Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

NCSC haalt tool tijdelijk offline door aanwezigheid persoonsgegevens

Door , 12 reacties, submitter: djwice

Het NCSC heeft een tool offline gehaald die het eerder deze week had gepubliceerd op GitHub. Het gaat om een tool waarmee netwerkverkeer gepseudonimiseerd kan worden voor analyse. Na publicatie bleek dat er persoonsgegevens in de software aanwezig waren.

Het Nationaal Cyber Security Centrum heeft een mededeling op zijn website geplaatst, waarin het schrijft dat 'er in de publicatie persoonsgegevens terug te vinden waren', waarna de tool meteen offline is gehaald. Daarnaast heeft de organisatie melding van het datalek gemaakt bij de Autoriteit Persoonsgegevens. Om wat voor gegevens en om welke hoeveelheid het gaat, maakt het NCSC niet bekend.

De recentelijk gepubliceerde tool, met de naam Privacy Enhanced Filter, was juist bedoeld om de privacy van gebruikers te beschermen. Dit werkt door dns-pakketten in pcap-bestanden te pseudonimiseren via fpe. Daardoor moet het mogelijk zijn om eerder opgevangen netwerkverkeer eerst te ontdoen van identificerende informatie, voordat analyse plaatsvindt.

Het is de eerste tool die het NCSC via GitHub publiceert. In de mededeling laat de organisatie weten dat de software weer beschikbaar komt zodra deze is opgeschoond. Hoeveel personen de software inclusief de persoonsgegevens gedownload hebben, is onbekend.

Reacties (12)

Wijzig sortering
Zoiets kan alleen een overheidsorganisatie overkomen. Het off-line halen hebben ze dan wel weer goed gedaan, voor hetzelfde geld hadden ze de data "verwijderd" met een `git rm persoonlijke-gegevens && git commit -m "oopsy!"`...
Eh, volgens mij kom ik bijna dagelijks op GIT broncode tegen met persoonsgegevens er in. Denk aan [naam, e-mailadres, twitter handle, opdrachtgever, productie data als testdata].

Het is inderdaad uniek dat een organisatie dit zo snel opmerkt en actie onderneemt.

Het is nog unieker dat de intentie om de code publiek te maken niet wijzigd door angst. Waarna er nooit meer code wordt gedeelt met de gemeenschap.

Dus vanuit mijn oogpunt; niets dan lof voor NCSC. Goede nuttige software schrijven, deze open source beschikbaar maken op een voor ontwikkelaars standaard platform (dus niet ergens op eigen site alleen). Gemelde fout snel bekijken, fout inzien, preventief handelen, publiek toegeven, fout herstellen en achter je visie blijven staan. En opgeschoonde software weer delen.

Vindt maar eens een grote corporate die vergelijkbaar handeld. Dus nog knapper als je dit kunt binnen de overheid.

[Reactie gewijzigd door djwice op 29 april 2017 14:33]

Zoiets kan alleen een overheidsorganisatie overkomen.
Geloof je dit werkelijk?

Maar goed, ontzettend knullig is het zeker. Ik ben wel benieuwd om wat voor data het uiteindelijk gaat c.q. wat de impact was.
Zou je daar juist niet benieuwd naar moeten zijn? Het gaat tenslotte om persoonsgegevens.
Het verschil in type persoonsgegevens lijkt me cruciaal om de impact te bepalen, zonder kennis te nemen van de inhoud van de data zelf.
Hij bedoelt gewoon dat het typisch is dat het een overheid betreft :+
Dit is meer dan ironisch... Privacy Enhancer die persoonsgegevens bevat. Serieus? Denk je ooit: "tof onze overheid zet was op GitHub, hoe vooruitstrevend!".
8)7 8)7
Ben eigenlijk benieuwd hoeveel man het project geforked hebben, ik heb er tot dus ver maar 1 kunnen vinden. :)
Ik mag toch hopen dat het NCSC de personen om wiens gegevens het gaat, wel informeert. En verder dient er een melding te worden gedaan naar de Autoriteit Persoonsgegevens.

Overheidsorganisaties dienen hier het voorbeeld te geven.
Daarnaast heeft de organisatie melding van het datalek gemaakt bij de Autoriteit Persoonsgegevens.
Stond al in het artikel dat er al een melding van is gemaakt.
Ben wel benieuwd wat voor persoonsgegevens in een softwaretool aanwezig kunnen zijn.
Gokje, een TCP-dump als dummy met echte persoonsgegevens....

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*