Vergaderingen Europese overheden in te zien door lek Webex, ook in Nederland

Een Duitse journaliste van Die Zeit kon vanwege een kwetsbaarheid in de vergadersoftware Webex van Cisco informatie verzamelen van Europese politici, waaronder van werknemers van de Nederlandse Rijksoverheid. Voor zover bekend is de kwetsbaarheid niet misbruikt.

Onder meer de overheden van Nederland, Duitsland, Italië en Frankrijk gebruiken Webex om te vergaderen en dankzij een kwetsbaarheid in deze software kon metadata over deelnemers verzameld worden. In sommige gevallen kon Die Zeit meeluisteren met videovergaderingen van de Duitse overheid.

De Nederlandse Rijksoverheid bevestigt dat er inderdaad sprake was van een datalek waarbij onder meer namen en vergaderonderwerpen in te zien waren, aldus de NOS. Het is niet duidelijk of er ook Nederlandse videovergaderingen werden bijgewoond door de journaliste. Voor zover bekend hebben kwaadwillenden geen misbruik van de kwetsbaarheid gemaakt. Het lek is inmiddels door Cisco verholpen. De Rijksoverheid heeft een melding bij de Autoriteit Persoonsgegevens gemaakt.

IT-banen

Reacties (70)

RobbieB 5 juni 2024 21:04

Als een Duitse journalist dit vind kun je er donder op zeggen dat China dit lek allang in de smiezen had met hun letterlijk paar miljoen intelligence medewerkers.

Kevinp @RobbieB • 6 juni 2024 11:16

Alu hoedje mode.

maar misschien moeten we toch serieus kijken naar eigen/europese software.

Want wie zegt dat dit niet bewust was gedaan door Cisco vanuit de US overheid. We klagen over Huwawei en China. Maar laten we eerlijk zijn Amerika zal exact hetzelfde spelletje spelen.

Deze software moet gewoon in house gemaakt worden zodat we onafhankelijk kunnen zijn. En delen met de landen waarmee we het willen delen.

beerse @Kevinp • 6 juni 2024 15:19

Als het om video vergaderen gaat: Zoom (uitvoering: Zoom) is (was?) volgens mij Europees, al is een website in '... us' volgens mij toch noord-amerikaans....

En dan is er ook Jitsi (Wikipedia: Jitsi). Dat is open source en zou dus de voorkeur moeten hebben gezien de overheid bij voorkeur opensource software gebruikt.....

Mayonaise @beerse • 6 juni 2024 20:15

Zoom is Amerikaans, opgericht door een Chinees dat Chinese censuur hanteert.

ReyHyper @RobbieB • 6 juni 2024 08:07

En de Chinese vrienden: de schurkenstaat Rusland.

TheGraphic @ReyHyper • 6 juni 2024 08:45

en onze beste "vrienden" kunnen het waarschijnlijk zonder dit lek

Praetextatus @ReyHyper • 6 juni 2024 09:02

@RobbieB @ReyHyper Het grappige is dat de enige die tot nu betrapt is die lekken misbruiken of zelf in laten bouwen de VS is.... Althans in Nederland.

RobbieB @Praetextatus • 6 juni 2024 09:12

Dit is niet waar, backdoors in Chinese communicatie apparatuur, phone-home algoritmes in Chinese chips, malware in Chinese consumentenelektronica. Ik kan nog even doorgaan, maar er is een gigantische cyberwarfare aan de gang achter de schermen, tussen het ‘westen’ en de BRIC+ landen.

RobbieB @MrKaplan • 6 juni 2024 12:37

Ik zeg niet dat de VS niet hetzelfde doen. Belgacom schandaal is misschien wel beste voorbeeld, maar jij zei dat ze de enige waren die betrapt zijn. Dat is niet zo.

flurb @MrKaplan • 6 juni 2024 15:04

De kortste samenvatting: We (Als in landen) doen dit allemaal.
En dat is belangrijk naast commerciele, politieke en diplomatieke informatie.
Ik denk wel dat er een paar landen zijn die met een flinke missie bezig zijn, niet bedoelt om de wereld een mooiere plek te maken.

Hakulaku 5 juni 2024 21:26

De laatste bekende vulnerability van WebEx lijkt uit 2023 te zijn. Het zou me daarom niet verbazen dat dit of een misconfiguratie is, of niet gepatchte software. Anders had ik wel een CVE verwacht.

[Reactie gewijzigd door Hakulaku op 22 juli 2024 20:43]

Ruuddie @Hakulaku • 5 juni 2024 21:31

Ik ben inderdaad ook heel benieuwd of er echt een exploit/vulnerability was waar gebruik van is gemaakt, of dat ze gewoon het equivalent hadden van geen PIN op de meeting.

latka @Ruuddie • 6 juni 2024 00:11

Eigenlijk zou alle software out of the box gewoon op de veiligste stand moeten staan zodat oeps foutje of oeps vergeten niet zo'n impact hebben.

supersnathan94

@latka • 6 juni 2024 02:16

Voor 90% van de meetings is dat echter overbodig. Interne meetings van bijv teams zijn al invite only en als je extern bent wordt je direct in een waiting room gezet. Moet je per toeval een link hebben en zelfs dan wordt je er gewoon uitgebonjourd.

Krommetenen @supersnathan94 • 6 juni 2024 08:06

Wel of geen wachtkamer.

Hoe kwamen de onderzoekers in de meeting dan?
Lekt een gebruiker bij defensie meeting ID’s? Kwam de onderzoeker er in tijdens chatroulette?

matthijs4s @Krommetenen • 6 juni 2024 08:42

WebEx werkt anders dan teams. Teams heeft deze problemen eerder gefixt. WebEx binnen het rijk is geïmplementeerd door Cisco PS dus uurtje factuurtje werk.

William_H 5 juni 2024 22:20

In het NOS artikel hebben ze het ook over het schandaal met de afgeluisterde meeting van de luchtmacht. Er werd destijds beweerd dat het aan een fout lag van één van de officieren, dat hij over een onbeveiligde verbinding vergaderde, maar in het licht van deze onthulling, lijkt mij dat daar nog ééns naar gekeken moet worden. Sowieso zou een open Wi-Fi natuurlijk niet gebruikt moeten worden, maar dan nog zou de videoverbinding zelf nog steeds beveiligd moeten zijn.
Ergens gaat hier iets verschrikkelijks mis.
Gezien het verschil in geraaktheid per land, klinkt het inderdaad als geen nieuwste update of onjuiste configuratie.

[Reactie gewijzigd door William_H op 22 juli 2024 20:43]

HDoc @William_H • 6 juni 2024 10:19

Dat een "open Wifi" verbinding het probleem zou zijn lijkt me eigenlijk een beetje flauwekul. Elke verbinding die via het openbare internet gaat is in principe "open" dus al het verkeer dat niet via een VPN tunnel gaat, is te onderscheppen. Als er niet optimaal gebruik wordt gemaakt van versleuteling dan ligt de verantwoordelijkheid dus bij Cisco/Webex en nergens anders.

Krommetenen @William_H • 6 juni 2024 08:25

Ik vroeg mij ook af wat zo’n “hacker” allemaal paraat zou moeten hebben en moeten hebben voorbereid.

Een issue van het product is veel waarschijnlijker.

jorisvergeerTBA 5 juni 2024 22:03

En was deze kwetsbaarheid alleen bij government van Webex of alle Webex systemen?

KPN EEN zakelijke telefonie draait namelijk ook op Webex met een KPN jasje erover.

HDoc @jorisvergeerTBA • 6 juni 2024 10:16

Hier in het ziekenhuis werken we ook met Webex, ook de patiëntbesprekingen.

MrBigfield @jorisvergeerTBA • 6 juni 2024 14:26

KPN EEN Zakelijke telefonie is gebaseerd op Cisco Broadsoft/Broadworks. Webex is een los af te nemen product.

komododraak 5 juni 2024 20:55

Zucht. De reden waarom dat soort clubs voor Webex gaan is puur omdat het bekend en duur is: dan moet het wel goed zijn.
Keer op keer blijkt het helaas niet zo te werken

elmuerte @komododraak • 5 juni 2024 20:57

Bij de concurrenten is het ook echt niet veiliger hoor.

Standeman @komododraak • 5 juni 2024 21:04

Want onbekend en goedkoop is per definitie beter?

david-v

@komododraak • 5 juni 2024 21:10

Heb jij een beter alternatief dan? Ik kan je garanderen dat er geen enkel pakket is die bug vrij is en waar geen kwetsbaarheden in zitten.

Lamith @david-v • 6 juni 2024 08:33

Welke vergelijkbare lekken heeft Teams dan? Of Zoom? Of Google Meet? Cisco is praktisch duurder dan ze allemaal hè?

david-v

@Lamith • 6 juni 2024 08:45

Google is je vriend, maar ik zal lief zijn en voor teams wel iets meegeven

[Reactie gewijzigd door david-v op 22 juli 2024 20:43]

Lamith @david-v • 6 juni 2024 09:02

Als alles toch lek is, dan kies je toch het goedkoopste?

MueR Admin Discord @Lamith • 6 juni 2024 09:36

Nee, want je betaalt ook voor een stuk service, waaronder de mogelijkheid om te zeggen "dit moeten jullie fixen". Nou gaat dat niet binnen een dag natuurlijk, en indien er maatwerk nodig is betaal je nog meer, maar je bent er stukken beter mee geholpen dan een Discord servertje opzetten.

david-v

@Lamith • 6 juni 2024 09:56

Ze hebben niet allemaal dezelfde functionaliteit, dus nee, bovendien is service ook een belangrijk onderdeel. De kwetsbaarheid is bijvoorbeeld al gepatched.

Voordat je een dergelijke tool gebruikt krijg je een hele onderzoek aan vooraf, dat beslis je niet in een avondje. Vendor management, security, licensing enz. De goedkoopste is maar één van de onderdelen die meetellen, niet de belangrijkste.

mder 5 juni 2024 21:18

Tja, je ICT kennis wegbezuinigen, diensten uitbesteden, roepen dat je een SLA hebt en alles perfect geregeld is met dit resultaat. Op naar het volgende debakel, het uitbesteden van bijna alles naar de cloud van Microsoft en AWS lijkt mij de meest voor de hand liggende kandidaat.

oef! @mder • 5 juni 2024 23:32

Niet mee eens. Als je diensten uitbesteed aan een partij die verstand van zaken heeft ben je over het algemeen beter uit dan het zelf doen. De meeste organisaties hebben het geld of de skills niet om goed ict personeel in te huren, als ze überhaupt al vindbaar zijn.

En alhoewel cloud bepaalde basistaken kan afvangen blijf je nog steeds verantwoordelijk voor de beveiliging ervan. MS, AWS of Google gaat die kogel zeker niet voor je nemen. Dat hoeft alweer geen probleem te zijn als je het uitbesteed omdat de meeste msp's tegenwoordig cloud gebaseerde infra aanbieden.

Tenslotte is webex zelf ook een cloud product en zou het ongeveer hetzelfde moeten werken als teams of meet en dezelfde veiligheidsstandaarden moeten kunnen halen.

jongetje

@mder • 6 juni 2024 08:01

https://www.ssc-ict.nl/
Doet voor 7 ministeries de ICT en werken enorm veel mensen die andere mensen managen die weer teams managen die afspraken maken met de klant die weer project mensen managen. En die mensen sturen dan een handjevol engineers aan die daadwerkelijk aan de knoppen zitten. En die engineers moeten dan met al die managers overleggen, alle uren in systemen verantwoorden welke weer doorbelast moeten worden naar boven toe en richting het ministerie.

Verder draait er volgens mij weinig ict in de cloud en heeft de overheid zelf datacenters.

T-8one @jongetje • 6 juni 2024 08:41

De overheid heeft een heel groot contract met Microsoft/Azure waar diverse overheidsinstanties gebruik van maken.
Uiteraard hebben ze ook nog hun eigen datacenters, persoonsgegevens e.d. mogen bijvoorbeeld niet naar de public cloud, zo'n datacenter noemt met tegenwoordig private cloud. Idealiter is de ervaring voor de ontwikkelaars gelijk en maken zij enkel onderscheid tussen public en private bij het deployen van software.

david-v

@mder • 6 juni 2024 10:03

Dit zijn third party producten voor hele specifieke doeleinden, die ga je uiteraard niet zelf bouwen, nu niet. 20 jaar geleden ook niet. Of denk je nou werkelijk dat elk groot bedrijf in Nederland niet allerlei externe consultants rond heeft lopen voor SAP, mainframe, Siebel en noem maar op.

En inderdaad, het uitbesteden van de zaken die niet je core bussiness zijn aan een partij is wat vrijwel alle grote bedrijven doen. Of denk je nou werkelijk dat er bedrijven zijn die hun eigen database, webserver, firewall enz ontwikkelen als het niet hun core business is?

Yzord 5 juni 2024 21:17

Alle vergaderingen van de overheid zouden sowieso openbaar moeten zijn, dus het is meer een feature

caipirinha @Yzord • 5 juni 2024 22:17

Dus ook alle sollicitatiegesprekken (van jou met de overheid) en alle gesprekken over burgers (over jou), lijkt me niet. Transparantie is ok maar privacy heeft ook binnen de overheid een functie.

Yzord @caipirinha • 5 juni 2024 22:35

Wie heeft het over solicitatiegesprekken? Of gesprekken met burgers? Het gaat om overheids vergaderingen en die zouden gewoon openbaar moeten zijn. Sterker, die zijn toch ook openbaar?

Wootles @Yzord • 5 juni 2024 22:50

Volgens mij verwar je de overheid (half miljoen medewerkers met een bijbehorende hoeveelheid vergaderingen) met het gekozen parlement.

supersnathan94

@Yzord • 6 juni 2024 02:20

Parlementaire vergaderingen zeker, maar vergaderingen binnen onderlinge ministeries bijvoorbeeld niet. Een brainstorm sessie over ethische kwesties waar iemand eens advocaat van de duivel gaat spelen (om terecht te wijzen op mogelijk misbruik door een overheid of kwaadwillende van iets nieuws) zou je wat mij betreft helemaal niet openbaar moeten willen hebben.

Zelfde geldt voor bijvoorbeeld interne gesprekken als retrospectives.

david-v

@supersnathan94 • 6 juni 2024 12:12

Of een functionerings gesprek met als uitkomst: "functie elders"

Gustaaf437 5 juni 2024 21:02

Is het niet vreemd dat hier alleen Europese landen worden genoemd? Volgens mij is Webex groot geworden door gebruik binnen de Amerikaanse overheid en daarom zijn overheden het hier ook gaan gebruiken. Ik vind het dus raar dat de overheid van de VS hier niet genoemd wordt.

Xfade @Gustaaf437 • 5 juni 2024 22:37

Wellicht omdat de amerikaanse en europese versie apart gehost worden (gdpr) en dat de journaliste daar niet kon meekijken.

Tweakert2020 @Gustaaf437 • 5 juni 2024 21:04

Misschien dat die massaal overgestapt zijn op Teams?

dasiro @Guerilla • 5 juni 2024 21:46

elke backdoor is een vulnerability, maar niet elke vulnerability is een backdoor (al durf ik daar bij grote amerikaanse bedrijven vraagtekens bij stellen).

Iconlast 5 juni 2024 21:07

Vanavond op nieuwsuur.

Buitenaerts @Iconlast • 5 juni 2024 21:53

Met Rian van Rijbroek zeker

Hgvmaster @Buitenaerts • 6 juni 2024 07:13

Ik dacht ook even, het zal toch niet

Vaevictis_ 5 juni 2024 21:11

Ik heb een tijdje moeten gebruiken bij Rijksoverheid maar ik kreeg mijn firewall niet goed geopend want elke keer weer nieuwe Uri en ip adressen. Terwijl ik alles heb dichtgetimmerd qua dns en ook packet inspection.

Het was echt een drama alles ging destijds over Amerika.

Dus verbaasd me niets dat er lekken zijn.

Krommetenen @Vaevictis_ • 6 juni 2024 08:31

Want een statische ip is veiliger?

Volg je niet.

Dit gaat over toegang verkrijgen, niet over leeglopende netwerkpaketten. Deze onderzoekers zouden niet weten wat ze met versleutelde uitgelekte pakketten moeten.

Vaevictis_ @Krommetenen • 6 juni 2024 09:19

Gewoon een beperkt aantal endpoints in de EU.

Dat het verkeer overal en nergens heen gaat, telde wel 20 verschillende bestemmingen. Dat maakt het complex om gegevens goed te beschermen. Een foutje is dan zo gemaakt en dat maakt je kwetsbaar.

Op dit item kan niet meer gereageerd worden.

Vergaderingen Europese overheden in te zien door lek Webex, ook in Nederland

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: