Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Amerikaanse jury bevindt Russische hacker schuldig aan hacks LinkedIn en Dropbox

Een Amerikaanse rechtbank heeft de Rus Jevgeni Nikulin schuldig bevonden aan de hacks op LinkedIn en Dropbox in 2012, waarbij respectievelijk de gegevens van 117 miljoen en 69 miljoen gebruikers op straat kwamen te liggen.

De Rus is ook schuldig bevonden aan het verkopen van Formspring-data. Dat bedrijf werd ook in 2012 gehackt, met als resultaat de diefstal van de data van 420.000 gebruikers. De Rus werd in 2016 gearresteerd in de Tsjechische Republiek, waarna een getouwtrek tussen Rusland en de VS ontstond: beide landen wilden hem uitgeleverd hebben. Rusland trok aan het kortste eind.

Een straf is nog niet bepaald; die volgt op 29 september. Per geval van diefstal van inloggegevens kan hij tien jaar gevangenisstraf krijgen. Voor het installeren van malware op andermans computers kan hij vijf jaar per geval krijgen en voor identiteitsdiefstal krijgt hij twee jaar. Dat schrijft Bloomberg.

De Rus bood de LinkedIn-gegevens aan voor 5 bitcoin, toentertijd ongeveer 2000 euro. Hoeveel gevraagd werd voor de Dropbox-database, is niet bekend. Dropbox werd overigens binnengedrongen aan de hand van een hergebruikt wachtwoord van een medewerker, dat voorkwam in de uitgelekte gegevens van LinkedIn. De hacks vonden plaats in 2012, maar kwamen pas in 2016 aan het licht.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

12-07-2020 • 11:30

83 Linkedin

Reacties (83)

Wijzig sortering
Iedereen heeft het hier over 2FA maar deze hack was uit 2012 acht jaar geleden dus.
Toen was 2FA nog niet zo gebruikelijk dit is vooral pas opgekomen nadat dit soort hacks bekend zijn geworden.
Nog steeds zwerven er phishing e-mails rond met LinkedIn wachtwoord gegevens.
Alsof er nog iemand is die zijn wachtwoord van 8 jaar geleden gebruikt...
Blijft handig om gewoon een wachtwoord manager te gebruiken bij voorkeur ivm 2FA.
In het algemeen vind ik dat we nu toch wel genoeg weten om hard op 2FA in te zetten. Eigenlijk daarom des te teleurstellender als ik dat bericht lees over yubikeys enzo van tweakers, een paar weken geleden.

Eerlijk gezegd mag de politiek, net als ze met opladers proberen te doen, ook wel eens wat harder / duidelijker optreden / zichzelf opstellen hierin....

En weer, niet per se een fout die strafbaar is, maar wel een duidelijke oorzaak die je leert en waarvoor aandacht nodig is (geworden).
Spijtig genoeg betekent 2FA voor veel bedrijven dat ze uw telefoonnummer willen hebben ter verificatie...
Ik wil niet elk bedrijfje met een website waar ik mij moet registreren mijn telefoonnummer geven!
Liever mijn telefoonnummer dan Google authenticator te moeten gebruiken. Maar gelukkig is Apple ook een stap dichterbij gegaan vorig jaar met hun “Login with Apple”.

Bestaat er geen centraal systeem dat geïmplementeerd kan worden voor het gebruik van 2FA? Of zou dat dan weer juist gevoeliger worden?

-edit: moderatie van 0? Volgens mij heb ik toch een flinke discussie hieronder teweeg gebracht.. die moderatieknop moet je niet gebruiken omdat je iets niet leuk vind om te horen.. ‘t is geen Dumpert hier

[Reactie gewijzigd door xBrndnn op 13 juli 2020 00:00]

Wat is er aan de hand dan met de Google Authenticator app? Het is een simpel stukje rekenen aan de hand van een vooraf vastgesteld tijdsmoment waarbij het verschil met nu je een code oplevert. De authenticator app hoeft daarbij geen verdere gegevens te hebben.
nadeel is wel dat je, ondanks een iCloud backup, al je codes kwijt bent als je naar een andere iPhone gaat. Vrijwillig of onvrijwillig. Als je dan geen backup codes hebt, heb je wel een probleem. Met sms heb je dit niet. Office 365 heeft gelukkig meerdere 2fa opties en Google ook. Maar veel andere sites niet.
nadeel is wel dat je, ondanks een iCloud backup, al je codes kwijt bent als je naar een andere iPhone gaat.
Tegenwoordig kan je met Google Authenticator wel eenvoudig codes overzetten van je oud toestel naar een nieuw toestel. Het probleem is vooral wanneer je je toestel verliest.
Dat had ik dus, toestel was ineens defect
Het verdwijnen van deze codes is toch juist de bedoeling bij deze app. Het is geen backup programma. Ja het is makkelijk om je 2FA terug te hebben zonder er iets voor te hoeven doen maar dan moet je of Google vertrouwen met deze data of vertrouwen dat je backups echt alleen door jou gebruikt kunnen worden. Er zijn alternatieven die dit in de cloud bijhouden (1password, Authy, Lastpass) en hierbij geeft @pepsiblik weer aan dat er een gemis is aan Europese alternatieven terwijl er een programma is wat geen communicatie nodig heeft en een export functie voor backup gaat ook het doel voorbij.

Het is wel noodzakelijk om dan zelf een backup te maken van deze codes, maar dit kan in een aparte encrypted database die je op een veilige plek bewaard.
Zijn mijn reactie op het bericht van @pepsiblik, check zeker Raivo OTP eens.
Ziet er goed uit, dank voor de tip!
Ik zie trouwens net dat Enpass, wat ik gebruik, het ook kan.

[Reactie gewijzigd door tvtech op 13 juli 2020 08:45]

Er zijn meer authenticator apps, die van Google komt ook niet op mijn telefoon, maar gebruik die van Lastpass voor verschillende websites.
Lastpass, Authy, Microsoft, allemaal Amerikaanse bedrijven. Is er geen Europees alternatief?
Raivo OTP, gemaakt door een Nederlander. Werkt perfect! Maakt zelfs backuppen, export en import van OTP's mogelijk,
Zo te zien geen Android app en ook geen Windows Modern UI app.
Bedankt voor deze tip, vooral de mogelijkheid voor een ZIP export is wat ik bij Authy mis en ben daar al eens de mist in gegaan met een nieuwe telefoon.
FreeOTP van Red Hat is ook opensource en is ook niet cloudbased. Helaas geen authenticatie optie wanneer je de app opstart
Alsof er nog iemand is die zijn wachtwoord van 8 jaar geleden gebruikt...
Als ik kijk in mijn privékring en op het werk dan gebruikt iedereen gewoon overal dezelfde wachtwoorden en ook al ettelijke jaren achter elkaar. Niemand heeft zin om om de haverklap wachtwoorden te veranderen, men kan hun tijd wel beter besteden.
En een wachtwoordmanager is leuk, maar het is vooral de jeugd die vergroeid is met de telefoon. Ik durf er mijn hand voor in het vuur te steken dat het gros van de mensen boven de 30 gewoon wachtwoorden op een papiertje heeft staan.

Ik ben tegen wachtwoordmanagers, het is gevolg bestrijding in plaats van oorzaak bestrijding. Er moet een betere manier komen om jezelf te kunnen identificeren op het internet. Een wachtwoordmanager is een leuke gadget voor techsavvy's maar het gros van de mensen vindt dit lastig en omslachtig.
Je hoeft echt geen nerd te zijn om een wachtwoord manager te gebruiken.
Het is zo eenvoudig dat dit geen belemmering hoeft te zijn.
Het excuus “geen zin” om je wachtwoorden te wijzigen is zwak. Je moet dan immers zelf de verantwoordelijkheid nemen als het fout gaat en je gehacked wordt.
En nee, ik val echt niet onder de jeugd meer! ;)
Hij zegt toch ook dat het toen nog niet zo gebruikelijk was, niet dat het nog niet bestond? Ook vandaag gebruiken veel mensen nog geen 2FA en het is zeker geen gemeengoed voor alle soorten van diensten.
Precies wat ik bedoel.
Het duurt ook vrij lang voordat bepaalde technieken zoals 2FA, door de gemiddelde consument gebruikt gaan worden.
Zolang iets simpels als een betaalpas alleen maar wordt beschermd met een viercijferige pincode is het droevig gesteld. Met deze code en de pas, trek je zo een hele bankrekening leeg.
Bij kleine bedragen is contactloos betalen handig, maar bij grote bedragen zou een pincode onvoldoende moeten zijn.
Is er ook bekent wat er met de medewerker is gebeurt die dit veroorzaakt heeft? Lijkt mij dat deze ook wel enige vorm van vervolging zou moeten krijgen... het is immers zijn nalatigheid wat dit mogelijk heeft gemaakt.
Je noemt de persoon als medewerker. Een medewerker is niet zomaar iemand. Dat zal waarschijnlijk een persoon zijn die handelde namens een bedrijf en niet namens zichzelf. Die medewerker is waarschijnlijk in dienst om in opdracht van het bedrijf te werken in ruil voor een vergoeding zoals salaris. Als het dan mis gaat is dat niet zomaar voor rekening van de persoon. Een werknemer is geen persoon die namens een bedrijf werkt als het goed gaat maar op eigen verantwoordelijkheid werkt als het slecht gaat. Hoe dat dan met verantwoordelijkheid zit heeft daar meestal mee te maken.

In Nederland was destijds de wet (inmiddels is er de AVG die nog uitgebreider is) dat een bedrijf voldoende organisatorische en technische maatregelen moest treffen. Dat ging niet alleen om de gegevens maar ook voorkomen dat medewerkers namens het bedrijf fouten maken. Hoe dat in de Verenigde Staten zit is voor mij niet duidelijk, maar ik betwijfel of een medewerker ook daar zomaar verantwoordelijk is.

Zo kan je namelijk stellen dat het bedrijf van de werknemer onvoldoende maatregelen heeft getroffen om de medewerker en de gegevens van de klanten te beschermen. Die computers die gebruikt zijn waren waarschijnlijk in controle van het bedrijf en voerden kennelijk opdrachten van de veroordeelde uit. Voor de medewerker iets ontving moest het waarschijnlijk aan de beveiliging van het bedrijf voldoen voor het bij de medewerker kwam. En moest het waarschijnlijk aan de computerbeveiliging van het bedrijf voldoen voordat de medewerker iets kon laten uitvoeren. Dus waaruit blijkt dan volgens jou dat de medewerker verantwoordelijk is? Waarschijnlijk niet zomaar uit het klikken en uitvoeren of dat iets onder het account kon plaatsvinden.
Sowieso wat ik niet snap als je met gevoelige data bezig bent dat je geen automatische password changer hebt.

Wij hier op het werk hebben om de 45 dagen een nieuw wachtwoord en het mag niet hetzelfde zijn als de afgelopen 6 maanden.
Het is bewezen dat zo'n password policy vrij onveilig is. Mensen maken gewoon een gemakkelijk wachtwoord en de meeste doen gewoon een nummertje altijd omhoog.
Hmm ok maar wat is het alternatief dan?
2FA

Hier wat leesvoer waarom geforceerd mensen periodiek een password laten veranderen niet handig is. https://arstechnica.com/i...ty-ftc-technologist-says/

edit:
2FA als extra laag op gebruikers authenticatie in het algemeen.
In het geval van LinkedIn en Dropbox zou de infrastructuur het natuurlijk nooit moeten toelaten dat iemand vanaf een thuisverbinding bij de password database kan komen lijkt me.

[Reactie gewijzigd door Munchie op 12 juli 2020 12:09]

Ik vraag me af hoe je 2 FA organiseerd. Wss hier met een fysieke keycard want gsm enzo mag hier niet gebruikt worden.
Of zo'n fysiek ding dat een code genereert. Een kennis van me werkt bij een bedrijf waar ze dat zo doen: daar moet ze ieder uur of zo (weet niet precies wat het tijdlimiet is) even een nieuwe code invoeren die die generator aan haar sleutelbos genereert.
Iedereen een yubi key geven, kost misschien wat, maar het werk wel. Enige manier om nog in een account te komen is met ww en yubi key. Als je die kwijt raakt kun je hem meteen laten blokkeren.
Kijk even naar Hardware Keys.

Ga je ouderwets dan ga je voor een OTP token tegenwoordig kun je ook voor Fido gaan ( scheelt je nogal flink op de kosten ivm OTP tokens ivm batterij en vervanging).

Wat je ook wel ziet is een smartcard om in te loggen bij use-cases waar telefoons niet toegestaan zijn.
Maar ook dat is moeilijk. Bij mijn laatste opdracht gever hadden we locaties in gebieden waar er 0,0 gsm signalen komen en de opdrachtgever wilde toch graag 2fa hebben. Uiteindelijk voor een minder solide oplossing gekozen :p

Maar goed uitzonderingen heb je overal.
Authenticator app kan ook op basis van een gegenereerde code, dus een internet verbinding is niet noodzakelijk.
2FA kan perfect zonder enige vorm van WiFi of 'gsm signalen'. Denk aan een yubikey of hard token
Vandaag de dag wordt er een combinatie van technieken toegepast. Accounts beveiligen met 2FA is een goede stap, maar je ziet ook meer en meer dat men naar Privilige Access Management gaat waarbij je niet langer 1 enkel account hebt om je werk mee te doen. Wil je in de database zijn? Dan moet je daarvoor een database account gaan ophalen uit de virtuele kluis. Gedaan met dat account? Het wachtwoord word inmiddelijk aangepast. Je moet iets aanpassen op de webserver zelf? Ga dan maar het service account van de webservers halen.

Steeds zo min mogelijk rechten geven aan gebruikers en rechten ook alleen maar net op tijd geven en voor zo lang als noodzakelijk is. Dat is waar we in de toekomst naartoe gaan.
Sowieso wat nu al gebeurt is dat enkel de informatie van de diens toegankelijk is voor die ene dienst. Maar de applicatie die wij gebruiken als je het wachtwoord kent kan je wel tig personen opzoeken. Extern ga je nooit in die applicatie geraken maar als je toegang hebt tot men pc nja...(het loopt via ons interne intranet die applicatie)
Dit is niet veel anders dan je thuis computer configureren met een admin account en vervolgens werken op een user account. Ik weet dat nagenoeg iedereen gewoon werkt op hun admin account maar sinds ik deze constructie gebruik bij het installeren van computers van familie heb ik toch veel minder telefoontjes gekregen dat ik iets kapot heb gemaakt.
Ik zit zelf totaal niet in die richting, maar ik gok Yubi keys of andere hardware tokens/keys die verplicht zijn als tweede verificatie wanneer een 'belangrijke' actie wordt uitgevoerd.
Ander probleem dat dan kan ontstaan is dat medewerkers de laptop en de key samen bewaren.
Nja tis nie echt gevoelige applicatie de computer an sich is al gevoel. Vanmet je toegang hebt tot de computer heb je tot veel toegang.

Dan heb je nog steeds een wachtwoord per applicatie nodig maar dan heb je wel al details dat niet publiek moeten verspreid worden. Werk in de medische verzekeringssector.
2FA is een optie, zoals genoemd. Wat je ook kan gebruiken is een wachtwoord manager met een goed wachtwoord (en eventueel beveiligd via 2FA) en voor verschillende diensten verschillende willekeurige wachtenwoorden. Zo hoef je nog maar één wachtwoord te onthouden.
Password manager is totaal iets anders dan 2FA.
Ik heb daar 1password voor.. moet om de 90 dagen mijn wachtwoorden aanpassen van mijn werk accounts.. dan open ik 1password en hoppa.. nieuw wachtwoordje :P
Tot die data op straat komt te liggen. Wat op verschillende manieren kan gebeuren. Dan heb je niet 1 omgeving met een uitdaging maar ben je meteen je hele digitale wereld kwijt.
1password is versleuteld en het is mijn eigen persoonlijke account die ik zelf betaal.. dus niet van mijn werkgever oid.
Ja en? Dan kan deze database nooit in verkeerde handen vallen? Dan zitten er gegarandeerd geen bugs in die je password onnodig maken? Deze app draait op een device zonder internetverbinding?

Een keylogger met een advertentie op een site en je masterwachtwoord is bekend. Als er dan ook een mogelijkheid tot het benaderen van de dataset is ben je gezien.
1) alles is gigantisch versleuteld;
2) 1password werkt ook zonder internetverbinding
3) keylogger krijg je niet zomaar...
Dat kun je voorkomen met tools als ActivePasswords. Blijft dat teveel geforceerd wijzigen van een wachtwoord ook iets als opschrijven (al dan niet digitale post-it...) van wachtwoord kan opleveren. Een leuke optie is klinkers verbieden. Levert al stuk lastigere wachtwoorden op en niet ingewikkeld uit te leggen aan eindgebruiker ;)
lekker onvoorzichtig om zo'n lakse policy publiek te maken. Zulke dingen openbaren zorgt ervoor dat als er ergens een malafide database is met jouw data er nu kan aangevuld worden dat oude paswoorden bij jouw bedrijf om de 6 maanden even opnieuw getest mogen worden en hetzelfde binnen de 45 dagen niet opnieuw moet gedaan worden. Moesten jij of een collega laks zijn, dan heb je zonet een paar extra attack-angles vrijgegeven.
Sowieso het wachtwoord dat ik gebruik op het werk is niet hetzelfde van alles thuis dus daar moet je al niet mee inzitten daar let ik wel echt op.
het is niet omdat jij dat zo doet, dat iedereen in het bedrijf dat zo doet, die policy is waarschijnlijk voor iedereen van toepassing
Wat een onzin, Wat hebben ze daar dan aan dat ze weten wat de paswoord policy is ?
en hoe weten ze dan het paswoord ? op welke dag weer zal verandere in de oude?
Het steeds verandere van paswoorden heeft ook helemaal geen zin en zorgt er alleen maar voor zwakke paswoorden. Als de hacker een wachtwoord weer wat doen ie dan 45 dagen wachten of meteen inloggen ?
Wachtwoorden worden meestal achterhaalt door phising bij bedrijven.
Het is veel belangrijker gebruikers voor te lichten over het belang van een goed paswoord en wat makkelijke paswoorden zijn. Voorbeeld mailtjes sturen van phising als test phising mailtjes te sturen en als ze er op klikken waarschuwing laten zien. dat ze gevallen zijn voor een phising mail. verder 2fa een goede aanvulling.
lees goed: élk stukje informatie is bruikbaar: ELK stukje. In de hedendaagse wereld van big data, kan dat net het ontbrekende stuk zijn dat het verschil kan maken tussen een data-breach en veiligheid.
Als jouw account op een andere plaats om de 45 dagen van paswoord wijzigt en de beheerder heeft zijn security niet goed op orde, dan kan het goed zijn dat iemand constant updates krijgt en mogelijks zelfs automatisch jouw nieuwe paswoord in de database van een aanvaller wordt gestoken. Patroonherkenning door AI is kinderspel geworden en dan mag jij het nog onzin of vergezocht vinden: tegenwoordig kan je het zo gek niet verzinnen of iemand heeft het al gedaan.
Security is een én/én verhaal. Je kan mensen inlichten, maar niet verplichten of controleren dat ze overal een uniek paswoord gebruiken. Schermen met 2fa is makkelijker gezegd dan gedaan, want praktisch moet het ook werkbaar zijn en er zijn genoeg situaties waar dat niet het geval is.
Iedereen in het bedrijf weet van de policy dus het is geen geheim. Bovendien heb je dan nog niks. je weet immers niet de eerste dag of de laaste dag is niet ? Het voegt echt niets toe. bovendien kan je naar iedere willekeurige gebruiker een mailtje sturen met een paswoord changes verzoek, of denk je dat de gebruiker de dagen bij houd?
Als de beheerder zijn zaakjes niet op orde heeft dan helpt de geheim houding niet echt. ze hebben immers de policy helemaal niet nodig om toegang te krijgen want er is een andere lek.

Ik scherm niet met 2FA, ik zeg dat het een goede aanvullng kan zijn. bedenk wel dat 2FA helemaal niet betekend dat je elke keer dat je inlogt je token moet invullen. dat kan een systeem heel goed bepalen waneer het wel moet en het voegd echt een stukje veiligheid toe.
Ik vind het bijzonderder dat een medewerker die uit dienst is, dat het account gewoon nog actief is.
het is toch wel handig zo'n account 😅
Maandag1!
45 dagen later
Dinsdag1!

Het enige waar dit soort policies voor werken is dat uitgelekte wachtwoorden binnen 45 dagen verlopen zijn. Voor de rest werkt het alleen maar averechts want je creeert een omgeving waar goede veilige passwords niet handig zijn. Kost immers te veel moeite iedere keer weer een nieuwe te leren.

Ik vind dit soort policies dan ook gevaarlijk. Zorg er dan voor dat ik geen password nodig heb of alles volledig 2FA is met trusted devices.
helemaal waar, bovendien een werkent uitgelekt paswoord wordt gelijk gebruikt niet 30 dagen later.dus het helpt gedeeltelijk.

Op vroeger werkte in een bedrijf waar we elke 30 dagen paswoord moesen veranderen, hele afdelingen hadden als paswoord ongeveer als dit, januarari12, Februari12 jaar er op Januari13 of zo iets.echt briljante veiligheid je paswoord zo veel mogelijk vernaderen.
Dan kan je aan de andere kant ook stellen dat het voor de bedrijven moet gelden dat die geen wachtwoord veranderen verplicht stellen. Maar waaruit maak je het dan op dat het er niet zou zijn? Het moeten wijzigen is een oplossing voor vermindering van de kans op hergebruik, maar het voorkomt het niet. Om te voorkomen moeten men weten of het ergens anders in gebruik is. Dat kan meestal niet en dus blijft de kans bestaan.
Vreemd dat na 6 maanden wel weer hetzelfde wachtwoord gebruikt mag worden.

Bij ons mag een gebruikt wachtwoord nooit meer gebruikt worden.
Tja, leert iedereen dat wachtwoord dan uit zijn hoofd of schrijven ze het ergens op?
Of gaan ze de maand erachter zetten of iets anders makkelijks?
Ik heb liever een sterk wachtwoord dan een dergelijke policy die bovenstaand gedrag in de hand werkt.
Aan de andere kant, had men LinkedIn niet gehacked was er bij Dropbox ook niets gebeurd. We moeten echt af van een cultuur waarin we mensen gaan straffen voor fouten die ze maken. We moeten leren uit fouten, zorgen dat ze niet herhaald worden.
Zeker maar als je op je werk een password gebruikt wat bij de infrastructuur kan (of een gedeelte) en dat ook privé (Linkedin) gaat inzetten dan heb je gewoon iets niet begrepen.. en ben je a ook je functie niet waardig.

Fouten maken moet zeker kunnen als die op de firewall een verkeerd poortje open had gezet tijdens werktijd ofzo... (als het een it'r is) zeg je a klote man volgende keer opletten en we verbeteren het proces. Maar dit is gewoon nalatig door werk en prive passworden te mixen waarbij je dus bewust risico neemt en daar mogen dus best consequenties aan hangen.

[Reactie gewijzigd door HKLM_ op 12 juli 2020 11:52]

Je kan je ook afvragen waarom je vanop internet aan die data kunt. Of waarom er geen 2FA werd gebruikt. Of waarom er geen meldingen worden gedaan wanneer je er op inlogt vanop een nieuw IP adres. Ik zie vele dingen die beter hadden gekund, inclief het gebruik van het wachtwoord.
Hoe zie je dat voor je?
Ik ben het overigens gedeeltelijk met je eens hoor, maar in dit geval en in het geval van criminelen niet.

Die medewerker mag best een berisping krijgen en de verplichting om al zijn wachtwoorden te vervangen. Liefst ook zijn privé wachtwoorden, maar dat zal bij stevig advies blijven.

De Rus daarentegen mag best gestraft, de maat die in het artikel staat zou ettelijke malen levenslang betekenen, dat is natuurlijk overdreven.
Maar laat hem een goede scriptie schrijven over zijn motieven, werkwijze en hoe dit voorkomen had kunnen worden in ruil voor strafvermindering, dan wint iedereen er iets aan. Uiteraard mag hij het niet weer doen.. foei!
Een berisping is nog geen straf, en ik denk dat weten dat jouw fout ervoor gezorgd heeft dat gegevens van miljoenen mensen op straat liggen sowieso een zware impact zal hebben op die persoon. Dat soort fouten draag je heel je leven mee.

Er zijn zovele manieren waarmee Dropbox dit probleem had kunnen voorkomen, toch is dit kunnen gebeuren. Daar moet je uit leren. Niet alleen was het hergebruik van het wachtwoord verkeerd, maar waarom was deze database toegankelijk vanop het internet? Zonder enige vorm van 2FA? Waarom kon deze gebruiker met zijn algemeen accoount inloggen op die database ipv een speciaal service account nodig te hebben?
Bedenk dat bedrijven door dezelfde mensen gevormd worden die als persoon dropbox, linkedin en andere online diensten gebruiken. Een bedrijf en de medewerkers zijn in die zin dus ook in het dagelijks leven de gebruikers waarvoor de diensten bestaan (zonder naar de wet te kijken blijven de personen gelijk).

Een van de leerpunten is denk ik dat gebruikers beter moeten nadenken voordat ze gegevens van zichzelf en anderen aan een online dienst toevertrouwen. Zijn gebruikers met dat leerpunt bezig? En als dat zo is, waaruit blijkt dat dan?

[Reactie gewijzigd door kodak op 12 juli 2020 12:55]

Je hebt zojuist ons hele strafrecht weggerelativeerd
We moeten echt af van een cultuur waarin we mensen gaan straffen voor fouten die ze maken
Hm nee. Dat gaat niet direct helpen. Je moet dit soort dingen gewoon in zijn geheel voorkomen dankzij slimme policies en uitleg. Eventueel software verstrekken voor password management.
Neen, dat heb ik niet. Sinds wanneer is hergebruik van een wachtwoord verboden onder strafrecht?

Waar mensen werken worden fouten gemaakt. In een cultuur waar die fouten worden afgestraft ga je mensen net aanmoedigen om die fouten zoveel mogelijk te verbergen, om stil te zijn. Zware fouten moeten gevolgen krijgen, maar we moeten niet voor elke fout onmiddelijk zwaar gaan straffen. Zeker niet wanneer er een hele keten aan mogelijke problemen kan gevonden worden en jouw fout gewoon de laatste schakel is die nodig is om heel de keten onderuit te halen.

Zoals je zelf aangeeft. Dit had voorkomen kunnen en moeten worden. Maar een werknemer maakt het beleid niet, een werknemer zorgt er niet voor dat de nodige tools in een ondernemeing komen. Daar dient management net voor.
Zware fouten moeten gevolgen krijgen, maar we moeten niet voor elke fout onmiddelijk zwaar gaan straffen.
Maar dat is ook helemaal niet wat @HKLM_ zei. Daar ging het om enige vorm van vervolging. Dat gaat daarbij dus om nalatigheid. Strafrecht is eventueel nog een optie omdat het gaat om persoonsgegevens en dat daar wetten voor zijn.
Je moet dit soort dingen gewoon in zijn geheel voorkomen dankzij slimme policies en uitleg. Eventueel software verstrekken voor password management.
Nee, dat is hem ook niet helemaal. Uitgangspunt moet altijd zijn dat er altijd wel een oetlul tussen je personeel zit die het beter denk te weten of zich superieur voelt t.o.v. regelgevers. Dit soort zaken kan je nooit voorkomen, maar je dient een risico analyse te maken wat je op welke manier beveiligt. Lagen maken in je netwerk, opstapservers gebruiken en dergelijke. En domweg voorkomen dat iemand vanaf het internet je bedrijfsnetwerk kan benaderen zonder eerst met 2FA - ook intern - via een opstapserver toegang te laten krijgen.

Vervolgens nadenken dat bepaalde informatie geraadpleegd kan worden als éénheid, maar bijvoorbeeld het onmogelijk maken om hele databases te kunnen inzien of downloaden vanaf een remote plek. Dat moet ALLEEN mogelijk zijn voor een zeer selecte groep mensen en ALLEEN vanaf het interne netwerk en wat mij betreft ook nog vanuit een apart deel vanaf het internet netwerk die ook achter een gesloten deur zit ALLEEN toegankelijk voor deze personen. Als je dat met "policies" bedoelt, hebben we het over hetzelfde.

Het is dus een scala aan maatregelen en acties om je te beschermen tegen de eigenwijsheid en gemakzucht van mensen. Uitleg, password management software en dergelijke zijn dus een klein deel van je maatregelen en nooit het totaal. Met dit soort aantallen klanten is "ongemak" voor de remote werknemer een gegeven waar geen concessies aan gedaan mogen worden t.a.v. beveiliging. Kwestie van "jammer dan". En ja, er zijn bedrijven die het ook zo ingeregeld hebben, jammer dat je nooit hoort hoe goed die het hebben ingeregeld en dat ze hun verantwoordelijkheid zo geweldig nemen.
Vervolgens nadenken dat bepaalde informatie geraadpleegd kan worden als éénheid, maar bijvoorbeeld het onmogelijk maken om hele databases te kunnen inzien of downloaden vanaf een remote plek. Dat moet ALLEEN mogelijk zijn voor een zeer selecte groep mensen en ALLEEN vanaf het interne netwerk en wat mij betreft ook nog vanuit een apart deel vanaf het internet netwerk die ook achter een gesloten deur zit ALLEEN toegankelijk voor deze personen. Als je dat met "policies" bedoelt, hebben we het over hetzelfde.
Dat zijn toch slimme policies?

Kijk ik ben hetmet je eens hoor. Je moet niet leunen op 1 ding, maar gewoon veel lagen aanbrengen. Dit betekent echter dat je niet kan zeggen "oh wij hebben roterende passwords dus dat komt wel goed."
Op mijn werk zijn bepaalde apps naast een wachtwoord beveiligd met een sms.
Wat mij even ontgaat zit de rus in Rusland of is die ook echt opgepakt
In Tjechie opgepakt lees ik...

[Reactie gewijzigd door vinkjb op 12 juli 2020 12:26]

Hij zit sins 2016 vast, het land lijkt me duidelijk.
De Rus werd in 2016 gearresteerd in de Tsjechische Republiek, waarna een getouwtrek tussen Rusland en de VS ontstond: beide landen wilden hem uitgeleverd hebben. Rusland trok aan het kortste eind.
Dit loopt weer af zoals altijd: de Russen pakken een willekeurige Amerikaan op, veroordelen hem voor spionage en wisselen hem uit.
Wanneer ik op een website inlog met verkeerde inloggegevens, hoe moeilijk is het dan voor de websitebeheerder om al die inlogpogingen op te slaan ? Het zou een manier zijn om veel wachtwoorden van dezelfde persoon te achterhalen.
1
...waarbij respectievelijk de gegevens van 117 miljoen en 69 miljoen gebruikers op straat kwamen te liggen.
+
1
Per geval van diefstal van inloggegevens kan hij tien jaar gevangenisstraf krijgen.
= heel veel jaartjes straf? :o

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True