Hackersgroep claimt Slack-omgeving van Disney te hebben gehackt

Hackersgroepering NullBulge claimt de Slack van Disney te hebben gehackt. De groep zou ongeveer 1,2TB aan data hebben buitgemaakt, waaronder details van onaangekondigde projecten. Disney heeft de hack nog niet bevestigd.

NullBulge zou data van meer dan 10.000 Slack-kanalen hebben buitgemaakt. Deze data bestond volgens X-account HackManac uit logingegevens, berichten, afbeeldingen, bestanden en details over onaangekondigde Disney-projecten.

Kort na de vermeende hack kwamen details over nieuwe onaangekondigde Disney-content voor Fortnite naar buiten en details over een nieuwe game uit de Aliens: Fireteam Elite-franchise. Dit spel zou binnen Disney de werktitel 'Project Macondo' hebben meegekregen en zou tijdens het derde kwartaal van 2025 op de markt moeten verschijnen. Disney heeft nog niet gereageerd op de claims van NullBudge.

Screenshot met hackersclaim van NullBudge - Bron: X-account HackManac

Reacties (74)

The Zep Man

Beveiliging en antivirus
Disney
Bedrijfsnieuws
Hackers

15 juli 2024 07:55

Waarom kon één account bijna alle data van 10.000 kanalen (1,1 TiB aan data) in bulk downloaden? Gaan er geen alarmbellen af in combinatie met rate limiting?

Of deze buit is niet zoveel waard als dat men denkt, of iemand bij Disney heeft een enorme fout gemaakt in de risicoanalyse om en hoe Slack te omarmen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:41]

Kees BOFH @The Zep Man • 15 juli 2024 08:56

Als het via slack loopt, dan heb je als beheerder van een instantie niet de mogelijkheid om zoiets te monitoren, dan kun je gewoon met een slack-client connecten en alle kanalen waar je toegang toe hebt doorzoeken en downloaden.

En vaak zijn er publieke kanalen waar iedereen in mag komen vanwege transparantie en het promoten van samenwerking tussen teams, maar niet iedereen op slack heeft door dat het 1 lek weg is van publieke informatie en dus word er soms 'overshared'.

hottestbrain

@Kees • 15 juli 2024 09:14

Als je terabytes aan data deelt via een messaging tool, dan had een beheerder betere infra voor filesharing moeten opzetten en daarop moeten handhaven. Slack is immers prima met al die tools te integreren. Als ik op werk een ook maar 1 lullig bestand deel via slack kan ik er donder op zeggen dat security binnen 2 uur bij mijn leidinggevende heeft nagevraagd wat ik in hemelsnaam aan het doen ben.

Tc99m @hottestbrain • 15 juli 2024 16:16

1,2 TB in 10.000 kanalen is zo'n 100 MB per kanaal. Dat is echt niet schokkend, kunnen ook een serie foto's van het laatste teamuitje zijn, bij wijze van spreken.

[Reactie gewijzigd door Tc99m op 22 juli 2024 13:41]

hottestbrain

@Tc99m • 15 juli 2024 17:23

Ik ben met je eens dat dat niet echt schokkend is hoor en ben het dan ook met je eens dat 1.2 TB geen issue is, maar op het moment dat 5000 medewerkers hun filesharing volledig via slack doen is dat toch echt een andere orde van grootte. Vanuit punt van zowel privacy als security: Foto's van een teamuitje zijn in principe gewoon PII. Daarmee hoort dat niet thuis op slack in geval van het bedrijf waar ik voor werk, aangezien Slack niet aan de eisen voldoet op dat gebied.

Edit: voor de goede orde: linken naar foto's die op een daarvoor goedgekeurd systeem staan opgeslagen is natuurlijk geen probleem.

[Reactie gewijzigd door hottestbrain op 22 juli 2024 13:41]

Tc99m @hottestbrain • 15 juli 2024 17:34

...maar op het moment dat 5000 medewerkers hun filesharing volledig via slack doen is dat toch echt een andere orde van grootte.

Maar is dat hier wel het geval? Als Disney (225.000 werknemers) hun filesharing volledig via Slack doet, dan delen ze wel heel weinig bestanden als dat maar 1,2 TB is. En bedenk hierbij dus ook dat dit waarschijnlijk data van meerdere weken/maanden is. Het wijst er dus eerder op dat ze Slack niet als primair kanaal gebruiken om bestanden te delen.

(en waar ik foto's van een teamuitje zei, kan natuurlijk ook iets anders triviaals worden ingevuld...)

keejoz @Tc99m • 15 juli 2024 23:34

Ik kan bevestigen dat Disney in Benelux gewoon WeTransfer gebruikt voor hun presskits lol.

Tc99m @keejoz • 15 juli 2024 23:44

Dat is natuurlijk een prima tool daarvoor, presskits zijn nu niet bepaald bedrijfsgevoelige informatie (integendeel, je wilt juist dat die informatie naar de buitenwereld gaat).

Verwijderd @hottestbrain • 15 juli 2024 09:54

Ligt ook maar net aan de data. Als ze een 4k video demo van iets nieuws delen, tikt dat al snel aan.

hottestbrain

@Verwijderd • 15 juli 2024 11:13

Die zou ik dan ook niet via slack uploaden. Linkje naar waar het wel is geupload is beduidend efficienter en nog belangrijker: ook buiten slack om te delen.

rubenvb @hottestbrain • 15 juli 2024 14:52

Ik zie niet in waarom dit "efficiënter" zou zijn. En ook niet waarom je als organisatie die Slack voor alles gebruikt, het ook buiten Slack om zou willen delen.

Het lijkt me juist enorm efficiënt en heel logisch om zulke dingen direct in het gesprek te delen.

In onze Teams kanalen en chats worden er ook tal van filmpjes en screenshots gedeeld. Dat lijkt me maar normaal...

Kees BOFH @hottestbrain • 15 juli 2024 09:28

Met een paar duizend man op een slack instantie kom je heel gemakkelijk aan terabytes data.

Ik weet niet hoe eenvoudig de tools zijn die jij gebruikt, maar ik vind het bijvoorbeeld best makkelijk om even een screenshot van iets te maken en dan gewoon ctrl-v te kunnen doen in slack met een tekstje erbij. Dat is toch al snel een megabyte aan 'data' die je op die manier in slack stopt.

hottestbrain

@Kees • 15 juli 2024 09:31

Ah, screenshots was ik ff vergeten. Copy-pasten van een screenshot is in principe niet direct aanleiding voor security om in te grijpen inderdaad. Ik schat dat er ongeveer 5000 interne medewerkers (en een flink aantal consultants/externe partijen op specifieke kanalen) op zitten dus dat gaat wel rap dan inderdaad.

Frame164 @Kees • 15 juli 2024 09:08

Klinkt alsof Slack een hobbytool is dat je niet in een bedrijfsomgeving moet gebruiken.

KirovAir @Frame164 • 15 juli 2024 09:13

Klinkt alsof Slack een hobbytool is dat je niet in een bedrijfsomgeving moet gebruiken.

Dit heeft puur met policy te maken. Zo kun je printers ook de schuld geven als er vertrouwelijke informatie in de lade blijft liggen.

segil @KirovAir • 15 juli 2024 12:14

Een goede bedrijfstool, zoals Microsoft 365, biedt uitgebreide mogelijkheden om dit te monitoren en te blokkeren.

R4gnax @segil • 15 juli 2024 19:03

Microsoft's tegenhanger van Slack is Teams, en Teams stoelt voor alle opslag van files op een Sharepoint instance. En laat nou juist Sharepoint notair zijn in hoe idioot irritant, bewerkelijk, en als het een persoon betrof ronduit recalcitrant, Microsoft het gemaakt heeft om daarbinnen de toegangsrechten correct granulair te beheren zonder dat dat een 100% dagtaak wordt.
Zo moeilijk, dat zelfs Microsoft zelf het niet binnen al haar departementen goed ingeregeld heeft en houdt. En als het voor een bedrijf met zo'n diepe zakken, wat nota bene het product zelf ontwikkeld heeft, al te moeilijk en duur wordt ... nou, ga er maar aan staan dan hoe dat in de praktijk uitpakt binnen de gemiddelde bedrijfsomgeving...

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:41]

blinchik @KirovAir • 15 juli 2024 10:00

Niet volledig. Policy's moet je ook kunnen afdwingen via de software. Bij ons moet je bv altijd badgen op de fysieke printer om je opdracht er te laten uitkomen. Uiteraard kan je dan nog steeds badgen en weglopen en je print laten liggen maar daar word je echt wel op aangesproken.

Verwijderd @KirovAir • 15 juli 2024 09:52

Als er een vinkje staat als
[] share met collegas,
[] Share met iedereen

En dan bij die laatste het wereldwijf publiekelijk wordt geplaatst zou ik dat toch een slechte zaak vinden. Een printer staat toch nog binnen de muren van een onderneming

DdeM @Verwijderd • 15 juli 2024 10:06

Het is niet alsof iedereen even vrolijk de Slack omgeving van Disney op kan ofzo... standaard als je daar shared share je dus met collega's, of mensen die daar toegang krijgen omdat ze daar moeten zijn. Dat daar dan bepaalde bedrijfsgevoelige informatie gedeeld wordt is dan ook niet vreemd. Logins etc daarentegen is wel een dingetje

Overigens als ik de post zo zien zijn ze binnengelaten door iemand intern. Op zo'n moment kan je beveiliging nog zo goed zijn, maar daar valt bijna niet tegen te beveiligen.

Nogne @DdeM • 15 juli 2024 11:22

Overigens als ik de post zo zien zijn ze binnengelaten door iemand intern. Op zo'n moment kan je beveiliging nog zo goed zijn, maar daar valt bijna niet tegen te beveiligen.

Neemt niet weg dat je dit acties wel kan monitoren (mogelijk niet in Slack heb daar geen ervaring mee) en zelfs limieten op zou kunnen zetten zodat er niet 1,2TB aan data kan worden gedownload zonder toestemming van de beheerder.

Nadeel wel is dat als het steeds kleine stukjes data zijn over een langere tijd dat dit niet snel word opgemerkt in je monitoring tool.

davekok @KirovAir • 15 juli 2024 09:23

Ja precies, dat doe ik ook altijd als ik wat vergeten ben om op te halen.

RVervuurt @Frame164 • 15 juli 2024 09:18

De zwakste schakel in security is altijd de mens. Je kan nog zo'n zeker platform maken, er zal altijd een idioot zijn die een screenshot maakt van een gesprek en deze op z'n iCloud zet, waarna die weer gehackt kan worden en de data alsnog kan lekken.

Doet me altijd denken aan die quote van een park ranger in Amerika, die een prullenbak moet ontwerpen die niet door beren geopend kan worden: "There is considerable overlap between the intelligence of the smartest bears and the dumbest tourists."

blinchik @Frame164 • 15 juli 2024 09:59

Dat is met andere zaken ook zo, bv met Sharepoint, of met andere sharing tools.

Vroeger had ik inderdaad bv veel meer "alarmbellen" en controle, ratelimiting, geolocking op bepaald zaken of subsites, etc.

In de cloud ben je echter volledig overgeleverd aan je leverancier. Je kan geen eigen firewall tussen "de cloud" en de klant zetten. Als die geen dingen zoals ratelimiting aanbiedt, dan kan het gewoon niet. En het kan ook zijn dat bepaalde features kunnen, maar opeens naar een hoger (duurder) plan verhuizen. Geoblocking (conditional access) zat vroeger (al een hele tijd geleden) gewoon bij Office 365 en is "opeens" naar een duurder plan verhuisd.

Cloud (zoals hier slack) heeft zeker voordelen, maar ook nadelen.

[Reactie gewijzigd door blinchik op 22 juli 2024 13:41]

L0g0ff

@The Zep Man • 15 juli 2024 07:57

Eerste waar ik ook aan dacht. Als je iedereen maar overal toegang tot geeft dan krijg je dit soort praktijken. Of de admin zou gehacked moeten zijn. Dan is het inderdaad klaar.

The Zep Man

Beveiliging en antivirus
Disney
Bedrijfsnieuws
Hackers

@L0g0ff • 15 juli 2024 07:59

Of de admin zou gehacked moeten zijn. Dan is het inderdaad klaar.

Een goede beveiliging houdt rekening met dat admin accounts van applicaties gecompromitteerd kunnen worden. Die accounts worden dan ook extra gemonitord.

Gamebuster @The Zep Man • 15 juli 2024 08:39

Monitoring is net als beveiligingscameras: Handig om na het weekend te zien wat er allemaal is gedownload door de bad guy (als je er uberhaupt achter komt voordat de logs verwijderd worden, want deze logs zijn soms zo groot dat ze periodiek verwijderd worden)

Als er niets of niemand actie onderneemt, heb je er weinig aan. Zelfs als er monitoring is met software die kan ingrijpen (wat al uiterst zeldzaam is...), wordt dit meestal niet toegepast op externe services zoals Slack.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 13:41]

incapable @Gamebuster • 15 juli 2024 09:05

Zeker niet waar. Een goed afgerichte monitoring geeft je vrij snel een indicatie dat er iets mis is, met alerting zodat personeel direct in kan grijpen.

Tuurlijk, het is al enigzins te laat, maar je zou toch echt moeten kunnen voorkomen dat alles weggesluisd word door direct die accounts dicht te gooien.

Overigens is een account automatisch dicht gooien als er iets raars mee gebeurt ook vrij triviaal, maar gezien je met dat soort systemen ook perongeluk al je admin accounts op slot zou kunnen gooien moet je daar zorgzaam mee zijn.

Gamebuster @incapable • 15 juli 2024 13:35

Overigens is een account automatisch dicht gooien als er iets raars mee gebeurt ook vrij triviaal, maar gezien je met dat soort systemen ook perongeluk al je admin accounts op slot zou kunnen gooien moet je daar zorgzaam mee zijn.

Vertel eens, en eerlijk zijn he: Hoe vaak heb jij een dergelijk systeem daadwerkelijk in gebruik gezien bij bedrijven, en dat voor alle systemen (incl. dingen als slack)?

Ik zie een hoop systemen, en ik denk dat ik het op 0 vingers kan tellen. Nergens is het zo compleet dat het automatisch een admin-user kan blokkeren bij verdacht gedrag. Ik ben al heel blij als er uberhaupt toegankelijke, leesbare monitoring is op (admin-)users (die je niet kan omzeilen of verwijderen met dezelfde rechten, of via inloggen-als, of andere trucjes). Laat staan dat een dergelijk systeem op SLACK aanwezig is.

Ik mag al blij zijn als 2FA afgedwongen wordt. Of uberhaupt mogelijk is. Of dat wachtwoorden van admin users niet zoiets als "klara44!" is, geschreven op een papiertje onder de monitor.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 13:41]

incapable @Gamebuster • 15 juli 2024 14:39

Zeker te weinig, maar ik heb het bij 2 bedrijven aardig goed voor elkaar gezien dat er op zijn minst alerting op zat, en niet-admin accounts wel automatisch dicht gingen.

En vanuit het security team waar ik destijds bij betrokken was hadden we het ook voor elkaar dat admin gebruikers alleen via hardware token, wachtwoordloos, moesten inloggen.

Dat gezegd, het is altijd ondermaats, en ik ben me er bewust van dat veel triviale zaken worden laten liggen omdat het "te moeilijk" of "te ingewikkeld" zou zijn in beheer of gebruik. Terwijl de werkelijkheid omgekeerd is.

Nou kan ik niet specifiek over slack spreken, dit waren microsoft teams bedrijven waar veel/alle logins/monitoring via het office365/azure AD liepen, maar het concept is hetzelfde.

2FA afdwingen is inmiddels echt bare-minimum.
Als je dat als bedrijf niet afgedwongen hebt ben je nalatig, en in het geval van een datalek/inbraak mag je verantwoordelijk worden gehouden voor een treurig ondermaatse beveiliging.

Het is tegenwoordig zo simpel om veilige wachtwoordloze inlog mogelijk te maken op enterprise schaal met behulp van FIDO2 tokens/passkeys dat er weinig excuus meer is dit niet te doen.

Gamebuster @incapable • 15 juli 2024 20:24

ik heb het bij 2 bedrijven aardig goed voor elkaar gezien dat er op zijn minst alerting op zat, en niet-admin accounts wel automatisch dicht gingen.

Dat is dus niet anders dan mijn ervaring. In jouw gevallen worden admin accounts niet automatisch op slot gegooid dus.

Nou kan ik niet specifiek over slack spreken, dit waren microsoft teams bedrijven waar veel/alle logins/monitoring via het office365/azure AD liepen, maar het concept is hetzelfde.

Oftewel, er wordt niets automatisch dicht gegooid. Eenmaal ingelogd heb je vrije, ongelimiteerde toegang en kan je de volledige chat historie downloaden, zoals hier met Disney is gebeurd.

Als je dat als bedrijf niet afgedwongen hebt ben je nalatig, en in het geval van een datalek/inbraak mag je verantwoordelijk worden gehouden voor een treurig ondermaatse beveiliging.

Een significant deel van de infrastructuren die ik zie voldoen hieraan. (niet dankzij mij; ik wijs al te graag op de potentiële issues en leg dit ook op digitaal papier vast, en soms wordt er ook wat mee gedaan)

Het is tegenwoordig zo simpel om veilige wachtwoordloze inlog mogelijk te maken op enterprise schaal met behulp van FIDO2 tokens/passkeys dat er weinig excuus meer is dit niet te doen.

Technisch gezien simpel, mits de software het ondersteund. In praktijk... gewoon niet. Misschien bij hippe, moderne bedrijven, maar zodra de gemiddelde werknemer grijs of kaal is, en niet met een technische achtergrond: Vergeet het echt maar.

Dus, om terug te komen op:

Overigens is een account automatisch dicht gooien als er iets raars mee gebeurt ook vrij triviaal, maar gezien je met dat soort systemen ook perongeluk al je admin accounts op slot zou kunnen gooien moet je daar zorgzaam mee zijn.

Dat is dus gewoon niet waar. (o.b.v. mijn ervaringen, en volgens mij schrijf je later vergelijkbare ervaringen)

Het is niet triviaal, anders hadden jij en ik dat al geregeld. technisch gezien, als je er volledige controle over hebt, is het misschien triviaal, maar dit erdoorheen krijgen bij alle poppetjes in alle lagen? Vergeet het. Men wil het niet, zelfs als het gratis en geen tijd kost, wil men het nog niet. (maar het is niet gratis, want dure ITers moeten het allemaal gaan fixen)

En zelfs als je alles dichtgespijkerd hebt, vliegen de excel sheets met jaren aan klant- en bedrijfsgegevens nog steeds over onbeveiligde usb sticks, laptops en e-mail adressen.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 13:41]

incapable @Gamebuster • 15 juli 2024 21:38

Dat is dus niet anders dan mijn ervaring. In jouw gevallen worden admin accounts niet automatisch op slot gegooid dus.

Nee admin accounts gingen niet automatisch op slot, maar er ging wel automatische alerting uit met een response tijd van misschien minuten, 24/7. Dat is wel degelijk anders dan wat jij beschreef.
De reden van niet automatisch dicht gooien is de potentiele attack vector van alle admin accounts blokkeren.

Oftewel, er wordt niets automatisch dicht gegooid. Eenmaal ingelogd heb je vrije, ongelimiteerde toegang en kan je de volledige chat historie downloaden, zoals hier met Disney is gebeurd.

Zeker wel, het feit dat admin accounts, die extra beveiliging en monitoring genieten, niet automatisch dicht gaan, wilt niet zeggen dat de automatische blokkering van andere accounts geen zin heeft. Meestal zijn het niet de admin accounts waar het met dit soort lekken mis gaat.
Daarnaast, als je binnen enkele minuten optreed kom je niet zo ver als nu bij disney gebeurt is.

Een significant deel van de infrastructuren die ik zie voldoen hieraan. (niet dankzij mij; ik wijs al te graag op de potentiële issues en leg dit ook op digitaal papier vast, en soms wordt er ook wat mee gedaan)

Dit ontken ik niet, ik heb het vaak genoeg gezien. Gelukkig heb ik ook genoeg bedrijven gezien waar dit wel netjes op orde is.

Technisch gezien simpel, mits de software het ondersteund. In praktijk... gewoon niet. Misschien bij hippe, moderne bedrijven, maar zodra de gemiddelde werknemer grijs of kaal is, en niet met een technische achtergrond: Vergeet het echt maar.

Dit was moeilijk, maar met hoe passkeys tegenwoordig werken en te gebruiken zijn met wachtwoordbeheerders, heb ik meermaals de groep grijze gebruikers omgekregen. Simpelweg omdat het vele malen gemakkelijker is in gebruik.
Dat het veiliger is boeit deze groep niet, gemak is daarintegen alles.

Dat is dus gewoon niet waar. (o.b.v. mijn ervaringen, en volgens mij schrijf je later vergelijkbare ervaringen)

Het is niet triviaal, anders hadden jij en ik dat al geregeld. technisch gezien, als je er volledige controle over hebt, is het misschien triviaal, maar dit erdoorheen krijgen bij alle poppetjes in alle lagen? Vergeet het. Men wil het niet, zelfs als het gratis en geen tijd kost, wil men het nog niet. (maar het is niet gratis, want dure ITers moeten het allemaal gaan fixen)

Ik doelde ook op de technische implementatie. Als je daadwerkelijk de vrijheid krijgt dit af te dwingen vanuit je security groep, kan dit. Maar ik zal de eerste zijn die erkent dat wanneer het een van de directie leden ongemak oplevert deze het direct ongedaan zal proberen te krijgen.

En zelfs als je alles dichtgespijkerd hebt, vliegen de excel sheets met jaren aan klant- en bedrijfsgegevens nog steeds over onbeveiligde usb sticks, laptops en e-mail adressen.

En dit is de aard van het hele verhaal. Hoe bescherm je je infrastructuur tegen aanvallen via je personeel.
Hoe goed je het ook inricht, hier zit altijd je zwakke punt, en dat zien we actief misbruikt worden.
Alle maatregelen die ik noem zijn middelen om zo veel mogelijk kwaad te voorkomen, maar helemaal oplossen gaan we het daar niet mee.

Verwijderd @incapable • 15 juli 2024 09:50

dat soort systemen ook perongeluk al je admin accounts op slot zou kunnen gooien moet je daar zorgzaam mee zijn.

Misschien daarom een super admin account, die alle account kan aanpassen, en dan inloggen met admin,admin1

incapable @Verwijderd • 15 juli 2024 21:39

Oh ik zou zo graag willen dat ik dit soort praktijken niet meegemaakt had

Witlof @The Zep Man • 15 juli 2024 08:25

En waarschijnlijk zit er wel meer dan 1 admin hoop ik.

badnews.nl @The Zep Man • 15 juli 2024 10:54

Admin accounts zijn heilig, en voor zulke accounts moet minimaal een vault gebruikt worden, rotating passwords (dus reset after use), logging, timeslots, changes die door meerdere personen moeten worden goedgekeurd etc.. en als laatste monitoring, maar dat valt pas achteraf op…

Een iemand zou nooit gewoon admin mogen worden op zulke systemen…

[Reactie gewijzigd door badnews.nl op 22 juli 2024 13:41]

Keypunchie @The Zep Man • 15 juli 2024 08:08

Dit is “company confidential” informatie, krijg ik de indruk. Informatie waar een werknemer bij kan en wat niet gedeeld hoort te worden.

Bij wel meer bedrijven zie je dat (project)documentatie niet heel strict afgeschermd wordt.

Dit omdat de balans tussen informatieveiligheid en gebruiksgemak (iemand van Team X heeft het een keertje nodig) niet altijd naar veiligheid doorslaat.

Ik denk dat hier weinig impact voor Disney zal zijn als hier niet ook ‘private’ kanalen van management tussen zitten.

swhnld

@The Zep Man • 15 juli 2024 08:24

De vraag is of Slack uberhaupt de mogelijheden heeft om dit gedrag te monitoren en er wat aan te doen. Wat ik ervan gezien hebt is het een leuke tool voor samenwerking,maar nog niet zo volwassen op het gebied van beveiligingspolicies en data lekkage.

Microsoft heeft wel zoiets (in ieder geval op hun MS 365 E5 licenties) dat je alerts in kunt stellen als mensen dat soort acties doen. Maar die alerts moet je wel instellen, afstellen en onderhouden anders heb je een dagtaak aan het controleren ervan.

n9iels

@The Zep Man • 15 juli 2024 08:54

Ik denk dat dit buiten de verantwoordelijkheid van Slack ligt. Ken de tool als gebruiker zeer goed, niet als admin. Maar ik betwijfel of je kun monitoren hoeveel bestanden mensen downloaden.

Maar dit klinkt inderdaad als een zeer slechte risicoanalyse en/of bedrijfspolicy hoe om te gaan met documenten. Bedrijf waar ik nu werkt gebruikt ook Slack, maar enkel als communicatiemiddel. Documenten moeten via office 365 beheerd worden. De echte vertrouwelijke documenten mag je nog niet eens downloaden, maar enkel openen via de browser. Dat geeft 100% controle wie het document wel of niet in kan inzien.

YopY @The Zep Man • 15 juli 2024 09:13

Ik denk dat dit - en vergelijkbare incidenten - een wake-up call voor zowel Slack als gebruikers voor Slack zal zijn. Aan de ene kant is het super productief; platte organisaties, makkelijk contact met mensen krijgen, etc - toen het ~10 jaar geleden populair werd. Het was zelfs zo populair dat werknemers, zonder medeweten van hun leidinggevenden, zelf Slack spaces gingen opzetten en gebruiken, via word-of-mouth werden meer mensen toegevoegd, totdat het zo veel gebruikt werd dat ze tegen de limitaties aanliepen en dat de werkgever uiteindelijk ervoor betaalde.

Ook nu nog; op mijn huidige opdracht hebben we zowel Slack (vooral IT) als Office365 / Teams (rest van de organisatie). Ik begrijp dat Teams minder 'lekker' werkt dan Slack, maar ik vind het ook niet OK dat er meerdere tools die hetzelfde probleem oplossen in gebruik zijn. Daarnaast, Office365 heeft een veel betere deal qua maandelijkse kosten per seat dan Slack.

Tc99m @The Zep Man • 15 juli 2024 16:29

Zijn 10.000 publieke kanalen veel voor een bedrijf met 225.000 medewerkers over de hele wereld?

Ik vraag me oprecht af hoeveel écht gevoelige of schadelijke informatie buit is gemaakt. Er zal vast in sommige kanalen op momenten wat onvoorzichtig zijn omgesprongen met informatie, maar ik gok dat dit meer uitzonderingen zijn en dat echt niet alle geheimen van Disney opeens op straat liggen.
Het is vooral gênant (al opent het ook wel deuren voor bijv. social engineering en moeten ze natuurlijk goed door de gestolen data heen gaan om te kijken of er geen technische data of credentials zijn gedeeld die inmiddels niet zijn verouderd).

Als een releasedatum van een game nu al uitlekt, dan is dat vervelend voor de marketingafdeling, maar zal het bedrijf er op lange termijn weinig last van hebben.
En ik hou er ook wel rekening mee dat deze hackersgroep een beetje aan het opscheppen is - ik zie in die screenshot bijv. dat 7GB aan gif-bestanden is gedownload - heel leuk natuurlijk, al die /GIPHY-reacties, maar niet echt boeiend voor buitenstaanders.

[Reactie gewijzigd door Tc99m op 22 juli 2024 13:41]

StampVoet 15 juli 2024 07:55

Wordt nou hun "inside man" bedreigt in het laatste gedeelte van hun bericht? Of lees ik het verkeerd en gaat het over een andere groep mensen?

Kees BOFH @StampVoet • 15 juli 2024 08:53

Het is wel een goede waarschuwing voor mensen in de toekomst om never nooit niet met zulke lui in zee te gaan

SunnieNL

@Kees • 15 juli 2024 10:15

Ja juist, het is een boodschap naar anderen met wie ze al zaken doen om niet ineens te stoppen. Maar aan de andere kant blokkeren ze zo ook wel de aanwas van insiders die bereid zijn om voor hen te 'werken'.

Remc0_ @StampVoet • 15 juli 2024 08:05

Nee volgens mij lees je dat goed, ze hebben die persoon zo te zien volledig gedoxed.

bapemania @StampVoet • 15 juli 2024 08:22

Wat raar, normaal gesproken uiterst schappelijke, vriendelijke en integere lui die bij zulke groepen zitten...

Vulcanic @StampVoet • 15 juli 2024 09:03

yep, keiharde chantage. waarschijnlijk ook zo binnengekomen.

Deido 15 juli 2024 08:50

Our inside man, hacking van dit kaliber heeft bijna niks meer met computer/digitale hacking te maken. Dit is echt de nieuwe manier geworden, mensen intern omkopen/chanteren/om de tuin leiden of telefoonnummers kapen. Dat is meestal hoe het nu gaat bij deze jongens, kijk naar al die lapsus hacks zoals gta. Ik vind er echt geen stijl aan, het voelt voor mij als de verstopte sleutel onder een steen pakken en inbreken oid.

laptopleon @Deido • 15 juli 2024 09:01

Precies en net zoals juridisch gezien een sleutel gebruiken geen inbreken is, kun je een werknemer die de poort openzet geen hacker noemen.

YopY @laptopleon • 15 juli 2024 09:10

Maar die term wordt ook niet echt gebruikt in dit geval; het is een datalek.

laptopleon @YopY • 15 juli 2024 09:24

Hierboven staat toch echt

Hackersgroepering NullBulge claimt de Slack van Disney te hebben gehackt. De groep zou ongeveer 1,2TB aan data hebben buitgemaakt, waaronder details van onaangekondigde projecten. Disney heeft de hack nog niet bevestigd.

Arnoud Engelfriet @laptopleon • 15 juli 2024 10:21

Het gebruiken van een sleutel die je niet mag gebruiken, of niet voor dat doel, levert wel degelijk het misdrijf inbraak op (art. 138 lid 2 Sr). Ook bij ict speelt dit: je account gebruiken met je eigen bevoegdheden om iets op te vragen dat je niet hóórt op te vragen, levert computervredebreuk op. Even kijken wat Ali B nog op z'n rekening heeft, even het vriendje van mijn dochter natrekken. Ik zeg dit omdat een veroordeling leidt tot het kwijtraken van je VOG.

laptopleon @Arnoud Engelfriet • 15 juli 2024 11:00

Met een sleutel is geen inbreken bedoelde ik een fysieke sleutel is niet fysiek inbreken. Ik probeer de feiten niet kleiner te laten lijken dan ze zijn, maar bedoel dat het weinig meer met hacken te maken heeft. Laat ik het heel omzichtig omschrijven want ik wil de eeuwige discussie rondom de betekenis van hacken niet weer oprakelen, maar onder veel mensen leeft nog steeds een (in epische zin) romantisch beeld van iemand met veel doorzettingsvermogen, sluwheid en of kennis van zaken zich toegang kan verschaffen tot computersystemen. In de praktijk gebeurt dit maar zeer zelden. 'Hacken' blijkt in de praktijk vrijwel altijd een betrekkelijk verkregen eenvoudige toegang slordige gebruikers, babbeltrucs of fysieke toegang tot de computer.

Arnoud Engelfriet @laptopleon • 15 juli 2024 16:00

Dat snap ik, maar met de fysieke sleutel van de buurman diens huis openmaken en naar binnen gaan (zonder toestemming) is dus wel degelijk fysiek inbreken in de zin van het strafrecht. De rest van je put helemaal mee eens, ik blijf het jammer vinden dat 'cracker' nooit aangeslagen is als term voor criminele trucs, zodat 'hacker' behouden zou blijven voor op slimme manieren computers dingen laten doen.

laptopleon @Arnoud Engelfriet • 15 juli 2024 21:11

Even opgezocht en je hebt gelijk. Ik ben in de war met verzekeringsvoorwaarden (als ik me dat wel goed herinner).

SunnieNL

@laptopleon • 15 juli 2024 10:18

Poort openzetten is één, daarna moet de hacker toch echt zelf verder.
Je weet niet wat voor rechten deze medewerker verder had. Dat kan de receptionist zijn geweest. Die eerst deur is wel het belangrijkste, maar binnen een bedrijf zou je dan nog meerdere ringen van security moeten hebben waardoor de hacker niet zomaar horizontaal kan gaan bewegen.

Vrijwel alle hackers komen initieel binnen door goede spearphising. Maar is dat hacken, als iemand gewoon op een linkje klikt?

Frame164 @Deido • 15 juli 2024 09:06

Social engineering is 1 van de "erkende" manieren van hacken. Vaak ook onderdeel van een traject waarbij ook andere technieken worden gebruikt.

Wouterie @Frame164 • 15 juli 2024 10:18

Een babbeltruc is dus hacken? Of alleen als ze daardoor bij je digitale spaarcentjes komen in plaats van je fysieke spaarcentjes? De term hacken wordt weer eens flink gedevalueerd. Social engineering in de zin van het manipuleren van een inlogpagina of zelfs phishing, daar kan ik nog inkomen... maar verder vereist het weinig digitale vaardigheden als je iemand onder druk zet en de voordeur open laat zetten.

dutch_camel @Wouterie • 15 juli 2024 11:34

Met de uitdrukking 'een babbeltruc' devalueer je Social Engineering enorm. Het is, imho, een kunst die zeker niet iedereen zomaar kan.
Daarnaast, om in je beeldspraak mee te gaan, het kan zomaar zijn dat het huis 1001 kamers bevat. Succes om precies, ongemerkt, die kamer te vinden waar (een deel van) de kroonjuwelen liggen.

Wouterie @dutch_camel • 15 juli 2024 13:50

Een babbeltruc is Social Engineering, maar Social Engineering is geen babbeltruc. Punt is dat het feitelijk niet uitmaakt of je digitaal of fysiek wordt overgehaald om je pinpas met pincode te overhandigen of te vertellen waar je de kroonjuwelen hebt verstopt. Zolang het echter mens op mens contact is vind ik het niet terecht dat er over hacking wordt gesproken.
Hacken gaat over het gebruiken van systemen, technieken en middelen op een niet beoogde manier waardoor het doorgaans beter wordt of nieuwe toepassingen mogelijk zijn. Dus Doom op de koelkast bijvoorbeeld.... Maar aanbellen en de inloggegevens vragen... dat is toch geen hacken? Het heeft niets meer met techniek te maken.

lanarhoades @Wouterie • 15 juli 2024 10:40

De term hacking en hackers word al decennia niet meer goed gebruikt. Vroeger betekende hacker iemand die zonder slechte intentie zwakheden in systemen opzocht. En als je inbreekt in een netwerk om data te stelen was je een cracker.

Wouterie @lanarhoades • 15 juli 2024 10:54

Klopt, in mijn tijd was een hacker meer een soort digitale MacGyver die met een beetje code, solderen en spelen met de voltage ineens een supersnelle computer had. Geavanceerder dan een tweaker die binnen de beoogde doelen van de techniek bleef. Een hacker krijgt Doom op een koelkast, een tweaker krijgt een hele energiezuinige koelkast.

Een cracker... ja, dat was andere koek. Die zorgden voor gratis spellen (met virussen)

loki504 @Deido • 15 juli 2024 08:55

Maar voor zulke mensen maakt de manier niet uit alleen het resultaat is belangrijk. En waarom moeilijk doen als het ook makkelijk kan met het zelfde resultaat.

BoerBart 15 juli 2024 07:52

@JayStout In het artikel spreek je over "NullBudge" maar dit moet "NullBulge" zijn als ik het screenshot zie.

Het begint haast orde van de dag te worden, meer en meer bedrijven die gehacked zijn. In het artikel wordt er gesproken over een "inside man", het lijkt me toch niet heel lastig om te traceren waar deze hack uit voort komt, en dus wie deze "inside man" is binnen Disney, als er daadwerkelijk een inside man is.

Auteur

JayStout @BoerBart • 15 juli 2024 08:02

Aangepast! Bedankt

3d-pint @JayStout • 15 juli 2024 14:11

Ook in de laatste zin

Carino @BoerBart • 15 juli 2024 08:05

Als het gaat om het huidige Disney aannamebeleid, dan is het waarschijnlijk een 'Inside Woman' ;-)

Jokes aside, dit zou eenvoudig te traceren moeten zijn. Tenzij deze persoon ingezet wordt als red-herring en er eigenlijk niks mee te maken heeft... Wanneer je zoveel informatie hebt over medewerkers binnen een bedrijf dan kan je makkelijk iemand in een slecht daglicht zetten als je die persoon niet mag...

[edit]
nooit geweten dat zelfs grapjes op deze manier gemodereerd worden... en dat terwijl er een kern van waarheid in zit. maar goed, tweakers wordt steeds meer woke zo te zien. bah

[Reactie gewijzigd door Carino op 22 juli 2024 13:41]

Sine @Carino • 15 juli 2024 08:53

Mede met dank aan Disney

gevoelig @Carino • 15 juli 2024 12:01

Als het gaat om het huidige Disney aannamebeleid, dan is het waarschijnlijk een 'Inside Woman' ;-)

Put a chick in it and make her ...

SunnieNL

@BoerBart • 15 juli 2024 10:23

Het begint niet haast de orde van de dag te worden.. Dit is al jaren de orde van de dag. Alleen komt niet iedereen er mee naar buiten. De vraag is niet of je gehacked wordt, maar wanneer. Je kunt als bedrijf alleen ervoor zorgen dat het zo lastig mogelijk gemaakt wordt. De kans is bij geen enkel bedrijf zero.

Een inside man is ook wel te traceren. Alleen moet je er wel de tools voor hebben. Snap ook eigenlijk niet direct waarom Disney dit niet heeft opgemerkt, omdat ik eigenlijk verwacht dat die de tools wel hebben draaien. Als iemand ineens heel veel data exporteerd zou dit op zich wel moeten worden opgemerkt door een systeem. Als je normaal als gebruiker een paar 100 MB per dag verbruikt en dat ineens 1TB per dag wordt, dan moeten er wel alarmbellen af gaan.

SkyStreaker 15 juli 2024 07:49

"Our inside man got cold feet", dat is nog eens vele malen ernstiger.

Ik ben benieuwd wat de aktie van Disney gaat worden en wat er uit, mag ik gaan aannemen, uit het interne onderzoek naar voren komt.

[Reactie gewijzigd door SkyStreaker op 22 juli 2024 13:41]

dvo1972 15 juli 2024 08:35

@JayStout forgot 2

'Disney heeft nog niet gereageerd op de claims van NullBudge.'
tekst onder image
'Screenshot met hackersclaim van NullBudge - Bron: X-account HackManac'

[Reactie gewijzigd door dvo1972 op 22 juli 2024 13:41]

ArawnofAnnwn 15 juli 2024 09:39

Gaat dit alleen om de spel divisie of is dit voor het gehele bedrijf? Als het het laatste is, zal er denk ik best wat foute dingen naar buiten komen.

Bkim 15 juli 2024 12:14

Iets van "de beste stuurlui staan aan wal". Ik geloof erin dat elk systeem te hacken is. Zelfs met de uitstekende beveiliging uitgevoerd door de tweakers experts.
Het is relatief makkelijk, de pakkans is nihil en het is goed verdienen. Problematisch in tijden waar databases worden volgepropt met klantgegevens. Het is niet de vraag of je wordt gehacked maar wanneer

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (74)

Sorteer op:

Weergave: