Google waarschuwt politici VS voor hackpogingen op persoonlijke Gmail-accounts

Google heeft Amerikaanse senatoren gewaarschuwd dat andere landen hackpogingen hebben uitgevoerd op hun persoonlijke Gmail-accounts. Het is onbekend wat de landen dachten te vinden in de privé-accounts van politici.

Het gaat volgens een Amerikaanse senator niet alleen om politici zelf, maar overheden zouden het ook gemunt hebben op medewerkers van de politici, schrijft CNN. Het is onbekend hoe de hackers van andere landen hebben geprobeerd de Amerikaanse mailboxen binnen te dringen en hoe Google daarachter is gekomen. Het zoekbedrijf logt elke poging om in te loggen op een account van de maildienst.

Het gaat om politici van beide grote partijen in de Verenigde Staten, dus zowel de Republikeinen van president Donald Trump als Democraten van de oppositie. Het is onbekend of de aanvallen iets te maken hebben met komende verkiezingen in de Verenigde Staten, waarbij Amerikanen veel leden van het parlement uitkiezen.

Het hacken van mailboxen van politici door andere landen komt geregeld in de openbaarheid. Zo zette Wikileaks bijna 20.000 mails van de Democraten online, werd vice-president Mike Pence slachtoffer van hacking en drongen hackers binnen in de mailbox van de Franse president Emmanuel Macron. Ook in Nederland is dat al eens voorgekomen: toenmalig minister Henk Kamp werd slachtoffer van phishing.

Door Arnoud Wokke

Redacteur Tweakers

21-09-2018 • 07:05

31

Reacties (31)

Sorteer op:

Weergave:

Hackpogingen? Is toch helemaal niet nodig bij Gmail. Google geeft derden gewoon toestemming om e-mails te scannen.

Dus hackers, geef Google geld en alle Gmails staan tot jullie beschikking.
Vreemd dat je omlaag gestemd wordt. Al is het wel zo dat;
  • je in principe Google niet eens hoeft te (of kan) betalen: toegevoegde waarde met je plugin creëren is al genoeg
  • elke gebruiker zelf die plugin moet installeren / app toestemming moet geven
  • Google verwacht dat de plugin zelf gebruikers informeert over gebruik van die data .. al wordt dat weer niet goed opgevolgd door Google aldus nieuws artikel hieronder:
Exact hierover heeft Google de afgelopen dag nog vragen van VS senatoren beantwoord:
The lawmakers’ inquiry came after the Wall Street Journal reported in July that some add-on makers did not make clear to users that their employees could review Gmail messages and that their data could be shared with additional parties.
bron: https://www.reuters.com/a...-violations-idUSKCN1M02OR
Google geeft graag andere partijen toegang tot jouw gegevens. Dat doen ze op Android ook. Bijna elke app vraagt onnodige rechten tot jouw gegevens. Wat is het belang van Google hierin. Nou, dat schept "deniability". Als de gegevens die Google zelf verzameld heeft naar buiten lekken kan Google altijd altijd ontkennen dat zij het waren, er zijn immers nog talloze andere mogelijkheden. Het is wel zeker dat Google gegevens deelt met andere partijen, welke daar mogen wij naar raden. Daarbij is het ook zo dat het bijna niet anders kan dat mensen binnen de organizatie toegang hebben tot de gegevens. Daarvan zullen er ook zijn die gegevens weer naar buiten spelen.

Een voorbeeld. Ik kreeg een paar weken geleden een melding van Google dat iemand in New York op mijn master account probeerde inloggen met mijn wachtwoord. Wat is daar zo vreemd aan? Nou dat ik dat account enkel gebruik als ik buitengesloten raak op mijn andere Google accounts. Het account was op een veilige computer aangemaakt en verder niet meer ergens anders voor gebruikt en er is al jaren niet op ingelogd. Wachtwoord (extreem sterk) wordt niet opgeslagen op enig apparaat. En toch blijkt iemand na vier of zo jaar inneens over mijn wachtwoord te beschikken. Het kan bijna niet anders dan dat een medewerker van Google dat doorgespeeld heeft. Niet zo ver gezocht, het is ook bekend dat criminelen bij de politie mensen proberen te binnen te loodsen om toegang te krijgen tot gegevens.

Een soortgelijke ervaring met Youtube waar in een opmerking maakte over een maffe religieuze leider waar een heel verhaal had gestaan in de krant. Een van zijn maffe aanhangers vond dat niet leuk en de volgende dag werd ik opgebeld. Wat me dan weer deed afvragen waar die man zo snel mijn telefoonnummer vandaan had, en deze had kunnen koppelen aan mijn youtube account. Het lijkt me aannemelijk dat sommige groepen een lijntje naar binnen hebben bij Google. Het zou ook vreemd zijn als die niet het geval was. Snowdon heeft meer dan overtuigend aangetoond dat dit bij de NSA zelf ook mogelijk is, en volgens een recent rapport zijn de meeste kritieke aanbevelingen om herhaling te voorkomen ook na jaren nog steeds niet geimplementeerd. Ook al zou Google 100% veilig zijn naar zijn eigen werknemers en contractors, dan nog kan het lek optreden bij de partijen waarmee ze grootschalig gegevens delen.

Feitelijk wordt er door dit soort bedrijven een situatie geschapen waar je niet meer weet welke gegevens van jou bij wie uithangen. Het zwerft allemaal over het Internet. Mensen die denken dat je gegevens veilig zijn bij een grote jongen vergissen zich. Je legt alleen maar al je eieren in een mandje. We moeten echt af van Amazon, Google, Facebook. Dit zijn gewoon privacy gedrochten en ook een risico voor onze nationale veilighed. (Willen we echt dat onze bestuurders door het buitenland worden gechanteerd?). We moeten echt werk gaan maken, want deze bedrijven gaan gewoon door met hun invasie, willen in de auto, in Iot, in Homepods etc. De politiek neemt een veel te afwachtende houding aan (Te druk met nog meer belastingverlaging voor ze te regelen).

De manier waarop Google met onze privacy omgaat is helemaal niet zo veilig als ze willen suggereren met hun hack contests en bug openbaringen. Als ze werkelijk om onze privacy gaven zouden ze playstore opschonen en enkel malwarevrij-geteste apps toestaan, zoals Apple ook al jaren doet. Ze zouden ook niet alle datastromen via hun servers leiden via hun api's. Wat ze doen is windowdressing, een mooi public image maken. Maar ondertussen is het graaien op elke mogelijke manier en anderen de kans geven mee te graaien zodat ze de schuld elders kunnen leggen als jouw gegevens op straat komen.

[Reactie gewijzigd door Elefant op 23 juli 2024 08:35]

Hier is occams razor VS je "het kan bijna niet anders dat" welke een alu-hoedje-award waard is:

Bijv. als iemand ingelogd was + je daarvan melding krijgt = aannemelijker dat je zelf wachtwoord hebt gelekt en/of dat locatiebepaling afweek en/of een vreemde zijn username fout intypte en/of enzoverder.
Het alu-hoedje argument wordt na Snowdon alleen nog door sprookjesvertellers en sprookjesgelovers gebruikt.

Per ongeluk ingetikt? Het wachtwoord is iets van twintig tekens lang met vreemde tekens. Ga jij eens de kans berekenen dat iemand per ongeluk hetzelfde typt. Ik heb het ook alleen maar zo lang gemaakt omdat ik het toch niet gebruik. Het is aangemaakt op een 100% schoon Linux systeem en daarna nooit meer gebruikt. De bedoeling was om het alleen te gebruiken als ik de toegang had verloren tot een van mijn andere Google accounts. Ik had namelijk geen zin om mijn google accounts ook weer te koppelen aan mijn telefoonnummer. Maar ja dat maakt Androidphone die ik kreeg opgedrongen weer onmogelijk te omzeilen, want Google en Facebook zetten je aan alle kanten klem.

Niks enzo verder. Kennelijk begrijp je Occam's razor niet erg goed want deze zegt juist geen extra zaken te introduceren als je die niet nodig hebt voor een verklaring. Wij weten reeds dat Google over mijn gegevens beschikt, dus is volgens Occam's razor niet nodig naar andere verklaringen als bron te kijken tenzij hier dwingende aanwijzingen voor zijn. Ik kan mezelf uitsluiten, dan blijft Google over.

Weet je wat nog erger is dan een alu-hoedje?
Met oogkleppen rondlopen en dan roepen: "Jullie zijn gek, ik zie niets".

[Reactie gewijzigd door Elefant op 23 juli 2024 08:35]

Wachtwoorden zijn versluiteld opgeslagen, hoe kan een medewerker ooit achter jouw wachtwoord komen?
Dat soort ongeldige "bewijzen-uit-het-ongerijmde" zijn nu typisch drogredeneringen. De NSA bewaart ook alles versleuteld. Hoe zou iemand ooit bij de informatie kunnen komen? Onmogelijk toch? Dat kan geen een medewerker, laat staan een buitenstaander.

Wat Google ons levert is geen end-to-end-encrypte waarbij ze niet bij onze informatie kan. Het zou ook een beetje dwaas zijn als Google al onze informatie kon lezen behalve de naam en wachtwoord waarmee wij inloggen.

Ik ga niet speculeren over hoe en wat, want dat ik weet ik niet. Ik leg alleen de feiten neer zoals ik ze ken. Tja, hoe kan het? Hier een 3500 jaar oud verhaal waarin dezelfde vraag al eerder aan de orde kwam:

De Lamme en de Blinde

In lang vergeten tijden was er een koning met een vijgenboomgaard. Deze was zijn trots en genoegen. Omdat hij beducht was dat onverlaten zich van zijn vijgen meester zouden maken stelde hij twee mannen aan. De ene man was blind en de andere had lamme benen. Ze beloofden plechtig de boomgaard te bewaken. Maar na een tijdje kreeg de Blinde erge honger en zei tegen de Lamme. Als ik jou nou op mijn rug neem, dan kan jij de vijgen plukken en dan kunnen we er samen van genieten. Zo gezegd zo gedaan. Na verloop van tijd kwam de koning langs om te kijken hoe het er voorstond en zag dat er van zijn vijgen was gegeten. Hij vroeg aan de Lamme: Heb jij van mijn vijgen gegeten? De Lamme antwoordde: O edele Koning, hoe zou ik dat ooit hebben kunnen doen, ik ben immers lam, ik kan niet reiken tot de takken. Toen vroeg de koning aan de Blinde: Heb jij van mijn vijgen gegeten. Daarom antwoordde de Blinde: O edele Koning, hoe zou ik dat ooit hebben kunnen doen? Al kon erbij ik kon nog niet zien waar ze hangen. Daarop liet de Koning de Lamme op de rug van Blinde binden en gezamenlijk werden ze terecht gesteld.

[Reactie gewijzigd door Elefant op 23 juli 2024 08:35]

Ik zou je eens inlezen over encryptie, en hashing, en dat factorisatie een hard probleem is
Heel moeilijk ja, ... behalve voor de partij bent die de encryptie en validatie implementeert.
Het punt van Elefant is dat de partij die de beveiliging organiseert, ook de mogelijkheid heeft om deze te omzeilen, hoe hard ze ook beweren dat alles veilig is.

Zo langzamerhand weet iedere woordvoerder zeker dat alle gegevens veilig zijn opgeslagen. Terwijl iedere ontwikkelaar weet hoe ze in het eigen systeem bij die gegevens kunnen, (en onversleutelde wachtwoorden kunnen onderscheppen).

[Reactie gewijzigd door R-J_W op 23 juli 2024 08:35]

Het punt van TeddyBro is dat Google jouw wachtwoord simpelweg niet opslaat. Totaal niet. Het is al jarenlang standaard om wachtwoorden te hashen en dan de hash the controleren. Dan kan het wachtwoord ook nooit gestolen of gelekt worden. Daarom kun je tegenwoordig ook bijna overal alleen je ww resetten, niet opvragen. Ze hebben het gewoon niet.
Google geeft derden gewoon toestemming om e-mails te scannen.
Nee, als Gmail gebruiker geef je die toestemming.
Google blijft derde bedrijven toegang verlenen tot Gmail, waardoor zij e-mails van gebruikers kunnen scannen, als gebruikers daarvoor een app of browserextensie installeren. Ook staat het deze bedrijven vrij om de verzamelde gegevens met anderen te delen.
https://www.nu.nl/interne...even-e-mails-scannen.html
Precies, hacken is helemaal niet nodig, dat regel je gewoon bij Google zelf.
Bij gebruik van een app van derden en nadat toestemming is gegeven. Dit maakt het voor ontwikkelaars mogelijk om mail te scannen of het bijv spam of juist belangrijk is. Zo gek lijkt me dat niet. Als je het niet vertrouwt installeer je die apps gewoon niet.
Als je erop voorstaat dat je een betrouwbare service levert die jouw privacy hoog in het vaandel heeft staan dan maak je dit niet eens mogelijk. Google weet dondersgoed dat die permissies super vaag zijn en dat het onduidelijk is wat die apps er allemaal mee doen.
Ik heb op mijn toestel met Android laatst een hele berg aan permissies simpelweg uitgezet waarvan ik dacht dat ze niet nodig zouden hebben. De meeste apps blijven gewoon werken, daar zou Google heel veel strenger op moeten treden. Maar Google is vooral erg lui in het beschermen van haar gebruikers. En dan heb ik het nog niet eens over de locatie van de gebruiker loggen wanneer de gebruiker dat expliciet uitgezet heeft, maar een app dat wel mag. Locatie delen staat bij mij dus nu voor alles uit wetende dat Google waarschijnlijk wel een andere truc heeft.

Google heeft dus een tijdje geleden mooie sier gemaakt met de mededeling dat ze de mails niet meer scannen en dus op die manier dus geen geld meer te verdienen aan andersman privemails, maar verkopen dat op een andere manier gewoon door. Goeie PR (we scannen geen mail meer) en toch verdienen aan je data (cash!), dubbele winst.
Toch wel bijzonder dat politici nog zo'n "algemeen" e-mailadres gebruiken. Voor privé, ok, maar voor alles dat werkgerelateerd is? Werk zelf in het basisonderwijs en daar gebruik ik uitsluitend mijn schoolmail voor alles wat school aangaat.
Hoezo vreemd? De eigen organisatie heeft een bewaarplicht en niet alles kan het daglicht verdragen.

Dit is overigens niet alleen voor Amerikaanse politici.

Een positief, Google biedt als enige een fatsoenlijk platform om documenten gecontroleerd te delen en/of in samen te werken. Dit is weer stukken veiliger dan sticks en e-mailen.
Een positief, Google biedt als enige een fatsoenlijk platform om documenten gecontroleerd te delen en/of in samen te werken. Dit is weer stukken veiliger dan sticks en e-mailen.
Als enige ja? Volgens mij zijn er tientallen van dit soort diensten. Niet alleen heeft Microsoft zo'n dienst maar veel bedrijven hebben hun eigen versie van een dergelijke dienst, die dan weer stukken veiliger is dan welke openbare dienst dan ook.
Google is wel de enige met een infra wat goed en snel werkt. Daarnaast denk ik wie vertrouw je meer Google/Microsoft/Amazon of zo'n 3de partij waar je amper van hebt gehoord. Ik gebruik Gmail ook niet voor werkgelegenheden. Maar sharing is wel ideaal en zo ingesteld makkelijk over te krijgen.

En niet iedereen heeft een NAS met een mail/vpn server ;) want dan zit je toch al gauw aan 500-600,- alleen voor dat .. Blijf zo ver mogelijk vandaan van die ''niet bekende'' diensten!
Google is wel de enige met een infra wat goed en snel werkt. Daarnaast denk ik wie vertrouw je meer Google/Microsoft/Amazon of zo'n 3de partij waar je amper van hebt gehoord.
Google is niet de enige met een snelle/stabiele infra. Verre van zelfs. Als je het voor de selectie puur op naamsbekendheid gooit, heb je andere selectiecriteria dan ik heb. En ik gok ook anders dan de gemiddelde Tweaker hier.
En niet iedereen heeft een NAS met een mail/vpn server ;) want dan zit je toch al gauw aan 500-600,- alleen voor dat ..
Plus, wat lost zo'n NAS op? Voor een non-technische gebruiker introduceert het nieuwe problemen, waaronder de stabiliteit (denk aan uplink, power feed, etc), betrouwbaarheid (wat als het even niet werkt?), veiligheid (updates - plus een NAS is in principe niet bepaald veilig - QNAP bijvoorbeeld draait letterlijk alles als UID 0).

Het enige wat het doet, in mijn ogen, is letterlijk de data verplaatsen van een datacenter naar een thuis situatie. Het geeft an sich niet meer privacy, dat is ook van andere factoren afhankelijk. Wel geeft het decentralisatie, wat op zich een positief iets is.
Blijf zo ver mogelijk vandaan van die ''niet bekende'' diensten!
Wat voegt dit advies toe? Als mijn beoogde scenario privacy en/of veiligheid is, dien ik dus weg te blijven van een Soverin, Mailfence, Tutanota etc - puur omdat ze niet dezelfde naamsbekendheid genieten als een Gmail, Live mail, etc?

[Reactie gewijzigd door jurroen op 23 juli 2024 08:35]

Wie heeft het over "niet bekende" diensten?

Ik heb het er over dat, bijvoorbeeld, VolkerWessels een eigen VolkerWessels share dienst heeft waardoor ze binnen VolkerWessels veilig data kunnen delen. Een stuk veiliger dan wanneer ze dat via Google of Microsoft zouden doen. Veel bedrijven hebben een dergelijke dienst voor zichzelf op gezet.

Als je het hebt over een fatsoenlijk platform om documenten gecontroleerd te delen en/of in samen te werken dan zou ik ten allen tijde een eigen dienst verkiezen boven een publieke dienst....
Maar dat doen ze ook, dit artikel gaat over priveboxen wat ''gehackt zijn'' Maar het is aan de eind-gebruiker dat hij weet wat hij doet.

Wij hebben bijvoorbeeld SmartShare om data uit te delen. Want data via gmail/wetransfer dat sort diensten is totaal geblokt. Niks werkt. Maar als je echt puur mail client kijkt is Google / Micosoft toch wel qua veiligheid en veiligheid/stabiliteit een van de beste.
Zolang jij niet bij Google, Microsoft of Amazon werkt is het een 3de partij....
Google biedt als enige een fatsoenlijk platform om documenten gecontroleerd te delen en/of in samen te werken
Doet Microsoft dit ook niet met Onedrive/Office?
OneDrive/Office kan ik de dag van vandaag nog steeds niet aan wennen alles is zo onlogisch ingedeeld :(
Google is daarin echt niet de enige
Maar er staat letterlijk "op hun persoonlijke Gmail accounts" en niet dat daar verder werk gerelateerde dingen in voorbij komen
Klopt en daar heb je gelijk in, maar je moet eens nagaan hoe vaak privé adressen voor werk worden gebruikt, al is het maar om even "iets door te sturen".
Alleen al omdat veel bedrijven en instanties de bijlagen limiteren in formaat (grootte en extensie).
Ooit wel eens van G Suite gehoord? Dan host Google je mail, calendar, etc onder jouw domeinnaam op hun apparatuur. Werkt hartstikke goed. Elke senator moet zijn eigen kantoor organiseren. En met Google G Suite (of Microsoft Office 365) gaat dat gewoon heel makkelijk.
Natuurlijk erg interessant, die privé mails. Bv er achter komen waar mensen naar toe op vakantie gaan en wanneer, of getrouwde politici die second love/tinder/whatelse gebruiken zijn goed te chanteren, etc.

Op dit item kan niet meer gereageerd worden.