Aanvallers hadden toegang tot gegevens van Deloitte-klanten bij hack

Zakelijke dienstverlener Deloitte heeft tegenover The Guardian bevestigd slachtoffer te zijn geweest van een hack. Daarbij hebben aanvallers toegang verkregen tot e-mails van klanten, al is niet bekend om hoeveel klanten het gaat. De aanval richtte zich volgens de krant op de VS-tak.

Onder de getroffen klanten zijn grote bedrijven en onderdelen van de Amerikaanse overheid, weet de krant te melden. Deloitte zou tot nu toe zes klanten hebben ingelicht en is nog bezig met een intern onderzoek dat de naam Windham draagt. Het bedrijf zou de hack in maart van dit jaar hebben ontdekt, maar mogelijk waren de aanvallers al sinds oktober of november van vorig jaar aanwezig op zijn systemen, blijkt verder uit de berichtgeving.

De aanvallers hebben toegang verkregen tot de e-mailserver van Deloitte, die was beveiligd met een enkel wachtwoord en niet was voorzien van tweetrapsauthenticatie, schrijft The Guardian op basis van eigen bronnen. Bij de server gaat het om een Azure-instance. Naast toegang tot e-mails konden de aanvallers onder meer bij gebruikersnamen, wachtwoorden, ip-adressen en gevoelige beveiligingsinformatie komen. De krant schrijft niet op welke manier dit mogelijk was.

The Guardian beschikt over informatie waaruit blijkt dat er mogelijk toegang was tot vijf miljoen e-mails, maar Deloitte claimt dat het om 'een fractie' daarvan gaat. Het bedrijf wilde niet zeggen hoeveel van zijn klanten door het voorval zijn getroffen, maar zei alleen dat het om een klein aantal gaat. Een woordvoerder zegt dat uit het interne onderzoek blijkt 'wat de hackers hebben gedaan en welke informatie daardoor risico liep'.

De krant meldt verder dat de ernst van het voorval tot gevolg had dat alleen hooggeplaatste medewerkers en advocaten erover werden ingelicht. Het zou nog niet duidelijk zijn wie verantwoordelijk is voor de aanval. Deloitte levert verschillende diensten aan klanten, waaronder advies op het gebied van beveiliging. Maandag publiceerde het bedrijf een rapport waarin het inging op de kosten van internetcriminaliteit. De hack volgt op het nieuws van de Equifax-hack, waarbij er toegang was tot de gegevens van 143 miljoen mensen.

IT-banen

Reacties (35)

MumenRider 25 september 2017 15:29

Hoe kan een bedrijf dat advies over veiligheid geeft, een mailserver hebben met een enkel wachtwoord..

418O2 @MumenRider • 25 september 2017 15:31

"Do as I say, not as I do", ofwel, bij de loodgieter thuis lekt de kraan.

[Reactie gewijzigd door 418O2 op 24 juli 2024 19:09]

MumenRider @418O2 • 25 september 2017 15:34

Je zou toch denken dat dit soort bedrijven zulke simpele zaken wel op orde hebben. Toch blijkt keer op keer dat dit niet zo is, alsof het management niet bezig is met veiligheid.

418O2 @MumenRider • 25 september 2017 15:34

Gaat bij leveranciers of testomgevingen ook nog wel eens mis. Is hier niet duidelijk te zeggen. Daarnaast werken er gewoon mensen, die doen ook wel eens wat fout, of buiten de regels om.

axg @418O2 • 25 september 2017 15:41

Dit zou hier ook wel eens gebeurt kunnen zijn. Als werknemer van Deloitte in Nederland kan ik je vertellen dat wij worden doodgegooid met twee/multi trapsauthenticatie. Dat je dit dan niet op een server toepast lijkt mij heel raar.

latka @axg • 25 september 2017 15:45

Dat noem je window dressing: wat zichtbaar is is goed, de rest is poep. Komt vaker voor dan je denkt (en niet alleen bij Deloitte).

gerrit1991 @axg • 25 september 2017 16:49

Het lijkt de laatste maanden inderdaad meer prioriteit te hebben. Als ik dit nieuwsbericht zo lees snap ik nu waarom we er momenteel mee doodgegooid worden!

Verwijderd @MumenRider • 25 september 2017 15:46

Er wordt alleen gezegd dat ze zich bezigen met beveiliging. Die term an-zich is natuurlijk nog vrij breed. Nou gaat het wellicht wel om hun cyber security services maar dat zijn vast niet dezelfde mensen die de beslissing gemaakt hebben rondom deze specifieke mailserver.
Dergelijk grote toko's weten van voren wel vaker niet hoe ze van achter werken... dat is een universeel probleem.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 19:09]

MumenRider @Verwijderd • 25 september 2017 15:51

Nee maar het lijkt mij dat de ervaring die zij op dit gebied hebben ook intern wordt gebruikt?

Meekoh @MumenRider • 25 september 2017 16:44

And that is where you are wrong. In dit soort grote bedrijven is dat echt niet zo vanzelfsprekend

Iblies @MumenRider • 25 september 2017 16:51

Je bedoelt dat (grotere) veranderingen over meerdere lagen moeten,

waardoor je per definitie altijd achter de feiten aanloopt.

Practise what you preach, maar gebeurt zelden.

Verwijderd @MumenRider • 26 september 2017 11:48

Dit soort vanzelfsprekendheid is niet 1 op 1 toepasbaar op grote Enterprises.
Bij kleine bedrijven waar er drie mensen verantwoordelijk zijn voor de IT is die logica allicht toepasbaar, korte lijntjes enzo, maar zo'n gigantische hut heeft net als een olietanker een draaicirkel van heb ik jou daar en migratietrajecten van het één of ander duren rustig maanden/jaren.

Dat cyber security team moet geld opleveren, als ze ze intern aan de slag zetten kost ze dat capaciteit zonder dat het geld opbrengt. Zal ook wel meewegen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 19:09]

Pyrone89 @MumenRider • 25 september 2017 22:53

Deloitte is van oorsprong vooral een accountant. Ja, ze willen de laatste jaren ook meespelen met de IT-jongens, maar buiten accountancy (dus in IT, bedrijfskunde waaronder strategie) hebben ze absoluut niet dezelfde status (Big4) die toch echt van de accountancy-tak is. Maakt het niet minder pijnlijk, maar dat wel even gezegd hebben.

Het is dus niet alsof de accountants hier hebben zitten knoeien. Die houden er weer andere schandalen op na

Malarky @Pyrone89 • 26 september 2017 06:24

Hoe kom je daarbij? Bedrijven als PwC en Deliotte kunnen zich al jaren meten met KPN redteam en FoxIT in diverse hackatons. Niet onlogisch daar er veel personeel van de gespecialiseerde techies is over gestapt.

Je hebt het over strategie. Strategy consulting is weer een hele andere tak binnen de big4. Je haalt 3 verschillende takken van sport door elkaar.

Pyrone89 @Malarky • 26 september 2017 09:00

IT is meer dan alleen wat hackatons.

Bedrijfskunde/Strategie Consulting noemde ik, omdat ze hier ook nogal een hoge pet van zichzelf ophebben, maar de realiteit wil dit ze niet in de buurt komen van de adviseurs van BCG/McKinsey/Bain of in het IT-specifieke geval de research en data van Gartner/Forrester/IDC.

Kortom: er speelt een patroon af dat deze Big4 zich ook heer en meester voelen buiten het vakgebied waar ze daadwerkelijk de beste zijn (accountancy), wat misschien kan verklaren waarom ze denken het wel beter te weten en dit soort dingen gebeuren.

Bron: ervaring binnen de sector inclusief de veelgehoorde meningen van mede-branchegenoten.

[Reactie gewijzigd door Pyrone89 op 24 juli 2024 19:09]

MiesvanderLippe @MumenRider • 25 september 2017 17:07

Kan bijvoorbeeld in het kader van een onderzoek vallen of een ongelukkig gelopen partner deal.

“Zet even deze data op een plek dat Analyse BV erbij kan”

cariolive23 @MumenRider • 25 september 2017 17:22

Ze geven dan wel advies, het zegt niks over de waarde van dit advies laat staan over hun eigen veiligheid. Ik ken vanuit de praktijk geen goede adviezen van hen, alleen wat open deuren die worden ingetrapt. Maar dat is in veel gevallen ook precies wat de opdrachtgever horen wil. Dus wat dat betreft doen ze het goed

O ja, ze rekenen hier meer geld voor dan dat ik in rekening kan brengen

SHVTTR 25 september 2017 15:28

Hebben deze hacks allemaal met elkaar te maken? Of denkt elk bedrijf op dit moment "Laat ik nu maar bekend maken dat het is gebeurd, dan vervalt het een beetje in alle andere hack nieuwtjes".

m24 @SHVTTR • 25 september 2017 15:37

Er is tegenwoordig een meldingsplicht als er persoonsgevens gelekt zijn....

Zer0 @m24 • 25 september 2017 15:52

Die meldingsplicht is er nog lang niet overal. Aangezien het hier om de Amerikaanse tak, en Amerikaanse klanten gaat is onze Nederlandse meldplicht niet van toepassing.

SHVTTR @m24 • 25 september 2017 15:58

Ja, maar die Equifax hack is nou niet bepaald gelijk bekend gemaakt. Dus het is wel heel toevallig dat er nu een vlaag aan hacks bekend gemaakt is.

CAPSLOCK2000

Security
Hack
Netwerk en systeembeheer

@SHVTTR • 25 september 2017 19:57

Hebben deze hacks allemaal met elkaar te maken? Of denkt elk bedrijf op dit moment "Laat ik nu maar bekend maken dat het is gebeurd, dan vervalt het een beetje in alle andere hack nieuwtjes".

Niet echt. Het enige wat de afgelopen jaren veranderd is, is de bereidheid/noodzaak van bedrijven om bekend te maken dat er data gelekt is. Daardoor hoor je er nu steeds meer over. Omdat ze verplicht zijn om het te melden, doen bedrijven nu ook beter hun best om lekken te vinden en dus wordt er ook meer gevonden. Ten slotte is de pers veranderd, vroeger kwamen hacks niet in de krant, dat was het terrein van puisterige pubers en saaie nerds. Tegenwoordig is het "in" en wordt het gepubliceerd als er iets gebeurd is.

Overigens ben ik van mening dat we niet meer dan het topje van de ijsberg zien.
De meeste lekken worden nooit gevonden.
De meeste lekken die wel worden gevonden, die worden niet gemeld bij de toezichthouder.
De meeste lekken die wel worden gemeld bij de toezichthouder komen nooit in de openbaarheid.
De meeste lekken die wel openbaar worden komen niet in de pers.

Ga er dus maar uit dat er voor iedere hack en ieder lek waar je van hoort er nog 99 andere zijn waar je niks van hoort.

Is het dan echt zo'n lekke gatenkaas? Ja.

sjhgvr 25 september 2017 15:40

Aanvallers hadden toegang tot gegevens van Deloitte-klanten bij hack

Wie zegt dat ze deze gegevens niet buitgemaakt hebben, en dus nog steeds toegang hebben?
Dan klopt "hadden" dus voor geen meter.

[edit] Als ik toegang had tot een blokkendoos, en ik heb er toen een aantal gepakt, dan heb ik nu nog steeds toegang tot de blokken.

[edit2] In het hele nieuwsbericht wordt er vanuit gegaan dat er wel degelijk klantgegevens zijn gelekt.
Ik zeg: "Aanvallers hadden toegang tot gegevens?" -Dan hebben ze toegang tot die gegevens.

[Edit3] @ Maestro.mosjuh
I stand corrected. Bedankt voor de uitleg!

[Reactie gewijzigd door sjhgvr op 24 juli 2024 19:09]

MumenRider @sjhgvr • 25 september 2017 15:44

Het lijkt mij dat zodra bekend is dat aanvallers toegang hebben gehad, deze toegang dan ook wordt afgesloten. Waardoor het "hadden" wel klopt.

XIU @MumenRider • 25 september 2017 15:59

Hadden toegang op de servers / hebben nog steeds toegang tot de gestolen gegevens.

Jeroen73 @XIU • 25 september 2017 16:59

Er wordt niet uitgelicht hoeveel bestanden/gegevens gedownload zijn, dus er kan (helaas) helemaal niets gezegd worden over gestolen gegevens, terwijl dat juist het belangrijkste is.

Storm-Fox @sjhgvr • 25 september 2017 16:33

Je hebt gelijk, ondanks dat de hackers geen toegang meer hebben tot de servers, hebben zij zeer
waarschijnlijk nog steeds toegang tot de "oude" data.
Net zoals Wikileaks ook nog steeds toegang heeft tot de duizenden gedownloade DNC Podesta
e-mails waar elke dag nog onthullingen naar boven komen.

Maestro.mosjuh @sjhgvr • 26 september 2017 09:31

Dit taalgebruik is correct (en daarmee jouw opmerking dus niet).

"zij hadden" is (ook) de Onvoltooid verleden tijd-vervoeging (ovt) van hebben:
OVT: "Deze geeft een handeling weer die in het verleden plaatsvond, en waarvan het `afgerond zijn` niet nadrukkelijk aanwezig is." = dus exact wat jij bedoeld en heeft tweakers.net correct gebruikt.

Bron: http://www.mijnwoordenboek.nl/werkwoord/hebben

Jij denkt aan de Voltooid tegenwoordige tijd-vervoeging (vtt) van hebben, maar dat is "zij hebben gehad".

Mastermuppet 25 september 2017 17:47

Allemaal leuk en aardig, maar als iedereen gewoon z'n mail netjes zou versleutelen met pgp is het niet zo'n ramp als hackers binnen dringen op de mail server. Net zoals bij de ouderwetse posterijen beschermt een slot op de brievenbus je maar ten dele tegen misbruik. De post in geheimtaal versturen is dan veel veiliger.

rolandverh @Mastermuppet • 25 september 2017 18:01

Probleempje wordt dan verplaatst naar de plek en manier van opslaan van de private keys. Als er dan een hacker kan inbreken op de server waar de private keys staan, is het weer net zo leesbaar. (Ik ga er voor het gemak vanuit dat die private keys geen wachtwoord nodig hebben, maar zelfs als dat wel zo is, vinden we wel weer een manier om ook die wachtwoorden te vinden).
PGP is inderdaad een heel goede manier om mail/data te beschermen, maar als de private key (of het wachtwoord) verloren gaat, heb je ineens een bak waardeloze data.
Dat is weer een risico.
Overigens, Azure versleutelt alles uitstekend. Het enige waar het hier (waarschijnlijk) is mis gegaan, is het recht van een afzonderlijke 'beheerder' of slecht wachtwoordbeheer (geen 2FA).

rolandverh 25 september 2017 16:45

Het lijkt me goed mogelijk dat de Azure omgeving eerst in een testfase geïnstalleerd was. Op het moment dat het 'in productie' gaat moeten natuurlijk alle maatregelen genomen zijn. Het lijkt me voor de hand liggend dat dan (enkele) accounts niet ingesteld zijn op een verhoogde beveiliging. (Over het hoofd gezien)

Als het gaat over meerdere klanten, moet het dus een account met hogere (admin) rechten geweest zijn.
Ik ga er dan ook even vanuit dat het dus veel meer mailtjes zijn dan een paar miljoen.

De klassieke fouten:
Niet controleren welke accounts allemaal rechten hebben
Niet controleren of de aanmeld-instellingen wel goed staan voor alle accounts
Geen regelmatige herhaling van die controles
Geen controles door andere onderdelen (afdelingen) laten uitvoeren (alles in 1 hand)

Aetje @rolandverh • 26 september 2017 11:37

De klassieke fouten:
Niet controleren welke accounts allemaal rechten hebben
Niet controleren of de aanmeld-instellingen wel goed staan voor alle accounts
Geen regelmatige herhaling van die controles
Geen controles door andere onderdelen (afdelingen) laten uitvoeren (alles in 1 hand)

En de klassieke redenen:
Planning geeft aan dat alle accounts de correcte rechten hebben en instellingen hebben. Dus het is zo, ook al is het niet zo. Het Grote Plan is heilig.
Project heeft deadlines dus als de deadline daar is, is het project klaar want anders geen bonusje voor de projectmanager. Dus klaar of niet klaar, het is gereed voor productie.
Herhaling van controles/audits kosten geld, ben je helemaal gek? Dat kan operationeel beheer er wel bij doen als extra taak, en dan het liefst dezelfde mensen die de systemen al beheren want die hebben ervaring met de systemen.

0xygen500 25 september 2017 17:37

Dat ze toegang hadden tot wachtwoorden, betekend dat dat die niet gehast zijn opgeslagen?

Koenwel 25 september 2017 17:45

Wel grappig vandaag tweemaal nieuws over deloitte.
Eerst lees ik op FD dat MKB slecht beveiligd is:
https://fd.nl/ondernemen/...r-voor-hele-bedrijfsleven

Mocht je niet kunnen openen dan moet je even zoeken op google op alles na FD.nl/
Dan kun je deze gewoon openen.

Maar later zie ik inderdaad dit stuk op de site van the Guardian:
https://www.theguardian.c...ing-clients-secret-emails

Toch apart dat een bedrijf dat komt met een rapport naar de ministerie zelf ook lek is.

ride72 28 september 2017 09:09

Ik lees berichten van Microsoft dat Deliotte op O365 zou zitten. Blijkt maar weer dat beveiliging van O365 lastig is. 2SV bij Microsoft is ook niet in elke licentie aanwezig. Wat ik begrijp is dat juist een administrator account in de microsoft cloud (Azure) gehackt is.
Dan toch liever G Suite voor mij, 2SV gratis in elke licentie. 2SV verplicht van admin accounts. Google partners mogen op kosten van Google security workshops geven bij klanten om belang van security uit te leggen. Van de big 4, zit PwC overigens op G Suite.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: