Hacker brak in 2016 in bij Booking.com via slecht beveiligde server

Een hacker heeft zich in 2016 toegang verschaft tot systemen van Booking.com en bekeek duizenden reserveringen in het Midden-Oosten. Dat schrijft NRC op basis van eigen bronnen. Booking.com bevestigt de hack.

Exacte details over hoe de hack plaatsvond, vermeldt NRC niet. Door een slecht beveiligde server kreeg de hacker toegang tot interne systemen en kon hij zo de reserveringen bekijken. Bij het in Nederland gevestigde Booking.com zou dat het 'PIN-leak' geheten hebben, genoemd naar de pincodes van de boekingen. Een medewerker kwam het lek op het spoor in 2016, waarna het bedrijf samen met inlichtingendienst AIVD het lek zou hebben onderzocht. Het datalek komt naar voren in het boek De Machine, dat drie NRC-redacteuren over Booking.com hebben geschreven.

Booking.com kwam er via twee Amerikaanse privédetectives achter dat de hacker werkt bij een bedrijf dat vaak werkt voor Amerikaanse inlichtingendiensten. Daardoor bestaat het vermoeden dat het ging om spionage. Met informatie over hotelovernachtingen kunnen inlichtingendiensten reisbewegingen van voor hen interessante personen in de gaten houden.

De boekingsssite heeft het lek niet gemeld bij de Autoriteit Persoonsgegevens. Er zouden geen negatieve gevolgen zijn geweest voor de betrokkenen, waardoor de wet niet zou verplichten om het datalek te melden. Twee hoogleraren zeggen tegen NRC dat er goede redenen waren om het datalek wél te melden. Booking.com kreeg eerder dit jaar een boete voor het te laat melden van een ander datalek.

Update, 9:48: Booking.com reageert: "Zodra er in 2016 ongebruikelijke activiteit werd ontdekt, heeft ons beveiligingsteam onmiddellijk een forensisch onderzoek ingesteld. Met behulp van externe deskundigen en binnen het kader van de Nederlandse Wet Bescherming Persoonsgegevens, de toepasselijke regelgeving voorafgaand aan AVG, is vastgesteld dat er geen toegang is geweest tot gevoelige of financiële informatie. Het toenmalige bestuur heeft gehandeld naar de principes van de Nederlandse Autoriteit Persoonsgegevens, die bedrijven adviseerde alleen verdere stappen te ondernemen omtrent het informeren van betrokkenen als er daadwerkelijk nadelige negatieve gevolgen waren voor het privéleven van personen. Daarvoor was geen bewijs gevonden."

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 11-11-2021 07:00
53 • submitter: Tompouce

11-11-2021 • 07:00

53

Submitter: Tompouce

Lees meer

Autoriteit Persoonsgegevens: Booking.com meldt datalekken nu wel op tijd
Autoriteit Persoonsgegevens: Booking.com meldt datalekken nu wel op tijd Nieuws van 3 april 2024
Europese Commissie geeft Booking geen toestemming om Etraveli over te nemen
Europese Commissie geeft Booking geen toestemming om Etraveli over te nemen Nieuws van 25 september 2023
Inbrekers stelen in Brussel computer met data van gevaccineerden
Inbrekers stelen in Brussel computer met data van gevaccineerden Nieuws van 27 december 2021
Datalek maakte gegevens van honderdduizenden Amigos-leden toegankelijk
Datalek maakte gegevens van honderdduizenden Amigos-leden toegankelijk Nieuws van 23 december 2021
Noorse toezichthouder legt Grindr AVG-boete van 6,3 miljoen euro op
Noorse toezichthouder legt Grindr AVG-boete van 6,3 miljoen euro op Nieuws van 15 december 2021
Nederlanders tonen eerste versie van dienst die versleutelde bestanden verstuurt
Nederlanders tonen eerste versie van dienst die versleutelde bestanden verstuurt Nieuws van 29 november 2021
AP legt Transavia boete op van 400.000 euro na datalek door slechte beveiliging
AP legt Transavia boete op van 400.000 euro na datalek door slechte beveiliging Nieuws van 12 november 2021
Privacystichting Noyb dient AVG-klacht in tegen Grindr
Privacystichting Noyb dient AVG-klacht in tegen Grindr Nieuws van 11 november 2021
Booking.com krijgt boete van 475.000 euro voor te laat melden datalek - update
Booking.com krijgt boete van 475.000 euro voor te laat melden datalek - update Nieuws van 31 maart 2021
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk
Creditcarddata van miljoenen hotelboekingen was vrij toegankelijk Nieuws van 9 november 2020
Meer producten en artikelen
Beveiliging en antivirus Privacy Nederland

Reacties (53)

-Moderatie-faq
53
51
37
4
0
10
Wijzig sortering
roelboel 11 november 2021 08:31
Ik vind deze passage:
Booking is nooit eerder op spionage gestuit. Het bedrijf is er ook niet echt naar op zoek. Zolang die geen hinder oplevert, kost het geen geld. De onuitgesproken consensus onder specialisten binnen het bedrijf is: we vermoeden dat inlichtingendiensten meekijken, maar zolang we ze niet zien, maken we ons niet druk.
Uit het andere NRC artikel echt ongehoord. Is dat wat een jaarsalaris van meer dan 150k met je morele kompas doet?
Keypunchie
@roelboel11 november 2021 09:17
Nou, de hele framing rond dit verhaal is nogal negatief (sowieso de berichtgeving over Booking in NRC lijkt vaak op zoek naar het kwade daglicht. Bedenk ook: Dit artikel over iets uit 2016 is niet geheel toevallig gepubliceerd samen met het uitkomen van het boek van de journalist in 2021)

Elke beveiligingsafdeling doet aan threat modeling.

Wat is de grootste en meest impactrijke hack die kan gebeuren. Daar richt je de beveiliging op in.

Staatsspionage voorkomen vereist extreme veiligheidseisen. Dat doe je eigenlijk alleen als je kritieke infrastructuur beheert: elektriciteitsnetwerken bvb. Of de overheid zelf.

Wat er waarschijnlijker gezegd is: de investering om staatsspionage te voorkomen staan niet in verhouding met de kosten en impact op Booking (in tegenstelling tot bvb. een ransomware aanval).

Een journalist maakt daar van “Het bedrijf is er niet naar op zoek, want het kost ze niet veel geld”. Dat klopt, maar is wel een heel ander frame dan pragmatische threat modeling.

Vergelijk het met het beveiligen van een kantoor. Kies je voor alleen een receptionist en een nachtalarm , of heb je 24x7 bewaking met honden en pistolen?

Als je het eerste doet omdat je toch niet veel van waarde op je kantoor hebt liggen, ben je dan je morele kompas kwijt? Spionnen kunnen nu zomaar inbreken!

(Disclosure: ik ken mensen die bij Booking in non-IT functies werken)

[Reactie gewijzigd door Keypunchie op 28 juli 2024 22:06]

Martijn033 @Keypunchie11 november 2021 11:58
Ik snap die licht-negatieve toon over Booking wel: er is ook momenteel niet zo heel veel goeds te melden over dit bedrijf. Winst wegsluizen via belastingconstructies, erg veel staatssteun ontvangen vanwege corona maar toch personeel ontslaan én bonus uitkeren aan de top, en nu blijkt dat ze laks met een computerinbraak zijn omgegaan (geheim gehouden).
Ethiek is gewoon ver te zoeken bij Booking. Maar dat is mijn mening en ik ken niemand bij Booking.
robvanwijk
@Martijn03311 november 2021 19:57
erg veel staatssteun ontvangen vanwege corona
Steun waar ze gewoon recht op hadden. En die ze (na geziek in de media, okee, dat wel) terugbetaald hebben, hoewel dat juridisch gezien niet verplicht was.

Ze hebben misschien geen hele mooie staat van dienst, maar laten we de beschuldigingen beperken tot dingen die ze ook daadwerkelijk gedaan hebben. (Ik heb trouwens geen idee of je overige beschuldigingen wel kloppen; van deze weet ik dat het niet zo is.)
bytemaster460 @Martijn03311 november 2021 15:54
Klopt, het is van een heel vriendelijk bedrijf met uitstekende service verworden tot een bedrijf dat op amorele manier iedere Euro koste wat het kost in eigen zak wil steken. Hoteleigenaren en klanten worden schandalig behandeld en overheden die steun geven geschoffeerd.
kodak
@Keypunchie11 november 2021 09:30
In het artikel staat dat iemand gebruik kon maken van een oud systeem dat niet opgeruimd was. Dat is geen extreem moeilijke beveiliging, eerder gebrek aan minimale beveiliging. Dus kan de conclusie niet zijn dat omdat je het spionage noemt het alleen maar om extreme situaties gaat. Geen aandacht hebben voor extreme situaties is dan heel wat anders.
Keypunchie
@kodak11 november 2021 10:02
In het artikel staat dat iemand gebruik kon maken van een oud systeem dat niet opgeruimd was.
Sure. Maar het punt is wel dat Booking.com het hier zelf wel gevonden heeft. In elke organisatie gaat wel iets mis, zoals dit. Maar ze hebben het wel gedetecteerd.

Vervolgens komen er dan headlines met de strekking: "Booking VERZWEEG hack!". (NOS teletekst)

Als je de AIVD erbij betrekt, dan vind ik het lastig om te zeggen dat je iets aan het verzwijgen bent...

Het saillante van het verhaal is dat buitenlandse machten inbreken bij bvb. Booking, maar de focus van de artikelen lijkt op Booking-bashing te liggen, terwijl zij nota bene degene zijn die dit soort zeer geavanceerde spionage gedetecteerd *en* bij de AIVD gemeld hebben.
kodak
@Keypunchie11 november 2021 10:08
De discussie is niet of ze het gevonden hebben maar dat het bedrijf de houding heeft om er niet naar te willen kijken zolang ze er zelf geen last van hebben. En dan is het argument te lastig dus niet redelijk, blijkt uit deze gebeurtenis.
Keypunchie
@kodak11 november 2021 10:12
Geen idee waar jij werkt, uiteraard.

Maar heeft jouw kantoor de ramen geblindeerd?

Nee? Dan kunnen buitenlandse spionnen door de ramen kijken en het personeel observeren.

Heeft jouw bedrijf iemand in dienst die regelmatig de camerabeelden controleert of er niet iemand aan het observeren is?

Zo niet, waarom niet?

Beetje flauw, maar dit is dus heel vergelijkbaar met dat 'niet willen kijken'. Nogmaals: dit klinkt in mijn oren puur als een journalist die het concept 'threat modeling' op de meest negatieve manier interpreteert.
kodak
@Keypunchie11 november 2021 16:27
Aangezien de reactie vanuit de security van het bedrijf lijkt te zijn kan je niet zomaar gaan stellen dat het aan de journalisten ligt. Daarbij lees ik het bedrijf het ook niet tegenspreken of corrigeren.
robvanwijk
@kodak11 november 2021 19:54
Aangezien de reactie vanuit de security van het bedrijf lijkt te zijn kan je niet zomaar gaan stellen dat het aan de journalisten ligt.
Als ik iets lees als
De onuitgesproken consensus onder specialisten binnen het bedrijf is: we vermoeden dat inlichtingendiensten meekijken, maar zolang we ze niet zien, maken we ons niet druk.
(zoals roelboel citeerde)
Dan wordt ik toch enigszins achterdochtig; heeft één van die specialisten dat op die manier verwoord in een interview of is dat een conclusie die de journalist zelf heeft getrokken na een aantal interviews? Dat is echt een wereld van verschil.
Daarbij lees ik het bedrijf het ook niet tegenspreken of corrigeren.
Als ze overal op reageren dan doen ze nieuwe uitspraken, waar mensen weer op reageren, waar zij (volgens jouw redenering) dan weer op moeten reageren. Ik vermoed dat ze hopen dat niets zeggen de snelste manier is om dit achter zich te laten.
kodak
@robvanwijk11 november 2021 21:09
@robvanwijk Ik ben het met je eens dat je hoe dan ook vraagtekens kan zetten wat er dan formeel afgesproken is en hoe dat dan past bij die bewering van de schrijvers. Maar het lijkt me niet redelijk om zomaar in twijfel te trekken dat als er staat dat een meervoud aan personen een bepaalde mening heeft dat dan maar op een persoon gebaseerd zou zijn. Dat kan uiteraard daarbij dan ook nog, maar dan stapelen we wel erg veel ongefundeerde twijfel.
robvanwijk
@kodak12 november 2021 00:57
het lijkt me niet redelijk om zomaar in twijfel te trekken dat als er staat dat een meervoud aan personen een bepaalde mening heeft dat dan maar op een persoon gebaseerd zou zijn.
Maar er staat niet dat meerdere personen die mening hebben. Er wordt iets gezegd over de *onuitgesproken* mening, met andere woorden, de *aanname* dat mensen een mening hebben. Voor hetzelfde geld denkt helemaal niemand (bij Booking.com) er zo over en heeft de journalist van NRC onterecht het idee dat dat wel zo is.

Lees ook de rest van het NRC-artikel nog eens goed door; er worden een heleboel dingen genoemd die juist sterk de indruk wekken dat ze wél proberen om er iets aan te doen. Maar als hun eigen juridische afdeling én de AIVD totaal geen interesse tonen, dan wordt het erg lastig om er werk van te maken. Als we aannemen dat de "specialisten" waar de NRC het over heeft IT-specialisten zijn (en niet, bijvoorbeeld, juridische specialisten), dan krijg ik het niet voor elkaar om dat citaat dat ik net gaf in overeenstemming te brengen met het artikel als geheel.
kodak
@robvanwijk12 november 2021 14:14
De onuitgesproken consensus onder specialisten binnen het bedrijf
Onder specialisten slaat niet zomaar op de mening van een persoon. Anders mag je er eerder verwachten dat staat dat het een onuitgesproken mening volgens een iemand is. Daarbij staat er het woord consensus. Dat slaat ook niet zomaar op een mening van maar een persoon, ook dat slaat op meer personen. En dat stelt niet dat er slechts een aanname is. Er zijn meer mogelijkheden om met elkaar iets overeen te komen dan het er expliciet over te hebben.

Je vraag verder de rest van het artikel door te lezen op andere zaken, maar dat is nu de discussie niet. Natuurlijk kan je dan een algemene indruk vormen over het artikel, maar dat kan niet zomaar opgevoerd worden als argument dat losse beweringen dus maar te betwijfelen zijn (en omgekeerd gaat dan net zo goed op dat je aan de hand van een stelling niet kunt tonen dat dan de rest ook maar prima is).
robvanwijk
@kodak12 november 2021 18:53
Onder specialisten slaat niet zomaar op de mening van een persoon. Anders mag je er eerder verwachten dat staat dat het een onuitgesproken mening volgens een iemand is. Daarbij staat er het woord consensus.
Je mist de kern van mijn redenatie, het woord "onuitgesproken". Het gaat er niet om of die specialisten ook echt verstand van zaken hebben (dat wil ik best aannemen) of hoeveel mensen consensus bereikt hebben (dat zal wel), het punt is dat niemand tegen de journalist gezegd heeft "onze specialisten zijn het erover eens dat ...".
Je vraag verder de rest van het artikel door te lezen op andere zaken, maar dat is nu de discussie niet.
Op zich is dat niet rechtstreeks de discussie. Maar mijn argument kun je ook omschrijven als "ik denk dat de journalist een veel te sterke conclusie getrokken heeft" (en dus niet een keihard feit heeft opgeschreven). En dan is het wel relevant als in de rest van het artikel een boel dingen worden genoemd die de conclusie van de journalist tegen lijken te spreken.
kodak
@robvanwijk12 november 2021 19:14
Je kan niet stellen dat onuitgesproken consensus alleen maar kan betekenen dat het dus moet gaan om wat niet tegen de journalist gezegd is. Dat is een mogelijkheid, maar dan negeer je de andere opties. Opties die redelijker zijn, omdat je niet zomaar kan stellen dat journalistiek gaat om schrijven alsof het de waarheid is maar weergeven wat bronnen vertellen. Daarbij staat in het artikel dat men bronnen heeft gesproken. Zelfs honderden gesprekken gevoerd heeft en communicatie heeft ingezien. Een conclussie dat dit niet van bronnen zou komen klinkt dan helemaal ver gezocht.
robvanwijk
@kodak13 november 2021 11:54
Je kan niet stellen dat onuitgesproken consensus alleen maar kan betekenen dat het dus moet gaan om wat niet tegen de journalist gezegd is.
Wat zou het anders kunnen betekenen!? Als een (of meer) van de bronnen tegen de journalist gezegd zou hebben "onze specialisten zijn het erover eens dat inlichtingendiensten meekijken en dat dat niet erg is" dan zou ie het woord "onuitgesproken" niet gebruikt hebben. Maar dat woord staat er wel. Als de journalist met grote zekerheid kan zeggen dat (een groot deel van) de beveiligings-specialisten van Booking.com er inderdaad zo over denkt, waarom vindt ie het dan nodig om die claim te ondermijnen met de verwoording "onuitgesproken consensus"? Als jij dat kan verklaren mag je het me uitleggen, maar ik kan zo'n scenario niet bedenken.

@reactie:
En het woord "onuitgesproken" staat er ook niet zomaar.
Volgens mij gaat deze discussie nergens heen.

[Reactie gewijzigd door robvanwijk op 28 juli 2024 22:06]

kodak
@robvanwijk13 november 2021 12:39
De betekenis dat er onderling tussen de specialisten een onuitgesproken consensus was. Dat wil niet zeggen dat er individueel naar de schrijvers nooit over gesproken is. Het woord consensus staat er niet zomaar.
Blokker_1999
@kodak11 november 2021 10:07
Dat is een falen in een bedrijfsproces. Maar dat zie je in enorm veel bedrijven. Wij hebben zelf duizenden VMs draaien en komen soms ook VMs tegen waarvan we ons vragen: wat staat dat hier te doen, wie maakt daar nog gebruik van, moest deze al niet verwijderd zijn? En dat allemaal omdat processen niet waterdicht zijn. Uiteindelijk zijn en blijven we allen mensen, en mensen maken fouten.
Blokker_1999
@roelboel11 november 2021 10:04
En wat wil je dat het bedrijf dan doet? Actief op zoek gaan, honderdduizenden euro per jaar uitgeven die waarschijnlijk alsnog niets opleveren. En als je dan iets vindt en hen buitensluit hebben ze zulke mogelijkheden dat ze binnen enkele weken opnieuw binnenzitten. Worst case is je bedrijf gewoon geinfiltreerd en hebben ze mensen in je bedrijf die je niet eens kunt buitensluiten.

Het is ook niet dat er zulke gevoelige informatie door het bedrijf gaat dat het bedrijf bedreigd wordt in het voortbestaan hierdoor. De inlichtingendiensten, als ze al toegang hebben, zullen dat gebruiken om mensen te zoeken die een booking doen via de website en niet zozeer om het bedrijf zelf in het oog te houden.

Moreel niet leuk, maar ja, dat is een afweging die je als bedrijf moet maken, en ik denk dat vele bedrijven, vele CEOs op zo een manier zouden reageren op dezelfde vraag.
Crazy Harry @roelboel11 november 2021 10:18
Ik vind de problemen met het morele kompas vooral in het feit dat ze personen waarom het gaat niet ingelicht hebben, omdat er geen negatieve gevolgen zouden zijn geweest.
Zij kunnen helemaal niet beoordelen of dat er negatieve gevolgen zijn geweest, en zullen ze dus wel moeten informeren, voor de zekerheid. Daarnaast kan je ervan uitgaan dat er niet zomaar bij je ingebroken wordt om naar reisgegevens te kijken, en dat dit juist is om degene waar het om gaat negatieve gevolgen te laten ondervinden.
Tompouce 11 november 2021 08:13
Hier een interessante podcast waarin de journalist die dit heeft achterhaald uitleg geeft:
https://www.nrc.nl/nieuws...t-via-bookingcom-a4065091

[Reactie gewijzigd door Tompouce op 28 juli 2024 22:06]

elmuerte 11 november 2021 07:10
Je hoort nooit iets over hackers die inbraken op goed beveiligde servers.
armageddon_2k1 @elmuerte11 november 2021 07:44
Wat denk je dat zero days zijn?
The Zep Man
@armageddon_2k111 november 2021 09:33
Met zero days kom je binnen, maar met goede andere lagen van beveiliging zal de impact beperkt zijn. Rate limiting en alerting op databases is bijvoorbeeld zeer nuttig om grootschalig lekken te voorkomen.

Er zijn zat zero days uitgekomen voor systemen die vaak online staan, maar niet altijd. Zo kan je een Exchange server prima achter een VPN zetten. Voor een zero day is het aanvalsoppervlak dan aanzienlijk kleiner.

[Reactie gewijzigd door The Zep Man op 28 juli 2024 22:06]

Blokker_1999
@The Zep Man11 november 2021 10:08
En dan willen je gebruikers vanop eender welk apparaat hun email kunnen lezen (bijv. hun mobiel_, heb je ineens toch weer een Exchange server nodig die vanaf het internet benaderbaar is.
The Zep Man
@Blokker_199911 november 2021 11:47
En dan willen je gebruikers vanop eender welk apparaat hun email kunnen lezen (bijv. hun mobiel_, heb je ineens toch weer een Exchange server nodig die vanaf het internet benaderbaar is.
Dat hoeft niet, als je gewoon een mobiel hebt met zero-touch VPN/beveiligde werkomgeving (die een dergelijke VPN/beveiligde verbinding realiseert).

[Reactie gewijzigd door The Zep Man op 28 juli 2024 22:06]

Keypunchie
@The Zep Man11 november 2021 12:10
"Gewoon".

Onderschat niet dat dit bij een organisatie van enige grootte behoorlijk wat werk met zich meebrengt. Het is geen slecht idee, het is ook geen onhaalbaar idee, maar het is in ieder geval geen gratis idee en het brengt naast de eenmalige kosten (opzetten) en de migratiekosten (gebruikers uitleggen hoe te migreren) ook lopende kosten (onderhoud, support) met zich mee.

En dan komt de vraag al snel: is dat het waard, voor jou als (ik noem maar wat) internationale fruithandel?

Zit een inkoper van jou in Peru om een geweldige deal voor avocado's te scoren, doet de VPN raar op de hotelwifi. Is je support dan 24x7 beschikbaar? Op afstand?

[Reactie gewijzigd door Keypunchie op 28 juli 2024 22:06]

Triblade_8472 @elmuerte11 november 2021 07:43
Jawel, het valt alleen niet zo op om het nooit zo specifiek benoemd wordt.

Bijvoorbeeld Maersk was gepakt via een supply-chain aanval via een software update, niet slecht beveiligde servers.

Ook bijvoorbeeld:
nieuws: Antwerps IT-bedrijf betaalt 252.000 euro losgeld na ransomware-aanval...
OMX2000 @elmuerte11 november 2021 07:46
Definieer eerst “goed beveiligde servers”. Want zolang het niet perfect is kan een server gehackt worden, en perfect bestaat niet. Verder is het ook niet zo dat er altijd ingebroken wordt door een exploit te gebruiken, er zijn andere wegen om toegang te krijgen tot een server.
Luchtbakker @elmuerte11 november 2021 08:35
Je hoort nooit iets over hackers die inbraken op goed beveiligde servers.
Waarom denk je dat nu ook steeds meer bedrijven geconfronteerd worden door ransomware.
Tot nu toe (voor zover een bedrijf het naar buiten heeft gebracht) heeft geen enkel bedrijf een sterke beveiliging gehad. Al blijft de mens altijd de zwakste schakel.
cbravo2 @elmuerte11 november 2021 08:36
Beveiligen is een werkwoord. Net als monitoren of updaten... Er bestaat niet zoiets als "goed beveiligde servers".
The Zep Man
@cbravo211 november 2021 09:35
Beveiligen is een werkwoord. Net als monitoren of updaten... Er bestaat niet zoiets als "goed beveiligde servers".
Een "mooi gemaaid gazon". Een "goed beveiligde server".

[Reactie gewijzigd door The Zep Man op 28 juli 2024 22:06]

Maurits van Baerle @The Zep Man11 november 2021 09:58
Ik neem aan dat hij bedoelt dat je niet één keer een server beveiligd maar dat het een permanent proces is dat nooit ophoudt. Daar heeft ie gelijk in.
The Zep Man
@Maurits van Baerle11 november 2021 10:10
"Dit is een, voor het moment, goed beveiligde server."

Goed beveiligd kan ook slaan op de processen om de server heen, om die actueel te houden qua software en beveiligingsstandaarden.
The Third Man @The Zep Man11 november 2021 11:37
Maar dan nog is het een subjectieve kwalificatie, dat is een beetje het punt. Wat iemand 'goed' noemt hoeft helemaal niet voldoende bescherming te bieden. Dat is het gevaar van dat soort "stempels", je versimpelt een zeer complex spectrum van beveiliging met tig invalshoeken tot een woordje. En dan wordt er toch ingebroken en dan vraagt men "hoe kan dat nou, het was toch goed beveiligd"? Vandaar dat het zoals cbravo2 zegt het niet bestaat, er zal altijd wel een onbekend gevaar zijn en je bent altijd bezig om (eigenlijk ook achter de feiten aan) die gevaren te beperken. En daarom hoort kwalificatie van beveiliging beperkt te zijn tot specifieke meetbare feiten zoals up-to-date met de security repo's, minstens 2FA per welke authenticatie dan ook, geen wachtwoord-hergebruik en ga zo maar door. Daar heb je vervolgens wat aan om in te schatten waar wel of niet verbetering mogelijk dan wel nodig is, en dat heb je totaal niet bij een woord als "goed".
The Zep Man
@The Third Man11 november 2021 11:46
Maar dan nog is het een subjectieve kwalificatie, dat is een beetje het punt.
Alles in taal is subjectief. Alles is relatief en moet in context geplaatst worden. Maakt niet uit dat het correcte termen zijn.

[Reactie gewijzigd door The Zep Man op 28 juli 2024 22:06]

The Third Man @The Zep Man11 november 2021 13:18
Maar is het ook even relatief? Zeggen dat het 'mooi weer' is en '17 graden met zon' zijn allebei inderdaad benaderingen, maar het ene is een stuk vager en onbetrouwbaarder dan de tweede. Je doet nu net alsof het allemaal niet uit zou maken omdat het allemaal slechts een benadering is.
gimbal @The Zep Man11 november 2021 10:54
Goede beveiliging is meestal toch procedures opstellen en strict navolgen. Een goed maintenance plan is zeker weten onderdeel van dat traject, maar niet "het" traject. Want ja zoals deze week maar weer mocht blijken, als je software waterdicht is dan is het nog steeds zo "simpel" als social engineering toepassen om binnen te dringen (simpel tussen quotes, want ik zou persoonlijk niet zo goed kunnen liegen).
CPV @Maurits van Baerle11 november 2021 10:50
Dat geldt ook voor gras maaien...
CPV @The Zep Man11 november 2021 09:56
Yep, voltooid deelwoord, dus na het voltooien van de klus, hier het maaien of beveiligen.
cbravo2 @The Zep Man14 november 2021 21:36
Beetje laat, maar beter dan nooit.

Ooit gehoord van een "goed beveiligde kluis"? Nee, die bestaat (ook) niet. De vraag is niet of er kwetsbaarheden zijn, maar hoeveel.

Vroeger was het dan de vraag of jij, als target, de moeite was. Want zero days waren voor overheden. Dat is inmiddels anders. Ook ransomware boeren hebben deze nu in overvloed.

De vraag is of jij op tijd in de gaten hebt dat er wordt ingebroken. Om de schade te kunnen beperken. Of je genoeg "beveiligingscamera's" en alarmbellen hebt. Dat is het patroon dat hier naar voren komt imho.
tostyijzer 11 november 2021 07:08
Dit lek is samen met AIVD bekeken en gecontroleerd. Vervolgens heeft (ik denk de AIVD) contact opgenomen met de Amerikaanse inlichtingendiensten. Is het dan niet logisch om te denken dat de overweging om het lek bij AP te melden in overleg met AIVD is besproken en dat hieruit een gezamenlijke conclusie kwam? Of werken Nederlandse diensten zo langs elkaar dat ze dit niet controleren bij elkaar?
kftnl @tostyijzer11 november 2021 07:22
Lijkt me vanuit de inlichtingendienst gezien ook wenselijk dat dit niet gemeld wordt, en als Booking er de overheid bij heeft gehaald hebben ze misschien zelf ook het idee gehad dat ze het hebben 'gemeld aan de overheid'. Echter staan inlichtingdiensten niet boven de wet en had Booking dit formeel gewoon moeten melden.
dutchgio @kftnl11 november 2021 08:52
Ze zijn wel vaker laks met het melden van datalekken, zoals in de laatste alinea naar voren komt:
nieuws: Booking.com krijgt boete van 475.000 euro voor te laat melden datalek...
Mortis__Rigor @kftnl11 november 2021 09:56
Volgens Aritkel 33 uit de GDPR verordening (die sedert april 2016 in voege is):
Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
Dus zij gaan er vanuit dat het geen risico inhoudt voor de rechten en vrijheden en dan moet dat niet gemeld worden.
gaskabouter 11 november 2021 07:17
Je zou van alles kunnen bedenken bij Staatsveiligheid of weet ik wat, waarom bellen ze anders meteen de AIVD, maar de AP kan toch in ieder geval in vertrouwen een melding krijgen?

Ik zie nergens staan dat de AP zaken niet vertrouwelijk behandelt als dat in het landsbelang is.

Maar booking.com is niet groot geworden door netjes te zijn
Floort
@gaskabouter11 november 2021 07:59
De AP heeft geen formeel afwegingskader in de wet staan voor dit soort situaties. Het zou zo kunnen zijn (ik ken de details van de situatie niet) dat de wet voorschrijft dat Booking ook de betrokkenen zou moeten informeren. Daar kent de AVG en de voormalige Wbp geen uitzondering voor. Het is ook erg lastig (kan ik me zo voorstellen) om een onafhankelijke toezichthouder expliciet te vragen om even de andere kant op te kijken. Misschien is deze casus niet het beste voorbeeld, maar ik denk dat het redelijk zou zijn om een uitzondering te creëren op basis van bijvoorbeeld nationale veiligheid zodat bijvoorbeeld het informeren van betrokkenen uitgesteld kan worden.
John Duh 11 november 2021 07:55
In de bijbehorende podcast van "NRC Vandaag" wordt dit uitgebreid en op een laagdrempelige manier gebracht. Zeker een aanrader!
oks 11 november 2021 08:07
2016. Wat een oude koe uit de sloot...
Malarky @oks11 november 2021 09:15
Doet niets af aan de relevantie van dit artikel. Waarschijnlijk hebben diverse betrokkenen (advocaten, AIVD, Booking medewerkers, externe specialisten) jaren later een andere rol dus kunnen erover lekken.

Uit niets blijkt dat Booking nu anders in de wedstrijd zit, dus net zo relevant nu.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq