Beveiligingsbedrijf: data Facebook-gebruikers stond onbeveiligd op AWS-server

Diverse bedrijven hebben Facebook-data onbeveiligd laten staan op servers van Amazons clouddienst AWS. Daar kwam beveiligingsbedrijf UpGuard achter. Het gaat om data van meer dan een half miljard gebruikers.

De data van 540 miljoen Facebook-gebruikers die het bedrijf Cultura Colectiva had verzameld, stond onbeveiligd op een AWS-server, meldt UpGuard. Daarbij gaat het om account-id's, likes, reacties en accountnamen. Bij het al failliete bedrijf At The Pool gaat het om 22.000 gebruikers van de eigen app, maar die data bevat ook plaintext-wachtwoorden. Dat zijn wachtwoorden van de eigen app en niet van het Facebook-account zelf.

UpGuard meldde bij Cultura Colectiva en bij Amazon sinds januari dat de database van 146GB te vinden was, maar pas nadat financieel persbureau Bloomberg om opheldering vroeg gingen de gegevens offline. De gegevens zijn niet recentelijk verzameld en At The Pool is in elk geval sinds 2014 al niet meer actief. Het is onbekend hoe de gegevens publiekelijk toegankelijk konden blijven.

Update, donderdag: Facebook laat aan Tweakers weten dat het bedrijf 'is toegewijd om met ontwikkelaars op ons platform data van mensen te beschermen'. "Facebooks beleid verbiedt het opslaan van Facebook-informatie in een publieke database. Toen we hoorden van dit probleem hebben we met Amazon gewerkt om de databases offline te halen."

Lees meer

IT Banen

Reacties (109)

Henrikop
4 april 2019 08:37

Bedrijven die data van Europese burgers in bezit hebben en geen wettelijke grondslag zoals toestemming daarvoor hebben kunnen gewoon problemen krijgen met GDPR in de vorm van autoriteit persoonsgegevens. Dus laat de jacht beginnen.

Het gaat er NIET om dat de gebruikers toestemming hebben gegeven aan Facebook. De bedrijven die deze data lekken zijn verwerkers. Die hadden de data moeten vernietigen OF toestemming moeten vragen aan de personen OF een wettelijke grondslag moeten hebben (je hebt een adres nodig om een pakketje te kunnen versturen, daar hoef je geen toestemming voor te vragen).

Laat de jacht beginnen!

HKLM_
3 april 2019 21:04

Zeker een manager die dacht dat de cloud het gouden ei is en de security al geregeld was

dycell
@HKLM_ • 3 april 2019 22:13

Je bedoelt het grappig maar ik denk dat dit eerder de norm is dan de uitzondering.
Ik zie dagelijks ook wel hele bedrijven overstappen naar Office 365 zonder een minuut uit te trekken voor security. Ik zat laatst nog achter een thuis pc waar alle zakelijke bestanden naar toe waren gesynced.. Handig overal werken.. Die hele machine zal vol met virussen.

Er is gewoon onvoldoende kennis in IT... En de hele cloud transitie brengt daar geen verandering in.

dormamu
@dycell • 4 april 2019 07:44

Ik zat laatst nog achter een thuis pc waar alle zakelijke bestanden naar toe waren gesynced.. Handig overal werken.. Die hele machine zal vol met virussen.

Zou je mij kunnen uitleggen wat risicovol is aan de door jouw geschetste situatie van uitgaande dat de bedrijfsserver wel goed beveiligd is en een virusscanner draait?

dycell
@dormamu • 4 april 2019 09:59

Zakelijke data die op een privé machine staat.. dus buiten het beheer van de organisatie. in principe is dat al een datalek want wie zit er allemaal achter die machine? Data in Office 365 staat trouwens niet op een bedrijfsserver maar in Azure dus die statement is niet erg vergelijkbaar. Niet lullig bedoelt maar je bevestigt wel mijn punt.

Het is simpel te fixen door Azure AD enrollment, compliance policies en encryptie te vereisen maar er is gewoon 0 tijd in gestoken maar men weet waarschijnlijk niet dat het dom idee is.

Amasik
@dycell • 5 april 2019 12:54

In hoeverre is dit een risico van de cloud?
Stel een bedrijf heeft een on premise mailservers. Als je daar een webmail op beschikbaar maakt of men kan via outlook een mailprofiel op een pc zetten dan heb je toch hetzelfde probleem?

Ik bedoel maar dat de security voor cloud niet perse veel moeilijker moet zijn dan voor on premise servers. Het is wel makkelijker om te beginnen met een O365 mailserver zonder technische kennis dan dat je dat vroeger kon met een onpremise exchange server waardoor het misschien lijkt alsof de cloud minder veilig is.

dycell
@Amasik • 5 april 2019 13:10

Zie mijn originele reactie:
Er is gewoon onvoldoende kennis in IT... En de hele cloud transitie brengt daar geen verandering in.

Amasik
@dycell • 5 april 2019 13:13

Helemaal mee eens, ook in dit artikel zie je dat het gebruiksgemak van AWS dus zodanig is dat iemand zonder de juiste kennis in staat is 150 GB aan gevoelige data op straat te gooien. 10 jaar geleden moest je daar nog wat meer moeite voor doen en technische kennis hebben.

Aschtra
@dormamu • 4 april 2019 08:09

Het ligt hem nou juist net in het 'uitgaande dat de bedrijfsserver wel goed beveiligd'

RHoots
@dormamu • 4 april 2019 08:42

Ja dan is de vraag wat is goed beveiligd. Het systeem is zo sterk als de zwakste schakel en een beveiligde server met een niet beveiligd, geautoriseerd en gecomprimeerde client is denk ik wel een risico waar je een bijna onevenredige mate van beveiliging voor nodig hebt wil je dat kunnen 'oplossen'. Los van het feit dat je geen controle meer hebt over de informatie in die bestanden.

PlowKing
@dormamu • 4 april 2019 10:46

Alle geheime informatie die kan uitlekken=

Mellow Jack
@dycell • 3 april 2019 23:32

Eens... Als is het niet zozeer een slecht idee om het toe te staan om privé pc's te laten syncen. Met advanced threath protection ben je alsnog redelijk safe. Dus obv jou informatie kan je nog niet zoveel zeggen.

Dat er te weinig kennis is ben ik met je eens

R_Lee
@Mellow Jack • 4 april 2019 11:08

Helaas leven we in een tijdperk waarin BYOD steeds meer trending wordt en 'managers' de bijkomende zaken op gebied van security onbelangrijk vinden ten opzichte van het 'gemak' dat een werknemer lekker zijn eigen device kan gebruiken.

Inderdaad zoals je zegt: Zo'n applicatie die synct en het gebruik van cloud zou alles toch al in zich hebben? Inderaad. Niet dus. Of vaak alleen maar voor een gedeelte.

crizyz
@R_Lee • 4 april 2019 17:23

Wat is BYOD?

aikebah
@crizyz • 4 april 2019 23:02

Huh?? bestaan die nog? Tweakers die BYOD niet kennen?
BYOD staat voor Bring Your Own Device

Blokker_1999

Datalek
Privacy
Facebook

@Mellow Jack • 4 april 2019 07:45

Het gaat niet alleen om bedreigingen die eventueel naar je cloud gesynved worden maar ook om het feit dat malware veel eenvoudiger aan potentieel gevoelige info kan komen en kan uploaden naar het internet.

Mellow Jack
@Blokker_1999 • 4 april 2019 08:00

Dat is zonder context dus lastig te bepalen. Ik werk in een omgeving waar dat niet zo veel boeit terwijl ik ook heb gewerkt in omgevingen waar het lekken van bepaalde data ellende op de financiële beurs kan veroorzaken.

Ben het wel mee eens dat het een potentieel gevaar is maar het is niet altijd een relevant risico dus met een oneliner ga je er niet komen

[Reactie gewijzigd door Mellow Jack op 4 april 2019 08:02]

tweaknico
@dycell • 4 april 2019 17:43

Tuurlijk maakt de cloud alles makkelijker....
- Minder lastige beheerders
- Makkelijker data delen (inclusief virusen etc.)
- Backups doen de providers toch?
...

F_J_K
@HKLM_ • 4 april 2019 11:30

Dit soort fouten heeft niet direct te maken met “de cloud”. Het was evenveel of meer fout gegaan als de data stond op een zelf gehoste server die sinds 2014 niet is voorzien van updates. En die toen was ingericht door Pietje om de hoek omdat die wel eens een PC heeft geïnstalleerd.

Probleem is dat men denkt dat nadenken nog minder nodig is bij uitbesteding naar de cloud.

fantafriday
@HKLM_ • 3 april 2019 21:07

Nee baas die bucket vindt niemand!

Jeroen hofman
@HKLM_ • 3 april 2019 21:20

Weet bijna zeker dat deze data van meer dan een half miljard gebruikers, dat deze verkocht is, en dit als een zogenaamd sorry

Last staan de security anno 2019
begrijp ook niet dat nog gebruik maakt van cloud. heb hier een raspberry 3 met 2 TB aan opslag, die ik als als cloud gebruik, en overal vandaan kan benaderen $_/-\o_$

djwice

@Jeroen hofman • 3 april 2019 21:44

AWS S3 kost $0.023 per GB per maand.
146GB is dus $3,36 per maand, $40,30 per jaar ~ €35,85.

Je Raspberry PI 3 B+ is dus na een jaar nog steeds duurder, zelfs zonder de kosten van je harddisk.
S3 heeft een veel hogere betrouwbaarheid dan jouw ene harddisk (ongeveer 9x meer betrouwbaar).
S3 kun je met 800Mbit/s download benaderen (of meer als je kan).
S3 uptime is wellicht hoger als je af en toe je PI reboot voor een update.
S3 heeft jouw data geografisch op meerdere plekken staan, zodat als er een paar locaties af fikken jij je data niet kwijt bent.

Daarom bijvoorbeeld kiezen mensen voor Cloud

https://aws.amazon.com/s3/?nc=sn&loc=1

Als de data ge-gzipt wordt zijn de S3 kosten minimaal 90% lager en past het in jou geval gewoon op een SD-kaarrtje van €10,50 - Na 5 jaar is de PI dan goedkoper.

[Reactie gewijzigd door djwice op 3 april 2019 21:54]

MadEgg

@djwice • 3 april 2019 22:01

Dan heb je wel alleen storage. Meestal wil je daar ook iets mee doen. Data opslaan of uitlezen bijvoorbeeld. Dan loopt de teller door, dat is niet gratis. Daarnaast zijn buckets geen echte bestandssystemen. Ze pretenderen een hierarchie te hebben met directories maar eigenlijk zijn de directory-namen onderdeel van de buckets.

Dat betekent dus dat als je bestandsnamen met een bepaald patroon zoekt, zoals de inhoud van een virtuele directory, je de hele bucket moet scannen. En dat kost geld en latency.

Ik werk dagelijks met cloud computing en er komen regelmatig “foutjes” voor die onvoorzien een paar duizend euro kosten. Een verkeerde query, een inefficient algoritme, dat soort geintjes. “De cloud” is flexibel en schaalbaar, maar zeker niet goedkoop.

djwice

@MadEgg • 3 april 2019 22:16

Jouw internet verbinding voor die Raspberry PI is ook niet gratis.

Werk je wel met S3 en bijvoorbeeld Amazon Athena voor je query, heb je je data op S3 onderverdeelt in partities en is je data in een gecomprimeerd formaat (bijvoorbeeld gzip voor csv of snappy voor Apache parquet)?
Want zo'n query kost dan $5,- per TB die je van S3 moet lezen, de partitie selecties in je query zijn gratis.

Dus als je een paar duizend euro wil verstoken met een query dan moet je meer dan 20.000 TB aan ruwe data scannen én dan ook alle partities raken in je data.

Wij werken volledig serverless op AWS en dat geeft wel degelijk een heel ander kostenplaatje dan het altijd aan hebben van servers. We vervangen servers van een paar miljoen per jaar door een serverless oplossing die sneller is, gedetailleerder logs bij houdt en nog geen 50k per jaar kost.

Amazon Athena is een SaaS versie van PrestoDB.io
Wil je nog sneller, want Athena heeft een opstart tijd van max. 2 seconden, dan kun je kiezen om een RedShift Cluster te betalen en dan RedShift Spectrum te gebruiken - dat is het zelfde als Athena maar dan met de EPUs van je eigen dedicated Cluster, dus snellere opstart en sneller als je veel files tegelijk in je query hebt.
Voor 198 EPUs kost Redshift €1.831,- per maand als je ze 10 uur per werkdag vol belast, door dynamisch schalen zal dat vast lager uit vallen.

[Reactie gewijzigd door djwice op 3 april 2019 22:34]

Knippr

Facebook

@djwice • 3 april 2019 23:50

In zijn algemeenheid klopt je verhaal dat een goed uitgevoerde AWS strategie veel goedkoper kan zijn dan een eigen data center.

Het S3 verhaal blijft echter overeind. Transfer rates en akties/queries moet je optellen bij de som. Het is/kan goedkoop zijn, maar niet zo goedkoop als je aangeeft.

En...binnen deze context is de particuliere verbinding wel gratis. Die verbinding was er toch wel en is dus kostenpost specifiek voor de Raspberry PI. Ook is het een vaste kostenpost met unlimited use, heel wat anders dan in de cloud.

Frogmen

@djwice • 4 april 2019 09:29

Gelukkig kosten die AWS specialisten ook niets en is het voor een gemiddelde systeem beheerder zo te begrijpen. Laat staan dat je voordat je eraan begint een fatsoenlijke kosten overweging kan maken. Vindt wel dat je de volledige TCO moet vergelijken en niet cherry pikken wat je uitkomt.
Snap best je punt.

djwice

@Frogmen • 4 april 2019 22:02

Voor mij zelf was de training op udemy van a cloud guru voor €10,- een paar jaar terug zeer leerzaam :-)
https://www.udemy.com/aws...ions-architect-associate/

MadEgg

@djwice • 4 april 2019 09:34

Nee, ik werk meestal met GCP, niet AWS. Maar de tariefstructuur is zeer vergelijkbaar wat ik zo zie. De grootste "ongelukjes" kwamen voort uit BigQuery en Datastore queries, niet Cloud Storage. Alsnog zijn ook voor opslag de kosten per GB wel aanzienlijk hoger dan $0.023 per maand - de kosten voor puur de opslag zijn een +- 25% van de kosten voor opslag + gebruik van de storage. Dan heb je het over +- €80 per maand voor 1TB aan opslag. Dan ben je al heel snel goedkoper uit met een RPi met een 1TB HDD eraan. Zelfs als je die in RAID uitvoert en een exacte kopie bij een vriend in de meterkast neerzet als mirror.

djwice

@MadEgg • 4 april 2019 22:10

Ik snap niet helemaal wat je zegt, volgens mij ging het hier over 146 GB aan ruwe text. Nog geen 14GB in gzip formaat dus.

Bij gebruik (lezen) betaal je data out als het AWS verlaat, blijft het binnen AWS dan zijn er geen gebruikskosten anders dan $5/TB voor queries (details zie eerder bericht) en $2,50/Miljoen GET operaties.

Ik zie dat Google een vrij hoog tarief vraagt voor indexeren van data $2/GB. Bij AWS definieer je de structuur zelf incl. eventuele partities, dat is gratis en nieuwe values neemt ie gratis op, kost niets. Het is echt gewoon die $5/TB Query + $0.023 per GB opslag. Tenzij je meer dan 1 miljoen tabellen hebt en meer dan 10 miljoen partities, per account.

Uiteraard kies ik altijd voor data compressie omdat alles dan sneller is en omdat alles dan goedkoper is; opslag, query goedkoper en upload/download en Query sneller. De meeste browsers begrijpen gzip native als je de http-header op je S3 object maar ff goed zet.

[Reactie gewijzigd door djwice op 4 april 2019 23:01]

djwice

@MadEgg • 4 april 2019 22:48

We hebben een standaard Google Analytics contract voor de hele holding (zie Google site voor de prijs), daarmee is Big Query gratis inbegrepen in de flat fee.

Ondanks dat gebruiken we dus S3 en AWS Athena voor veel analyses. Ook omdat we data eerder beschikbaar hebben via logs naar S3 dan binnen GCP, binnen enkele seconden na het pagina request is de data al verwerkt. Dus terwijl de klant nog op de pagina is, hebben we al voorspeld waarop hij gaat klikken.

Mellow Jack
@djwice • 4 april 2019 00:11

Je voorbeeld is wel een beetje hetgeen wat er fout gaat in de "cloud". Stel je voorbeeld applicatie is een big data tool incl database. Beide staan in een bestaand datacenter in dezelfde omgeving (bijv. Vlan) als bedrijfskritisch beurs applicaties en draaien op bare metal servers (dus hardware word alleen gebruikt als de applicatie word gebruikt). Het is in die situatie zo dat jou big data tooltje ineens de zwaarste regels opgelegd krijgt vanwege de gemene delers met die beurs applicaties.

Het kosten plaatje veranderd door dit soort details. In de public cloud kan je greenfield beginnen en ben je idd lekker flexibel maar een greenfield zelfs ontwikkeld datacenter kan voor veel bedrijven flink voordeliger zijn. Denk aan bedrijven met een voorspelbare workload waarbij hardware gedeeld word en de capaciteit voor 80+ procent wordt ingezet

djwice

@Mellow Jack • 4 april 2019 22:36

Big Data tool on prem met 80+ utilisatie (dus incl. weekend & dag en nacht)? Om hoeveel data gaat het dan? Peta bytes? Exa bytes?

Aan welke operaties denk je dan? In ons geval bleek dat het over zetten naar Lambda in parallel (scale out), sneller resultaat geeft, minder kost, minder beheer inspanning geeft en algoritme ontwikkelaars pushed naar patronen te die efficiënter gebruik maken van de compute kracht. Dit was voor algoritme ontwikkeling in Python.

Je kunt zelf uitrekenen of het omzetten van je Apache omgeving naar EMR (en automatisch uit bij idle) kosten effectief is (beheer meegerekend) en ook of wat je nu doet wellicht op AWS Glue kán draaien. Beide met S3 als source en target, met goede partities en compressie van de bron bestanden.

Voor ons bleken alle 3 kosten effectiever dan on prem, de een vereiste meer aanpassing van werkwijze dan de ander.

Onze hoeveelheid big data is alleen niet zo veel, na enkele tien tallen TB houdt het voor als nog ook echt op.

Veel data bewerkingen en data interpretaties bleken uiteindelijk zelfs gewoon met Athena prima te kunnen, dat was een kwestie van de R-code eens goed bekijken en te mappen op sql, na een paar dagen was alles omgezet naar Views om de opstapeling van bewerkingen makkelijk te kunnen vertalen. Hoe meer je er omzet hoe vaardiger/sneller je er in wordt. Veel patronen zijn snel herkenbaar/direct te vertalen.

Maar uiteraard elke situatie is weer anders, dus wat voor ons goed werkt, kan in jullie situatie on toepasbaar en duur zijn.

[Reactie gewijzigd door djwice op 4 april 2019 22:40]

Mellow Jack
@djwice • 4 april 2019 23:53

Mijn punt gaat uit van een net iets groter plaatje... Jou voorbeeld, al zou je dat traditioneel opbouwen zou je enorme kosten krijgen en je hardware maar gedeeltelijk gebruikt.

Je grootste voordeel komt vanwege het feit dat je op en neer kan schalen waar nodig en je dus alleen betaald wat je gebruikt.

Ook in zelf gehoste datacenters heb je tegenwoordig die mogelijkheden. Als je dan naar het grotere plaatje kijkt zijn er enorm veel bedrijven die naast zo'n big data projectje nog tientallen of honderden andere applicaties hebben die ook zo hun bepaalde piek momenten hebben. De kwestie of iets goedkoper is hangt dus helemaal af in hoeverre het hele datacenter efficiënt is ingericht (als usecase 1 omlaag schaalt en usecase 2 omhoog veranderd er niets

).

Wat je helaas veel ziet bij bedrijven is zaken zoals bijv. een overvol rekencluster (1000+ nodes) waar een fikse wachtrij van jobs staat terwijl in hetzelfde datacenter een KA (kantoor automatisering) cluster draait wat vrijwel alleen iets te doen heeft tussen 8:00 en 18:00. In feite zal de totale omgeving, gemeten over bijv een week maar iets van 70% gebruikt worden. Als je dan ook nog eens in gedachten houd dat veel rekenjobs bijv. 1 core gebruiken terwijl ze 4 cores tot hun beschikking hebben besef je ineens dat ze blij mogen zijn als ze 50% vd capaciteit gebruiken gemeten over 7 dagen.

Als je dan een projectje zoals jij omschrijft moet uitvoeren en de datacenter heren en dames gaan daar weer een extra cluster hiervoor op richten dan krijg je inderdaad wel bizarre vergelijkingen

Wat ik hiermee wil zeggen is dat elke situatie idd anders is maar vooral dat het vaak niet zo simpel is als 1 use case pakken en die uitwerken. Het is vergelijkbaar als de functie titel CEO... Je kan de baas zijn van een clubje van 20 man of van 100.000 man. zelfde naam maar toch echt iets compleet anders. Zo is het ook in de cloud. Jou voorbeeld alleen is compleet logisch. Jou voorbeeld binnen een organisatie waar 1000e kenniswerkers werken en het 1 vd vele initiatieven is kan een heel andere situatie opleveren

ajolla
@djwice • 4 april 2019 02:31

Ja, kan allemaal wel zijn, maar dan blijkt na 3 jaar ook dat het al 2 jaar publiekelijk benaderbaar was.
Ik vraag me trouwens ook af af of dit niet een omweg was voor Cambridge Analytica-achtige bedrijven om toch nog aan hun data te kunnen komen.

oef!

@ajolla • 4 april 2019 09:29

Dat is een kwestie van een beetje nadenken en configuren. AWS zelf doet moeite om je duidelijk te maken dat jij verantwoordelijk bent voor de toegang tot je gegevens.

ajolla
@oef! • 4 april 2019 13:55

Ja, kleine moeite om het onveilig te configureren, je vriendjes de data te laten 'ontdekken', perfecte plausible deniability: "Nee hoor, wij hebben de privacy van onze gebruikers hóóg in het vaandel."</alu>

djwice

@ajolla • 4 april 2019 23:14

Zo plausible is het niet meer, S3 access logs en cloudtrail logs zijn er. Daarmee gaat de wetgever er van uit dát je op de hoogte kón zijn. Met dit gegeven beweren het niet te weten omdat je de logbestanden niet las, heet geloof ik nalatigheid en dat staat over het algemeen helemaal niet chique.

[Reactie gewijzigd door djwice op 4 april 2019 23:28]

ajolla
@djwice • 4 april 2019 23:21

Ok, maar ligstoelen lezen? Ik raak geloof ik even in de war.

djwice

@ajolla • 4 april 2019 23:29

Ah auto correct... ik heb het woord nu gecorrigeerd naar wat ik getypt had.

ajolla
@djwice • 5 april 2019 11:10

lol. logbestand --> ligstoel. $_/-\o_$

SuperDre
@Jeroen hofman • 4 april 2019 06:38

Uhm, dus je maakt zelf ook gebruik van cloud... Jouw rpi3 is hetzelfde als aws. "Begrijp ook niet dat je gebruik maakt van cloud"................

Jeroen hofman
@SuperDre • 4 april 2019 10:42

@oef IDD AWS zelf doet moeite om je duidelijk te maken dat jij verantwoordelijk bent voor de toegang tot je gegevens.
Daarom heb ik liever mijn eigen cloud thuis! en weet wat en waar mijn bestanden, ect... staan

oef!

@Jeroen hofman • 4 april 2019 14:28

Tja, als je thuis zaken opslaat dan ben je ook verantwoordelijk voor de toegang tot je gegevens, daar komt bij dat je zelf het onderhoud moet doen op de raspberry. Als je een patch/update achterloopt dan kan AWS theoretisch al veiliger zijn dan je thuissituatie.

De data die je op AWS plaats blijft gegarandeerd in je Region en valt dus gewoon onder de AVG en alle andere certificeringen waar ze aan moeten voldoen. Tenslotte kun je data natuurlijk ook versleuteld opslaan op AWS met je eigen sleutel. In theorie zouden ze er uiteindelijk wel bij kunnen komen maar goed, uiteindelijk komen dit soort zaken altijd weer neer op vertrouwen.

Niet dat thuis opslaan een slecht idee is, het is alleen meer werk.

Jeroen hofman
@oef! • 5 april 2019 12:15

Dat bedoel ik, In theorie zouden ze er uiteindelijk wel bij kunnen komen maar goed, uiteindelijk komen dit soort zaken altijd weer neer op vertrouwen.
en thuis opslaan is niet echt veel werk, v.b als ik thuis kom en er is e.a op mijn phone bij gekomen dan gaat dit autom... naar mijn rasp.. cloud
ben geen prof wat ict en beveiliging betreft, maar voor mij was OMV een makkelijke oplossing

djwice

@Jeroen hofman • 5 april 2019 21:58

Bedoel je https://nl.m.wikipedia.org/wiki/OpenMediaVault : https://thepi.io/how-to-u...erry-pi-as-a-nas-box/amp/ : https://www.openmediavault.org

[Reactie gewijzigd door djwice op 5 april 2019 21:58]

Jeroen hofman
@djwice • 6 april 2019 10:28

inderdaad OpenMediaVault heb net even gekeken naar de systeeminformatie, en zie dat de RPI - 235 dagen 7 uur 32 seconden uptime is. Ook mijn dagelijkse backup van mijn pc Ubuntu 18.04 LTS gaat naar de rasp. Voor mij werkt dit prima als cloud, backup

SpyroTechnik
@Jeroen hofman • 4 april 2019 14:37

Dat gaat een beetje voorbij het punt. Bottomline hier is dat de security niet goed geregeld was, en dat er een heersende onwetendheid lijkt te bestaan over security op cloud infrastructuur.

Als jij thuis je security ook niet goed geregeld hebt maakt het geen snars uit waar je data staat.

Noresponse
@HKLM_ • 3 april 2019 23:55

Ik ken veel amerikaanse bedrijven die gewoon via whatsapp en gratis cloud diiensten elkaar bestanden door sturen/delen en als ik erom vraag waarom ze dat doen is het antwoord dat het niks uitmaakt ,want die info delen ze al. Waar ik of mensen die met ict bezig zijn zich druk maken dat boeit grote amerikaanse bedrijven niet veel lijkt het wel. Dit soort dingen verbaast me dus ook niks en er zit ook wel een kern van waarheid in.

Eerst hadden we prisma en nu de cloud act en die gaat in mijn eigen nog verder. Alle bedrijven zoals Apple, Amazon en Google die een server hebben moeten hun data delen. Kort gezegd. Er zit wel wat meer achter etc. , maar hier komt het wel op neer en dan maakt de AVID zich druk over Huawei en dan denk ik WTF. Ik draaf een door, maar ik snap wel dat Amerikaanse bedrijven compleet niet geintreseeerd zijn in privacy, security en alleen maar om dingen rond te maken en meer niet.

Het is daarom ook de reden dat Apple, Amazon, Google meer data centers in Europa bouwen om uberhaupt aan de Europese normen te voldoen.

MrMonkE
3 april 2019 23:51

Als ik dat lees vraag ik me bezorgd af hoeveel andere bedrijven de data van 540 miljoen of meer Facebook-gebruikers hebben.

Youri219
@MrMonkE • 4 april 2019 09:15

Zo ongeveer iedere app bouwer.

Dat was een conclusie die je eigenlijk al kon trekken na het Cambrige Analytica schandaal. Want die hadden in basis precies dezelfde rechten als alle andere app bouwers.

Facebook gegevens kunnen dus aan letterlijk duizenden bedrijven zijn verstrekt.

ajolla
@MrMonkE • 4 april 2019 02:43

Waarom denk je dat NSA en Goldman Sachs grootaandeelhouders zijn? </alu>

bazs2000
3 april 2019 21:30

De data van 540 miljoen Facebook-gebruikers die het bedrijf Cultura Colectiva had verzameld, stond onbeveiligd op een AWS-server

Dat is 7,17% van de wereldbevolking.

Gaat dit zonder gevolgen blijven of is de grens nu wel bereikt?

DigitalExorcist
@bazs2000 • 3 april 2019 22:06

Cultura Colectiva zal daar wel wat van merken ja. Hoezo?

bazs2000
@DigitalExorcist • 3 april 2019 22:26

Ik snap jouw reactie niet, waarom vraag je jezelf af waarom ik vraag of de grens bereikt is?

Mocht je denken dat het mij om Facebook te doen was dan is mijn antwoord nee omdat het mij om de omvang gaat ongeacht welk bedrijf verantwoordelijk is. De hoeveelheid onbeveiligde gegevens wordt groter terwijl het aantal strafzaken niet toeneemt.

Dus in alle oprechtheid vraag ik mij af of dit zonder gevolgen zal blijven.

DigitalExorcist
@bazs2000 • 3 april 2019 22:40

Ik dacht dat het inderdaad om Facebook ging, maar “de grens” is een nogal vaag begrip. Wie bepaalt die grens? En wat als die grens bereikt is dan. Stoppen we massaal met gratis diensten? Zijn betaalde diensten per definitie beter dan? Moeten we 2FA af gaan dwingen? Wie doet dat dan?

Nee die grens ga je nooit bereiken. Totdat er daadwerkelijk slachtoffers vallen. Want, denkt men, “het is maar internet”. Het is tóch maar “op de computer”. “Wie zou mij nu targetten”.

bazs2000
@DigitalExorcist • 3 april 2019 23:05

Het is lastig inderdaad. Gratis diensten zijn niet per definitie slecht en betaalde diensten zijn niet per definitie goed.

Ik ben bang dat wanneer er slachtoffers vallen dat mensen nog steeds de schouders op zullen halen. Het lijkt erop dat men murw is geslagen of wat je zegt: "Wie zou mij nu targetten".

Toch hoop ik op verandering (hoe? geen idee). Wij gebruiken pas 'kort' het internet en privacy is nu al een groot probleem. Hoe zal dit eruit zien over 10 jaar? En over 100 jaar of 1000? Er zullen een aantal zaken moeten worden veranderd omdat dit steeds erger zal worden vrees ik.

18 jaar geleden waren wetgevers en politici al niet begaan met technologie, vandaag de dag is dit niet veel beter. Dat er gegevens van 540 gebruikers onbeveiligd waren weggezet is niet eens een fout meer. Dit lijkt meer op totale desinteresse en laksheid.

Nog even over die grens, nu ik er nog even over nadenk, er bestaat geen grens zo lang dit in deze omvang gebeurt. Zolang bedrijven niet worden teruggefloten danwel aansprakelijk worden gesteld gaat deze grens er niet komen ook.

"Gij zult niet lekken", sprak de tampon.
Helaas voor de tampon verraadde het touw zijn positie. Uit de positie viel zowel het bron- als doelsysteem op te maken. De reeds opgenomen data kon niet meer worden geretourneerd aan het bronsysteem en moest als verloren worden beschouwd.

Sorry, flauwe grap waarmee ik wil aangeven dat een aantal veiligheidsvormen indirect juist voor een lek kunnen zorgen.

WillySis

Privacy

@DigitalExorcist • 3 april 2019 22:29

Die merkt er niets van. Volgens mij zijn die al jaren failliet. Er is wel een ander bedrijf onder die naam actief, maar die richt zich voornamelijk op Midden Amerika.

ajolla
@bazs2000 • 4 april 2019 02:37

Nee, de grens is bij deze weer wat verder opgeschoven.

jip_86
3 april 2019 22:14

Krijg steeds meer het idee dat FB een monster is geworden dat niet meer te beheersen is. Het gaat maar door de laatste tijd.

DigitalExorcist
@jip_86 • 3 april 2019 22:19

Dit is een appbouwer die z’n zaken niet op orde heeft...

Je kan Microsoft ook niet de schuld geven als iemand z’n passwords op een Post-It gaat schrijven.

[Reactie gewijzigd door DigitalExorcist op 3 april 2019 22:20]

Unsocial Pixel
@DigitalExorcist • 4 april 2019 00:17

Toch zou ook een Facebook of ander groot data bedrijf eisen en controles horen uit te voeren op persoonlijke gegevens die zij afdragen en daar (indien mogelijk) licenties op te zetten vind ik persoonlijk. Of nog beter gewoon. Niet afgeven

[Reactie gewijzigd door Unsocial Pixel op 4 april 2019 00:17]

aileron
@DigitalExorcist • 4 april 2019 01:12

Maar wel als Microsoft voor jouw je wachtwoorden bewaard, dit deelt met anderen waarna het van diegene wordt gestolen.

aileron
3 april 2019 21:35

Wie gebruikt er in vredesnaam nog Facebook

Ophouden met dit spul gebruiken!

If You're Not Paying for It; You're the Product

WillySis

Privacy

@aileron • 3 april 2019 22:22

Dit keer staat Facebook er eigenlijk buiten. Het is data die van facebook is gekocht, of via een eigen app verzameld die onbeschermd online stond. Facebook beschermt zijn data een tikkeltje beter, maar met een app waarbij je via facebook kan inloggen of een spelletje kan je nog steeds heel wat data binnen hengelen. Na het schandaal met Cambric Analytica is dat wel beperkt.

aileron
@WillySis • 4 april 2019 01:10

Ik geloof er niks van dat zaken zijn verbeterd sinds Cambridge Analytica. Facebook verdient er z'n brood mee, dus ze kunnen niet te veel verbeteren.

Daarom moet je dit niet gebruiken, je deelt je data en dat kost je privacy.

Vervang eens voor de grap het woord "cloud" met "iemand anders z'n computer" elke keer dat men het gebruikt. Buzzwords maken het niet ineens ok allemaal.
Maar Facebook heeft er echt een sport van gemaakt en dat moeten we niet willen met z'n allen.

WillySis

Privacy

@aileron • 4 april 2019 10:11

De Cambridge Analytica had de data zelf via een achterdeur verzameld. Dat achterdeurtje is nu dicht. Er zit nog wel een kattenluikje in, maar daardoor kan je veel minder data verzamelen.

Facebook is beslist geen heilig boontje. Als oud topmannen al stellen dat het eigenlijk onverantwoord is om Facebook te gebruiken en iedereen zijn account op zou moeten zeggen, zegt dat genoeg.
Om diverse redenen heb ik nog steeds een facebook account, maar heel veel gegevens zijn fake en een groot deel van mijn klicks op facebook is ook random. Posten doe ik eigenlijk alleen in besloten groepen, maar ik ga er wel vanuit dat FB daar ook meekijkt.

CurlyMo
@aileron • 3 april 2019 21:39

En niet stiekem toch wel WhatsApp of Instagram gebruiken

aileron
@CurlyMo • 3 april 2019 21:51

Breek me de bek niet open. Heb iedereen op signal geprobeerd te krijgen. Dat is echt mooi doodgebloed.

Crazy Harry
@aileron • 3 april 2019 22:08

Ik gebruik het gewoon, en het is voor mij heel simpel; gebruikt een ander het niet, kunnen ze me niet bereiken met een instant messenger.
En de aanhouder wint, dus ooit zal iedereen in mijn netwerk op Signal zitten

Al is het maar omdat Facebook nog genoeg fouten gaat maken en het voor de een na de ander de druppel is om over te stappen naar een fatsoenlijk programma.

DigitalExorcist
@aileron • 3 april 2019 22:05

Dat maak ik zelf wel uit 😜

Ben een tevreden FB-gebruiker. En met mij nog miljarden anderen.

Mars Warrior
@DigitalExorcist • 3 april 2019 22:13

Ik niet, en met mij nog miljarden anderen, miljarden meer zelfs

ajolla
@DigitalExorcist • 4 april 2019 02:39

Trek daar nu dan maar een half miljard vanaf, Mark Elliot.

DigitalExorcist
@gjmi • 3 april 2019 22:41

Hoezo “naïef”. Wat een onzin zeg. Jij hoeft mij niet “naïef” te noemen. Alsof jij verheven bent boven de rest van ons. Bahbah.

Mensen die FB gebruiken doen dat vast met een goeie reden. En zij die dat niet doen óók.

[Reactie gewijzigd door DigitalExorcist op 3 april 2019 22:42]

Annihlator
@DigitalExorcist • 3 april 2019 23:47

Een goede reden om op FaceBook te zitten, ik ben benieuwd...

Mijn account is nog niet verwijderd, maar ik kan niet zeggen dat ik een daadwerkelijk goede reden heb om er gebruik van te maken, als ik eerlijk ben is dat meer aan nieuwsgierigheid en dat soort niet-daadwerkelijk-belangrijke dingen te doen... Is dat een goede reden als stelselmatig (als in; zo vaak) allerlei data op straat komt te liggen? Steeds meer mensen lijken daar oprechte vraagtekens bij te hebben.

DigitalExorcist
@Annihlator • 4 april 2019 06:59

Nieuwsgierigheid, verbonden blijven met mensen die niet in dezelfde buurt wonen als jij, familie, groepen van gelijkgestemden beheren, mensen uit het verleden weer ‘spreken’... en dan heb je nog Whatsapp natuurlijk, wat -zeker in Nederland- een werkwoord geworden is. En de rest: het onderzoek dat FB doet, de infrastructuur, AI research..

Ik post ook niet m’n hele hebben en houden op Facebook. Verre van, zelfs. Maar het is voor mij wel een manier om contacten te onderhouden. Niet de énige manier maar wel eentje die voor mij waardevol is.

En die data op straat... 2FA voorkomt misbruik van wachtwoorden, creditcardgegevens hebben ze niet van me, en als iemand buiten FB mijn interesses wil weten hoeven ze het alleen maar te vragen dan vertel ik het zo óók wel.

[Reactie gewijzigd door DigitalExorcist op 4 april 2019 07:02]

Rabb
@Annihlator • 4 april 2019 22:45

Er zijn gigantisch veel groepen van mensen die bij dezelfde vereniging zitten, in dezelfde buurt wonen en geïnteresseerd zijn in tweedehands spulletjes. Of gewoon een plek willen om foto's te delen binnen een groep.

Ik heb zelf facebook nooit gebruikt, maar ken zat mensen die het dagelijks actief gebruiken omdat het gewoon nuttig is. Helaas is er gewoon geen goed alternatief. Is ook de rede dat facebook zo groot is geworden.

Annihlator
@Rabb • 5 april 2019 15:51

Ik weet het niet zo zeker.

Het tweedehands spulletjes argument is daarbij het makkelijkst aan te pakken met dat zowel Ebay als Marktplaats zich daar beter voor lenen, mede omdat (in tegenstelling tot fb) zij zich ook bezog houden met het weren van scammers. Fb is al afgeleid genoeg met live features als streaming (wat ze ook niet snel genoeg kan filteren) om dit erbovenop te doen: daarbovenop logt fb vermoedelijk meer als zelfs ebay zou doen.
Mensen zien het misschien wel als makkelijk omdat ze dan geen extra account op een andere site nodig hebben; maar dat soort argumenten zijn inmiddels ook wel te beschouwen als onderdeel van het probleem, heb ik het idee.

Rabb
@Annihlator • 5 april 2019 19:01

Ik weet het wel zeker, facebook word in mijn omgeving actief gebruikt op deze manieren. Er zijn geen alternatieven waarbij al deze mogelijkheden op 1 platform zitten.
Marktplaats word ook gebruikt, maar binnen deze groepen zitten bekenden uit de buurt. En vrienden van bekenden die ook in de buurt wonen. Marktplaats staat tegenwoordig vol met handelaren en andere troep die niets met 2e hands te maken hebben.

Dat facebook alles logt en verhandelt is een tekortkoming van de wet, niet van de gebruikers.

droner
3 april 2019 21:15

Zodra je beseft dat belangen van gebruikers alleen PR-waarde hebben voor Facebook verbaast dit je helemaal niks meer. Leg het ze voor en er komt een hoogintelligente, hippe Silicon Valley dame uitleggen dat het echt verschrikkelijk is en dat ze alles maar dan ook alles doen om onze privacy te waarborgen. Been there, done that

lighting_
3 april 2019 21:18

Met psd2 zal na jaren ook ineens van dit soort berichten komen

duspmeante
3 april 2019 21:29

Je verwacht het niet he?

kodak

Datalek
Privacy

3 april 2019 22:21

Het zou niet uit moeten maken of een bekend nieuwsbedrijf of een onbekend securitybedrijf contact opneemt.

Toch heb ik bij berichten in de vorm van bij ons reageren ze niet maar bij een bekende wel ook de vraag wat dan inhoudelijk het verschil was. Het kan nogal een verschil uitmaken of je mails naar een of andere mailbox stuurt of een telefoontje doet naar een CIO of PR-persoon.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf: data Facebook-gebruikers stond onbeveiligd op AWS-server

Lees meer

IT Banen

Reacties (109)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden