je een persoon zijn/haar leven compleet naar de kloten kunt helpen.
Dat is niet te hopen, maar het is zeker goed als het pluche eens wakker wordt geschud. Beveiliging is vaak een ondergeschoven kindje en de decentralisering van de overheid doet vrezen dat het geklungel alleen maar zal toenemen.

[Reactie gewijzigd door Jadev op 27 juni 2016 16:30]

Hoop ooit dat de Nederlandse overheid wordt gehackt en alles op straat ligt.
Want je wil graag dat je gegevens op straat komen te liggen?
Want wie zou daar baad bij hebben behalve kwaadwillenden? Komt een beetje sadistisch over mij als je het vraagt.
Dean Crowell (Athens Orthopedic Clinic) was gehacked, zo te zien verkoopt de hacker de gegevens voor het vals aannemen van iemands identiteit/ chantage/ blackmail.

[Reactie gewijzigd door possimpible op 27 juni 2016 19:23]

Beleidsmakers moeten eerlijk zeggen:
"Landgenoten, we hebben de medische dossiers gedigitaliseerd en via internet toegankelijk gemaakt voor specialisten. We zullen er alles aan doen om dit te beveiligen, maar willen er op voorhand op wijzen dat het reeŽl is dat de beveiliging ooit wordt achterhaald. De geschiedenis leert dat beveiliging meestal een kwestie is van kat-en-muisspelletjes en dat beveiliging ooit wordt achterhaald. Daarom willen wij elke patient de optie geven om zijn dossier niet aan het internet te koppelen, of dat de patiŽnt zijn dossier offline in eigen beheer houdt, helemaal geen dossier bij te houden of iets dergelijks".

Het feit dat er zoveel databases op straat komen te liggen is toch een duidelijk teken dat kat-en-muisspelletjes nooit gewonnen kunnen worden door instanties? Een tijdje terug was de database met Turkse burgers gelekt (bron), Filippijnse kiezers (bron), Linked-In (bron), Nationale Theaterkassa (bron), MySpace (bron), Twitter (bron), Netflix (bron) etc. Wanneer wordt de trend eindelijk toegegeven vanuit officiele kringen? Het fundament van het internet is nooit gebouwd met het oog op veiligheid, en zelfs als dat zo was dan geldt dat criminelen altijd een stapje voor zijn omdat zij actief zoeken naar mazen in het systeem.
Ik ken zelfs iemand die een deel van de LinkedIn-Database en tientallen anderen heeft (forums enz). Hij verkoopt ze soms voor honderden euro's. Zelf ben ik meer van de hardware en doe ik er niks mee en ik zou ook niet eens weten hoe dat zou moeten maar feit is dat beveiliging tegenwoordig stukken beter kan!

[Reactie gewijzigd door jasper290x op 28 juni 2016 14:10]

En als je dan mensen wil aanpakken, doe dan de ontwikkelaars. Die hebben de eerste verantwoordelijkheid hun programma's goed te programmeren. Beheerders kunnen er niet veel aan doen.
Interessante stelling als je ziet dat dit de boodschap was van de hacker:

"Next time an adversary comes to you and offers you an opportunity to cover this up and make it go away for a small fee to prevent the leak, take the offer. There is a lot more to come."

Zou je kunnen toelichten waarom jij denkt dat de ontwikkelaar in dit geval verantwoordelijk is? Er lijkt mij hier juist sprake van nalatigheid aan de kant van de beheerders.

src: https://www.deepdotweb.co...ords-patients-being-sold/

[Reactie gewijzigd door Futs op 27 juni 2016 17:42]

Er lijkt mij hier vooral sprake van (poging tot) afpersing.
En wat als de directie geen geld beschikbaar stelt voor geavanceerde crypto? Die systeembeheerder is uitvoerend, niet beleidsbepalend.
Dit leidt ons dan direct naar de discussie over in hoeverre mensen hoofdelijk aansprakelijk zijn voor beslissingen die zakelijk gemaakt zijn. Het lastige blijft dan dus inderdaad op welk niveau je welke verantwoordelijkheden neerlegt.

Vind overigens zelf wel dat we verder mogen gaan in hoofdelijke aansprakelijkheid maar om ze dan direct tegen de muur aan te zetten.... 8)7
Zou een mooie boel worden, dan wil niemand meer in zulke functies werken. Of de salarissen moeten absurd omhoog.
Ik vraag me af of die dat wat uitmaakt. Het is een exploit in RDP. Misschien gewoon een hele tijd lang toetsaanslagen gemonitord en het beeld gecaptured o.i.d.
Wat mij betreft mogen ze iedere web- of systeembeheerder die wachtwoorden nog in cleartext op laat slaan sowieso direct fussileren. Er is vandaag de dag geen enkel excuus voor.
Wat mij betreft mogen ze softwareleveranciers die systemen verkopen waarbij dit nog mogelijk is aan de schandpaal nagelen.
Een softwareleverancier hoort een deugdelijk systeem te leveren. Tegenwoordig hoort een deugdelijk systeem veilig te zijn en hoort die veiligheid eenvoudig te beheren te zijn. Het is zo makkelijk om een organisatie met een falende systeembeveiliging de zwarte piet toe te wijzen, maar er is wel een leverancier die (grof) geld verdiend heeft door dat falende systeem te leveren.
Wat een belachelijke opmerking over fussileren

Je hebt gelijk dat ze het niet in plain tekst moeten opslaan, maar je gaat toch te ver.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True