Europol-gegevens over terrorismeonderzoeken waren via internet toegankelijk

Het tv-programma Zembla heeft meer dan 700 pagina's aan digitale Europol-documenten op een met het internet verbonden netwerkschijf gevonden. Bij de documenten gaat het om analyses van terroristische groeperingen, waaronder de Hofstadgroep.

europolDe bestanden waren door een medewerkster van de Nationale Politie tegen de regels in mee naar huis genomen en via een back-up op een Lenovo iOmega-netwerkschijf terechtgekomen, aldus Zembla. Deze schijf was niet voorzien van een wachtwoord en was via internet toegankelijk. De politiemedewerkster was tot begin dit jaar in dienst bij Europol. De deels als geheim aangemerkte documenten stammen uit een periode tussen 2006 en 2008 en bevatten informatie over in totaal 54 terrorismeonderzoeken van Europol. De organisatie spreekt van een 'zeer ernstig incident' en heeft een onderzoek opgestart in acht verschillende lidstaten.

Onder de documenten zijn analyses van de Hofstadgroep en de bomaanslagen in Madrid. Europol stelt dat het uitlekken van de documenten geen gevolg heeft voor lopende onderzoeken. Het is niet duidelijk of personen toegang hebben gehad tot de gegevens: "Ik acht het niet waarschijnlijk gezien het onderzoek dat we hebben gedaan, maar ik kan het ook niet voor honderd procent uitsluiten", aldus Europol-adjunct-directeur Wil van Gemert. Het feit dat personen uit de documenten tien jaar geleden deel uitmaakten van een onderzoek zou daarnaast kunnen betekenen dat deze personen nog steeds interessant zijn voor de organisatie.

Terrorisme-expert Jelle van Buuren laat aan Zembla weten dat het incident mogelijk gevolgen kan hebben voor de samenwerking tussen politiediensten en Europol. Door het voorval zou het vertrouwen in de organisatie mogelijk geschaad kunnen zijn, nu blijkt dat Europol niet in staat is om gevoelige informatie te beschermen. Lenovo stelt in een reactie aan het programma dat gebruikers zelf verantwoordelijk zijn voor het beveiligen van hun apparaten, bijvoorbeeld door het instellen van een wachtwoord. Een woordvoerder trekt de vergelijking met het beveiligen van een wifi-netwerk.

Volgens Zembla was het alleen bij de laatste generatie iOmega-schijven verplicht om een wachtwoord te kiezen bij ingebruikname. Hoogleraar computerbeveiliging Herbert Bos noemt het incident een 'gigantische blunder' en pleit tijdens de uitzending, die op woensdag om 21.15 bij de VARA plaatsvindt, voor wetgeving die fabrikanten aansprakelijk maakt voor beveiligingslekken in hun producten.

Door Sander van Voorst

Nieuwsredacteur

30-11-2016 • 10:51

80

Submitter: WhatsappHack

Reacties (80)

80
80
47
5
0
25
Wijzig sortering
Volgens Zembla was het alleen bij de laatste generatie iOmega-schijven verplicht om een wachtwoord te kiezen bij ingebruikname. Hoogleraar computerbeveiliging Herbert Bos noemt het incident een 'gigantische blunder' en pleit tijdens de uitzending, die op woensdag om 21.15 bij de VARA plaatsvindt, voor wetgeving die fabrikanten aansprakelijk maakt voor beveiligingslekken in hun producten.
Oh ja, leg het probleem maar bij de fabrikanten, Maar intussen willen wij wel diezelfde onbekwame politiemensen toegang geven tot al onze apparaten via "Hack voorstellen" en de inlichtingendiensten zo veel mogelijk data van alle Nederlanders laten inzien waarbij het wachten is tot dat precies hetzelfde gebeurd als hier.

www.stophethackvoorstel.nl
Was dat ik in de auto zat, maar toen ik dit vanochtend op de radio hoorde viel ik ook al bijkans van mijn stoel.

Die hoogleraar was in de uitzending en nam Europol volledig in bescherming. Kans dat criminelen er daadwerkelijk gebruik van hebben gemaakt is niet zo groot, en als dat al gebeurd is zouden ze toch niks aan de gegevens hebben... dat werk.

Maar het was wel een grote SCHANDE dat iomega zomaar een externe harde schijf op de markt brengt die zonder beveiliging toegankelijk is. Daar lag volgens hem het echte probleem.

Lijkt me dat een organisatie primair zelf verantwoordelijk is voor haar beveiliging. En je mag er toch vanuit gaan dat Europol voldoende technische kennis in huis heeft om een en ander juist te implementeren. Een puber weet nog dat een externe harde schijf die je bij de Media Markt koopt niet beveiligd is, dat zullen ze bij Europol toch ook wel snappen?
In het artikel valt te lezen dat de agente in kwestie thuis op haar prive iOmega, die open en bloot aan het internet hing, een backup had gemaakt. Waarom ze überhaupt een backup heeft gemaakt, is mij een raadsel.

Maar punt is dus dat Europol aan dit gedeelte niet zo veel kan doen. Die agente is gewoon volkomen incapabel en heeft er een zootje van gemaakt. Het enige dat Europol verweten kan worden, is dat mensen (makkelijk?) met bestanden naar buiten kunnen lopen.

Bij zulke gevoelige informatie zou je toch verwachten dat werkstations volledig dichtgetimmerd zijn. Geen USB poorten en andere fratsen. En geen internetverbinding (of in ieder geval geen mail en andere file sharing platforms) op die PCs. Maar gezien de beperkte kennis van deze medewerker, valt op te maken dat het vrij makkelijk is om bestanden ongemerkt mee naar huis te nemen.

Ik mag hopen dat er pittige disciplinaire maatregelen zullen worden getroffen tegen deze medewerker. Maar ik vrees dat het weer gevalletje 'ach, dat kon jij ook niet weten toch' zal worden.
Dat noemen ze thuiswerken.
Iets dat ik op mijn werk ook niet mag vanwege de inhoud, maar bij Interpol blijkbaar wel.
Nee,dit noemen ze volstrekt idioot.

Bij Interpol mag ook niet thuisgewerkt worden. In de tekst staat ook dat zijn tegen de regels in de gegevens mee had genomen naar huis. Wat bezielde mevrouw om dit wel te doen?
Ouderwetse onzin. Thuiswerken heeft nul komma nul relevantie met het verwerken van vertrouwelijke informatie.

Gewoon een solide vpn en gezond boerenverstand.
Ja en nee. Een VPN is ook niet heilig. Als je PC / netwerk waar vanaf je connect naar het VPN zo lek is als een mandje, ben je nog steeds de Sjaak. En dat is niet altijd even goed te controleren voor een organisatie.

Maar goed, daar gaat het hier helemaal niet om. "Thuiswerken", waar Soldaatje het over had, bestond in dit geval uit files meenemen op USB stick (aanname). En dan gaat het duidelijk mis bij het puntje gezond verstand.
Ik vind het helemaal niet boeiend als iemand gebruik maakt van een usb stick of een laptop voor het overzetten van informatie.

Data exfiltratie gebeurt altijd, continu, of je het wil of niet. Een sterkere security mindset is door dit te bewerkstelligen maar met enkele maatregelen die de risico's die hiermee gepaard gaan mitigeren.

Dus geen BYOD maar fatsoenlijke baseline bedrijfslappies met OS encryptie. En natuurlijk een hele mooie crypted container voor je usb stick. Wil je hem openen? Prima. Gebruik dan wel even dat ene Yubi-dingetje die je van de zaak hebt gekregen. En daarna een bakkie koffie doen :)
Ik noem dit: Je eindgebruikers niet de functionaliteit geven om dit veilig en eenvoudig te doen.

Das namelijk het probleem met gebruikers. Ze mogen helemaal niets en gaan dan om de regels heen werken. Blijkbaar vondt deze persoon het nodig om deze gegevens naar huis te nemen om zaken af te kunnen handelen. Ze doen het immers niet voor de hobby, dat werken.

Ik zeg niet dat deze persoon niet verkeerd is geweest maar vaak zijn ze niet de enige schuldige (wel diegene die de strop gaat krijgen uiteraard).
https://www.bnr.nl/player/archief/20161130063155300 zou de link naar de betreffende uitzending moeten zijn.
Maar het was wel een grote SCHANDE dat iomega zomaar een externe harde schijf op de markt brengt die zonder beveiliging toegankelijk is. Daar lag volgens hem het echte probleem.
Idd, knalde bijna tegen mijn voorganger, van verbazing.
En ze hebbend e logs bekeken, maar daar waren geen verdachte requests op zien en de data was niet van lopende onderzoeken, dus niet zo erg.

Als of het lekken van namen nog niet voldoende is.

En wie zegt dat die betreffende vrouw, dit niet bewust heeft gedaan en/of de data op een andere manier heeft verkocht of misschien haar partner...

Veel vragen, maar de voornaamste vraag is: Hè Europol, hoe kan die data mee genomen worden?

[Reactie gewijzigd door wica op 25 juli 2024 03:52]

Was dat ik in de auto zat, maar toen ik dit vanochtend op de radio hoorde viel ik ook al bijkans van mijn stoel.

Die hoogleraar was in de uitzending en nam Europol volledig in bescherming. Kans dat criminelen er daadwerkelijk gebruik van hebben gemaakt is niet zo groot, en als dat al gebeurd is zouden ze toch niks aan de gegevens hebben... dat werk.
Ho, wacht eens even, wat riepen ze nu zelf zo hard? Als je iets te verbergen hebt, dan ben je toch klaarblijkelijk een terrorist?

Dan niet zeuren als je eigen gegevens openbaar zijn, dan geef maar eens zelf het goede voorbeeld.
Het is gewoon te gek voor woorden dat die vrouw zonder problemen documenten mee naar huis kon nemen. Voor mijn part wordt ze aangeklaagd en draait ze voor een paar jaar de bak in, maar goed, het is overheid dus meer dan een "foei" zal het niet worden ben ik bang.
Het is gewoon te gek voor woorden dat die vrouw zonder problemen documenten mee naar huis kon nemen. Voor mijn part wordt ze aangeklaagd en draait ze voor een paar jaar de bak in, maar goed, het is overheid dus meer dan een "foei" zal het niet worden ben ik bang.
Ik wil niks afdoen aan het schandaal maar ik kan ook niet ontkennen dat het een lastige situatie is. Zoals wel vaker bijten veiligheid en gemak elkaar. Het is best moeilijk om te zorgen dat documenten niet gekopieerd kunnen worden. Systemen die dat proberen worden al snel onhandig en omslachtig. De natuurlijke neiging van gebruikers is dan om langs het systeem heen te werken zodat je werk af komt. Professionals zouden dat niet moeten doen, maar houd het maar eens tegen. Iedere extra maatregel die je neemt maakt het systeem nog lastiger om mee te werken.
Het is alsof je moet rondlopen met met een loden bal aan ieder been maar zonder de ketting. Bij iedere stap moet je zelf de bal oppakken en verplaatsen. Ik snap dat er dan mensen zijn die af en toe de bal laten liggen
Niet vervelend bedoeld, maar veiligheid en gemakt hoeven elkaar helemaal niet te bijten. Zelf werk ik (momenteel nog onbetaald) bij een zorgorganisatie welke zorgt dat werknemers (zolang ze met Internet verbonden zijn) altijd bij hun werk kunnen, alle mobiele apparaten die eigendom zijn van de zorgorganisatie en in uitleen zijn hebben 3G/4G en er zit een rits zichtbare en minder zichtbare electronische beveiligingsmaatregelen op.

(Zitten er nog gaten in? Ja - maar dat heeft helaas met bepaalde contracten/programma's te maken. Managementkeuze)

Waarom zou een internationale politieorganisatie iets dergelijks ook niet kunnen?

Ze zullen vast wel experts in huis hebben die een cloud-oplossing kunnen bouwen en kunnen zorgen dat lees- en kopieerrechten beperkt zijn waar nodig.
Dit dus. Bij elk beveiligingslek gaat dit zo. Er wordt foei gezegd en 'niet meer doen he' en dat is. Er zitten toch geen consequenties aan. Op zo'n manier gaan mensen het nooit serieus nemen.

Daarnaast is het sowieso al dubieus dat het in eerste instantie al mogelijk is om deze informatie op device te kopiëren die buiten het beheer van de Nationale Politie ligt. Dat zou uberhaubt niet mogen kunnen.
Een werknemer opsluiten slaat nergens op. Onkunde is geen strafbaar feit voor een persoon, maar voor een bedrijf/instantie als geheel.

Mensen nemen het pas serieus als iedereen in het bedrijf het serieus neemt. Het is aan het management om die bedrijfscultuur te kweken.
Maar het lekken van (staats)geheimen is zeer zeker wel strafbaar, ook als werknemer van een dergelijke organisatie. Dus een gevangenisstraf is helemaal niet ondenkbaar (hoewel het wel een erg vergaande maatregel is).
Toch, je hebt in dit geval nog geluk dat het onkunde was. Ik las vanochtend ook ergens dat er een mol was opgepakt bij de Duitse veiligheidsdienst. Zoals Neko Koneko hieronder zegt is het te gek voor woorden. Maar ze komt er waarschijnlijk met een 'foei' vanaf omdat het eigenlijk de fout is van Europol zelf. Het feit dat het ongemerkt kan en bij een dergelijk bedrijf niet dichtgetimmerd is valt in mijn ogen Europol volledig aan te rekenen.

Het feit dat er nog steeds bedrijven zijn die harde schijven, camera's, routers etc. uitleveren zonder wachtwoord is een cultuur die dergelijke bedrijven valt aan te rekenen. Daarna in tweede plaats de overheid die met slechte voorlichting dit niet echt tegengaat. En dan als laatste de domme consument.
Anoniem: 112442 @Reteip30 november 2016 12:51
Toch, je hebt in dit geval nog geluk dat het onkunde was. Ik las vanochtend ook ergens dat er een mol was opgepakt bij de Duitse veiligheidsdienst.
Dat klopt en die heeft de veiligheidsdienst zelf ontmaskert, wat ik positief vind.
Op zich gebeuren zo'n zaken, dit kun je niet voorkomen.Mensen kunnen zaken heel goed verborgen houden en ze kunnen tussen tijds ook veranderen.
Bij heel veel bedrijven moet produktie- en soms ook gewoon kantoorpersoneel door een detectie-poortje het bedrijf verlaten.
Dit geldt bij al de bedrijven waar ik mee te maken heb persé NIET voor management/financiën en IT afd.

Hiermee kweek je ook draagvlak voor kontroles bij het gewone klootjesvolk onder het personeel... ;)
Bij grove nalatigheid kan hoofdelijke aansprakelijkheid (nalatige medewerker straffen) best helpen.
[...]

Oh ja, leg het probleem maar bij de fabrikanten, Maar intussen willen wij wel diezelfde onbekwame politiemensen toegang geven tot al onze apparaten via "Hack voorstellen" en de inlichtingendiensten zo veel mogelijk data van alle Nederlanders laten inzien waarbij het wachten is tot dat precies hetzelfde gebeurd als hier.

www.stophethackvoorstel.nl
1) Je weet niet wie de "onbekwame" politiemedewerkster was.
2) Je weet niet je mag aannemen dat deze politiemedewerkster dit wist. Of er voorlichting op dit gebied plaatsvond/vind.


IMO is het aan de leiding, van ik neem aan de Nederlandse tak, van Europol om mensen te scholen en ook te controleren op wat ze naar huis nemen.
Waarom mogen mensen überhaupt zo'n zaken naar buiten nemen.

Tav van iOmega en consorten het zou verboden moeten worden dat deze devices zich default op een cloud aanmelden. Dit zou nooit de default setting mogen zijn, net als het ontbreken van een wachtwoord. Het wachtwoord zou geen effect hebben gehad als de NAS zich niet als cloud device gedragen had.
De meeste mensen hebben er helemaal geen weet van dat dit niet veilig is. Het is hun vakgebied ook niet.
[...]


1) Je weet niet wie de "onbekwame" politiemedewerkster was.
2) Je weet niet je mag aannemen dat deze politiemedewerkster dit wist. Of er voorlichting op dit gebied plaatsvond/vind.
[...]
De meeste mensen hebben er helemaal geen weet van dat dit niet veilig is. Het is hun vakgebied ook niet.
1) Ik weet inderdaad niet wie dit is geweest, het is dan ook niet bedoeld als aanval op de persoon maar op de algemene staat van IT-kennis bij de Politie (en andere bedrijven maar dat valt buiten de context). Dit is meermaals teruggekomen in artikelen onder andere op Tweakers en recent ook nog als kritiek geuit richting het hackvoorstel.

2) Rechercheurs, en andere betrokkenen, tekenen een Non-Disclosure Agreement alvorens ze dergelijk vertrouwelijke documenten te zien krijgen. In deze verklaring geef je aan dat je er zorg voor draagt dat de inhoud van de vertrouwelijke document op geen enkele manier openbaar gemaakt wordt aan buitenstaanders. Hierdoor zet zij haar eigen baan op het spel door documenten zo maar mee te nemen buiten de beveiligde werkomgeving en kun je wel enig initiatief verwachten om er voor te zorgen dat dit veilig gebeurd indien het noodzakelijk is. Daarnaast kun je ook overleggen met je werkgever óf en hóe het is toegestaan om documenten mee te nemen in plaats van dit, waarschijnlijk tegen de NDA in, toch te doen.

Daarbuiten zou je van een instantie als Europol toch zeker wel voorlichting op dit gebied mogen verwachten. Als de minister al geen statistieken van het tappen van de AIVD kan vrijgeven dan moeten toch zeker strafrechtelijke onderzoeken in verband met terrorisme zéér strikt beveiligd worden? En aangezien we weten dat niet iedereen voldoende IT-kennis heeft is een doorlopende voorlichtingscampagne een van de eerste maatregelen om te nemen.
[...]

1) Ik weet inderdaad niet wie dit is geweest, het is dan ook niet bedoeld als aanval op de persoon maar op de algemene staat van IT-kennis bij de Politie (en andere bedrijven maar dat valt buiten de context). Dit is meermaals teruggekomen in artikelen onder andere op Tweakers en recent ook nog als kritiek geuit richting het hackvoorstel.

2) Rechercheurs, en andere betrokkenen, tekenen een Non-Disclosure Agreement alvorens ze dergelijk vertrouwelijke documenten te zien krijgen. In deze verklaring geef je aan dat je er zorg voor draagt dat de inhoud van de vertrouwelijke document op geen enkele manier openbaar gemaakt wordt aan buitenstaanders. Hierdoor zet zij haar eigen baan op het spel door documenten zo maar mee te nemen buiten de beveiligde werkomgeving en kun je wel enig initiatief verwachten om er voor te zorgen dat dit veilig gebeurd indien het noodzakelijk is. Daarnaast kun je ook overleggen met je werkgever óf en hóe het is toegestaan om documenten mee te nemen in plaats van dit, waarschijnlijk tegen de NDA in, toch te doen.

Daarbuiten zou je van een instantie als Europol toch zeker wel voorlichting op dit gebied mogen verwachten. Als de minister al geen statistieken van het tappen van de AIVD kan vrijgeven dan moeten toch zeker strafrechtelijke onderzoeken in verband met terrorisme zéér strikt beveiligd worden? En aangezien we weten dat niet iedereen voldoende IT-kennis heeft is een doorlopende voorlichtingscampagne een van de eerste maatregelen om te nemen.
Was het tekenen van de NDA ook in de periode 2006 en 2008 het geval. Tevens zegt een NDA dat je informatie niet mag delen. Maar niets over opslag, in dit geval op een NAS.
Tevens hadden mensen en organisaties in die tijd veel minder kennis van het internet en veiligheid.
Het overkomt natuurlijk niet alleen onbekwame politiemensen, maar ook onbekwame accountants die een hele bedrijfsadministratie zo publiceren, of onbekwame artsen die patienten gegevens zo laten uitlekken. Een strategie van verschillende sporen (scholing, regels over data meenemen naar huis, maar ook fabrikanten die datadragers niet standaard openlijk voor de wereld toegankelijk maken) is het meest effectieve.
En tja, wat heb je aan een hackwetgeving als alle data toch al op straat ligt? Als we privacy willen dan is het effectiever te strijden tegen dit soort slechte apparaten, privacy schendende internetreuzen dan tegen hackwetgeving.
Begrijp me niet verkeerd, ik ben zeker voor een voorstel om een hogere standaardbeveiliging te verplichten op apparaten zoals data-dragers en smarthome. Maar de nadruk in dit artikel, voornamelijk van deze hoogleraar, wordt gelegd op de fout bij de fabrikant in plaats van eigen verantwoording van de werknemer of Europol die het kopiëren van vertrouwelijke gegevens naar USB-stick/online platform in de gaten had moeten houden.
Je kan als organisatie maar zover gaan om de boel te beveiligen, er moet immers wel gewerkt kunnen worden en dat moet met dit type data ook vaak heel snel gaan. En natuurlijk zijn er procedures die het verbieden vertrouwelijke data op eigen apparatuur te plaatsen. Maar regels worden gebroken (anders hadden we geen eens politie nodig). Dus als vangnet zou het niet verkeerd zijn als de standaard uit de doos instelling van consumenetenapparatuur op veilig in plaats van op gemakkelijk gezet zou worden. Dat zal de fabrikanten wat meer support kosten maar kan de klant heel veel ellende besparen.
Sterker nog, deze burgervaders en burgermoeders kunnen gewoon het IP adres van "Tweekzor" opvragen, en vervolgens bij je NAW gegevens.

Wat hier is gebeurd is een opeenstapeling van wel heel veel fouten. De data is niet versleuteld, de data is ontvreemd (ja, dat is wat is gebeurd), de data is gedeeld op het locale thuisnetwerk, en blijkbaar was de data ook gedeeld op het internet.

Het gebrek aan een wachtwoord is slechts 1 van de vele problemen. En het is natuurlijk maar de vraag of het dan wel veilig was. Als de medewerker de data niet had meegenomen dan was dit ook niet gebeurd.
je haalt me de woorden uit de mond .
t word aleen maart leuker voor de criminele hacker met al die achterdeurtjes!
Ik vraag mij wel af hoe de schijf zomaar via internet te benaderen is. Maakt hij automatisch verbinding met de cloud? Zonder dat je daar als gebruiker veel handelingen voor met doen?
Want ik mag toch aannemen dat iemand die te dom is om een wachtwoord op de schijf te zetten ook te dom is om portforwaring in te stellen ;)
Misschien dat de schijf gebruik maakte van UPnP?
upnp misschien?
UPnP comes enabled by default on many new routers. At one point, the FBI and other security experts recommended disabling UPnP for security reasons. But how secure is UPnP today? Are we trading security for convenience when using UPnP?

UPnP stands for “Universal Plug and Play.” Using UPnP, an application can automatically forward a port on your router, saving you the hassle of forwarding ports manually. We’ll be looking at the reasons people recommend disabling UPnP, so we can get a clear picture of the security risks.

[Reactie gewijzigd door walteij op 25 juli 2024 03:52]

Nee daar heb je zoekmachines voor , deze diensten indexeren camera's printers nas hdds etc...
kijk eens https://www.shodan.io/

[Reactie gewijzigd door bluegoaindian op 25 juli 2024 03:52]

Anoniem: 636203 30 november 2016 11:43
Dat is reden voor ontslag op staande voet, toch?
Ik vind het zelfs reden genoeg voor een korte gevangenisstraf. Dus ja, ik mag hopen dat de betreffende vrouw op staande voet ontslagen is en nooit meer in de buurt mag komen van een computer waar persoonsgegevens van derden op staan.
Ze werkte voor dit incident in het nieuws kwam al niet meer bij Europol, maar inmiddels bij de Nationale Politie.
De medewerkster is al niet meer in dienst bij Europol. Wellicht nog wel bij de nationale politie waar zij eerder werkte, maar daar heeft zij niets fout gedaan.
Dus ontslag is niet van de orde, maar wellicht een vervolging om lekke van staatsgeheimen wel.

[Reactie gewijzigd door walteij op 25 juli 2024 03:52]

Anoniem: 636203 @walteij30 november 2016 12:09
Als je tegen de regels dit soort extreem geheime informatie mee naar huis neemt en ook nog eens op een onbeveiligd systeem zet wat benaderbaar is via internet voor iedereen in de wereld (letterlijk) dan vind ik dat toch wel een reden voor ontslag hoor.
Als je nog in dienst bent bij de partij die eigenaar is van de documenten wel ja, maar dat is in dit geval dus niet zo. Ze kunnen haar simpelweg niet ontslaan, omdat ze al uit dienst is.
Ik kan me echter voorstellen dat haar huidige werkgever (zeer waarschijnlijk weer een nationale politie dienst) haar nu wel even erg duidelijk de wacht aan zet,
Anoniem: 636203 @walteij30 november 2016 13:23
Ze hadden haar toen direct moeten ontslaan.
Als het lekken pas bekend is geworden na haar vertrek zal dat lastig zijn nietwaar? Ze was tot begin dit jaar in dienst. Een dergelijk onderzoek, zelfs al loopt het in meerdere landen, zou niet langer dan 6 maanden mogen duren (en zelfs dat is dan al erg lang), dus ze was zeer waarschijnlijk al weg voordat het lek boven kwam.
Als het lekken pas bekend is geworden na haar vertrek zal dat lastig zijn nietwaar? Ze was tot begin dit jaar in dienst.
Aanklagen en vervolgen wegens ontvreemding / diefstal van gegevens, kan dat alsnog. ? Reeds vertrokken maakt niet dat je niet schuldig was.

Grijp d'r.. ;)
Ja, dat zei ik ook al enkele reacties hierboven (zelfde draadje).
Dus ontslag is niet van de orde, maar wellicht een vervolging om lekke van staatsgeheimen wel.
Bizar dat het gebeurd is, maar ik vraag me dan af: Hoe is dit aan het licht gekomen??

Iemand heeft die data (online?) gezien en aan Zembla door gestuurd?

Data is te kopieren : =dom
Op een USB schijf zetten : = dom
Meenemen naar huis : = dom
Delen via internet: = dom

Maar hoe weet je nu dat op IP adres XXXXXXXX in mapje abcd, deze data staat?
Word door Zembla van elke werknemer van Europol dagelijks alle poorten gescand ?
Word door Zembla van elke werknemer van Europol dagelijks alle poorten gescand ?
Waarschijnlijk niet alleen door Zembla. En waarschijnlijk niet alleen werknemers van Europol. Waarschijnlijk zijn er wel 1000en hackers die dagelijks poorten van miljoenen apparaten scannen om te kijken of daar mogelijk wat te vinden valt.
Thans, maar net ook de uitzending gezien , maakt het eea. iets duidelijker
Bizar dat er geen alarm is gegenereerd dat iemand zulke belangrijke bestanden lokaal opslaat op een laptop. Dan hadden ze haar meteen in de kraag kunnen vatten en dit lek kunnen voorkomen.
Daarbij hoort zij blijkbaar totaal niet thuis op zo'n belangrijke plek als ze zo onvoorzichtig met documenten omgaat.
deze data had nooit gekopieerd mogen worden. Het licht eerder aan de IT beheerder, het is gewoon heel dom om mensen bestanden te laten kopiëren uit het systeem op hun eigen apparaten.

[Reactie gewijzigd door Anoniem: 768593 op 25 juli 2024 03:52]

Tja en jij denkt dat gebruikers dom zijn ? Bij ons proberen ze ook van alles af te schermen en denk je dat je nooit data naar buiten krijgt.
Er zijn zoveel manieren om dit te regelen.
Hernoem bestanden en mail het, wetransfer etc etc..
Dus je kan wel zeggen het ligt aan de IT beheerder.. Lekker kort door de bocht.

Het enige wat je zou kunnen doen is data binnen je netwerk zetten en 0,0 verbinding met internet of andere externe systemen te maken. En denk je dat dat 100% lukt ?
Succes met de " positieve" reacties richting de IT-beheerder als je dit zo inricht..
Mail kan je tegengaan door DPL te gaan gebruiken. WeTransfer en consorten kan je voorkomen door dat in de firewall te blokkeren.
Er zijn genoeg tools om dit soort stupide dataleks te voorkomen maar die kosten geld. En geld is meestal iets wat het management niet wil uitgeven aan it security. Zolang die mentaliteit zo blijft zal je dit blijven houden.
Firewals kun je altijd omzijlen met encryptie of obsurification.
Dit is een te gevaarlijke maatregel, tenzij je gebruik maakt van laagspanningsverlichting. Je wilt ook weer niet hebben dat de IT-beheerder wordt geëlektrocuteerd, want dan kan deze functionaris helemaal niets meer oplossen.
De IT-beheerder volgt beleid. Het is alleen dom van hem als het beleid stelde dat er niet gekopieerd mocht worden.
Hoezo niet, dat zou hypocriet zijn. Onze overheid gelooft in 'if you have nothing to hide...' en brengen dat ook zelf in de praktijk, dit is zeker al het derde incident van overheidstransparantie in de veiligheidsbranche dit jaar :+
Hoogleraar computerbeveiliging Herbert Bos noemt het incident een 'gigantische blunder' en pleit tijdens de uitzending, die op woensdag om 21.15 bij de VARA plaatsvindt, voor wetgeving die fabrikanten aansprakelijk maakt voor beveiligingslekken in hun producten.
Maar het ging in dit geval helemaal niet om een beveiligingsLEK. Het was gewoon een gebruiker die geen wachtwoord ingesteld had, dat is geen lek.
Natuurlijk is dat wel een beveilingslek, het feit dat je die schijf aan het internet kon hangen zonder verplichte beveiliging is een fout (die inmiddels hersteld is) van de fabrikant.
Het echte lek was dat iemand die gegevens mee kon nemen zonder toestemming. Alles wat er daarna gebeurd is gewoon onfortuinlijk.

Je kan onmogelijk verwachten dat fabrikanten verantwoordelijk worden gehouden voor lekken in hun apparatuur. Dan kunnen ze de toko wel sluiten. Want je kunt nog zo'n goed product afleveren, vroeg of laat hackt iemand dat ding en wordt je verantwoordelijk gesteld. Want ja, ook bugs in de software/hardware zijn beveiligingslekken.
Als ik zo'n ding zonder beveiliging aan mijn interne netwerk wil hangen (zonder internet, maar dat weet dat ding niet perse), of als publieke fileserver wil gebruiken: dan moet ik dat lekker zelf weten. Niets verplichtingen. ;)

Als mevrouw de handleiding niet leest en er roekeloos data opgooit, is dat geen lek bij de fabrikant. Volgens mij waarschuwt dit apparaat namelijk wel degelijk dat je een wachtwoord moet wijzigen/instellen voor je veiligheid. :X
Als ik zo'n ding zonder beveiliging aan mijn interne netwerk wil hangen... dan moet ik dat lekker zelf weten.
Precies. Dat moet jij weten. Dat moet een bewuste beslissing zijn. Als jij een onwetende noob zou zijn en je hangt dat ding zonder te weten wat je doet aan de verkeerde poort van de router en verandert niets aan de instellingen en voor jou lijkt het apparaat correct en gemakkelijk te werken dan is er wel iets verkeerd met de wijze waarop de fabrikant het apparaat aflevert.
Dus Snowden veroorzaakte ook geen beveiligingslek bij de NSA ?
Jawel, want hij lekte echt gegevens uit, net als dat die dame in kwestie hier het lek is. iOmega heeft hier echter niets verkeerd gedaan, het is de gebruiker die geen wachtwoord op z'n schijf heeft gezet.
Snowden is in deze zelf het lek. :P
Je kan de keuzes van een individu die volledig vertrouwen heeft, een security clearance dus, niet bepaald een lek in het opslagsysteem noemen... Want dan kan je net zo goed de data zo opslaan dat niemand er ooit bij kan, en de hele NSA opdoeken. Nu kan je mensen vertrouwen als security design flaw zien, maar ze kunnen niet echt anders. :/ Ik vind dat niet kwalificeren als "lek in de opslagmethode", maar eerder een lek door vertrouwensbreuk en misbruik maken van de macht/toegang. (Ik veroordeel Snowden niet overigens, zijn bedoelingen waren goed en terecht. :))

Als je dan wil spreken van een lek, dan zat het dus niet in de manier van data opslaan bij de NSA - maar zat het lek intern bij een medewerker. Met de opslag was weinig mis... Hier deed het apparaat ook z'n werk, de eigenaresse was immers zo dom om de beveiliging uit te zetten of niet te activeren. Dat kan je de hardware niet aanrekenen, enkel de gebruiker. Dus nee: het lek zat niet bij de fabrikant, maar bij de gebruiker - net als bij Snowden dus.
Anoniem: 582717 30 november 2016 11:01
Security awareness kan wat beter bij Europol. Je zou verwachten dat ze bij Europol wel beter moeten weten en hun medewerkers goed instrueren. En natuurlijk kan je het ook dichtzetten door bijvoorbeeld usb poorten dicht te zetten en NAC te gebruiken voor toegang van de devices, maar kennelijk hebben ze dat soort maatregelen niet.
Dat is dus volledig onduidelijk.
Voor hetzelfde geld is er wel een goede medewerkersinstructie, worden er alleen encrypted USB sticks toegestaan, loopt er een harde audit trail etc, maar heeft de betreffende medewerker gewoon lak aan alle regels en kopieert ze de data toch, tegen alle afspraken in op een niet beveiligd apparaat.
Als je je huis niet op slot doet en er wordt ingebroken krijgt de aannemer die je huis heeft gebouwd dan ook een boete? of hoe zit dat?
Alleen als ze zeggen "dit slot is veilig" en het blijkt helemaal niet veilig te zijn.
Als het slot niet gebruikt is niet nee.
Als het slot veilig is en ze zeggen dat, maar jij doet hem niet op slot... dan kun je die aannemer verwijten wat je wil, maar dan heb je het echt zelf gedaan
Nee, want dan ben je zelf verantwoordelijk voor het niet afsluiten van je huis. Zelfde als je je computer ontgrendeld achter laat.

In de meeste gevallen weten gebruikers helemaal niet dat er een standaard wachtoord op een NAS zit. Ik vind dat de fabrikant verantwoordelijk is om de gebruiker te attenderen op een beveiligingslek, waaronder een standaard of geen wachtwoord.
Als je je huis niet op slot doet en er wordt ingebroken krijgt de aannemer die je huis heeft gebouwd dan ook een boete? of hoe zit dat?
Als hij er nep sloten op zet wel lijkt me.


Ik hoef sowieso geen commersiele NAS, omdat IMO zeker de consumenten varianten brakke zooi is die zich vaak direct met het internet willen verbinden.
Ik bouw mijn stageserver zelf en anders zou ik bijvoorbeeld FreeNAS gebruiken.
Jeetje wat een geklungel! Die hoogleraar is ook het spoor bijster als je de fabrikant in schuld wilt stellen. Man wat een fouten bij elkaar. Dat soort documenten zou tegen kopiëren moeten beveiligen, gebruikers enkel leesrechten. Of als ze er echt mee werken misschien ook schijfrechten maar dat hangt van de persoon af. Maar niet kopiëren naar een usb. In een gewoon bedrijf kan ik snappen dat dit soort dingen wel gebeuren maar op dit niveau bij Europol :X

De beheerders zijn schuldig aan dit en niet een fabrikant. :) En natuurlijk de persoon die dingen mee naar huis neemt.
Ongelooflijk zeg. Dan werk je bij Europol, en dan laat je zoveel gegevens uitlekken (maakt niet uit of je beveiligingsonderzoeker bent of medewerker van de salesafdeling bent. Je moet gewoon zorgvuldig omgaan met de gegevens van anderen..). :')

Slechte zaak zeg. Ik hoop dat die vrouw nog vervolgd gaat worden, want dit kan natuurlijk gewoon niet. Vanavond de aflevering maar eens bekijken :).

Op dit item kan niet meer gereageerd worden.