Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gegevens van autofabrikanten waren vrij toegankelijk door onbeschermde back-up

Een beveiligingsonderzoeker heeft op een back-upserver van Level One Robotics and Controls onbeveiligde gegevens van verschillende autofabrikanten en werknemers van Level One gevonden. Het lek is inmiddels gedicht.

Level One Robotics and Controls logo

De onderzoeker, Chis Vickery, deelde zijn bevindingen met The New York Times. Hij vertelt dat de server niet met een wachtwoord of andere vorm van authenticatie beveiligd was. Iedereen die de server wist te vinden, kon de gegevens downloaden.

Volgens Vickery bestonden de gegevens uit 157GB aan data, waaronder blauwdrukken van een groot aantal autofabrikanten, zoals Fiat Chrysler, Ford, General Motors, Tesla, Toyota en Volkswagen. Daarnaast was er persoonlijke informatie van medewerkers van Level One te vinden, zoals hun rijbewijzen. Er waren zelfs nda's op de back-up aanwezig, die aangaven dat de informatie op de back-up gevoelig was.

Of er ook kwaadwillenden toegang tot de informatie hebben gehad, is niet duidelijk. Vickery heeft vorige week Level One op de hoogte gesteld van het lek en het bedrijf heeft binnen een dag de gegevens offline gehaald.

Door Emile Witteman

Nieuwsposter

21-07-2018 • 10:18

48 Linkedin Google+

Reacties (48)

Wijzig sortering
De dag dat grove nalatigheid strafbaar is, is de dag dat dit eindelijk niet meer met regelmaat gaat voorkomen. Tot die tijd zijn er tenminste 1000x zoveel significante lekken dan dat in het nieuws komt.
De dag dat grove nalatigheid strafbaar is, is de dag dat dit eindelijk niet meer met regelmaat gaat voorkomen. Tot die tijd zijn er tenminste 1000x zoveel significante lekken dan dat in het nieuws komt.
Het is al lang strafbaar, maar er is nauwelijks toezicht of controle.
De meeste mensen zijn totaal niet in staat om de veiligheid van een stuk software te beoordelen en zijn daar ook totaal niet mee bezig. In mijn ervaring zijn zowel klant als verkoper totaal niet bezig met veiligheid. Als er al om gevraagd wordt dan is het meestal zeer abstract "het moet wel veilig zijn, he!".

Daarnaast is er geen feedback-loop rond veiligheid. De meeste programmeurs worden nooit geconfronteerd met hun gebreken. Ten eerste worden ze niet gecontroleerd en ten tweede, nog erger, de meeste lekken worden nooit ontdekt. Als een lek al ontdekt wordt, dan is het maar de vraag of het probleem kan worden teruggeleid tot het juiste stuk software en de verantwoordelijke programmeur.
De programmeurs die ik ken die beveiliging snappen klagen steen en been dat ze niet de tijd krijgen om hun werk goed te doen aangezien hun bazen en klanten er eigenlijk geen geld voor over hebben.
De AVG doet wel veel goed op dit gebied.

Dan heb ik het nog niet gehad over hoe veiligheid geen toestand is maar een proces met eindeloos veel facetten. Het is eigenlijk niet redelijk om van ťťn mens te verwachten dat die alle mogelijke problemen kan overzien, maar dat wordt nu vaak wel verwacht.

Wettelijke eisen beginnen eindelijk indruk te maken, maar er moet nog veel gebeuren.
Het gebrek aan dit soort controle op security is dan ook meteen ingezet als excuus. Volgens de NY Times was een reactie van de director van de samenwerking van fabrikanten die voor meer cybersecurity in de autoindustrie moet zorgen:
Generally, automakers’ top security priority is vehicle risks, she said, such as vulnerabilities that could be used to attack a car’s critical components. Leaked corporate documents aren’t quite as fraught — “I doubt anyone is going to die over it,” Ms. Francy said
Of die directeur weet al exact wat er in die documenten staat en het kan geen schade aan de beveiliging en veiligheid veroorzaken. of het gaat er voor die samenwerking niet om wat cybersecurity precies is zolang je maar kan zeggen dat het wel mee valt en andere dingen belangrijker zijn.
Maar dit soort dingen zijn strafbaar maar daarnaast ook gewoon ontzettend kostbaar. En toch gebeuren ze en nog best regelmatig ook.
Klopt, je mag ook niet harder dan 100/120/130 op de snelwegen en toch doet iedereen dat wel eens...
Je kunt een goed slot op je deur zetten, maar dan is er nog een kans dat piet door de schoorsteen komt...

De regel is dan : Als je een regel niet kan handhaven moet je hem schrappen...

Is dat wenselijk ; nee , waarschijnlijk hier niet
Ga je 100% voorkomen dat het niet voorkomt ; nee, ook niet
Kan je er 100% op handhaven ; ook dat is onwaarschijnlijk

Tja....one of those things…

p.s. nu was dit geval uiteraard best wel ernstig... gaat nog een staartje krijgen

[Reactie gewijzigd door hatex op 21 juli 2018 11:14]

Je kunt de maatschappij niet doorlopend simplificeren door een analogie met autorijden te maken.
130 rijden waar je 120 mag is geen grove nalatigheid waar een gevangenisstraf op zou moeten staan.
Het doorlopend negeren van de veiligheid van gebruikers, door voornamelijk mensen die zich IT professionals noemen, zou zoals gamebuster aangeeft wel eens wat serieuzer bestraft mogen worden.
En een regel niet handhaven wil niet zeggen dat je hem niet kunt handhaven. Bovendien bestaat er ook nog zoiets als fatsoen waar we niet op handhaven maar waarvan we wel verwachten dat iedereen dat heeft.

[Reactie gewijzigd door caipirinha op 21 juli 2018 11:52]

Je kunt de maatschappij niet doorlopend simplificeren door een analogie met autorijden te maken.
130 rijden waar je 120 mag is geen grove nalatigheid waar een gevangenisstraf op zou moeten staan.
Maar als je 50km te hard hebt gereden mag je wel dag zeggen tegen je rijbewijs. Oftewel; als een bedrijf z'n beveiliging bewezen op een manier als deze niet op orde heeft, dan knippen we het kabeltje door en hebben ze geen internet meer totdat ze hun zaakjes wel op orde hebben en er ook een audit voor is geweest die dat bewijst.

Kan het bedrijf dat niet bolwerken en gaat het kapot? Pech. Dan had het sowieso de middelen al niet om met zaken zorgvuldig om te gaan en hadden ze al in beginsel nooit de markt op moeten gaan.


Ander voorbeeld:
Wordt je met een te hoog alcoholpromilage gesnapt bij controle of bij een ongeluk, mag je verplicht op een cursus. En die mag je zelf bekostigen.

Vertaling:
Gaat het personeel van een bedrijf incompetent om met beveiling en wordt het bedrijf daarop betrapt, dan mag het complete personeel op wettelijk verplichte training gestuurd worden, waarvoor het bedrijf zelf de rekening op mag pakken.

[Reactie gewijzigd door R4gnax op 21 juli 2018 12:53]

Er is een probleem met je redenering. Als jij dronken achter het stuur zit, dan heeft dat voor jou persoonlijk gevolgen. In geval van een bedrijf is het niet persoonlijk. Meestal niet. Er zijn geen directe gevolgen voor het personeel, zelfs niet voor de eigenaar. Bij een flinke boete of een verplichte cursus zijn er natuurlijk wel kosten, en hebben invloed op winst en indirect misschien wel op het salaris, maar dat effect is zo vaag dat niemand het direct voelt. En daar loopt jouw redenering spaak.
Er is een probleem met je redenering. Als jij dronken achter het stuur zit, dan heeft dat voor jou persoonlijk gevolgen. In geval van een bedrijf is het niet persoonlijk. Meestal niet. Er zijn geen directe gevolgen voor het personeel, zelfs niet voor de eigenaar. Bij een flinke boete of een verplichte cursus zijn er natuurlijk wel kosten, en hebben invloed op winst en indirect misschien wel op het salaris, maar dat effect is zo vaag dat niemand het direct voelt. En daar loopt jouw redenering spaak.
Het is moeilijk te geloven dat je niet in ziet hoeveel erger deze situatie is dan 1 persoon die dronken achter het stuur gaat zitten. 10 duizenden mensen en diverse overheden hebben hun vertrouwelijke informatie in de digitale kluis gelegd. En het bedrijf heeft er voor gekozen om het in een schuurtje te leggen zonder enige vorm van beveiliging zoals een deur of een hek. Daarna wordt het nog erger; duizenden mensen die jaren lang gewerkt hebben met deze digitale kluis hebben moeten opmerken dat ze helemaal niet hoefden in te loggen en zelfs vanuit hun eigen huis bij de gegevens konden. Heeft niemand van deze mensen een beveiligingsincident ingediend? Of heeft het bedrijf deze meldingen genegeerd?
[...]
Vertaling:
Gaat het personeel van een bedrijf incompetent om met beveiling en wordt het bedrijf daarop betrapt, dan mag het complete personeel op wettelijk verplichte training gestuurd worden, waarvoor het bedrijf zelf de rekening op mag pakken.
En waar in dat plaatje zit de compensatie voor geleden schade van de slachtoffers ( al dan niet fysiek )
Zoals in het artikel, er stonden NDA verklaringen in, waar hoogstwaarschijnlijk zware 'straffen' op verbreking staan ( ontslag, non-compete of zelfs financieel )
Krijgt nu de persoon die dit moet onderteken een 'schadevergoeding' ?
Dit lijkt me even invasive voor mijn privacy, als dat ik de nieuwe VW Ortega zou lekken voor het bedrijf

De boetes gaan naar toezichthouders en overheden, maar de werkelijke slachtoffers ( ik via Dropbox, Bitly, LinkedIn ) krijgen alleen maar 'tips' - zo had je het kunnen voorkomen.
Bullshit, het had niet moeten gebeuren ... ik vertrouwde jou, als bedrijf met meer kennis en ervaring, om mijn data veilig te houden.
[...]


Maar als je 50km te hard hebt gereden mag je wel dag zeggen tegen je rijbewijs. Oftewel; als een bedrijf z'n beveiliging bewezen op een manier als deze niet op orde heeft, dan knippen we het kabeltje door en hebben ze geen internet meer totdat ze hun zaakjes wel op orde hebben en er ook een audit voor is geweest die dat bewijst.

Kan het bedrijf dat niet bolwerken en gaat het kapot? Pech. Dan had het sowieso de middelen al niet om met zaken zorgvuldig om te gaan en hadden ze al in beginsel nooit de markt op moeten gaan.


Ander voorbeeld:
Wordt je met een te hoog alcoholpromilage gesnapt bij controle of bij een ongeluk, mag je verplicht op een cursus. En die mag je zelf bekostigen.

Vertaling:
Gaat het personeel van een bedrijf incompetent om met beveiling en wordt het bedrijf daarop betrapt, dan mag het complete personeel op wettelijk verplichte training gestuurd worden, waarvoor het bedrijf zelf de rekening op mag pakken.
Ja daar ben ik met je helemaal eens, maar dat gaat niet gebeuren en al helemaal niet bij grote bedrijven, die woorden nooit gestraft door regeringen, ja een boete waar ze dubbel om moeten lachen en gewoon weer lekker verder gaan met wat ze aan het doen waren.

Dat is nou het kromme in deze wereld, zelfde met belastingen, grote bedrijven zetten hier hun kantoortje op en ze hoeven zo goed als geen belastingen te betalen, Nederland woord niks voor niks de belastingparadijs genoemd voor grote bedrijven/rijke mensen.

[Reactie gewijzigd door AmigaWolf op 22 juli 2018 13:50]

Ja en nee....
Om een auto te mogen besturen moet je een bepaalde leeftijd hebben, een rijbewijs kunnen overleggen en mag je rijden in een goedgekeurd op naam gesteld, verzekerd, en geregistreerd voertuig, daar is dus al heel veel geregeld, om een computer aan het internet te mogen hangen (nog) niet.
Zo zijn er heeeeel veel computers die door onbekwame mensen vanaf de plank aan het net worden gehangen... in die zin kan je een regel niet handhaven als je niet weet wat, waar en wie. Dat weet je achteraf pas en dan is het te laat.... is straf dan nog wel zinvol genoeg om een effect te bereiken. Interessante discussie....

Onze privacy wetgeving is een stap in de richting om bedrijven niet alleen verantwoordelijkheid te geven, maar vooral ook om inzichtelijk te maken waar men over praat. Dat op zich is al een hele grote eerste stap in een wereld vol IT ontwikkelingen waar heel veel niet bekwame personen rijden op een iets met wielen....

[Reactie gewijzigd door hatex op 21 juli 2018 15:49]

Een overtreding (10 km/u te snel) beboeten is toch handhaving ? Als je loeihard voorbij een radar gaat halen ze je wel van de weg hoor. Lijkt me echt een ongelukkig voorbeeld, want je praat over een makkelijk vast te stellen feit waar de pakkans zienderogen toeneemt (trajectcontrole).

Het valt toch prima te controleren of je ontsluiting voldoet aan een resem eisen, net zoals elk gebouw van elk bedrijf gekeurd is op tich van bouwvoorschriften ?

Zoals ook anderen aangeven, er ontbreekt de wil of visie om hierin te investeren.
Dat zijn anders behoorlijke bedragen, zeker voor kleinere organisaties. Zo iets kan je de kop kosten als onderneming en is ook voor grote bedrijven een risico en enorme afschrijving.
Ligt er aan in welk land je woont...
Singapore heeft vrij zware celstraffen op slechte IT-beveiliging staan en daar zijn net 1,5 miljoen patient gegevens gelekt.
Straffen werkt niet.
Waarom geven we mensen die een misdaad plegen dan toch straf?
Als vergelding en dus genoegdoening voor de slachtoffers, als vergoeding voor de gemaakte kosten, en bij opsluiting om die persoon een tijd te verwijderen uit de maatschappij, zodat ie gedurende die periode niet nog meer schade veroorzaakt.
Vergelding en genoegdoening voor slachtoffers maakt geen deel uit van ons rechtssysteem. In ons rechtssysteem is het oogmerk van straffen in de eerste plaats het beschermen van de samenleving.

Vergelding, wraak, en zo verder zijn geen eigenschappen van een correcte straf. Niet in ons rechtssysteem.

ps. Het vergoeden van gemaakte kosten en schade hoort wel bij de straffen van ons rechtssysteem. Maar dat is geen vorm van wraak. Dat is een vorm van rechtvaardigheid.
Als straffen niet werkt lijkt het me een grove verspilling van belastinggeld.
Als straffen niet werkt lijkt het me een grove verspilling van belastinggeld.
Tja, een definitieve beŽindiging zou theoretisch vruchtbaarder zijn, alleen is dat ook weer niet wenselijk in onze samenleving ;)
Three strikes and you're out .... alleen de keuze begraven of cremeren ...
Straf werkt wel degelijk afschrikwekkend, maar dan vooral voor al die mensen die normaliter geen misdaad begaan - jij en ik dus. Wij zetten heel veel op het spel als we een keer een auto zouden stelen. Stel het zou lukken, we kunnen 'm verkopen, dan verdienen we misschien 5-10 duizend euro voor een dure Audi, want een gestolen auto verkoop je zwaar onder de prijs. Stel je wordt veroordeeld, moet de bak in, raakt je baan kwijt, kan geen leningen meer afsluiten, je familie is kwaad, je vrouw verlaat je.... Het is het simpelweg niet waard.

Voor de niet-criminele mens werken die straffen dus uitstekend. Voor de echte crimineel doen ze weinig. En dan zijn er de daklozen, drugsverslaafden, psychisch zieke en zwakke of zwakbegaafde medemensen die het niet redden en moeten overleven met diefstal. Ook daar werkt het niet voor.

[Reactie gewijzigd door sumac op 21 juli 2018 13:07]

klopt, ik 'ken' een zware crimineel .. by proxy ...

Hij staat momenteel voor de rechter, en weet zijn 'straf' al, tussen de 7 en 10 jaar komt er aan.
Zijn oudste zoon is een paar jaar geleden ( per ongeluk) doodgeschoten, de huidige oudste zit een geweldsdelict uit, nog 2 jaar te gaan en de jongste mag nog 6 maanden in jeugd-detentie verblijven.
De moeder komt uit een kamp-familie, en ziet het allemaal maar aan, "het hoort erbij" zeggen ze daar.
Het is een status, een 'beloning' zelfs die credits geeft, zowel in de bak als erna.
Die gaan nooit meer een kantoorbaan in, zelfs niet als ze zouden functioneren, dat blijft in de subtop meedraaien en over de schouder kijken.

Ik kom al niet meer bij die vrienden, omdat ik niet in aanraking wil komen met de andere kant van de groep, zelfs aanwijzingen dat ik er mee in contact ben, zou mijn eigen werk/omgeving een probleem kunnen opleveren.
Die vrienden hebben al bezoek van recherche gehad over zaken die die anderen zouden kunnen gedaan hebben ... en of er iets bekend zou zijn.
Nee, dan heb je een fijn leven .... wetende dat je onschuldig al in de gaten gehouden wordt, nee dankje
En het ergste van al is dat de persoon die je kent, om normaal te kunnen worden, mensen zoals jou nodig heeft in zijn kennissenkring.

Maar dat vindt de samenleving dan weer niet goed. Want zoals je zelf zegt kan het een probleem opleveren in je eigen werk/omgeving moest er zelfs maar een aanwijzing zijn.

Ik vind je getuigenis hier zelfs moedig. Voor je het weet krijg je een Internet-mob op je dak. Dat is tegenwoordig in (mensen die zich beter dan de Paus wanen die op het Internet, zoals op Twitter, andere mensen lukraak zwartmaken, ervoor zorgen dat ze hun baan kwijtgeraken, en zo verder).

M.a.w. worden de tegenstellingen groter. De getto-samenleving.
Ik weet niet of het groter wordt. Het verandert, maar welke kant op - geen idee. Het voorbeeld hierboven is extreem. Er zitten weinig mensen met de hele familie in de criminaliteit, en wat ik ervanaf weet is dat het niet groeit. Het is een bepaald type mens dat dit doet. En je kunt er zeker uit komen en een redelijk gewoon leven leiden. Niet iedereen uit die families gaat de criminaliteit in, maar een deel dat niet in de criminaliteit werkt zal er wel weer van profiteren, via de familie.

Ik vind dat dit in Penoza mooi duidelijk gemaakt wordt - de criminele familie dus. Hoe je erin rolt, hoe je langzaamaan dieper zakt en er niet meer uit kan komen.
Nu ken ik het hele verhaal niet achter de genoemde personen, maar wel hun 'leefgebied'
Het was per toeval een controlegebied wat ik tijdens mijn surveillance (beveiliging) moest bijhouden.
Vrijwel direct krijg je met ze te maken, ik was een vreemde in hun territorium, maar omdat 'pa' mij herkende, was ik ineens 'de beste' ... no shit ...
Ze kennen mijn vrienden, ze kennen zo dus ook mijn directe gezin en woonplaats.

Het is er nooit van gekomen, ik heb een transfer aangevraagd naar een ander deel van de stad, maar het is o'zo gemakkelijk om al dan niet per ongeluk een keer te laat te komen, of iets niet helemaal af te sluiten.
En zo begint het, kleine dingen die je als huisvader gewoon niet aan wilt gaan.
Op feestjes quasi grappig aangesproken worden over poorten en achteringangen, en tegelijkertijd pronken met bezittingen als bootjes en horloges, vakanties naar verre oorden ...

Nee, ik ben na goed overleg met mijn wederhelft op tijd vertrokken, en heb het mijn vrienden later ook uitgelegd.
Hard, pijnlijk, ja .. ik ken die jongen al 15 jaar, en heeft echt geen kwaad in de zin, maar alleen al "de geur" die achter kan blijven, ben ik bang voor, aangezien het hem ook al is aangeplakt.
Wijs besluit, en moedig dat je het hen ook hebt verteld. Ik weet niet of ik dat had gedaan, maar kan dan ook niet vanuit jouw perspectief daarover oordelen.
Misschien werken de straffen wel maar blijf je af en toe een uitzondering houden. Je kan niet op basis van ťťn lek zeggen dat de wet niet werkt.
"Nederland geeft vrij zware celstraffen op moord en toch zijn er X personen vermoord. Straffen werken niet". Zo staat het toch een stuk gekker, vind je niet?
Appels en peren; in de zakelijke wereld gelden hele andere belangen en worden er keuzes gemaakt waar een individu voor straffen (wat nu gebeurt) een vreemde maatregel is.

Daarnaast is jouw opmerking dus wel degelijk steunend, want blijkbaar is straffen niet voldoende om de motivatie voor alle moorden weg te nemen, wanneer men niet schrikt van de strafmaatregel dan heeft het inderdaad geen enkele zin, anders dan eventuele genoegdoening, waar onze wetgeving niet in voorziet.
De dag dat de mens geen mens meer is en dus geen fouten meer maakt zal dit niet meer voorkomen.
Die geen fouten maakt, maakt meestal niets.
Maar die een heleboel fouten maakt heeft het vaak ook niet begrepen.
of het nou strafbaar is of niet, de klanten van Level One zullen hier nog wel heel leuke gesprekjes over willen hebben! Ik ben blij dat ik niet aan die tafel hoef te zitten...
Inderdaad.

Voor criminaliteiet -opzet- heeft het immers al perfect gewerkt dus voor deze naltigheid door een vergissing zou dit ook net zo effectief moeten zijn lijkt mij.

Of toch niet? O-)
De praktijk wijst immers uit dat alles dat strafbaar is als sneeuw voor de zon verdwijnt. Het is zelfs de oplossing voor ongelukken en onkunde.

Ik stel voor dat we gevangenissen en verzekeringen maar afschaffen. Totaal overbodig zolang we zaken maar verbieden.
Eerst zeg je dat straffen helpt. Vervolgens vind je het onnodig.

In eerste instantie dacht ik dat het eerste deel van je reactie ironisch bedoeld was. Maar het tweede deel lijkt me ook ironisch.

Wat bedoel je precies?
Tja je moet uiteraard backups maken maar je zou bij zo'n groot bedrijf toch wel enig benul van toegangsbeveiliging en encryptie verwachten. Zeker als het om zulke gevoelige data gaat.
Dat benul is er ongetwijfeld. Maar overal komen zaken voor die onvoorzien zijn. Of het nu een UPS die het op cruciale momenten niet doet (ondanks dat alles geregeld getest wordt), of een database die opeens open staat terwijl dat helemaal niet zou moeten kunnen.

Uiteindelijk werken bij zulke grote bedrijven ook gewoon mensen van vlees en bloed zoals wij. O wacht, wij maken geen fouten....
Nee, en als je al fouten maakt kun je nog in de situatie komen waarbij je enkele maanden aangeeft dat deze fout is gemaakt en dat er echt iets aan moet gebeuren maar dat het pas tractie krijgt als je in de media komt. Dan staat opeens de hele directie op de IT afdeling.
Exact!
En daarom is de reactie van bbob1970 ook onzin!
Hoe kan een bedrijf die zulke backups beheerd niet doorhebben dat het vrij toegankelijk is en dat er Łberhaupt toegang tot verleend word. Een backup is vrijwel alleen schrijven... Als er gelezen word van de back up zou daar toch een melding van moeten komen lijkt mij.
Probleem met clouddiensten is dat er teveel prutsers dit soort fratsen kunnen uithalen. Hoeveel S3 buckets zijn er wel niet die gewoon helemaal openstaan?
Straks staat er een master-key op van het Tesla besturingssysteem 8)7
"Hij vertelt dat de server niet met een wachtwoord of andere vorm van authenticatie beveiligd was. Iedereen die de server wist te vinden, kon de gegevens downloaden." hahah zonder wachtwoord of andere vorm van authenticatie :D
Weer een reden om dat gedigitaliseer vd overheid een halt toe te roepen, het is niet veilig noch zal t de komende jaren veilig worden..

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True