Hackers kregen bij ransomwareaanval op Bose toegang tot data van ex-werknemers

Bose is begin maart getroffen door een ransomwareaanval, waarbij hackers toegang kregen tot de gegevens van zes Amerikaanse ex-werknemers. Het bedrijf kan niet uitsluiten dat deze gegevens zijn gestolen.

Na de aanval op de Amerikaanse systemen op 7 maart startte Bose een intern onderzoek. Hieruit bleek dat de aanvallers toegang hadden tot de gegevens van zes ex-werknemers van de Amerikaanse tak van het bedrijf. Het gaat om onder meer naam, hun social security-nummers en 'vergoedingsgegevens'. Bose zegt met beveiligingsexperts en de FBI te hebben onderzocht of deze gegevens zijn gebruikt op het darkweb, daar zou vooralsnog geen bewijs voor zijn.

Het bedrijf zegt na de aanval de endpoint-malwarebescherming, monitoring en logging te hebben verbeterd. Ook zijn de wachtwoorden en access-keys van accounts veranderd. De getroffen ex-werknemers zijn ingelicht over de aanval. De gegevens van een aantal huidige Bose-werknemers zijn ook gestolen; om hoeveel het gaat is niet duidelijk. Het bedrijf geeft niet aan of er losgeld is betaald. Inmiddels zijn alle Bose-systemen weer actief.

Reacties (35)

dvdmeer 25 mei 2021 09:52

Ik zie momenteel niet echt een awareness bij bedrijven dat er iets moet gebeuren om de security beter op orde te krijgen. Niet dat je zo'n aanval altijd kan voorkomen maar wel dat je als bedrijf beter voorbereid bent als dit soort dingen gebeuren.
Uiteraard komen dit soort berichten meer in het nieuws omdat bedrijven verplicht zijn dit soort dingen te melden maar toch heb ik het idee dat het steeds meer voorkomt. Misschien ook omdat het blijkbaar succes heef aangezien de aanvallers tegenwoordig een 2-delige methode gebruiken:
1. Encrypt alle system en er moet betaald worden om weer bij de data te kunnen
2. Als men niet betaalt dan wordt de bedrijfs data op het internet gegooid

Ik vraag mij af of het niet eens tijd wordt voor een overkoepelende organisatie die high profile bedrijven helpt met hun beveiliging door advies te geven en assistentie te verlenen.
En dan alle bedrijven die zaken doen met de overheid hierop verplicht door te lichten want de eerstvolgende grote wereldwijde conflict kan er wel eens voor zorgen dat massaal systemen van cruciale bedrijfstakken platgelegd worden door staatshackers.

BytePhantomX @dvdmeer • 25 mei 2021 10:05

Ik denk dat die overkoepelende organisatie er al is. De AIVD en het NCSC zijn zeker al in staat om high profile bedrijven te ondersteunen. Leuk om in dat kader eens te luisteren naar deze podcast: https://www.cyberhelden.nl/episodes/episode-18/

Uiteraard zul er nooit echt wat van horen gezien de werkwijze van de dienst.

Daarnaast wordt er veel informatie gedeeld via ISAC's. Zie https://www.ncsc.nl/aan-d...rking/samenwerking-sector

Het model in Nederland is wel informatie delen. Bedrijven en organisaties zijn primair zelf verantwoordelijk voor het nemen van de juiste maatregelen. Bij een verplichting zou ik me serieus afvragen of dat effect heeft. Als een bedrijf echt niet wil, dan maakt een verplichting ook niet uit.

dvdmeer @BytePhantomX • 25 mei 2021 10:24

Ik wist niet dat er al een aantal overkoepelende organisaties waren. Bedankt voor deze info.

Je kan misschien niet alle bedrijven dwingen bepaalde beveiliging in te bouwen maar wel vind ik dat van bedrijven die zaken doen met de overheid een minimaal niveau verwacht mag worden met betrekking tot onder andere veiligheid. Deze bedrijven hebben namelijk te maken met vertrouwelijke informatie van burgers en daar moet voorzichtig mee omgegaan worden.

Mopperman @dvdmeer • 25 mei 2021 10:33

Mijn oud werkgever (Amerikaanse multinational) werd destijds door de FBI benaderd dat er iets aan de hand was. Niet veel later werden de “systemen” van de ransomware in kwestie geactiveerd.

FBI heeft destijds wel gewaarschuwd en adviezen gegeven ter voorkoming van schade in de toekomst. Ook werd er verteld nooit in te gaan op losgeld verzoeken.

FreshMaker @Mopperman • 25 mei 2021 11:04

Onlangs hebben ze ( FBI ) zelfs ongevraagd en op de achtergrond Exchange servers gepatched.
"geen data aangepast, of veranderd" maar wel binnengestapt ( na een gerechtelijke toestemming )

Maar je zal als system-administrator maar een probleem oplopen na zo'n 'ingreep'
Ik weet van mij en mijn collega's wat we uitvoeren bij onderhoud, maar als iemand anders iets gaat doen, is dat toch wel eng.

batjes @FreshMaker • 25 mei 2021 13:59

FBI had daar -naar eigen zeggen- best een goede reden voor.

The FBI requested this warrant because they believed that the owners of the still-compromised web servers did not have the technical ability to remove them on their own and that the shells posed a significant risk to the victim.

"Based on my training and experience, most of these victims are unlikely to remove the remaining web shells because the web shells are difficult to find due to their unique file names and paths or because these victims lack the technical ability to remove them on their own," the FBI stated in an affidavit in support of a search warrant.

Ondanks dat dit grijs gebied is of een partij als de FBI zich hier mee bezig zou moeten houden, vind ik het eigenlijk best een goede actie. Zou wel netjes zijn geweest als ze de webmaster even een berichtje hadden gestuurd met wat en waarom ze hun handeling hadden uitgevoerd. Maar gezien mijn ervaring in de ICT, als na een maand zulke exploits niet gepatched zijn, heeft informeren eigenlijk ook weinig zin en haal je daar meer gezeik mee op de nek.

FreshMaker @batjes • 25 mei 2021 14:08

Klopt, en helemaal mee eens.

Maar OF er een goede reden was, of niet, dit is de zoveelste actie die ze (een overheidsinstantie) ondernemen, welke een glijdende schaal kan veroorzaken.
Nu was het Exchange, volgende keer gaan ze windows updates doorvoeren waarin er iets anders kapot gaat, omdat het niet getest was.

Ga dan maar eens uitzoeken waar het ligt

Ik zou eerder gekozen hebben voor een 'dreigmail

' als jij het niet doet, dan doen wij het, en je hebt er 2uur voor
Dan weet je iig dat er wat gebeurt

Alex3 @FreshMaker • 25 mei 2021 13:22

Ik neem aan dat ze wel een bericht gestuurd hebben. En die administrators hadden sowieso een probleem doordat ze achterliepen met updaten.

FreshMaker @Alex3 • 25 mei 2021 13:24

Nooit zomaar iets aannemen ...

https://www.bleepingcompu...s-without-telling-owners/

Nee, "without telling" betekend toch echt "niet aangegeven"

En of het nu wel of niet een probleem was met updates, zomaar even een systeem binnendringen blijft mij not done.

"we hebben alleen de updates gedaan"
Ja, natuurlijk ... want jij zegt het ..

[Reactie gewijzigd door FreshMaker op 25 juli 2024 13:22]

BytePhantomX @dvdmeer • 25 mei 2021 12:15

Als commerciële bedrijven met echt gevoelige (geclassificeerde) informatie werken, dan kun je er wel vanuit gaan dat daar een bepaald beveiligingsniveau bij komt kijken.

In dezelfde reeks van de podcast is ook een interview met een MIVD'er (https://www.cyberhelden.nl/episodes/episode-19-mivd/). Defensie heeft hele duidelijke richtlijnen waar leveranciers aan moeten voldoen als zij over geclassificeerde informatie beschikken. Dat document is openbaar en kun je hier vinden: https://www.defensie.nl/o...ta-s/2020/02/04/abdo-2019

Die maatregelen die daar in staan gaan echt wel wat verder dan het hebben van een sterk wachtwoord en anti-virus.

Maar er zijn veel bedrijven die wij in Nederland 'vitaal' vinden. Zoiets als de pijpleiding in de VS kun je vitaal noemen, maar effectief heeft het wat economische schade opgeleverd en was het soms wat lastiger, maar uiteindelijk valt de schade wel mee. Het heeft geen mensenlevens gekost en de economie is niet in elkaar gestort. Je moet wel bedenken dat de beperkte resources die Nederland heeft vooral de schaal wordt toegepast om dat soort dingen te voorkomen.

Skiddie @dvdmeer • 25 mei 2021 10:35

Wij merken net het tegenovergestelde. Waar wij vaak als contractors in een hoop/groepmail gesmeten werden met om de 2 maand de account gegevens in plain text, zien wij de laatste jaren toch een grote verschuiving. Persoonlijk accounts, VPN's, one time login tokens, single login token (checkout/checkin systeem), tot 4 jumpservers voor je aan de internal systems zit, enz enz.

De dagen dat ik zomaar de IT afdeling kan mailen met de vraag voor logins of de voorgeconfigureerde VPN-clients zijn voor ons bijna voorbij. Alle vragen/aanzoeken tot logins en login methods worden tegenwoordig enkel gedaan via interne procedures via specifieke SPOC's.

nopcode @Skiddie • 25 mei 2021 11:01

Ik merk dat ook, maar enkel voor operationele systemen (de tools van IT zelf).
Voor business systemen vaak nog niet.

Haruhi 25 mei 2021 10:12

Er is meer gestolen. Ik heb de service manuals/schemas kunnen bemachtigen voor een kleine prijs.
Ik ben er geen fan van. Maar ik kan nu wel elke bose device met zekerheid repareren op component niveau.

Aerophobia1 @Haruhi • 25 mei 2021 10:19

Is dat geen digitale heling, als je op de hoogte bent van dat het gestolen waar betreft?

kodak

Hack
Cybercrime
Beveiliging en antivirus
Ransomware
Hackers

@Haruhi • 25 mei 2021 10:23

Wat heeft dat met deze ransomware te maken? Service manuals worden wel vaker aangeboden.

Skiddie @Haruhi • 25 mei 2021 10:40

En zo houden we het ransomware/IP-theft verhaal aan de waggel..... congrats.

Caelestis @Haruhi • 25 mei 2021 21:19

Elke autoriseerde Bose dealer/reparatie center heeft die schema's.
Hoe weet je dat het van dit incident komt?

wica 25 mei 2021 09:47

Ransomware is altijd een data lek. Tenzij je, als bedrijf zijnde hard kan maken dat het niet zo is.

DiedX @wica • 25 mei 2021 09:56

Je kan níet zomaar crypten. Dus ik zou die laatste zin weghalen

haagsepracht @wica • 25 mei 2021 11:25

Mee eens, als je de definitie van de AP hanteert: "Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.". Bron: https://autoriteitpersoon...ing/meldplicht-datalekken

avlt 25 mei 2021 09:53

Hoeveel ransomware aanvallen zouden er nog zijn zonder de annoniemiteit en niet-traceringmoglijkheden van cryptocurrencies?

thomasmoors @avlt • 25 mei 2021 10:08

Dan worden nog altijd geldezels gebruikt.

Bulkzooi @avlt • 25 mei 2021 09:55

En hoeveel extra fysieke gijzelingen?

downtime @Bulkzooi • 25 mei 2021 10:09

En hoeveel extra fysieke gijzelingen?

Geen. Ransomware is een niet-gewelddadige vorm van criminaliteit met een hele kleine pakkans, omdat je het anoniem en vanuit een ver land kunt doen, maar waar je wel wat expertise voor nodig hebt. De mensen die dat doen zullen niet snel naar gewelddadige criminaliteit met een hele hoge pakkans overgaan.

Groningerkoek @downtime • 25 mei 2021 12:06

De mensen die de software schrijven waarschijnlijk niet. Maar niet iedereen die hierbij betrokken is, is een programmeur. Daarnaast als het nu weg zou vallen dan zal een gedeelte die nu gewend is aan dit extra inkomen andere methoden zoeken om een hoog inkomen te behouden.

thibaultvdb @avlt • 25 mei 2021 11:15

0, maar dan is er ook geen last-resort optie om uit een zinkende economie te stappen en brood op de plank te krijgen. In Venezuela appreciëren ze dat wel, minimumloon in de officiële economie is 2 dollar per maand. Sommige problemen los je beter op in een andere layer (in dit geval maak regelmatig een offline backup van je bedrijfsgegevens). Betaling en communicatie layers moeten volledig encrypted kunnen blijven IMO. Vinden overheden historisch niet leuk natuurlijk, in die situatie moeten ze werken voor hun geld.

[Reactie gewijzigd door thibaultvdb op 25 juli 2024 13:22]

Dark Angel 58 25 mei 2021 09:49

Slecht 6 medewerkers.... dat is heel verdacht. Lijkt wel op een gericht aanval.

downtime @Dark Angel 58 • 25 mei 2021 10:10

Zegt niets. Misschien toevallig een share waar dossiers staan van medewerkers die afgelopen week vertrokken zijn.

Roelant @Dark Angel 58 • 25 mei 2021 10:34

Het leest inderdaad wat gek.

De gegevens van een aantal huidige Bose-werknemers zijn ook gestolen; om hoeveel het gaat is niet duidelijk.

Dus de werkelijke omvang is waarschijnlijk groter, maar (hoeveel is) niet bekend. Ik snap niet zo goed waarom die zes ex-werknemers er zo wordt uitgelicht. Het is een ransomware aanval, waarbij (onder andere) gegevens van werknemers en ex-werknemers zijn gestolen. ¯\_(ツ)_/¯

edit: Alhoewel uit de in het artikel gelinkte PDF (de melding aan de autoriteiten) eigenlijk niet is op te maken dat er ook andere persoonsgegevens dan van die zes werknemers is buitgemaakt?

[Reactie gewijzigd door Roelant op 25 juli 2024 13:22]

Skiddie @Dark Angel 58 • 25 mei 2021 10:39

"Misschien wat verder lezen dan enkel het vet gedrukt?" - was mijn eerste gedacht. Maar blijkt dat je ook in de titel en het vetgedrukt niet hebt opgemerkt dat het om EX-werknemers gaat. Er wordt ook melding gemaakt dat gegevens van huidige werknemers verkregen is, hoeveel wordt er echter niet gezegd.

Roelant @Skiddie • 25 mei 2021 10:49

Dat er ook gegevens van huidig werknemers zijn gesloten, blijkt dus niet uit de bron.

Paitor @Roelant • 25 mei 2021 11:01

Die bron zegt in de PDF op pagina 3: "These files contained certain information pertaining to employees and former employees of Bose.

Eerder geven ze al aan dat ze niet kunnen uitsluiten noch bevestigen dat er gegevens gestolen zijn, wel dat er mensen bij deze data konden komen.

Dus in ieder geval wel benoemd door Bose dat zowel huidige als ex-employees geimpact zijn.

sourcecode 25 mei 2021 10:01

endpoint-malwarebescherming verbeterd ?

Die heb je al toch draaien
Wat ga je nog beter doen dan ?

Epidemias @sourcecode • 25 mei 2021 10:07

Verbeteren kan ook een eufemisme zijn voor "we gaan het nu implementeren"

evilution 26 mei 2021 05:40

Dat zullen nu wel boze werknemers zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (35)

Sorteer op:

Weergave: