Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Pensioengegevens van leden KLM-pensioenbeheerder Blue Sky Group zijn uitgelekt

Bij een datalek bij pensioenfondsbeheerder Blue Sky Group zijn persoonsgegevens gelekt. Het gaat onder meer om namen, polis- en bankrekeningnummers en pensioenbedragen. Criminelen kregen toegang tot de mailbox van Blue Sky Group na een phishingaanval.

Blue Sky Group is een uitvoeringsorganisatie die het pensioenbeheer voert voor verschillende pensioenfondsen, onder meer voor het pensioen van 53.000 KLM-medewerkers en de pensioenfondsen van Philips en SNS Reaal. In een mail aan pensioendeelnemers schrijft de pensioenbeheerder dat gegevens zijn uitgelekt van deelnemers die pensioen ontvangen of waarvoor waardeoverdracht heeft plaatsgevonden. De kans is volgens de beheerder klein dat persoonsgegevens gelekt zijn van andere deelnemers van het pensioenfonds. Van hoeveel deelnemers er gegevens gelekt zijn, zegt Blue Sky Group niet.

Het lek ontstond nadat een medewerker van Blue Sky Group gephisht was, waardoor kwaadwillenden toegang kregen tot een mailbox. Via die mailbox kregen zij toegang tot de persoonsgegevens van deelnemers. Meer details over het lek geeft de pensioenbeheerder niet. Het lek is gemeld bij de Autoriteit Persoonsgegevens en er is aangifte gedaan bij de politie.

Hoewel de beheerder zegt dat het lek gedicht is, waarschuwt het bedrijf er nog wel voor dat criminelen zich voor kunnen doen als Blue Sky Group of een van de pensioenfondsen die daar onder valt. Het bedrijf vraagt e-mailadressen te controleren en te checken op spelfouten en zegt nooit per e-mail of telefoon te vragen om wachtwoorden te wijzigen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

10-08-2021 • 11:51

70 Linkedin

Reacties (70)

Wijzig sortering
Het begint wel tijd te worden dat we de juiste vragen gaan stellen.
Waarom was deze data niet versleuteld?
Was het noodzakelijk dat deze medewerker toegang had tot deze data?
Was al deze data nodig of had het ook gekund met minder of geanonimiseerde data?

[Reactie gewijzigd door CAPSLOCK2000 op 10 augustus 2021 14:26]

Omdat het mailbox is? En wat heeft encryptie voor nut als je de username en password hebt die er in hoort te kunnen?
Omdat het mailbox is?
Dat is een praktische verklaring, geen onderbouwde reden om het zo te doen. De vervolgvraag is dan "Waarom staat deze data in een mailbox?"
Als het fundamenteel is dat je data in mailboxen niet kan versleutelen dan moet je de data daar niet laten staan, of misschien wel helemaal geen mailbox hebben als die niet veilig te krijgen is.
En wat heeft encryptie voor nut als je de username en password hebt die er in hoort te kunnen?
We weten niet of de data direct uit een mailbox is gekomen, daarom stel ik mijn vragen iets ruimer. Maar je hebt op zich een punt dat encryptie niet helpt tegen geautoriseerde gebruikers. Maar daar waren de volgende vragen voor die ik stelde.
Misschien had deze medewerker wel helemaal geen username en password voor deze data, maar stond de data onversleuteld op een netwerkshare waar die medewerker eigenlijk geen toegang toe zou moeten hebben.
De encryptie is extra omdat we nu eenmaal weten dat er veel fouten worden gemaakt bij het instellen van permissies.

Overigens, ik besef best dat de vragen die ik stel geen goed antwoord hebben in 99% van de praktische gevallen. Ik heb zelf ook een mailbox waar veel te veel in staat dat er niet in hoort. Dat neemt niet weg dat de vragen wel gesteld moeten worden zodat we kunnen verbeteren.

De direct aanleiding voor mijn post is overigens dat sommigen de medewerker die gephished is de schuld geven. Natuurlijk had die daar niet in moeten trappen maar mensen maken nu eenmaal fouten, daar moet je rekening mee houden.

Overigens zijn er ook heel ander antwoorden mogelijk. Je zou kunnen besluiten om een een onderzoek niet per e-mail te doen maar om er een website voor te maken zodat mensen hun gevoelige informatie niet hoeven te mailen. Of je zet een fileserver op zodat je persooneel die kan gebruiken om bestanden uit te wisselen in plaats van ze rond te mailen.

[Reactie gewijzigd door CAPSLOCK2000 op 10 augustus 2021 14:56]

Als het een mailbox is waar communicatie met/van de klanten in staat kan het zijn dat er enorm veel gevoelige data in staat. bvb Jef Patat vraagt aan dossierbeheerderXYZ@whatever.nl waarom er maar 253.17€ is gestort op zijn rekening met een signature waarin zijn NAW en telefoonnummer staat dan heb je direct een hoop gevoelige info. als die ook op brakkesite.xxx hetzelfde paswoord gebruikte, dan is het hek van de dam.
Als het een mailbox is waar communicatie met/van de klanten in staat kan het zijn dat er enorm veel gevoelige data in staat. bvb Jef Patat vraagt aan dossierbeheerderXYZ@whatever.nl waarom er maar 253.17€ is gestort op zijn rekening met een signature waarin zijn NAW en telefoonnummer staat dan heb je direct een hoop gevoelige info. als die ook op brakkesite.xxx hetzelfde paswoord gebruikte, dan is het hek van de dam.
Dat klopt, maar dat weet je van te voren. Dat is zo voor iedere publieke mailbox in de wereld. Daar moet je je software op inrichten.

Wederom snap ik best dat het makkelijker gezegd dan gedaan is, maar we komen er niet meer weg om te zeggen dat mailboxen nu eenmaal gevoelige info bevatten en daarmee basta.

Ik heb de oplossing ook niet. Wat ik met mijn posts vooral probeer te bereiken is een andere manier van denken. Zoals dat dit niet de schuld is van de medewerker die zich heeft laten phishen want zo wordt vaak toch nog wel gedacht. Dan moet de medewerker een appeltaart kopen voor de collega's en een cursus veilig werken volgen terwijl het om een alledaagse vergissing gaat. Een simpele 'delete old mail after 30 days'-regel zou waarschijnlijk veel meer zou bijdragen. En als deleten niet kan kun je de mail misschien verplaatsen naar een beter beveiligd archief.

Fouten systematisch onmogelijk maken is uiteindelijk beter dan trainen om geen fouten te maken.
Het kan ook anders:

1. Password reset via mail voor de IT servicedesk applicatie met “klik hier om wachtwoord te wijzigen”
2. Nu je daar in kan, wachtwoordreset aanvragen voor applicatie XYZ via service applicatie
3. IT servicedesk reset wachtwoord van user en nu heeft aanvaller toegang tot applicatie XYZ met de gegevens erin.

Natuurlijk had 2FA op de mailbox of database login al veel geholpen, maar goed, als men in je mailbox kan dan is een resetje van een wachtwoord snel geregeld om ergens anders in te kunnen.
Encryptie heeft enorm veel nut in een mailbox. Als de mail geencrypteerd was heb je ook nog eens de private sleutel nodig voor het decrypteren. Als je dan dus de credentials hebt kun je er nog niet noodzakelijk aan.
Ik ga niet vertellen wat ik wel of niet van hun ben want dit is compleet irrelevant maar ik heb wel het volgende op uw opmerking te zeggen:

Bemoeien met een partij die betrokken is geraken in een scenario die ze niet in handen hadden kunnen hebben op de wijze met de vraagstukken en verwijten zoals u ze schetst zijn kinderachtig en onverantwoord.

Het bedrijf wordt op deze manier zwart gemaakt opdat u loopt te redeneren dat het bedrijf niet genoeg zou hebben gedaan om de data te waarborgen waar u absoluut geen weten van heeft. Dit schaadt het ego van het bedrijf zonder dat dit toepasselijk is gezien de omstandigheden en ik hoop dat u dit is een keer mee neemt alvorens het rond zaaien van ongestoorde opinies die geen context of kennis bevatten.

P.s. als aanvulling op het stukje gegevens van die gebruikers:

Als u in een fatsoenlijk bedrijf werkt weet u als geen ander dat programma's als Office 365 Mail een directe link hebben met het AD om mede collega's sneller te laten verschijnen als aanbevolen bij het invullen van een mail adres, hierbij is het ook nog eens zo dat dit soort programma's toegang hebben tot een "contactpersonen" functie wat in theorie een gele telefoonboek is waar meer info van de gebruiker uit gehaald kan worden dan de bedoeling is, mits je weet wat je doet en kwaadwillende doeleinden hebt.

Oftewel nee: er had hier niets aan gedaan kunnen worden, hooguit een extra les phishing voor de gebruikers maar daar houdt het ook mee op. Het aanpakken van de scammers is een effectiever middel dan de medewerkers die slachtoffer zijn geworden gaan trachten te corrigeren.

[Reactie gewijzigd door Not-Important op 13 augustus 2021 08:59]

Bemoeien met een partij die betrokken is geraken in een scenario die ze niet in handen hadden kunnen hebben op de wijze met de vraagstukken en verwijten zoals u ze schetst zijn kinderachtig en onverantwoord.

Het bedrijf wordt op deze manier zwart gemaakt
Het spijt me dat u dat zo ervaart, dat is niet de bedoeling.
opdat u loopt te redeneren dat het bedrijf niet genoeg zou hebben gedaan om de data te waarborgen waar u absoluut geen weten van heeft. Dit schaadt het ego van het bedrijf zonder dat dit toepasselijk is gezien de omstandigheden en ik hoop dat u dit is een keer mee neemt alvorens het rond zaaien van ongestoorde opinies die geen context of kennis bevatten.
Er is hier sprake van een industriebreed probleem. Ik reageer er vooral op dat er hier en in de media naar de medewerker wordt gewezen die is gephishet.
Als u in een fatsoenlijk bedrijf werkt weet u als geen ander dat programma's als Office 365 Mail een directe link hebben met het AD om mede collega's sneller te laten verschijnen als aanbevolen bij het invullen van een mail adres, hierbij is het ook nog eens zo dat dit soort programma's toegang hebben tot een "contactpersonen" functie wat in theorie een gele telefoonboek is waar meer info van de gebruiker uit gehaald kan worden dan de bedoeling is, mits je weet wat je doet en kwaadwillende doeleinden hebt.
Ja, zo werkt het en dat is een probleem. Vanalles en nog wat wordt aan elkaar geknoopt want handig is als je het nodig hebt maar tegelijkertijd verliezen we zo de controle over onze data en systemen. De nadruk ligt op data verzamelen, bewaren en delen. Het verzamelen van e-mail-adressen en een automatisch adresboek zijn daar voorbeelden van. Het is zeker handig als je veel mailt maar niemand stelt ooit de vraag op welk PC's/accounts die functionaliteit aan of uit moet staan. Het staat standaard overal aan, ik weet niet eens of je dat kan uitzetten, en de meeste adressen die verzameld worden zullen waarschijnlijk nooit gebruiken worden. Toch staat zo'n beetje iedere PC in de wereld mail-adressen te verzamelen.
Het is deels onvermijdelijk omdat we steeds meer willen met minder mensen en tegen een lagere prijs. Daardoor wordt er door de industrie ingezet op schaal en eenheidsworst. De one-size-fits-all betekent echter dat de meesten veel te veel krijgen terwijl ze zelf niet in staat zijn om het te beheren. Het is alsof je uit gemak je personenauto weg doet en een huurauto neemt zodat iemand anders vooo het onderhoud zorgt, maar er is maar 1 model: een enorme legerjeep met alle uitrusting er bij om in de woestijn en op de toendra te vechten. Ja, dat gaat vroeg of laat fout en dat kun je de chauffeur eigenlijk niet verwijten, die wilde een huurauto om z'n leven simplere te maken.

We werken nu nog heel veel volgens een model waarin alles is toegestaan tot we selectief deurtjes dicht gaan doen. We zijn er trots op hoe we met één druk op de knop hele stukken infrastructuur uitrollen, en technisch gezien is dat ook gaaf. Maar voor de veiligheid begint het wel een probleem te worden.
Ik zou graag een voorbeeld nemen aan OpenBSD dat veiligheid als hoogste prioriteit heeft. In dat systeem is het zo dat de meeste functionaliteit standaard is uitgeschakeld of afgesloten. De beheerder moet het eerst configureren voor het gaat werken.
Oftewel nee: er had hier niets aan gedaan kunnen worden, hooguit een extra les phishing voor de gebruikers maar daar houdt het ook mee op. Het aanpakken van de scammers is een effectiever middel dan de medewerkers die slachtoffer zijn geworden gaan trachten te corrigeren.
Misschien, maar ook met de beste training in de wereld ga je phishing niet helemaal tegen houden, al is het omdat mensen wel eens per ongeluk op hun muisknop drukken. Mijn mening is dat we ons meer moeten richten op systemen die fouten voorkomen (bijvoorbeeld door data-minimalisatie, compartementalisatie, least-privilige authorisaties, sandboxes & containers) dan op anti-phishing-training. Die training blijft ook nodig (al is het maar tegen andere vormen van oplichting) maar we moeten ook met een heel andere manier met data om gaan.

Dat is niet aan een enkel bedrijf maar vereist industriebrede verandering, maar de vraag zal bij de klanten (bedrijven die IT-diensten afnemen) vandaan moeten komen, de leveranciers zijn vooral met hun eigen belang bezig en dat is zo groot mogelijke systemen bouwen en verkopen. Ik zie ze dat net snel veranderen maar de klanten zullen er om moeten vragen en/of een andere leverancier zoeken en/of samenwerken met elkaar of de politiek om de leveranciers te dwingen. Ik weet dat het makkelijker gezegd is dan gedaan, maar daar komt het uiteindelijk wel op neer.
Het lastige is wel dat de klanten veelal zelf de mensen en de kennis niet (meer) hebben en helemaal afhankelijk zijn van de leverancier dus ik ben bang dat de politiek in moet gaan grijpen en daar gaat ook niemand gelukkiger van worden. Daarom probeer ik mensen anders te laten denken over IT- en beveiligingsvraagstukken.
Mijn excuses, de wijze waarop uw originele post naar voren kwam deed meer laconiek doen overkomen dan proberen verlichting te brengen aan de eindgebruiker die wederom de dupe is van een gewezen vinger door het publiek.

Ik zit zelf in de cloud engineering zodoende mijn aantijgingen jegens uw post, en kan hier nog op inhaken in eigen ervaring:

Het probleem wat de industrie tegenwoordig kent is inderdaad wat u al kenmerkte: de industrie is trots op haar "1 click solution" model waarmee alles en iedereen het gemakzucht ervaart, maar helaas is dit ook meteen een voet in de nek voor bedrijven als die van mij waarbij we een model aanbieden aan de klant om te garanderen dat veiligheid voorop staat en men zeker is van hun strategie "dit is wat je nodig hebt, de rest dicht gooien".

Helaas zijn bedrijven vaak nog altijd eigenwijs door praktijk ervaring als eindgebruiker, dan wel kosten gierig en wordt het model verwaterd of verworpen voor een mildere vorm waardoor de kosten technisch 30% goedkoper uitvallen, ten kosten van de veiligheid.

Om dus te antwoorden op dat ene stukje contactenboek: ja, je kan het redelijk dicht gooien met scripts/policies en wat niet, maar de vraag is eigenlijk: is het bedrijf bereid om dit concept aan te schaffen of kiezen ze een "het erop wagen" boven kosten?
Hoewel de beheerder zegt dat het lek gedicht is
Hoe dan? Was een phising aanval op mailbox van medewerker.
Medewerker ontslagen?
Als je het wachtwoord van de getroffen gebruiker reset is het 'lek' gedicht in de zin dat de aanvaller buitengesloten is. Om een volgende phishing-poging moeilijker te maken kun je MFA afdwingen, mailbox niet meer vanaf het internet benaderbaar maken, etc.
In een geval van een phishing-poging is het afdwingen van MFA helaas vaak niet afdoende. Bij dergelijke attempts zie je dat gebruikers vaak gelokt worden om in te loggen op een (malicious) Oauth app. Oauth authorisatie vindt echter plaats als authenticatie al heeft plaatsgevonden en dan speelt MFA al geen rol meer.

Naast het implementeren van MFA is het dus ook van belang om 'Users can register applications' uit te schakelen in Azure AD (als je als klant zijnde gebruik maakt van Azure AD/Office 365) en om de admin consent flow in te richten.

Wat meer info hierover heb ik recent nog op het forum gepost.

[Reactie gewijzigd door FREAKJAM op 10 augustus 2021 13:24]

Lees ook even dit topic over 2FA complexiteit op een mailbox
Emailhost met 2FA of verificatie over IMAP of Activesync
Wat heeft het voor zin om een medewerker te ontslaan omdat ze in een phishingmail zijn getrapt?
daar doelde ik dus ook op..

Hoe kan een lek gedicht zijn als het phising was?...
De software(virus) is verwijderd en netwerk is geinspecteerd er op...
Maar phishing is dus geen virus
Phishingaanval kan ook vallen onder het verspreiden van een virus via phising mails(open plaatje).
Waardoor toegang tot de computer en mailbox verschaft is.
Ze zijn niet uitermate specifiek maar het ligt er wel dik op.
Ik denk dat je nog even moet doorleren. Een virus is in basis een destructief en zelf duplicerend onderdeel, ja dat wordt vaak via mail gedaan maar phishing is vaak niet destructief en heeft alleen als doel data te vergaren en zo ook zichzelf verder te verspreiden.

Er hangt vaak een malafide domeincheck achter wat alle credentials harvest van het doel. Indien er een of twee werken wordt daarmee na x tijd ingelogd op de mailbox in kwestie en er worden wat gegevens misschien meegenomen, er worden regels aangepast zodat het niet opvalt dat mensen terugmailen met joooo volgens mij ben je gehackzord want je wil een sharpening of OneDrive link delen die weer naar het malafide domein gaan met een vakkundig nagebouwde Office 365 login


Het heeft geen nut om je bron om zeep te helpen omdat je ze nog nodig hebt
Vind je opmerking een beetje vreemd. Phishing komt in vele vormen en maten vooren er kan weldegelijk een virus verspreid worden bij doelgroep zonder verzamelen van wachtwoorden om data te verzamelen.
Zo zijn virussen die verspreid worden door open plaatje of zip ook gewoon onderdeel van phishing.
Een lek is een algemene term. In dit geval heeft men het account waarop phishing is toegepast waarschijnlijk gewoon inactief gemaakt waardoor er geen ongeautoriseerde toegang meer mogelijk is en het lek dus gedicht is.
Wachtwoorden gewijzigd?
Bewustwording wellicht. Als men zo laconiek zijn werk doet, misschien is het dan toch niet je juiste plek/functie.
Sinds wanneer staat het in een phishing-aanval trappen gelijk aan 'laconiek werken'? Zeker als je een specifiek doelwit bent, wordt er wel wat effort ingestopt om het zo authentiek over te laten komen.

Bij mijn werkgever wordt alle e-mail die extern is, heel expliciet als zodanig aangemerkt. Dat zou wellicht al kunnen schelen in sommige gevallen.
Mijn oud werkgever deed steekproefsgewijs nep-phishing mails sturen. Twee jaar lang heb ik collega's lopen uitlachen totdat ik zelf 'in the heat of the moment' op een link klikte van een dergelijke mail, game over. Daarmee wil ik aangeven dat iedereen hier kan intrappen, uiteindelijk. Dat heeft niks met laconiek te maken, dat gebeurd. Om die reden is het belangrijk om herhalend medewerkers te trainen en je beveiliging in orde te hebben, direct overgaan tot ontslaan gaat je niet helpen.
direct overgaan tot ontslaan gaat je niet helpen
Tuurlijk wel. Als je geen medewerkers meer hebt kunnen ze ook niet in phishing mails trappen.
Maarja, dan heb je ook geen bedrijf meer.
Daarom ook dat ik alle begrip heb voor iedereen die er in trapt, ongeacht hoe ervaren ze horen te zijn. Een goede phishing email is iets waar iedereen in kan trappen.
Bewustwording wellicht. Als men zo laconiek zijn werk doet, misschien is het dan toch niet je juiste plek/functie.
inmiddels hoor ik/zie ik zelfs van behoorlijk prominente figuren in infosec land dat de phishing mails zo goed zijn, dat ze alleen nog met extreem veel moeite te spotten zijn.

Dat is niveau "kun je niet van 99% van de werknemers verwachten".

[Reactie gewijzigd door arjankoole op 12 augustus 2021 11:05]

precies! Het heeft totaal geen nut om deze mederwerkes weg te sturen. Phishing is tegenwoordig zo geraffineerd soms.

Misschien kun je daarentegen wel wat vinden over de security posture.
Op basis van aanname (geen details verder bekend):
Dit soort phishing moet tegenwoordig wel herkend kunnen worden door goede (real time) anti phishing technologie. En meestal komt zoiets via een mail binnen, en klikt de gebruiker op de link in die mail. Dat zou betekenen dat het dus op 2 plekken (de mail, en de browser) niet is gedetecteerd.

[Reactie gewijzigd door cowbalt op 10 augustus 2021 12:49]

Ontslaan is wellicht wat over the top maar als je als bedrijf er niks mee doet anders dan een memo rondsturen dat het gebeurd is en we allemaal weer de verplichte standaard awareness training moeten volgen dan gaat er ook niks veranderen. Iedereen moet die dingen doen, iedereen weet ongeveer welke antwoorden gekozen moeten worden (rapporteer je collega!) en we gaan weer verder met de orde van de dag.
Het risico is wel dat werknemers te voorzichtig worden en teveel mails weggooien als het beantwoorden van een verkeerde mail gestraft wordt. Als werkgever dien je te weten dat bepaalde fouten een hoge waarschijnlijkheid hebben om voor te komen en dien je de werkplek/omgeving zo in te richten dat schade door zo'n fout zoveel mogelijk beperkt blijft.
Absoluut eens. Stel dat er toegang was gegeven door een wachtwoord reset via die mailbox dan moet dat ook dichtgetimmerd worden.

Te voorzichtig is ook niet goed, maar dit is wel een major fuckup met toch niet onbelangrijke data die is buitgemaakt dus wellicht een helpdesk inrichten waar bij twijfel een email gerapporteerd kan worden voor verificatie?
Email is vaak onbedoeld de primaire opslag bij veel bedrijven. Super veel privacy gevoelige gegevens worden binnen een organisatie naar elkaar gemaild. Als een aanvaller dan toegang heeft tot een mailbox dan heb je dus een datalek te pakken.

Het lek dichten zou dan kunnen zijn:
- wachtwoord resetten
- mfa implementeren
- mail / document verwijderen
- zoeken naar andere sporen van hacks

Ik hoop echter:
- al dit soort privacy gevoelige gegevens uit mailboxen verwijderen
- privacy awareness training
- technisch afdwingen dat die niet meer via de mail mag.
Met office 365 heb je 1 account voor je mail en al het andere dat MS je in de cloud biedt. Bijvoorbeeld MS-teams.
Met office 365 heb je 1 account voor je mail en al het andere dat MS je in de cloud biedt. Bijvoorbeeld MS-teams.
We (iedereen, niet specifiek MS) moeten beter onderscheid gaan maken tussen authenticatie en authorisatie. Momenteeel wordt daar meestal geen onderscheid tussen gemaakt. Als je inlogt krijg je in één keer toegang tot alle rechten die je hebt. Vaak is dat echter niet nodig. Vaak willen mensen bv alleen maar een paar gegevens bekijken en hebben geen rechten nodig om alle gegevens weg te gooien, op dat moment.
Soms wordt er daarom met meerdere accounts per persoon gewerkt zoals hierboven wordt gesuggereerd. Maar dat heeft andere nadelen, al is het maar omdat je dan veel meer accounts hebt die allemaal weer beveiligd moeten worden.

Het is conceptueel dus mooier om met één account te werken die naar gelang het nodig is tijdelijk meer rechten kan krijgen. Een systeem dat daar iets van heeft is DigiD. Bij DigiD kun je op verschillende veiligheidsniveau's inloggen. Bij hogere niveau's zijn de eisen en maatregelen (bv MFA) uiteraard strenger. Maar het is allemaal één account met verschillende setjes rechten die 1:1 met een persoon is gekoppeld, géén aparte accounts voor verschillende rollen, geen gedeelde accounts en geen accounts met alle rechten.
In principe bestaat dat systeem al, nl. OAuth2, authenticatie kan daar overheen (zoals OpenID).

Wat er gebeurt is dat het niet volledig geïmplementeerd wordt; zoals je aangeeft (authorisatie probleem), alle rechten worden verleend bij inloggen terwijl dit prima stricter in te stellen is zowel aan service als client kant.
Password change en dooooooooorrr :) misschien 2FA nog aangezet maar dat is wel een beetje wat je dan doen besides the obvious gebruikers voorlichting.
Het wachtwoord veranderd?
Gegevens dus gelekt via toegang tot een mailbox. Dit is dus precies mijn angst wanneer <insert bedrijf> een scan van een formulier per e-mail vereist. Zelfs creditcardmaatschappijen (ICS iig) werken zo.
Via het uploaden middels een formulier heb je natuurlijk ook geen garanties, maar mailen naar een algemeen adres is m.i. vragen om problemen.
Inderdaad, het minste wat je kan doen is de verschillende onderdelen enigszins segmenteren en elk onderdeel met een firewall af te schermen.
Wat gaat een firewall oplossen? Een systeem heeft altijd toegang nodig tot het andere systeem (als je segmenteerd). Toegang tot 1 is toegang tot alle. Misschien niet in flat files of dabase acces, maar via de applicatie kan je overal bij.

De mens blijft de enige zwakke schakel in welke oplossing je ook gaat verzinnen.
Toegang tot 1 is toegang tot alle
Dat is een hardnekkig misverstand. Bij segmenteren is het niet nodig om directe toegang tot het volgende segment te hebben. Personen die met bepaalde gegevens moeten werken kunnen, op basis van hun bevoegdheid (role based), toegang krijgen tot specifieke zaken. Dit is niet rechtstreeks, maar via een applicatie. De toegang voor deze applicatie is afhankelijk van de functie (rule based)
Op deze wijze moeten inbrekers eerst de toegang voor een medewerker forceren, waardoor slechts een beperkt deel van de data beschikbaar komt. Om alle gegevens te bereiken moet de toegang voor alle bevoegdheden geforceerd worden.
Als je het goed wil doen is de ADMIN functie niet beschikbaar via het internet.

[Reactie gewijzigd door janbaarda op 11 augustus 2021 08:33]

Je zegt precies wat ik zeg. De applicatie heeft toegang tot alles wat het nodig heeft. De medewerker bedient de applicatie. De medewerker, een mens meestal, is de zwake schakel want die kan zijn wachtwoord weggeven, data printen en laten liggen in de trein, etc.
Op deze wijze moeten inbrekers eerst de toegang voor een medewerker forceren, waardoor slechts een beperkt deel van de data beschikbaar komt. Om alle gegevens te bereiken moet de toegang voor alle bevoegdheden geforceerd worden.
Dat is echt het allermakelijkste hoor. Phising is een stuk simpeler dan proberen door firewalls heen te beuken en kritieke lekken te misbruiken. Een heel groot deel van de medewerkers klikt op linkjes die phising zijn.
Ook zie ik vaak genoeg dat als je een formulier invult, dat het uiteindelijk alsnog per mail toegestuurd wordt naar het bedrijf, of een algemene mailbox waardoor het alsnog niet is wat je zou willen...
Veel grote organisaties sturen vanaf hun contactformulier een simpel mailtje met de eventuele bijlagen naar de betreffende mailbox. Formulieren zien er aan de voorkant kek uit maar zijn dus vaak gewoon simpele mailtjes.
Spijtig, je vraagt je langzamerhand af waarom alles toch maar met het internet verbonden moet zijn. En waarom die info nog in een mailbox bewaard wordt, want volgens mij is ook dat onderdeel van je dataprotectie en het proces eromheen.

Verwerken van persoonsgegevens die binnen komen per mail, kun je eenmaal verwerkt prima uit de mailbox gooien, maar ik snap het wel. Ik kom legio bedrijven tegen waar er medewerkers zijn die nooit iets uit hun e-mail weggooien, met PST's en archieven van dik 25 GB. Want dat is 'handig'.

De fax was zo gek nog niet..
En waarom die info nog in een mailbox bewaard wordt, want volgens mij is ook dat onderdeel van je dataprotectie en het proces eromheen.
Waar haal je vandaan dat de data in de mailbox stond? Ze hebben via de mailbox toegang gekregen, dit kan ook via een password reset email oid gegaan zijn,
Spijtig, je vraagt je langzamerhand af waarom alles toch maar met het internet verbonden moet zijn. En waarom die info nog in een mailbox bewaard wordt, want volgens mij is ook dat onderdeel van je dataprotectie en het proces eromheen.

Verwerken van persoonsgegevens die binnen komen per mail, kun je eenmaal verwerkt prima uit de mailbox gooien, maar ik snap het wel. Ik kom legio bedrijven tegen waar er medewerkers zijn die nooit iets uit hun e-mail weggooien, met PST's en archieven van dik 25 GB. Want dat is 'handig'.
Dat het kan is wel duidelijk, maar het is niet gratis. Zelfs als je het alleen maar delete zal iemand het moeten doen. Het echte werk is uiteraard niet het drukken op de delete knop maar beslissen welke mail er verwijderd wordt en welke niet.

Voordat je mail kan verwijderen zal je wel de informatie uit die mail ergens anders moeten opslaan. Als zo'n systeem al bestaat is het maar de vraag of je er alle informatie in kwijt kan die die je wil. In mails kunnen mensen immers eindeloos veel informatie toevoegen. Als dat niet kan zal je steeds weer moeten beslissen wat je wel opneemt en wat niet. Als je een systeem hebt dat zo flexibel is dat je alles kan opnemen dan kun je weer de vraag stellen waarom je dat zou doen? Je hebt immers al een plek waar "alles" is opgeslagen, namelijk de oorpsronkelijke mailbox.

Daar komt dan nog bij dat de meeste mensen software best wel moeilijk vinden. Hun e-mail-client snappen ze nog een beetje. Dat is dan vaak (voor hun) de makkelijkste manier om data terug te vinden. In theorie zou een mooi SQL-database of iets dergelijks nog beter zijn, maar dat kunnen ze zelf niet.

Dus blijft alles maar in de mailbox staan zodat het teruggevonden kan worden als het nodig is.
De fax was ook niet veilig. Geen enkele vorm van encryptie en je wist nooit wie een fax zou zien omdat dei apparaten gewoon op kantoor staan en iedereen het papier eraf kan halen. Als je email al erg vindt, dan is een fax nog erger.

En als je denkt dat een archief van 25GB groot is, dan heb je nog niks gezien. Heel wat mensen zien hun email als een verzamelplaats voor alles ipv een communicatiemiddel dat tijdelijk hoort te zijn. Maar ook vele organisaties helpen niet door mensen geen degelijke alternatieven aan te bieden.

En als jij je afvraagt waarom alles met het internet verbonden moet zijn zou ik wel eens willen weten hou jij vandaag de dag nog denkt efficient te kunnen werken zonder het internet.
Volgens mij is blue sky group een administrateur en niet een pensioenfonds. Hoe dan ook. Waarschijnlijk werden de bestand wel via een beveiligde omgeving gedeeld, maar de toegang tot die omgeving ook via de mail. Dan is het alsnog een vrij brak systeem.
Ja ik noem het verderop beheerder. Dat is correcter. Ik zal het aanpassen.
Het is een uitvoeringsorganisatie die het pensioenbeheer voert voor verschillende pensioenfondsen.
Ze hebben bijvoorbeeld ook Philips en SNS Reaal als klanten: https://www.blueskygroup.nl/nl/onze-klanten
Dus mogelijk zijn die ook getroffen, niet alleen KLM?
https://www.blueskygroup....up-getroffen-door-datalek
Dat staat toch ook gewoon in het artikel?
Het niet afdwingen van tweefactorauthenticatie voor beheerders die toegang hebben tot persoonlijke gegevens van tienduizenden mensen zou strafbaar moeten zijn. Ongelofelijk nalatig.
Het is phishing. Wie zegt dat 2FA niet aanstond?
Ik doe natuurlijk wat aannames omdat de verstrekte informatie heel summier is (ook ongelofelijk slecht), maar het lijkt erop alsof met phishing het wachtwoord ontfutseld is. Een succesvolle phishingaanval is vrijwel onmogelijk als 2FA aanstaat omdat het wachtwoord alleen te weinig is om in te loggen.

[Reactie gewijzigd door MarcoC op 10 augustus 2021 13:32]

Ik doe natuurlijk wat aannames
En dat is nu juist heel gevaarlijk. Bij de Blue Sky Group deed iemand ook een aanname, nl, dat een binnengekomen email betrouwbaar is.... zie het resultaat van een aanname..
Een succesvolle phishingaanval is vrijwel onmogelijk als 2FA aanstaat omdat het wachtwoord alleen te weinig is om in te loggen.
Het is helemaal niet relevant of er 2FA gebruikt wordt, het is immers de gebruiker zelf die de mail opent en eventueel op een link klikt, of geld overmaakt etc..
Een phisihing aanval is een succes als je de gebruiker overhaalt een actie uit te voeren, niks meer of minder.
Hoezo is het gevaarlijk? Ik geef gewoon mijn mening, dat kan onmogelijk gevaarlijk zijn. In het nieuwsbericht staat dat iemand toegang heeft gekregen tot de mailbox van een beheerder d.m.v. phishing. Ik kan me niet voorstellen dat met 2FA iemand toegang kan krijgen tot een mailbox met phishing.
Er staat helemaal niet dat een beheerder gephished is. Een medewerker is gephished; dat kan evengoed een administratief medewerker zijn. Blue Sky Groep is een pensioenbeheerder, en met beheerder wordt naar Blue Sky Group verwezen in dat artikel.
[...] waardoor kwaadwillenden toegang kregen tot een mailbox
Het bedrijf vraagt e-mailadressen te controleren en te checken op spelfouten[...]
Als de hacker een mailaccount heeft overgenomen dan is adres controleren niet heel effectief. Ook zal niet elke hacker lompe spelfouten maken.
Klopt, de phising wordt steeds beter (helaas). Had laatst ook een berichtje van zogezegd PostNL dat ik moest betalen voor ontvangst via een link. Nou had ik de tegenwoordigheid van geest om daar niet op te klikken, maar ik snap wel dat er mensen zijn die er wel in trappen. De mail was taalkundig prima geschreven, emailadres leek er ook redelijk op. Dus als je post uit het buitenland verwacht op dat moment, kan je er echt zomaar op klikken.

Wat ik vooral wil zeggen, het kan inmiddels echt wel de beste overkomen. Heel waakzaam zijn helpt, maar sluit het nog altijd niet uit.
Zolang de meeste mensen in de mindset van "ik heb geen verstand van computers dus ik wil er niks over weten" blijft dit voorkomen.
En dan nog zoveel taalfouten in die zin zelfs als je de theorie aanneemt van letters door elkaar te gooien. Das wel spijtig.
En dan toch ook nog een spelfout maken.... het is iprmoatnt hoor

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True