Datalekhack op Rode Kruis vond plaats door ongepatchte Zoho ManageEngine-server

De hack op het Internationale Rode Kruis uit januari gebeurde via een kwetsbaarheid in netwerktool ManageEngine van Zoho. Daarin zat een bug waarmee authenticatie kon worden omzeild. Er bestond al een patch, maar het Rode Kruis had die nog niet doorgevoerd.

Het Internationale Rode Kruis en de Rode Halve Maan schrijven dat in een update over de hack die in januari plaatsvond. Het Rode Kruis meldde toen dat er gegevens van zeker 515.000 kwetsbare personen waren gestolen, waaronder die van 4600 Nederlanders. De organisatie zegt nu dat de hack kon plaatsvinden door een ongepatchte kwetsbaarheid. De aanvallers hebben geen losgeld gevraagd en het Rode Kruis kan niet met zekerheid zeggen of de gegevens ook echt gestolen zijn.

De aanval vond plaats op 9 november vorig jaar, schrijft de organisatie. Het duurde vervolgens tot 18 januari voordat die ontdekt werd. De aanvallers maakten gebruik van een bekende kwetsbaarheid, CVE-2021-405439. Dat is een bug waarmee via een REST-api de authenticatie kan worden omzeild op systemen waar Zoho's ManageEngine ADSelfService Plus op draait. Aanvallers kunnen daarmee adminrechten krijgen op dat systeem. ManageEngine is een tool om authenticatie op netwerken te beheren. Het Rode Kruis zegt dat de kwetsbaarheid het mogelijk maakt om 'webshells op te zetten, lateraal door het netwerk te bewegen en registrykeys en Active Directory-bestanden te exfiltreren', maar de organisatie zegt niet specifiek of dat ook daadwerkelijk is gebeurd. "Toen ze eenmaal in ons netwerk zaten, konden de hackers offensieve securitytools inzetten waarmee ze zichzelf konden verbergen als legitieme gebruikers of admins", schrijft de organisatie.

De kwetsbaarheid was al bekend. Er was sinds 7 september ook al een patch beschikbaar. Het Rode Kruis zegt dat het weliswaar beleid heeft om patches door te voeren, maar dat dat in dit geval niet was gebeurd.

Het Rode Kruis wil niet met stelligheid zeggen of er gegevens zijn buitgemaakt. "We moeten daarvan uitgaan", zegt de organisatie, maar ze wijst daarbij niet op bewijs uit bijvoorbeeld logs. De criminelen hebben nog geen contact opgenomen met het Rode Kruis en eisen dus ook geen losgeld. Het Rode Kruis zegt niet te weten wie er achter de aanval zit en wil daar ook niet over speculeren. Vorig jaar brachten Amerikaanse autoriteiten wel een waarschuwing naar buiten dat dit specifieke lek werd misbruikt door staatshackers. Later zei beveiligingsbedrijf Palo Alto Networks dat Chinese groepen het lek zouden uitbuiten.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-02-2022 08:53 39

17-02-2022 • 08:53

39

Lees meer

Sociale verhuurder deltaWonen meldt datalek van huurdersgegevens na inbraak
Sociale verhuurder deltaWonen meldt datalek van huurdersgegevens na inbraak Nieuws van 28 maart 2022
Albert Schweitzer-ziekenhuis wiste per ongeluk bestanden van 200.000 patiënten
Albert Schweitzer-ziekenhuis wiste per ongeluk bestanden van 200.000 patiënten Nieuws van 21 maart 2022
Gamehostingbedrijf ZAP-Hosting meldt datalek en meerdere hacks
Gamehostingbedrijf ZAP-Hosting meldt datalek en meerdere hacks Nieuws van 21 maart 2022
Gegevens van 4600 hulpvragers Nederlandse Rode Kruis gestolen bij cyberaanval
Gegevens van 4600 hulpvragers Nederlandse Rode Kruis gestolen bij cyberaanval Nieuws van 26 januari 2022
Data van 'zeer kwetsbare personen' is gestolen bij aanval op Rode Kruis
Data van 'zeer kwetsbare personen' is gestolen bij aanval op Rode Kruis Nieuws van 20 januari 2022
Meer producten en artikelen
Beveiliging en antivirus Datalek Hackers Rode kruis

Reacties (39)

-Moderatie-faq
39
39
17
0
0
19
Wijzig sortering
Vinnie.1234 17 februari 2022 09:07
Het verbaast me ook totaal niet dat er een datalek is bij het Rode Kruis. Het lijkt ze daar niks te boeien hoe er met gegevens word omgegaan. Wachtwoorden van 4 lettertjes (te raden) met 4 cijfers worden als standaard uitgegeven voor bepaalde systemen. Deze hoef je hierna nooit aan te passen. Dingen als MFA kennen ze nog steeds niet op toch wel kritieke systemen. Zo kan ik nog wel even door gaan...

Nou als ze op deze cruciale laag (inloggen van gebruikers) al zo laks zijn mbt tot veiligheid verbaasd het me totaal niks dat de rest ook niet op orde is...
Luchtbakker @Vinnie.123417 februari 2022 09:14
Lekker kort door de bocht dit.

Er zijn genoeg systemen en applicaties die niet geupdate kunnen worden omdat andere diensten anders niet meer functioneren omdat ze niet compatible zijn. Er zijn een tal van bedrijven die hier last van hebben.

Aangezien we geen diepgaande informatie van het rode kruis hebben over deze kwestie, vind ik jouw reactie echt te kort door de bocht.
frickY @Luchtbakker17 februari 2022 09:42
Dan zet je dat soort systemen toch achter een gateway die, bijvoorbeeld, MFA afdwingt?
Oon @frickY17 februari 2022 10:01
Er zijn toch nog heel veel systemen die ook gewoon geen SSO of iets dergelijks ondersteunen. Dan moet je al met een soort van reverse proxy - SSO portal combinatie gaan werken. Zal vast bestaan, zal vast een hele redelijke oplossing zijn, maar dat is niet iets waar de gemiddelde systeembeheerder die 30 jaar geleden van de MBO is afgestudeerd en sinds toen in het vak zit en nooit echt heeft moeten bijleren verstand van heeft. Veel organisaties hebben ook niet het budget om een IT-consultant in te schakelen om mee te kijken naar wat de mogelijkheden zijn, laat staan de kosten voor het ondersteunen ervan.

Wat mij betreft iets waar de overheid toch gewoon een rol in moet gaan spelen. Alle organisaties boven een bepaald aantal klanten/cliënten en/of werknemers moeten gewoon verplicht worden om aan de relevante ISO-normen te voldoen. Hiervoor moet dan wel een budget beschikbaar zijn vanuit de overheid, en een contactpersoon/afdeling die kan bemiddelen in het zoeken van een consultant die dan weer gecertificeerd/goedgekeurd is om aanspraak te maken op die subsidie.

Maar overal zitten wel haken en ogen aan. Lijkt me in ieder geval duidelijk dat er iets moet gebeuren.
Wobblier @Oon17 februari 2022 10:54
Ik neem aan dat de MBO’er van 30 jaar geleden intussen wel wat ervaring heeft opgedaan.

Niet dat het uit maakt, de CVE gaat om een REST API die misbruikt is om in te loggen. Hoeveel SSO of wachtwoord regels je implementeert: in dit geval was het een lek in de software.
Anoniem: 1322 @Wobblier17 februari 2022 11:27
Ik neem aan dat de MBO’er van 30 jaar geleden intussen wel wat ervaring heeft opgedaan.
Ik neem aan dat die systeembeheerder dan ondertussen ook wel snapt dat je software up2date moet houden. Helemaal als het internet-facing is ;)
Oon @Wobblier17 februari 2022 12:14
Ik neem aan dat de MBO’er van 30 jaar geleden intussen wel wat ervaring heeft opgedaan.
Dat wel, maar vaak is het ervaring met een huidige situatie, en niet zoeken naar nieuwe mogelijkheden of oplosisngen. Heel veel systeembeheerders, zeker bij de wat stuggere organisaties, zijn meer van het onderhoud en niet zo zeer van verbetering.

Anders was er nu geen artikel over dit voorval, want de patch bestond al voordat het lek misbruikt werd.
B_FORCE @Oon17 februari 2022 11:56
Daar heb ik me altijd al over verbaasd.

Als bedrijf moet je aan allerlei ARBO en andere veiligheidsnormen voldoen.
Doe je dat niet, loop je zelfs het risico verplicht dicht te moeten in extreme gevallen.

In de digitale wereld is het enkel een momentje van foei niet meer doen, als het om beveiliging gaat.
In de niet-digitale wereld worden er preventief regels nageleefd en getoetst.
Als het om digitale veiligheid gaat, dan is het altijd achteraf wanneer het kwaad al is geschied.

Men geeft tegenwoordig ook maar iets te makkelijk het argument dat "het allemaal relatief nieuw" is.
Naar mijn idee is het vooral naïveteit en gebrek aan prioriteiten.
itlee @frickY17 februari 2022 11:52
Moet de software dat ook wel kunnen he? (ik vind dat altijd zo makkelijk gezegd, oh ff mfa, 2fa enzov.) er zijn zat software pakketten die helemaal geen framework hebben om MFA mogelijk te maken.
frickY @itlee17 februari 2022 12:11
Vandaar dat je die gateway er vóór zet; je moet daar doorheen om bij de applicatie te komen.

Het makkelijkst bij browser gebaseerde applicaties, maar ook desktop applicaties kun je virtueel achter een dergelijke gateway hangen. Je moet er alleen wel moeite voor doen.
CAPSLOCK2000
@Luchtbakker17 februari 2022 10:02
Niks kort door de bocht. Als systemen niet geupdate kunnen worden dan heb je gefaald als IT-afdeling. Dat hoeft niet per se de /schuld/ te zijn van de IT-afdeling, maar het blijft een mislukking. Je had er voor moeten zorgen dat je niet in de situatie terecht komt. Wat @Vinnie.1234 omschrijft klinkt behoorlijk ouderwets.
Dat neemt niet weg dat iedere organisatie in de wereld minstens één verouderd systeem lijkt te hebben waar ze onmogelijk vanaf komen en dat het vaak een heel netwerk van legacy is waardoor individuele onderdelen niet meer geupdate kunnen worden. Het blijft een mislukking die je als IT-afdeling had moeten voorkomen. Als anderen niet willen meewerken dan had je ze moeten overtuigen, of dwingen met een contract, of op tijd uitstappen, of een convertor of proxy schrijven of op een andere manier moeten voorkomen dat je in een onmogelijk situatie terecht komt. Dat is allemaal makkelijker gezegd dan gedaan maar daarmee is het nog niet onwaar.

Ik kan me goed voorstellen dat ze bij het Rode Kruis weinig IT-kennis hebben, dat ze hun geld liever aan iets anders uit geven en dat er weinig controle is over hoeveel geld er uberhaupt beschikbaar is. Ik weet het allemaal niet en ga dan ook geen schuld toewijzen. Maar dat neemt niet weg dat het eindresultaat niet is zoals het moet zijn.
Anoniem: 1322 @CAPSLOCK200017 februari 2022 11:35
Helemaal mee eens. Maar ter verdediging van de mensen op de werkvloer, dit is echt in 75% van de gevallen een management faal. Ik zie nog regelmatig 2008 (en lager) servers en die worden maar niet aangepakt, wat interne of externe medewerkers ook zeggen. Security is simpelweg nog steeds geen prioriteit en meldingen worden genegeerd.

Ik moet altijd nog denken aan de Burgemeester van Hof van Twente. Die staat op TV te verkondigen dat ze er echt niets aan konden doen dat alles plat is gegaan (crypto malware). Externe expert geven aan dat iedereen dit kan overkomen, volgens haar. Dit terwijl ze het wachtwoord 'Welkom01' op een server hadden gezet die extern benaderbaar is. Dan val ik weer van mijn stoel... Hebben ze acteurs ingehuurd om dit te zeggen tegen de burgemeester? Als je zo faalt, hoe kan het dat het daarna alsnog zo fout gaat? Gelooft men liever de leugen dan de waarheid?

[Reactie gewijzigd door Anoniem: 1322 op 23 juli 2024 20:50]

casberrypi @Anoniem: 132217 februari 2022 14:05
Naar boven wijzen of naar beneden, het is irrelevant. Als je als management wéét dat er bochten afgesneden worden, dan zitten zij fout.

Moet een manager zélf of zoek gaan naar oude of ongepatchte systemen? Dat lijkt me niet. Moet een manager dat vragen? Nee dat lijkt me niet. Als systeembeheerder heb je echt de verantwoordelijkheid om de systemen veilig te houden. Kan dat niet, bijvoorbeeld vanwege legacy meuk, tijd tekort of incompetente collega's dan moet je dat escaleren naar management. Ik zet dit soort escalaties altijd op papier met stippellijn en verzoek voor een handtekening. Geen manager die dat durft te tekenen.

'Security is geen prioriteit', say what? Jij werkt duidelijk in een andere omgeving dan ik, maar veiligheid in de basis is toch echt het werk van systeembeheer. Management wil gewoon dat 'het werkt'. Veiligheid is gewoon een voorwaarde waar ze niet mee bezig willen zijn. Dat betekent niet dat het geen prioriteit heeft, maar als zij de veiligheid in de weg zitten, dan moeten zij daarvoor 'tekenen'. Niet letterlijk overigens, het is me van de tientallen keren dat ik dit heb gebruikt maar één keer overkomen dat een manager daadwerkelijk ook echt tekende. Dat was een ondernemer overigens, geen manager.
Anoniem: 1322 @casberrypi17 februari 2022 22:00
Ik hanteer dezelfde methode maar toch zie ik nog steeds rapporten zo de bureaulade in verdwijnen (vooral bij wisseling van de wacht). Je mag het irrelevant vinden (we willen allebei hetzelfde, dus dat is niet erg) maar ik vind het gewoon jammer dat het probleem niet echt aangepakt wordt.
CAPSLOCK2000
@Anoniem: 132217 februari 2022 15:44
Helemaal mee eens. Maar ter verdediging van de mensen op de werkvloer, dit is echt in 75% van de gevallen een management faal. Ik zie nog regelmatig 2008 (en lager) servers en die worden maar niet aangepakt, wat interne of externe medewerkers ook zeggen. Security is simpelweg nog steeds geen prioriteit en meldingen worden genegeerd.
Ja, ik bedoel het echt niet als aanval op de werkvloer, daarom heb ik het ook nadrukkelijk over de IT-afdeling, die bestaat uit meer dan alleen techneuten.

Een van mijn stokpaardjes is dat iedere organisatie tegenwoordig een IT-organisatie is, maar de meesten beseffen het nog niet. Let op, IT is Information Technology, dat is niet hetzelfde als "computers". Mensen zitten hun hele werkdag achter de computer en vrijwel iedere taak heeft een digitale component. Al is het alleen maar omdat je opdracht via e-mail binnen komt. De meeste mensen werken niet meer aan tastbare goederen maar aan diensten en abstracte producten die opgeleverd worden in de vorm van bits en bytes.

Je zou dus denken dat bedrijven snappen dat IT hun belangrijkste asset is maar dat valt nogal tegen. Meestal is het zo dat bedrijven meer uitgeven aan een gebouw dan aan de hardware en software die er in staat. Datzelfde verschijnsel zie je overal. Mensen geven meer geld uit aan mooie schoenen dan aan een goed toetsenbord terwijl ze misschien 30 minuten per dag lopen maar wel 6 uur tikken.
Anoniem: 1322 @CAPSLOCK200017 februari 2022 22:04
Helemaal mee eens. Ik heb helaas hetzelfde gesprek regelmatig met zowel techneuten als managers. Uiteindelijk komt het er vrijwel altijd op neer dat het een menselijk (keten) probleem is, geen technisch.
MazDaMan1970 @Luchtbakker17 februari 2022 10:11
Je hebt zeker gelijk dat patches problemen kunnen veroorzaken. Maar ik ben bang dat het Rode Kruis verkeerde prioriteiten heeft gesteld & niet genoeg geïnvesteerd heeft in zijn ICT. Het feit dat men pas zo laat zich bewust van een lek was, zegt eigenlijk al genoeg...
Mijn persoonlijke ervaring is dat veel organisaties/bedrijven ICT als een sluitpost zien, omdat het niet hun corebusiness is.
jc1982 @Vinnie.123417 februari 2022 09:15
Wat is je bron wat betreft hun wachtwoord beleid?
Vinnie.1234 @jc198217 februari 2022 15:15
Een moeder die ik moest helpen inloggen ;)
jc1982 @Vinnie.123417 februari 2022 17:05
Jeetje,... een moeder die een beetje loslippig is (aanname) over het wachtwoordbeleid en hulp nodig had met haar eigen wachtwoord :+

Juist!
Vinnie.1234 @jc198218 februari 2022 15:07
Nee niet loslippig, ze moest ergens op inloggen. Dus ik vroeg wat het wachtwoord was. Ze gaf het wachtwoord zoals ik hierboven beschreef. Dus ik riep gelijk al, dat zal wel een standaard wachtwoord zijn en moet je straks veranderen.

Dus ik voor der inloggen, en dat was het. Hierna kon ze gewoon blijven inloggen met dit wachtwoord.

(Zelf vond ze het wel prima, want ja makkelijk te onthouden ;)).
Iblies @Vinnie.123417 februari 2022 09:27
Het rode kruis is eerder een lappendeken van kleinere organisaties dus datgene wat voor de ene afdeling geld hoeft niet voor een ander te gelden.


Nou is het meer standaard beleid dat er niet direct gepatched wordt en het een paar dagen aankijkt en/of eerst een testopstelling gaat draaien heeft dit wel veel te lang geduurd voordat het is geïmplementeerd.
iFap @Vinnie.123417 februari 2022 09:32
Het klinkt misschien extreem wat je zegt maar in de praktijk kom ik dit ook tegen, voornamelijk bij zorginstellingen. Ik ken klanten die willens en wetens geen behoefte hebben om hun cyber resilience te verhogen, zelfs nadat ze slachtoffer zijn geweest van ransomeware. Simpele MFA inschakelen op een Azure AD account is al teveel gevraagd. Reden: geen geld / geen tijd.
MazDaMan1970 @iFap17 februari 2022 10:14
Ik heb zelf voor zorginstellingen gewerkt (Saas-hosting) & heb gemerkt dat men zeer weinig investeert in ICT. Op zich niet verwonderlijk, gezien de bezuinigingen vd. Rutte-regeringen...
SSH @Vinnie.123417 februari 2022 12:00
Dit gaat over het Internationale Rode Kruis, niet over het Rode Kruis. Dus waar heb je het nu over?
Faust 17 februari 2022 09:23
Is er trouwens ooit melding gemaakt van een Amerikaanse of Europese groep die een lek heeft uitgebuit? Geen retorische vraag! Je zou toch verwachten dat we in het westen meer hackers hebben, gezien onze IT kennis en experts.
Triblade_8472 @Faust17 februari 2022 09:46
Nee, wij zitten er meer bovenop. De politie valt je woning binnen als je hier iets uitvreet.
China en Rusland zullen hun hackers waarschijnlijk belonen als ze 'het westen' hacken. Als ze al niet in dienst staan van de overheid...

Al-in-al denk ik dat ons nieuws gewoon gekleurd is. China en Rusland gaan niet breed uitmeten als ze gehacked zijn. En zeker niet als dat door Europese of Amerikaanse groeperingen gedaan wordt.
En wij melden op onze beurt waarschijnlijk voornamelijk hacks vanuit Rusland, China of Noord-Korea.

In Israel zitten trouwens ook hele goede 'security' specialisten. Misschien wel de beste?

Maar ter voorbeeld een Poolse (is Europa) hackersgroup opgepakt in 2020:
https://www.europol.europ...in-poland-and-switzerland

Dan is er nog de Amerikaanse Equation Group (die mogelijk op de payroll van de NSA staan):
https://www.kaspersky.com...reator-of-cyber-espionage

[Reactie gewijzigd door Triblade_8472 op 23 juli 2024 20:50]

t link @Triblade_847217 februari 2022 10:52
ik vind het nogal kort door de bocht om te zeggen dat wij er bovenop zitten. wie zegt dat wij er bovenop zitten als mensen uit 'het westen' dingen in rusland, china etc zitten te hacken? en denk je dat er in al die gevallen wel stevig opgetreden zal worden door onze overheid? ik weet het antwoord niet hoor, maar ik zie een blinde vlek in je redenatie.
Triblade_8472 @t link17 februari 2022 11:24
Ik denk dat wij in het algemeen meer anti-hackers zijn dan 'daar'. Ik denk dat het 'ons' meer interesseerd.
Maar zeker weten doe ik het niet. Een blinde vlek zie ik dan ook niet, maar ja, daarom is het een blinde vlek.

Natuurlijk zou het ook zomaar kunnen zijn dan onze hackers zich gewoon beter weten te verbergen :)
svennd @Faust17 februari 2022 10:39
Belgacom was een paar jaar geleden door UK digitaal binnengedrongen, vreemd genoeg wordt daar weinig aandacht aan besteed. Het is dan ook nuttiger om een grote boze vijand te maken. (Zoals Rusland, oost-Europa of China)

Je hoeft ook geen echte "IT expert" te zijn om hacker te worden, dus de verdeling zal globaal gezien wel gelijk verdeeld zijn. Mogelijke verschillen zitten gewoon in de financiële ondersteuning/mogelijkheden voor de criminelen.
CivLord @Faust17 februari 2022 12:06
Waarom denk je dat er in het westen meer/ betere IT kennis/ experts is/ zijn?
We hebben misschien in technologisch opzicht een zekere voorsprong. Maar dat maakt eerder lui dan dat het het uiterste van de experts vergt. Juist minder bedeelde landen vragen meer talent en meer expertise van hun IT-ers om het gemis aan technologie te ondervangen.
Wat kan je op beveiligingsgebied (of hacken) op een i3 van vijf jaar oud niet, wat je wel op een splinternieuwe i9 kan (zolang er geen brute-force voor nodig is)? Omdat er wel andere IT-gerelateerde vakken zijn waar je zonder toegang tot geavanceerde techniek geen kans maakt, zal dat ook al veel talent richting de beveiligingskant bewegen.
Misschien zitten de meeste absolute superspecialisten bij westerse bedrijven/ overheidsdiensten/ universiteiten, maar ik denk dat de meeste gedegen experts juist bij in de niet-westerse landen zitten. En dat heeft niets met goed of kwaad te maken.

Wie herinnert zich de periode eind '80, begin '90 nog? Toen het ijzeren gordijn openging en er programmeurs beschikbaar kwamen die op absoluut verouderde apparatuur spellen en programma's konden maken die westerse programmeurs op veel snellere apparatuur met veel meer geheugen nauwelijks voor mogelijk hielden. Schaarste had de programmeurs in het Oostblok gedwongen om de absoluut laatste druppel uit de hardware te persen, terwijl de programmeurs in het westen lui waren geworden en tools gebruikten met enorme resources verslindende overhead.
kodak
17 februari 2022 09:29
Opvallend is dat het Rode Kruis niet met stelligheid wil zeggen of er gegevens zijn buitgemaakt.
Wat is daar opvallend aan? Want het feit dat je kan achterhalen waardoor criminelen binnen zijn gekomen wil nog niet zeggen dat valt te achterhalen of er gegevens gestolen zijn, of dat het uitgesloten kan worden.

edit:
Heb er maar een vraag aan @TijsZonderH via Vraag over opmerking in artikel Rode Kruis van gemaakt.

[Reactie gewijzigd door kodak op 23 juli 2024 20:50]

Triblade_8472 @kodak17 februari 2022 09:36
Het 'willen' stukje denk ik.

Ze zouden ook kunnen zeggen dat ze nog in onder zijn, of het simpelweg (nog) niet weten.
Maar niet willen is bewust niet zeggen van iets wat je wel weet.
CAPSLOCK2000
@Triblade_847217 februari 2022 10:11
Het 'willen' stukje denk ik.

Ze zouden ook kunnen zeggen dat ze nog in onder zijn, of het simpelweg (nog) niet weten.
Maar niet willen is bewust niet zeggen van iets wat je wel weet.
Ik denk dat je het woord 'stelligheid' moet meenemen. Het lijkt mij dat het Rode Kruis geen keihard direct bewijs heeft en dat ze willen voorkomen dat ze worden "betrapt" op een "leugen". De hackers zijn diep in hun systeem geweest en hebben de kans gehad om hun sporen te wissen. Niemand zal ooit nog zeker kunnen zeggen of dat gebeurd is. Zodra aanvallers hun eigen software op jouw systemen hebben draaien wordt het sowieso steeds moeilijker om nog te zien wat ze precies doen.
DaMonkey @Triblade_847217 februari 2022 10:15
Vind ik wel kort door de bocht.

Zoals jij het stelt, is zwijgen toegeven dat ze het weten.

Het zou zomaar kunnen dat hun onderzoek afgelopen is, maar gewoon geen zekerheid geeft? Meestal door andere achterliggende issues, zoals logs die naar /dev/null gingen of overschreven zijn.

Het is niet omdat zij geen direct bewijs hebben, na al hun mogelijke documentatie nagekeken te hebben, dat er ook niets gestolen is.

Ik denk zelfs dat je nooit met zekerheid kan claimen dat er niets gestolen is. Wanneer iemand binnen komt en in de mogelijkheid is om data te stelen, is er vaak misbruik van een bug. Dus wie zegt dat ze er ook niet in geslaagd zijn alle sporen te wissen? Sterke vermoedens en afwezigheid van bewijs is niet hetzelfde als iets weten.
KuroHana 17 februari 2022 11:29
alweer ? gaat echt snel, kom op gasten, we hebben betere ict'ers nodig voor anti hack , we hebben een betere firewall nodig die het vuur hoger heb dan 5cm waar je overheen spring,, ik geloof totaal niet dat dit echt gebeurt, ze gooien het gewoon op hackers , gebeurt nu te vaak achter elkaar als of niemand leert hoe ze gegevens moeten beschermen
SunnieNL @KuroHana17 februari 2022 12:03
Het staat er wat raar... De hack van januari die leidde tot de datalek was dus eigenlijk al in november en is pas na 2 maanden opgemerkt (waarschijnlijk omdat toen de gegevens naar buiten kwamen).
En de enige reden waarom dit kon was omdat een patch niet was geïnstalleerd die de hoogste prioriteit moest hebben vanwege een kwetsbaarheid die een remote code exploit mogelijkmaakte en daarom een CVSS score van 9.8 kreeg. Die patch was na 2 maanden nog niet geinstalleerd.

De uitspraak dat het rode kruis een patch proces had leg ik naast mij neer. Want "wij hebben een patch proces' zegt niets als je niet weet wat daar in staat. Een patch proces kan ook zijn dat je 1x per jaar alles update. Dat is een proces, maar of die goed... dus alleen 'we hebben een patch proces' is een dooddoener.

Waar dus vooral naar gekeken moet worden is het vulnerability management cycle van het rode kruis, want daar schort het in alle stappen (in ieder geval in prioritize, act and validate stappen).
Rinzwind 17 februari 2022 09:42
Zoho ja trouwens puike software. Kan de concurrentie moeiteloos aan met Google en MS diensten en is uit India afaik. Maak een een gratis Zoho Mail adres aan om eens rond te kijken.
SunnieNL 17 februari 2022 14:31
Wat een goedpraterij overigens bij de info van het ICRC zelf... Aan alle kanten gaan ze volledig voorbij aan het feit dat ze zelf hun processen niet op orde hebben.
The hackers made use of considerable resources to access our systems and used tactics that most detection tools would not have picked up.
A breach this large and complex typically takes time to detect. For example, we understand that the average time to identify a data breach is 212 days
Dus, dat maakt het minder erg ofzo omdat zij er al in 60 dagen achter kwamen?
Als je nou gewoon in minder dan 60 dagen had gepatched en geverifieerd was of die patch goed was geïnstalleerd, was het probleem uberhaupt niet opgetreden.

De oplossing:
Security enhancements include a new two-factor authentication process and using an advanced threat detection solution. Successful, externally conducted penetration tests on all applications and systems are a prerequisite for the services to be resumed.
Euhm, 2FA had dit probleem niet voorkomen en advanced threat detection en pentesting is leuk, maar het ontbreekt aan de basis.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 20:50]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq