×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Aanvallers hadden toegang tot gegevens van Deloitte-klanten bij hack

Door , 35 reacties, submitter: jp

Zakelijke dienstverlener Deloitte heeft tegenover The Guardian bevestigd slachtoffer te zijn geweest van een hack. Daarbij hebben aanvallers toegang verkregen tot e-mails van klanten, al is niet bekend om hoeveel klanten het gaat. De aanval richtte zich volgens de krant op de VS-tak.

Onder de getroffen klanten zijn grote bedrijven en onderdelen van de Amerikaanse overheid, weet de krant te melden. Deloitte zou tot nu toe zes klanten hebben ingelicht en is nog bezig met een intern onderzoek dat de naam Windham draagt. Het bedrijf zou de hack in maart van dit jaar hebben ontdekt, maar mogelijk waren de aanvallers al sinds oktober of november van vorig jaar aanwezig op zijn systemen, blijkt verder uit de berichtgeving.

De aanvallers hebben toegang verkregen tot de e-mailserver van Deloitte, die was beveiligd met een enkel wachtwoord en niet was voorzien van tweetrapsauthenticatie, schrijft The Guardian op basis van eigen bronnen. Bij de server gaat het om een Azure-instance. Naast toegang tot e-mails konden de aanvallers onder meer bij gebruikersnamen, wachtwoorden, ip-adressen en gevoelige beveiligingsinformatie komen. De krant schrijft niet op welke manier dit mogelijk was.

The Guardian beschikt over informatie waaruit blijkt dat er mogelijk toegang was tot vijf miljoen e-mails, maar Deloitte claimt dat het om 'een fractie' daarvan gaat. Het bedrijf wilde niet zeggen hoeveel van zijn klanten door het voorval zijn getroffen, maar zei alleen dat het om een klein aantal gaat. Een woordvoerder zegt dat uit het interne onderzoek blijkt 'wat de hackers hebben gedaan en welke informatie daardoor risico liep'.

De krant meldt verder dat de ernst van het voorval tot gevolg had dat alleen hooggeplaatste medewerkers en advocaten erover werden ingelicht. Het zou nog niet duidelijk zijn wie verantwoordelijk is voor de aanval. Deloitte levert verschillende diensten aan klanten, waaronder advies op het gebied van beveiliging. Maandag publiceerde het bedrijf een rapport waarin het inging op de kosten van internetcriminaliteit. De hack volgt op het nieuws van de Equifax-hack, waarbij er toegang was tot de gegevens van 143 miljoen mensen.

Door Sander van Voorst

Nieuwsredacteur

25-09-2017 • 15:25

35 Linkedin Google+

Submitter: jp

Reacties (35)

Wijzig sortering
Hoe kan een bedrijf dat advies over veiligheid geeft, een mailserver hebben met een enkel wachtwoord..
"Do as I say, not as I do", ofwel, bij de loodgieter thuis lekt de kraan.

[Reactie gewijzigd door Catch22 op 25 september 2017 15:32]

Je zou toch denken dat dit soort bedrijven zulke simpele zaken wel op orde hebben. Toch blijkt keer op keer dat dit niet zo is, alsof het management niet bezig is met veiligheid.
Gaat bij leveranciers of testomgevingen ook nog wel eens mis. Is hier niet duidelijk te zeggen. Daarnaast werken er gewoon mensen, die doen ook wel eens wat fout, of buiten de regels om.
Dit zou hier ook wel eens gebeurt kunnen zijn. Als werknemer van Deloitte in Nederland kan ik je vertellen dat wij worden doodgegooid met twee/multi trapsauthenticatie. Dat je dit dan niet op een server toepast lijkt mij heel raar.
Dat noem je window dressing: wat zichtbaar is is goed, de rest is poep. Komt vaker voor dan je denkt (en niet alleen bij Deloitte).
Het lijkt de laatste maanden inderdaad meer prioriteit te hebben. Als ik dit nieuwsbericht zo lees snap ik nu waarom we er momenteel mee doodgegooid worden!
Er wordt alleen gezegd dat ze zich bezigen met beveiliging. Die term an-zich is natuurlijk nog vrij breed. Nou gaat het wellicht wel om hun cyber security services maar dat zijn vast niet dezelfde mensen die de beslissing gemaakt hebben rondom deze specifieke mailserver.
Dergelijk grote toko's weten van voren wel vaker niet hoe ze van achter werken... dat is een universeel probleem.

[Reactie gewijzigd door Ton Deuse op 25 september 2017 15:50]

Nee maar het lijkt mij dat de ervaring die zij op dit gebied hebben ook intern wordt gebruikt?
And that is where you are wrong. In dit soort grote bedrijven is dat echt niet zo vanzelfsprekend ;)
Je bedoelt dat (grotere) veranderingen over meerdere lagen moeten,

waardoor je per definitie altijd achter de feiten aanloopt.


Practise what you preach, maar gebeurt zelden.
Dit soort vanzelfsprekendheid is niet 1 op 1 toepasbaar op grote Enterprises.
Bij kleine bedrijven waar er drie mensen verantwoordelijk zijn voor de IT is die logica allicht toepasbaar, korte lijntjes enzo, maar zo'n gigantische hut heeft net als een olietanker een draaicirkel van heb ik jou daar en migratietrajecten van het één of ander duren rustig maanden/jaren.

Dat cyber security team moet geld opleveren, als ze ze intern aan de slag zetten kost ze dat capaciteit zonder dat het geld opbrengt. Zal ook wel meewegen.

[Reactie gewijzigd door Ton Deuse op 26 september 2017 11:53]

Deloitte is van oorsprong vooral een accountant. Ja, ze willen de laatste jaren ook meespelen met de IT-jongens, maar buiten accountancy (dus in IT, bedrijfskunde waaronder strategie) hebben ze absoluut niet dezelfde status (Big4) die toch echt van de accountancy-tak is. Maakt het niet minder pijnlijk, maar dat wel even gezegd hebben.

Het is dus niet alsof de accountants hier hebben zitten knoeien. Die houden er weer andere schandalen op na :+
Hoe kom je daarbij? Bedrijven als PwC en Deliotte kunnen zich al jaren meten met KPN redteam en FoxIT in diverse hackatons. Niet onlogisch daar er veel personeel van de gespecialiseerde techies is over gestapt.

Je hebt het over strategie. Strategy consulting is weer een hele andere tak binnen de big4. Je haalt 3 verschillende takken van sport door elkaar.
IT is meer dan alleen wat hackatons.

Bedrijfskunde/Strategie Consulting noemde ik, omdat ze hier ook nogal een hoge pet van zichzelf ophebben, maar de realiteit wil dit ze niet in de buurt komen van de adviseurs van BCG/McKinsey/Bain of in het IT-specifieke geval de research en data van Gartner/Forrester/IDC.

Kortom: er speelt een patroon af dat deze Big4 zich ook heer en meester voelen buiten het vakgebied waar ze daadwerkelijk de beste zijn (accountancy), wat misschien kan verklaren waarom ze denken het wel beter te weten en dit soort dingen gebeuren.

Bron: ervaring binnen de sector inclusief de veelgehoorde meningen van mede-branchegenoten.

[Reactie gewijzigd door Pyrone89 op 26 september 2017 09:01]

Kan bijvoorbeeld in het kader van een onderzoek vallen of een ongelukkig gelopen partner deal.

“Zet even deze data op een plek dat Analyse BV erbij kan”
Ze geven dan wel advies, het zegt niks over de waarde van dit advies laat staan over hun eigen veiligheid. Ik ken vanuit de praktijk geen goede adviezen van hen, alleen wat open deuren die worden ingetrapt. Maar dat is in veel gevallen ook precies wat de opdrachtgever horen wil. Dus wat dat betreft doen ze het goed }:O

O ja, ze rekenen hier meer geld voor dan dat ik in rekening kan brengen :(
Hebben deze hacks allemaal met elkaar te maken? Of denkt elk bedrijf op dit moment "Laat ik nu maar bekend maken dat het is gebeurd, dan vervalt het een beetje in alle andere hack nieuwtjes".
Er is tegenwoordig een meldingsplicht als er persoonsgevens gelekt zijn....
Die meldingsplicht is er nog lang niet overal. Aangezien het hier om de Amerikaanse tak, en Amerikaanse klanten gaat is onze Nederlandse meldplicht niet van toepassing.
Ja, maar die Equifax hack is nou niet bepaald gelijk bekend gemaakt. Dus het is wel heel toevallig dat er nu een vlaag aan hacks bekend gemaakt is.
Hebben deze hacks allemaal met elkaar te maken? Of denkt elk bedrijf op dit moment "Laat ik nu maar bekend maken dat het is gebeurd, dan vervalt het een beetje in alle andere hack nieuwtjes".
Niet echt. Het enige wat de afgelopen jaren veranderd is, is de bereidheid/noodzaak van bedrijven om bekend te maken dat er data gelekt is. Daardoor hoor je er nu steeds meer over. Omdat ze verplicht zijn om het te melden, doen bedrijven nu ook beter hun best om lekken te vinden en dus wordt er ook meer gevonden. Ten slotte is de pers veranderd, vroeger kwamen hacks niet in de krant, dat was het terrein van puisterige pubers en saaie nerds. Tegenwoordig is het "in" en wordt het gepubliceerd als er iets gebeurd is.

Overigens ben ik van mening dat we niet meer dan het topje van de ijsberg zien.
De meeste lekken worden nooit gevonden.
De meeste lekken die wel worden gevonden, die worden niet gemeld bij de toezichthouder.
De meeste lekken die wel worden gemeld bij de toezichthouder komen nooit in de openbaarheid.
De meeste lekken die wel openbaar worden komen niet in de pers.

Ga er dus maar uit dat er voor iedere hack en ieder lek waar je van hoort er nog 99 andere zijn waar je niks van hoort.

Is het dan echt zo'n lekke gatenkaas? Ja.
Aanvallers hadden toegang tot gegevens van Deloitte-klanten bij hack
Wie zegt dat ze deze gegevens niet buitgemaakt hebben, en dus nog steeds toegang hebben?
Dan klopt "hadden" dus voor geen meter.

[edit] Als ik toegang had tot een blokkendoos, en ik heb er toen een aantal gepakt, dan heb ik nu nog steeds toegang tot de blokken.

[edit2] In het hele nieuwsbericht wordt er vanuit gegaan dat er wel degelijk klantgegevens zijn gelekt.
Ik zeg: "Aanvallers hadden toegang tot gegevens?" -Dan hebben ze toegang tot die gegevens.

[Edit3] @ Maestro.mosjuh
I stand corrected. Bedankt voor de uitleg!

[Reactie gewijzigd door DaPi op 26 september 2017 10:12]

Het lijkt mij dat zodra bekend is dat aanvallers toegang hebben gehad, deze toegang dan ook wordt afgesloten. Waardoor het "hadden" wel klopt.
Hadden toegang op de servers / hebben nog steeds toegang tot de gestolen gegevens.
Er wordt niet uitgelicht hoeveel bestanden/gegevens gedownload zijn, dus er kan (helaas) helemaal niets gezegd worden over gestolen gegevens, terwijl dat juist het belangrijkste is.
Je hebt gelijk, ondanks dat de hackers geen toegang meer hebben tot de servers, hebben zij zeer
waarschijnlijk nog steeds toegang tot de "oude" data.
Net zoals Wikileaks ook nog steeds toegang heeft tot de duizenden gedownloade DNC Podesta
e-mails waar elke dag nog onthullingen naar boven komen.
Dit taalgebruik is correct (en daarmee jouw opmerking dus niet).

"zij hadden" is (ook) de Onvoltooid verleden tijd-vervoeging (ovt) van hebben:
OVT: "Deze geeft een handeling weer die in het verleden plaatsvond, en waarvan het `afgerond zijn` niet nadrukkelijk aanwezig is." = dus exact wat jij bedoeld en heeft tweakers.net correct gebruikt.

Bron: http://www.mijnwoordenboek.nl/werkwoord/hebben

Jij denkt aan de Voltooid tegenwoordige tijd-vervoeging (vtt) van hebben, maar dat is "zij hebben gehad".
Allemaal leuk en aardig, maar als iedereen gewoon z'n mail netjes zou versleutelen met pgp is het niet zo'n ramp als hackers binnen dringen op de mail server. Net zoals bij de ouderwetse posterijen beschermt een slot op de brievenbus je maar ten dele tegen misbruik. De post in geheimtaal versturen is dan veel veiliger.
Probleempje wordt dan verplaatst naar de plek en manier van opslaan van de private keys. Als er dan een hacker kan inbreken op de server waar de private keys staan, is het weer net zo leesbaar. (Ik ga er voor het gemak vanuit dat die private keys geen wachtwoord nodig hebben, maar zelfs als dat wel zo is, vinden we wel weer een manier om ook die wachtwoorden te vinden).
PGP is inderdaad een heel goede manier om mail/data te beschermen, maar als de private key (of het wachtwoord) verloren gaat, heb je ineens een bak waardeloze data.
Dat is weer een risico.
Overigens, Azure versleutelt alles uitstekend. Het enige waar het hier (waarschijnlijk) is mis gegaan, is het recht van een afzonderlijke 'beheerder' of slecht wachtwoordbeheer (geen 2FA).
Het lijkt me goed mogelijk dat de Azure omgeving eerst in een testfase geïnstalleerd was. Op het moment dat het 'in productie' gaat moeten natuurlijk alle maatregelen genomen zijn. Het lijkt me voor de hand liggend dat dan (enkele) accounts niet ingesteld zijn op een verhoogde beveiliging. (Over het hoofd gezien)

Als het gaat over meerdere klanten, moet het dus een account met hogere (admin) rechten geweest zijn.
Ik ga er dan ook even vanuit dat het dus veel meer mailtjes zijn dan een paar miljoen.

De klassieke fouten:
Niet controleren welke accounts allemaal rechten hebben
Niet controleren of de aanmeld-instellingen wel goed staan voor alle accounts
Geen regelmatige herhaling van die controles
Geen controles door andere onderdelen (afdelingen) laten uitvoeren (alles in 1 hand)
De klassieke fouten:
Niet controleren welke accounts allemaal rechten hebben
Niet controleren of de aanmeld-instellingen wel goed staan voor alle accounts
Geen regelmatige herhaling van die controles
Geen controles door andere onderdelen (afdelingen) laten uitvoeren (alles in 1 hand)
En de klassieke redenen:
Planning geeft aan dat alle accounts de correcte rechten hebben en instellingen hebben. Dus het is zo, ook al is het niet zo. Het Grote Plan is heilig.
Project heeft deadlines dus als de deadline daar is, is het project klaar want anders geen bonusje voor de projectmanager. Dus klaar of niet klaar, het is gereed voor productie.
Herhaling van controles/audits kosten geld, ben je helemaal gek? Dat kan operationeel beheer er wel bij doen als extra taak, en dan het liefst dezelfde mensen die de systemen al beheren want die hebben ervaring met de systemen.
Dat ze toegang hadden tot wachtwoorden, betekend dat dat die niet gehast zijn opgeslagen?
Wel grappig vandaag tweemaal nieuws over deloitte.
Eerst lees ik op FD dat MKB slecht beveiligd is:
https://fd.nl/ondernemen/...r-voor-hele-bedrijfsleven

Mocht je niet kunnen openen dan moet je even zoeken op google op alles na FD.nl/
Dan kun je deze gewoon openen.

Maar later zie ik inderdaad dit stuk op de site van the Guardian:
https://www.theguardian.c...ing-clients-secret-emails

Toch apart dat een bedrijf dat komt met een rapport naar de ministerie zelf ook lek is.
Ik lees berichten van Microsoft dat Deliotte op O365 zou zitten. Blijkt maar weer dat beveiliging van O365 lastig is. 2SV bij Microsoft is ook niet in elke licentie aanwezig. Wat ik begrijp is dat juist een administrator account in de microsoft cloud (Azure) gehackt is.
Dan toch liever G Suite voor mij, 2SV gratis in elke licentie. 2SV verplicht van admin accounts. Google partners mogen op kosten van Google security workshops geven bij klanten om belang van security uit te leggen. Van de big 4, zit PwC overigens op G Suite.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*