'Database met garantieaanvragen van MSI was openbaar toegankelijk'

Meer dan 600.000 rma-aanvragen van MSI-klanten waren openbaar toegankelijk, ontdekte YouTube-kanaal Gamers Nexus. Daardoor waren onder meer namen, adressen en telefoonnummers in te zien. Eerder ontdekte het kanaal iets soortgelijks bij Zotac.

Door in een zoekmachine te zoeken op 'msi rma webserver intranet', was het mogelijk om het intranetportaal van MSI te bereiken met opzoektabellen van honderdduizenden garantieaanvragen van klanten, ontdekte Gamers Nexus na een tip van een kijker. De oudste rma-bestanden kwamen volgens het Youtube-kanaal uit 2017. Nieuwe aanvragen waren naar verluidt direct toegankelijk.

In deze aanvragen staan de namen, e-mailadressen, woonadressen, telefoonnummers en aangeschafte producten van MSI-klanten. Ook was het mogelijk om via het portaal garantieaanvragen opnieuw te versturen en trackinginformatie op te vragen. Gamers Nexus heeft de fabrikant van het probleem op de hoogte gesteld, waarna MSI de toegang tot de webserver heeft geblokkeerd. Het YouTube-kanaal heeft het hardwarebedrijf niet om een verklaring gevraagd.

Vorige week ontdekte Gamers Nexus iets soortgelijks bij Zotac. Alle bestanden die klanten naar de website van de hardwarefabrikant uploadden, waren via Google-zoekopdrachten zichtbaar. In dat geval ging het om losse documenten, waaronder rma-aanvragen, die in de zoekresultaten verschenen, terwijl bij MSI een volledige database openbaar toegankelijk was. Deze informatie kon via een knop geëxporteerd worden naar Excel, waardoor de bestanden van MSI volgens Gamers Nexus een stuk makkelijker te scrapen waren.

IT-banen

Reacties (70)

Kalculon 13 juli 2024 12:48

Ze kunnen "Search result" niet eens goed spellen.

Wederom een goed voorbeeld van nooit vertrouwen op de beveiliging van anderen.

Niet alleen moet je nooit hetzelfde wachtwoord gebruiken op andere plekken, ook overal een ander e-mailadres gebruiken en nu blijkt ook overal een ander 06-nummer voor nodig. Alleen je fysieke adres is wat lastig om voor elke partij anders te hebben.

Precies dit is waarom ik bijvoorbeeld niet een account bij PostNL wil maken om dan "online" betalingen te doen voor pakketzegels of mijn persoonlijke informatie aan Marktplaats wens te geven.

Helaas zijn de meeste mensen helemaal niet op de hoogte ervan dat er *dagelijks* sprake is van dit soort lekken en de mogelijke gevolgen ervan dus wordt je vaak als 'vervelend' gezien omdat je niet leuk meedoet en 'gewoon' even overal maar accounts maakt en persoonlijke informatie achterlaat.

Beat The Best @Kalculon • 13 juli 2024 13:05

Wat mij betreft moet er harder opgetreden worden tegen datalekken of andere it beveiligings problemen. Boetes obv % totale winst of omzet. Zodat het voor elk bedrijf pijn doet.

Specuaal instituut waar het geld naar over gemaakt moet worden bij boetes. Waar slachtoffers uit vergoed kunnen worden.

Je maakt jezelf het leven ontzettend lastig als je overal perse bovenop wilt zitten als consument, en in dit geval verschillende emailadressen, accounts, wachtwoorden, mobiele nummers, vpn, en vaste adressen.

Tegenwoordig moet je zoveel gegevens verplicht achterlaten die helemaal niet nodig zijn voor de dienstverlening. Ook dat mogen ze verbieden.

Bol.com/postnl/ups hoeft helemaal geen mobiel nummer van mij te hebben. Als er wat is dan kunnen ze emailen.

dez11de @Beat The Best • 13 juli 2024 14:11

Sorry maar waarom zou het bedrijf moeten boeten voor het gepruts van de verantwoordelijke iter.
Hoofdelijk aansprakelijk stellen en een beroepsverbod geven.

BoerBart @dez11de • 13 juli 2024 15:35

Een bedrijf dient zorg te dragen dat dergelijke fouten niet gemaakt kunnen worden, een mens is een mens, en een mens maakt fouten. Het slaat nergens op om een medewerker aansprakelijk te stellen, sterker nog, volgens mij kan dat überhaupt niet, zolang er geen overduidelijk opzet in het spel is geweest.

Splitinfinitive @BoerBart • 13 juli 2024 16:15

Verder is het dan het bedrijf dat de dans ontspringt. Er bestaan zaken zoals audits e.d. om je processen te beoordelen.

Als er iemand hoofdelijk aansprakelijk moet worden gesteld is dat de CEO die is immers verantwoordelijk voor het bedrijf

Frame164 @Splitinfinitive • 13 juli 2024 22:01

Zolang het alleen de CEO is die aansprakelijk is veranderd er niets in de mentaliteit van de lagen daaronder. Gevolgen moeten echt merkbaar zijn daar waar de fouten worden gemaakt. Een CEO kan hoogstens audit en andere onderzoeken laten doen maar de praktijk leert dat je dan slechts een momentopname maakt. Uiteindelijk moet het gewoon in de genen van de verantwoordelijke afdelingen komen te zitten dat er zo goed mogelijk met ICT wordt omgegaan. Zet er maar gewoon stevige targets op. Bij salesteams werkt dat. KPI's op de tijd tussen release van een patch totdat het uitgerold is, KPI's op stelselmatig uitgevoerde pentests, etc etc En als de KPI's niet gehaald worden heeft het heel team daar last van en als ze wel gehaald worden heeft iedereen er profijt van. Als het op een andere manier niet lukt, dan maar zo.

latka @dez11de • 13 juli 2024 18:52

Het bedrijf zet de verkeerde mensen neer. De ceo hiervoor oppakken en vastzetten zou ik snappen (zeker met de gemiddelde ceo beloning)

Frame164 @latka • 13 juli 2024 22:04

Onzin. Het bedrijf neemt professionals aan omdat die de vakkennis zouden moeten hebben, die vervolgens hun werk niet goed doen. Een CEO kan daar weinig aan doen.

Het probleem zit in ons vakgebied. We willen wel professionele salarissen maar in vergelijking met heel veel andere bedrijfstakken heerst er in ICT nog een te groot cowboygehalte. Als medisch personeel zo zou werken zouden er behoorlijk wat doden vallen in de zorg.

latka @Frame164 • 13 juli 2024 23:58

Wat is de rol van CEO en de bijbehorende betaling als die niet in staat is de slecht functionerende onderdelen van het bedrijf te identficieren en mitigeren?

En de professionaliteit binnen de IT is inderdaad tricky. Belangrijkste verschil tussen andere disciplines die ik zie is dat er vanaf het laagste niveau (de bits en bytes) geen vaste 'natuurwetten' zijn. Dat uit zich in zaken als minimaal 10 manieren om de letter A in een 8 bits codering te krijgen (EBCDIC, ASCII en vast nog een zooi) en daarop bouwen we dan allerlei systemen die minimaal net zoveel vrijheden kennen. En in het land der blinden is eenoog koning met alle gevolgen vandien.
Aan de andere kant als ICT'ers als medisch personeel zouden werken dan krijgen we heel veel lagen aan burocratie erbij voordat we een bug mogen fixen. Ik weet niet wie daar blij van zou worden....

supersnathan94 @dez11de • 14 juli 2024 10:47

Je snapt hopelijk ook wel dat het vaak juist management boven die IT-er is die de prioriteit bepaald? IT-er kan zo hoog springen als ie wil, als z’n PO zegt, gaan we niet doen (voorlopig) dan is het gewoon met de billen knijpend hopen dat het goed gaat.

dez11de @supersnathan94 • 14 juli 2024 16:22

Als het je al ITer niet lukt om je meerdere te overtuigen van bepaalde prioriteiten dan ben je gewoon niet geschikt voor het vak, vandaar dat ik ook pleit voor het hoofdelijk aansprakelijk stellen EN en beroepsverbod.

supersnathan94 @dez11de • 14 juli 2024 22:34

Joh. Meer dan 1 manager die zo eigenwijs is als de pest en het niet wil horen. Nieuwe features zijn belangrijker bij dat soort mensen.

Legacy, tech debt, bugs. Allemaal ondergeschikt.

genosis @dez11de • 14 juli 2024 18:17

Vind dan nog maar een ITer. Of je krijgt een heel leger aan contracten, checks en audits voor iets live mag en iedereen zich indekt.

dez11de @genosis • 15 juli 2024 11:42

Mooi, opgelost.

mjl @dez11de • 15 juli 2024 23:01

Ik kan dergelijke partijen vaak ook niet bellen en alleen via een chatbot of e-mail formulier contact opnemen (met een no-reply mail als antwoord. Dergelijke winkels hoeven mijn nummer dan ook niet te weten als ik dat ook zelf niet nodig acht.

Ik heb medelijden met de persoon met nummer 0612345789

….

Kalculon @Beat The Best • 13 juli 2024 13:15

"Bol.com/postnl/ups hoeft helemaal geen mobiel nummer van mij te hebben. Als er wat is dan kunnen ze emailen. "

Dat dus.

Als ik melding wil maken van zwerfafval dan wordt mij al gevraagd om naam, e-mailadres, telefoonnummer en mijn huisadres. Dat is nergens voor nodig als ik netjes wil doorgeven dat in de berm langs de pietpukstraat afval is gedumpt.

Maar de meeste mensen denken daar niet bij na en vullen gewoon alles in wat gevraagd wordt.

Mijn drogist vond het wel erg raar dat ik ze niet van een e-mailadres wilde voorzien. Toen ik medicijnen wilde ophalen bleken die in een kluis te liggen en zou ik de code per sms hebben ontvangen. Maar ze hebben helemaal geen telefoonnummer van mij. En na een ziekenhuisbezoek bleek een derde partij ineens over het e-mailadres te beschikken dat ik in goed vertrouwen bij het ziekenhuis had afgegeven.

Daarom ben ik overgestapt op elke partij een uniek e-mailadres te geven enkel bedoeld voor hen. E-mails van anderen die daarop binnenkomen worden geweigerd. Dat wordt ook raar gevonden want iedereen heeft toch maar 1 e-mailadres voor alles ?

supersnathan94 @Kalculon • 14 juli 2024 10:51

Stond laatst bij de bandenboer.
“Wat is je e-mailadres?”
“Euh zou het niet weten eigenlijk. Ff kijken, of ja <insert twee woorden en cijfertje>@icloud.com”
“Wat is dat nou weer voor raar adres?”

“Ja dat is zodat ik weet wanneer jij mijn e-mailadres lekt, want alleen jij hebt deze”.

“Oh. En wat dan?”
“Tsja dan verwijder ik em en maak ik een nieuwe en als jet dan weer doet krijgt het AP een mailtje. De eerste keer krijg je een waarschuwing, de tweede keer een probleem”.

naaitsab @Beat The Best • 13 juli 2024 13:26

Tegenwoordig moet je zoveel gegevens verplicht achterlaten die helemaal niet nodig zijn voor de dienstverlening. Ook dat mogen ze verbieden.

Dit mag wat mij betreft wel opgenomen worden in de wet. Dat enkel bij aantoonbare noodzaak men deze data mag opvragen/verplichten. Aan de ene kant trekken we de privacy wetgeving zo ver door dat er genoeg voorbeelden zijn dat het justitiële onderzoeken en de zorg hindert. Aan de andere kant zijn dit soort perikelen kennelijk allemaal koek en ei als het gaat over bedrijven en particulieren. Beetje vreemd.

Houtenklaas @Kalculon • 13 juli 2024 14:37

Voor een normaal mens is dit niet meer te doen. Mobiel nummer afgeven doe ik nergens, op een enkele uitzondering na (bank, DigiD), elk bedrijf heeft bij mij een emailadres bedrijf@eigendomein.nl. In die zin hou je het dan aardig "clean". En waar mogelijk gebruik maken van disposable emailadressen voor éénmalig gebruik.

Maar dat laatste is voor tante Heiltje al niet te doen om over het domein tanteheiltje.nl (is nog beschikbaar!) maar op te houden. Die gaan de keuze maken tussen "ik doe niet meer mee" en "ik geef ze wat ze vragen". Aangezien niet meer meedoen vroeg of laat spaak loopt, wordt het volk gedreven naar het delen van veel privacy gevoelige informatie. De vraag is niet OF dat gaat gebeuren, maar wanneer.

Of nu een bedrijf als "man in the middle" die wel alles van je weet, maar als intermediair dienst doet de oplossing is ... Ik weet het ook niet. Wel dat het voor Tweakers al lastig is, laat staan voor de gewone man/vrouw/non-binair

Splitinfinitive @Houtenklaas • 13 juli 2024 16:17

Voordeel is dat je dit ook via zaken zoals Gmail kunt doen doormiddel van een + achter je naam dat maakt het wat eenvoudiger. Plus als er schijt aan de knikker is zie je direct welk bedrijf gefaald heeft

De functie van Apple met verberg mijn e-mail adres is ook wel handig

dasiro @Splitinfinitive • 13 juli 2024 23:01

Dat is niet enkel bij gmail mogelijk, maar zorgt er niet voor dat je afzenders kunt blokkeren, enkel traceren (als ze je mailadres al niet inkorten naar wat er voor de + staat).
Je mailadres laten afhangen van de hardwarefabrikant van je telefoon is imho nog minder slim dan die van je provider, maar iedereen doet wat hij wil.

supersnathan94 @dasiro • 14 juli 2024 10:55

als ze je mailadres al niet inkorten naar wat er voor de + staat

Dat zou ik zelf nooit doen aangezien een + gewoon een valide karakter is.

Henk+ingrid@example.com is een valide adres wat anders is dan henk@example.com.

Google misbruikt dit stiekem een beetje.

E-mail validatie is dusdanig complex, daar zou ik zelf nooit aan beginnen. De regex die het volledig compliant zou moeten kunnen is 4 A4tjes lang. Onbegonnen werk dus.

heuveltje @supersnathan94 • 15 juli 2024 12:59

NIet alleen google. outlook(365) doet hetzelfde.
En tussen microsoft en google heb je denk il wel 80% van alle gebruikte email clienten te pakken.

supersnathan94 @heuveltje • 15 juli 2024 20:08

Oh dat zou best kunnen. Wel raar, want een + maakt een adres echt anders. Is een soortgelijk teken als een . of een -.

dasiro 13 juli 2024 12:57

Er zijn zoveel plaatsen waar je gegevens al dan niet per ongeluk zichtbaar worden gemaakt.
Hier op tweakers ook als je naar je profiel gaat onder Privacy => Persoonlijke profielgegevens => zichtbaar voor anderen?

Als 'Ja' is aangevinkt zijn bovenstaande gegevens voor andere bezoekers zichtbaar op je profielpagina in de Tweakers gallery. Je profiel wordt niet geïndexeerd door Google.

onder "andere bezoekers" wordt letterlijk alles en iedereen die de site bezoekt verstaan, niet enkel ingelogde gebruikers.

Als je dus het verplichte veld geboortedatum invult en bent braaf geweest om je voornaam en naam ook in te vullen kan dus élke scraper die lak heeft aan robots.txt jouw gegevens binnenhengelen.

R.G @dasiro • 13 juli 2024 22:37

vraagje dasiro?

Hoe kunnen die crawlers van google of andere zoekmachines deze intranet websites opsporen?

Is het niet zo dat zoiets intern is of achter een inlog wall zit ( dus authenticatie nodig) die robots niet hebben of hebben ze daar een truukje voor?

Volgens mij kunnen robots / crawlers niet zomaar op paginas te komen waar authenticatie vereist is?

m.a.w. hoe kon men bij de intranet websites terecht gekomen. Het lijkt mij dat deze sites alleen voor bedrijf gebruik zijn en nooit publiekelijke aan het internet hadden mogen hangen.

De support pagina en rma zou een inlog vereisten hebben en gelimiteerd zijn tot het inzien via je account en toevoegen van nieuwe rmas. Deze intranet websites hadden nooit publiekelijk beschikbaar moeten zijn. Dus is dat een dev ops of infrastuctuur fout geweest?

dasiro @R.G • 13 juli 2024 22:56

het is niet omdat iets de naam "intranet" of "intern" heeft dat het daarom op de juiste manier is beveiligd, zeker in de huidige tijd dat alles in de cloud wordt gehost. Als een webserver open staat en er wordt bvb zonder authenticatie naartoe gelinkt vanuit een andere pagina die geïndexeerd wordt, dan zullen bots aan de data geraken.
In het geval van MSI zal google er waarschijnlijk aan zijn geraakt omdat er in mailboxen van chrome- of gmail-gebruikers RMA-mailtjes zijn toegekomen die naar "unieke" pagina's linken zonder dat users met hun account moeten inloggen.
De schuldige aanwijzen is moeilijk zonder te weten hoe het bedrijf intern werkt, maar dat het een grove fout is (die makkelijker gemaakt is dan je zou denken), is wel duidelijk.

R.G @dasiro • 13 juli 2024 23:51

Ah zo thx,

ik wil je + 1 geven maar mag het niet ben geen moderator of heb geen moderator rechten wat raar trouwens.

vrow @R.G • 14 juli 2024 03:01

Je kunt geen antwoorden op je eigen reacties modereren, vandaar.

Aardwolf

@dasiro • 13 juli 2024 16:04

Maar waarom vul je die gegevens überhaupt in op Tweakers? Zal niet zeggen dat ik het nooit heb gedaan, maar ze allang weer verwijderd en sowieso afgeschermd. Dat is ook taak aan een gebruiker zelf. Ik kijk sowieso ook altijd na hoe iets eruit ziet als ik ben uitgelogd. Hoe ziet je tweakers account eruit als je bent uitgelogd, hoe lijkt je Facebook of Linkedin profiel vanuit een andere gebruiker of degene zonder account. Kan je zelf bekijken met een beetje moeite.

Wel terechte vraag wat Tweakers met dat soort data wil. Want buitenom een taartje bij je naam op het forum op je aangegeven geboortedatum wordt er volgens mij niets nuttigs mee gedaan. Zelfde als naam, opleiding en meer. Het is meer voor de leuk lijkt het.

dasiro @Aardwolf • 13 juli 2024 16:20

14 jaar (zoals bij jou) of 22 jaar (zoals bij mij) geleden werd er anders met data omgegaan, maar zoals met zo veel dingen: what happens in the internet stays on the internet.

Ik heb het toevallig deze week ontdekt en aangepast (hoe vaak ga je je eigen profiel bekijken?), maar ik denk dat er nog velen zoals mij zijn die hier en elders ooit gegevens hebben ingevuld die nu als een liability kunnen beschouwd worden en dat awareness hierover creëren imho niet uitsluitend een taak van gebruikers is en dat een techwebsite van een groot mediabedrijf toch iets veiliger met gebruikersgegegens zou mogen omgaan.

The Zep Man

Privacy

@dasiro • 13 juli 2024 17:07

14 jaar (zoals bij jou) of 22 jaar (zoals bij mij) geleden werd er anders met data omgegaan, maar zoals met zo veel dingen: what happens in the internet stays on the internet.

Mijn profiel is uit 2003, volgens mij. Ik heb de betreffende velden nooit ingevuld, dus die zijn altijd leeg geweest.

Je bent zelf (toen en nu) de eerste verdedigingslijn over je data door te bepalen wat je wel en niet deelt op het internet.

dasiro @The Zep Man • 13 juli 2024 18:10

Mijn profiel is uit 2003, volgens mij. Ik heb de betreffende velden nooit ingevuld, dus die zijn altijd leeg geweest.

Waarom ik het toen gedaan heb zou ik niet meer weten, maar ik ben toen eerlijk geweest en heb nu het verplichte veld bewust fout ingevuld met een generieke datum (wat technisch gezien een overtreding van de wet is of zelfs een strafbaar feit), want de hobbyisten-site die het toen was is ondertussen opgekocht door een commercieel bedrijf.

Je bent zelf (toen en nu) de eerste verdedigingslijn over je data door te bepalen wat je wel en niet deelt op het internet.

klopt en daarom heb ik bovenstaande acties ook ondernomen. Ik heb echter geen flauw benul over hoeveel duizenden sites ik zo nog zou moeten afgaan en daarom zou een periodieke terugkoppeling naar gebruikers niet meer dan eerlijk zijn.
Ondanks dat er in de huidige wetgeving wel een aantal mechanismes zijn ingebouwd dat bedrijven verbiedt om onnodig lang gegevens bij te houden is het voor gebruikers niet mogelijk om te weten waar hun gegevens allemaal staan, maar omgedraaid weten bedrijven maar al te goed wie hun gebruikers zijn.

supersnathan94 @The Zep Man • 14 juli 2024 10:41

Toen ik mijn account aanmaakt in 2011 was ik Jong en naïef. Een bio bevatte dan ook veeel meer info dan ik nu zou ontsluiten.

Bepaalde gegevens horen hedendaags niet meer op het internet thuis. Tien jaar geleden was dat een heel ander verhaal.

Informatiebeveiliging is steeds belangrijker geworden en systemen worden steeds complexer. De laatste jaren werk ik online dan ook met pseudoniemen. Richting bedrijven, social media, postorder spul, allemaal zo weinig mogelijk echte informatie.

Kun je je nog herinneren dat we vroeger een openbaar register hadden voor naam en telefoonnummer? Dat zou nu echt ongehoord zijn als je dat nu zou gaan maken.

The Zep Man

Privacy

@supersnathan94 • 14 juli 2024 17:13

Bepaalde gegevens horen hedendaags niet meer op het internet thuis. Tien jaar geleden was dat een heel ander verhaal.

Onzin. Zelfs 20 jaar geleden was het duidelijk dat als je iets op het internet zet, dat de kans groot is dat het er nooit meer afkomt. Je bent ten eerste zelf verantwoordelijk voor wat je publiceert.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:35]

Mizgala28 13 juli 2024 12:40

Als het zo doorgaat is het meer de vraag wie wel z'n beveiliging op orde heeft.

Gubbel @Mizgala28 • 13 juli 2024 12:58

Ik vraag me vooral af of deze bedrijven het in ieder geval proberen. Wij zijn een kleine verzekeraar, doen er echt helemaal niet toe qua klantaantallen. We doen ons uiterste best, huren elke 6 maanden partijen in om onze systemen te controleren, en elke 6 maanden komt er weer iets uit. Het zijn kleine dingen, maar altijd iets en altijd lossen we het zo snel mogelijk op. Het blijft een kat en muis spelletje, ik verwacht niet wat er bij ons nooit een datalek zal zijn, maar wanneer dat gebeurt, kunnen we in ieder geval aantonen dat we oprecht ons best hebben gedaan dit te voorkomen.

Kalculon @Gubbel • 13 juli 2024 13:18

Niemand heeft de beveiliging goed genoeg op orde.
Daarom moet je juist niet onnodig informatie opslaan en al zeker niet de informatie waar je over beschikt enigszins via internet beschikbaar stellen.

supersnathan94 @Kalculon • 14 juli 2024 10:44

Ik durf te stellen dat heel veel bedrijven juist hun informatiebeveiliging goed genoeg hebben gedaan.

Goed genoeg is namelijk een afweging risico-baten. Fort knox is soort van haalbaar, maar ook niet werkbaar en gigantisch duur.

Daarnaast heb je veelal ook gewoon wettelijke verplichtingen mbt opslaan van gegevens (factuur admin bijvoorbeeld).
Dus je moet wel ergens in het midden gaan zitten tussen simpelweg de boel niet opslaan en Fort Knox.

SherlockHolmes @Mizgala28 • 13 juli 2024 12:48

Weinig bedrijven.

Frame164 @SherlockHolmes • 13 juli 2024 21:57

Bedrijven houden beveiliging niet op orde. Dat moeten mensen doen die bij die bedrijven werken. Dus: onze vakgenoten die verantwoordelijk zijn voor databeveiliging zitten blijkbaar te slapen.

DLeijen @Frame164 • 14 juli 2024 11:56

Of het personeel voor dit soort klussen word simpelweg niet aangenomen, want geld en niet direct factureerbaar aan klanten.

kodak

Privacy

@Mizgala28 • 14 juli 2024 13:26

Die vraag gaat al jaren op. Het punt is namelijk dat de wet stelt dat je moet aantonen het wel op orde te hebben als je dit soort persoonlijke gegevens verwerkt. Het uitgangspunt is niet dat iedereen het maar standaard in orde heeft, zeker niet voor bedrijven of andere organisaties. Dit nieuws toont vooral aan dat die verplichtingen om het aan te tonen wel veilig genoeg te verwerken er niet voor niets zijn.

[Reactie gewijzigd door kodak op 22 juli 2024 15:35]

Frame164 13 juli 2024 22:09

Ik zie hierboven vooral commentaar maar hou zouden jullie de ICT inrichten zodat dit niet meer kan gebeuren? Stel dat er zware straffen komen, hoe gaat jullie ICT er uit zien zodat je die boetes nooit kan krijgen?

supersnathan94 @Frame164 • 14 juli 2024 11:11

Laten we beginnen met iets simpels. Het random genereren van URLs. De enige correcte manier om dat te doen is met UUIDs. Daarvan zijn er zoveel dat het onmogelijk is om een andere te gokken waar ook daadwerkelijk iets achter hangt.

Daarna rate limiting. Heel veel meer dan 10 aanvragen per minuut hoeft een aanvrager niet te doen. Geautomatiseerd gokken met honderden URLs per seconde werkt dan dus niet. Met buckets kun je wel iets instellen voor bursts voor bijvoorbeeld inladen van assets dus een normale klant heeft er geen last van.

Kan ook prima op API niveau via API gateway, dan heb je sws geen last van throttling op assets (want losse CDN). Deze twee dingen zijn waarschijnlijk binnen een dag te implementeren.

De eerste is maximaal een paar uur werk voor de programmeur van het systeem. De tweede kan misschien in tien minuten afhankelijk of je al een gateway hebt of niet (ik hoop het wel, want scheelt je een hoop gezeik). Anders kan het best wel een weekje of wag kosten.

Daarnaast iets als authenticatie.

Kan heel simpel. 4cijferige pincode die je op de mail gooit bijvoorbeeld. Leuk dat je dan een URL random goed gokt, maar zonder pin kom je er dan nog steeds niet in.

Daarnaast “export to excel” verwijderen. Een dergelijke knop wil ik in geen enkel systeem tegenkomen tenzij het om niet persoonlijke gegevens gaat, zoals meetgegevens/metrics van machines oid.

Dan heb je nog zoiets als archivering alles wat is afgehandeld ouder dan een jaar kun je per direct in een offline DB zetten. Voor administratie heb je het dan nog wel, maar is niet meer toegankelijk via het web. Klanten die het echt willen weten kunnen nog contact opnemen.

Ander ding is bij heropenen van gesloten dossier is een bevestigingscode mailen en die opvragen. Dan moet het dossier actief worden geopend door de oorspronkelijke aanvrager.

TL;DR:

URLS niet gokbaar
Rate limits
Authenticatie
Archivering
2FA

PdeBie @Frame164 • 13 juli 2024 22:38

Nou laten we beginnen met die database niet publiekelijk beschikbaar maken.

bmwgozer 13 juli 2024 13:01

Zo lang bedrijven niet echt bestraft worden voor feit dat ze security totaal niet op orde hebben, gaat er ook geen enkel bedrijf er meer in investeren.

Er komt geen dag meer voorbij dat je niet een security-leak artikel langs ziet komen, maar mensen vinden het inmiddels zo normaal dat het totaal tegenovergesteld werkt.

De meeste non-tech mensen reageren zelfs met “wat weten ze niet al van mij”. Het is echt bizar hoe we dit zo hebben kunnen laten gebeuren.

MennoE @bmwgozer • 13 juli 2024 13:11

Bestraffen werkt doorgaans niet bij problemen op deze schaal. Het is allerminst eenvoudig voor elk bedrijf dat persoonlijke gegevens verwerkt om de security volledig op orde te hebben. Ten eerste niet omdat dat veel geld en mankracht vereist, waarvan de vraag is of die mankracht er voldoende zou zijn als elk bedrijf aan die norm zou willen voldoen. En ten tweede niet omdat perfecte security niet bestaat, nu je uiteindelijk afhankelijk bent van mensen en er altijd wel iemand een (dom) foutje kan maken. Ten derde niet omdat er ook bij optimale security kennelijk altijd wel nieuwe lekken worden gevonden waardoor je alsnog kwetsbaar bent. Als je dan bedrijven gaat bestraffen dan trek je een juridische dimensie open met veel discussies over wat wel/niet voldoende is om te stellen dat je je security op orde hebt en of een bedrijf aan die norm voldeed. Daarnaast kan het risico op forse boetes ertoe leiden tot bedrijven mogelijk failliet gaan en/of naar het buitenland vertrekken waar ze niet bestraft worden. Dat gaat weer ten koste van de economie.

Het lekken van persoonsgegevens op internet is een maatschappelijk probleem, waar we met elkaar een oplossing voor moeten vinden. Daarbij denk ik inderdaad dat je ervan moet uitgaan dat al je persoonsgegevens allang gelekt zijn.

CPV @MennoE • 13 juli 2024 13:53

Ten eerste niet omdat dat veel geld en mankracht vereist,

Als de sancties maar substantieel hoger zijn dan de investeringen, gaat men snel overstag. Alles is een winst/verlies afweging.

Ludewig @CPV • 13 juli 2024 16:08

Als de sancties maar substantieel hoger zijn dan de investeringen, gaat men snel overstag. Alles is een winst/verlies afweging.

Dat klopt, maar als de kosten omhoog gaan, dan heeft dat uiteindelijk wel weer consequenties voor de consument. Dan krijg je minder waar voor je geld.

Ik denk dat je een balans moet vinden tussen kosten en baten.

CPV @Ludewig • 13 juli 2024 19:29

Nou nee, dat betekent dat je ze gewoon (tot een bepaald niveau) accepteert en dat zou niet moeten, dan heeft de ondernemer gewoon pech, net als wanneer hij zijn belasting of andere schulden niet kan betalen.

En net zoals ik vind dat je ook geen balans moet vinden bij plofkraken en winkelovervallen enz.

Ludewig @CPV • 13 juli 2024 23:44

Met zo'n extreme opstelling krijg je wel dat het risico veel vaker niet meer opweegt tegen de baten, en krijg je dus een verschraling van het aanbod.

CPV @Ludewig • 14 juli 2024 12:16

Da's waar, maar gezien de reacties van veel mensen op dit soort zaken, is er weinig ruimte voor afwegingen. Want dan is de keus tussen "weinig maar betrouwbare bedrijven" of een ruim aanbod van "zowel goede als louche" bedrijven.
Van die laatste soort zijn er volgens mij al meer dan genoeg, zoals bijv. de bedrijfjes in de zorgsector, die grove winsten maken en weinig zorg leveren, over de rug van zwakke mensen.

Ludewig @CPV • 14 juli 2024 13:07

Ik zit zelf in de techniek voor de zorgsector en zie toch echt vooral veel zorg met lage winsten. En we proberen onze klanten te pushen naar veilige keuzes, maar de zorgmedewerkers hebben vaak weinig affiniteit met techniek, zijn overwerkt en er is veel verloop. Dus de beveiliging goed laten passen in het werkproces is een uitdaging. Wat werkt voor kantoormedewerkers is niet per se bruikbaar voor de zorgmedewerkers. Maar ik zie grotendeels veel welwillendheid en pogingen om de beveiliging te verbeteren vanuit de technische diensten en het management van de zorgorganisaties.

[Reactie gewijzigd door Ludewig op 22 juli 2024 15:35]

Frame164 @bmwgozer • 13 juli 2024 22:07

En wanneer besluit je dan om te gaan straffen? Er is ALTIJD een securitylek, in ieder netwerk. JIj kunt ook niet garanderen dat er bij jou geen lekken zijn. Dan zou je iedere organisatie continu moeten straffen, want als je gaat zoeken vind je security issues. Gaat niet werken, snap jij ook wel. En wat moet de schade zijn voordat je gaat straffen? Een hacker die binnen is geweest? Een frauduleuze sysadmin? 100 user profielen gelekt, of pas vanaf 100.000?

synoniem 13 juli 2024 15:59

Het zou interessant zijn om een analyse op die data uit te voeren en dan een lijst te maken met artikelen met de meeste RMA verzoeken. Lijkt me toch vrij bedrijfsgevoelige informatie die zo op straat komt te liggen.

THETCR 13 juli 2024 17:27

@Kevinkrikhaar
De website was gewoon direct benaderbaar, de indexatie in Google is geen criterium om de website te kunnen bereiken.

Database met garantieaanvragen van MSI was via Google openbaar toegankelijk

Door in een zoekmachine te zoeken op 'msi rma webserver intranet', was het mogelijk om het intranetportaal van MSI te bereiken

Dit is dus een incorrecte statement. Alsof men alleen via Google toegang kon verkrijgen.

Men kwam er echter achter door de indexatie in Google, dat is wezenlijk iets anders.

monoking 13 juli 2024 13:23

Hier word ik wel moe van. Omdat mijn gegevens een keertje was gelekt kreeg ik steeds sms en gespoofde scam telefoontjes vanuit andere landen met zware buitenlandse accenten. Kost mij tijd, geld en moeite om mijn nummer weer te veranderen.

Dekar @monoking • 14 juli 2024 12:47

Yep. Om nog maar niet te spreken over data brokers die doodleuk jouw gegevens hebben geschraped waar jij niets van af weet en met geen mogelijkheid kan laten verwijderen. EU schiet echt tekort in hun privacy en security wetgeving om ons te beschermen.

Ik heb uit frustratie een verzoekschrift ingediend bij de Europese Commissie. Hoofdpunten:
-reject all cookies moet net zo makkelijk kunnen als accept all (direct zichtbaar ipv verborgen)
-delen van persoonsgegevens met derden moet verboden worden of expliciet gevraagd
-data brokers moeten verboden worden

Hij is ontvankelijk verklaard en wordt door Committee on Civil Liberties, Justice and Home Affairs (LIBE) behandeld. Ben benieuwd

[Reactie gewijzigd door Dekar op 22 juli 2024 15:35]

SinergyX 13 juli 2024 15:01

Het was natuurlijk te verwachten dat ze nu elke RMA 'systeem' van elke fabrikant afgaan, nu de eerste al 'gevonden' was, zal deze nog 1 van velen worden.

Dekar @SinergyX • 14 juli 2024 12:41

Deze was getipt

as400 13 juli 2024 15:57

https://link.springer.com....1007/978-3-319-90008-7_1

"In 2012, the ACM Turing Award winner Alan Kay released an interview with Dr. Dobb’s Journal in which he stated “the Web was done by amateurs.” In this first chapter, we look at possible motivations for such a statement and we introduce three important characters that recur throughout the book: the inventor of the Web, Tim Berners-Lee; hypertext pioneer, Ted Nelson; and Alan Kay."

Security as an afterthought. Waarom zijn in de database de afgehandelde RMAs niet gearchiveerd? Enfin dat hoop ik dat de meeste afgehandeld zijn en uit internet-facing toepassingen gepurgeerd werden.

Op dit item kan niet meer gereageerd worden.

'Database met garantieaanvragen van MSI was openbaar toegankelijk'

Lees meer

IT-banen

Reacties (70)

Sorteer op:

Weergave: