Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties

Medewerkers van een Belgische 'gerechtelijke instantie' hebben op eigen houtje een database in elkaar geknutseld, die vervolgens werd gehackt. Wat voor gegevens er in werden opgeslagen, is onduidelijk, maar het ging in ieder geval om gevoelige informatie.

Rechtszaak rechterDe voorzitter van de Belgische Privacycommissie, vergelijkbaar met het CBP in Nederland, doet het bestaan van de database uit de doeken tegenover de Belgische website Mondiaal Nieuws. De voorzitter, Willem Debeuckelaere, wil niet aangeven om welke gerechtelijke instantie het gaat, omdat hij is gebonden aan geheimhouding.

De medewerkers van de gerechtelijke instantie hadden de database voor eigen gebruik in elkaar geknutseld. De zeer amateuristisch gebouwde database werd echter getroffen door een datalek, zegt Debeuckelaere. Wat voor soort informatie er precies in werd opgeslagen, is onduidelijk, maar volgens de voorzitter ging het in ieder geval om gevoeligere informatie dan adressen of telefoonnummers. Ook is onduidelijk wie er bij het datalek toegang kreeg tot de database. Debeuckelaere heeft de gerechtelijke instantie gevraagd om de database te sluiten, maar of dat is gebeurd, is onduidelijk.

Debeuckelaere zegt verder dat hij momenteel samen met de Nederlandse privacywaakhond CBP werkt aan een onderzoek naar aantijgingen dat de Amerikaanse inlichtingendienst NSA zou hebben ingebroken bij betalingsverwerker Swift, om zo toegang te krijgen tot informatie over het Europese betalingsverkeer. Dat terwijl de Amerikanen en Europeanen een verdrag hebben om die informatie te delen. Volgens Debeuckelaere is het onderzoek 'nog volop bezig'. Het CBP onderzoekt of er aanwijzingen zijn dat er een hack heeft plaatsgevonden, stelt de voorzitter.

Tot slot is de Belg kritisch over de nieuwe Europese privacyrichtlijn, die momenteel bij de Europese Raad ligt. Debeuckelaere: "Op een aantal vlakken heeft de Commissie eigenlijk een privacy-onvriendelijk verhaal geschreven." Zo hadden grote bedrijven als Google, Facebook en Microsoft volgens Debeuckelaere in Europees verband gecontroleerd moeten worden, terwijl dat volgens de privacyrichtlijn door nationale toezichthouders wordt gedaan.

Moderatie-faq Wijzig weergave

Reacties (61)

hoe naÔef kun je zijn om te geloven dat je zelfgemaakte database veilig genoeg is om er gevoelige informatie op te slaan? |:(
Wat hierin natuurlijk wel in mee kan spelen is dat het tot een ander doel is opgezet als wat het huidig resultaat is.
Met andere woorden. Stel dat ze een database wilden voor alleen wat namen en dat het naarmate de tijd (wellicht met verloop van personeel) is uitgegroeid en aangepast tot huidige vorm.

Ik zie dit bij zeer veel bedrijven gebeuren. Er worden kleine tooltjes gemaakt om het gemakkelijker te maken voor een persoon, collega krijgt er hoogte van en vind het ook makkelijk. Tooltje wordt wat uitgebreid zodat ze beide profijt van hebben, tooltje wordt op netwerk gezet, weer gebruikt, weer aangepast etc etc.
It's not a bug, it's a feature.

Bij ons zie je dat helaas ook. Inloggen met een password dat minimaal aantal tekens moet bevatten en ook nog eens hoofdletters en cijfers. Grap is dat je bij het openen van bepaalde database een nummer wordt gegenereerd dat helemaal niet persoon/computergebonden is. De link kun je copy/paste, doormailen en vervolgens op een andere pc openen. Weliswaar kun je niets veranderen, maar je kunt er wel gruwelijk veel data afhalen inc persoonsgebonden data. De database moet vanaf scratch worden opgebouwd omdat het verschillende software is waarvan een deel niet eens eens updates kent. Je moet de gegevens wel minimaal 10 jaar bewaren voordat ze het archief inkunnen, echter alleen als ze zijn afgerond.

Papier is in sommige gevallen beter.
offtopic:
Bewaren doe je juist in een archief, omdat het daarvoor ontworpen is. Daarna kan je het verwijderen via de spreekwoordelijke prullenbak/versnipperaar.

http://en.wikipedia.org/wiki/Archive

Het bewaren van een backup is dan ook niet archiveren en daarom zeker niet geschikt voor het bewaren van data i.v.m. de verplichte bewaartermijn. Een backup is de mogelijkheid creŽren om binnen een bepaalde retentie tijd data te herstellen. Nogmaals, dit is wat anders dan een archief.

M.b.t. op papier bewaren heb je een punt. Echter moet je die gegevens ook dupliceren om verlies bij bijvoorbeeld brand te voorkomen.

[Reactie gewijzigd door teusink op 10 maart 2014 12:17]

Ik snap het perfect. De situatie bij sommige instanties is zo slecht dat de mensen iets in elkaar steken om Łberhaupt een beetje deftig te kunnen werken. Ik bewonder ze zelfs dat ze het initiatief genomen hebben om zelf iets te maken, dat is op veel andere plaatsen niet het geval.

Dat ze gehackt werden kan dan misschien wel aan een gebrek aan kennis liggen, maar ik zou eerder de overheid met de vinger wijzen dan deze mensen. Miljoenen euros werden tevergeefs verspild aan de informatisering van de gerechterlijke instanties, zonder resultaat...

Misschien kunnen de tweakers op een positieve manier reageren door hen wat tips voor database beveiliging door te sturen? ;)
Snap ik ook dat ze zelf gaan knutselen om te kunnen werken, maar er is toch maar ťťn zinnige tip te geven waar het om zeer privacygevoelige info gaat: laat het aan pro's over.
Beetje domme actie mischien maar je database is nooit 100% veilig ongeacht wie het heeft opgezet.
dat klopt, maar ik denk dat professionals het toch wel wat veiliger kunnen maken dan wat willekeurige medewerkers van een rechtbank.
Is de vraag "Waarom was deze database van buiten te benaderen?" niet een betere?
Misschien via een remote desktop of iets dergelijks? Het netwerk zal gewoon toegangkelijk zijn geweest gok ik, niet specifiek alleen de database.
Waarschijnlijk zullen ze er wel software voor hebben echter zal het of niet snel genoeg zijn of zit er een ander probleem aan vast waardoor het niet gebruiks-vriendelijk is. . .

Het nadeel is dat ze zelf gaan zoeken naar een oplossing. Gezien de ICT toch altijd tegen werkt in de ogen van mensen 8)7 . Het probleem is daardoor wel dat zoals nu een database die je dan alleen gebruikt. Natuurlijk wel dat steeds meer mensen jou eigen creatie willen gebruiken omdat deze beter is en dat zorgt er alleen maar meer en meer in komt. Waarbij je na een tijd toch een probleem hebt.

Het zal me helemaal niks verbazen als er nog veel meer van deze databasen in zowel Belgie als Nederland aanwezig zijn.
NaÔef of tekort aan kennis ?
naÔef om er zelfs aan te beginnen zou ik zeggen, je hoeft toch geen deskundige te zijn om te weten dat je als amateur zoiets niet veilig genoeg kan krijgen?
Want een databank maak je omdat je dan zeker bent dat je data 100% veilig staat ? Ik weet perfect dat 99.9% van de code die ik schrijf breekbaar is, maar betekend dat dan dat ik maar beter niks bouw ?

Een databank kan veel zaken versimpelen en versnellen (in de midden gelaten dat dit hier het geval is).

De enige fout die ik hier zie is dat er niet genoeg mensen technische bezig zijn met de zaak en dat is niet de maker z'n schuld. NaÔef is het dat deze informatie toegankelijk was van buiten het netwerk.
Dat medewerkers een eigen "databank" (Access, Excel, ...) in elkaar knutselen is ťťn ding... maar dat ze deze bereikbaar kunnen maken van buitenaf is iets helemaal anders... dan zou je toch verwachten dat er systeembeheerders aan verbonden zijn die zoiets online hebben gezet ?
Nee, want als je de systeembeheerders er bij betrekt dan beginnen die lastig te doen over beveiliging, backups en dergelijke. En wie heeft nu een systeembeheerder nodig om iets op googledocs of dropbox te zetten? En als niemand weet van deze database, dan zal niemand hem vinden.
Tjah, als er niet geÔnvesteerd wordt in dedicated personeel, dan is een "amateuristische" databank nog steeds beter dan excel sheets via e-mail natuurlijk ... :O Het is dringend tijd dat BelgiŽ gaat investeren in databeheer. Dit is niet de eerst grap, een tijdje geleden lagen alle NMBS data ook op het straat. "door een hacker" (google'n valt ook onder hacken volgens NMBS)
De hamvraag is voor mij, waarom is zo'n database extern bereikbaar? Als dat niet zo was zou men al het netwerk en de host moeten hacken voor men de database nog maar vind.
Voor mij is de hamvraag: is in de wet vastgelegd hoeveel moeite een instantie moet steken in het veilig maken van databases?
Het hacken en de beveiliging van de database moeten gezien worden als 2 verschillende feiten.

Ik ken de exacte omstandigheden van deze zaak niet, maar normaalgezien zal het hacken een strafbaar feit zijn zelfs als de database amper was beveiligd. Dit zou kunnen leiden tot een strafrechtelijke vervolging tegen de hacker.

Als de database inderdaad niet goed beschermd was en een gevaar voor de privacy opleverde, is dat een afzonderlijk verhaal. Meestal leidt dit tot administratieve sancties tegen de betrokkenen.

Er zijn dus 2 hamvragen en het antwoord op de ene is niet noodzakelijk het antwoord op de andere.
Het hacken en de beveiliging van de database moeten gezien worden als 2 verschillende feiten.
Logisch toch? Daar zal niemand je op tegenspreken.

Verder denk ik dat de strafmaat voor een hacker er in eerste instantie niet zoveel toe doet. Bijvoorbeeld, zouden we een EPD accepteren als de gegevens gewoon voor het grijpen lagen, maar tegelijkertijd de doodstraf stond op het onrechtmatig inkijken van die gegevens. Nee natuurlijk niet. Er moet altijd sprake zijn van een acceptabele beveiliging.
probleem is natuurlijk ook, waar leg je de grens met betrekking tot wat je veilig noemt en wat niet, want iets dat vandaag superveilig lijkt te zijn, kan morgen blijken dat je net zo goed niet had kunnen beveiligen.... En om bestaande setup's die tentijde van bouwen superveilig waren even te updaten is vaak ook niet zo simpel als sommige mensen doen voorkomen.. Vroeger was bv SQL-injection totaal onbekend maar nu is het de 'domste' fout die je zowat kunt maken, maar als jouw applicatie dus volledig gebruik maakt van functies waarbij SQL-injection simpel gebruikt kan worden dan is het niet zo eenvoudig om het maar 'even' aan te passen, zeker omdat de zaak gewoon moet blijven draaien.. (en SQL-injection is maar een heel simpel voorbeeld, zelfde zou bv kunnen gelden waarbij nu parameterisering dus compleet veilig zou zijn, maar morgen ineens een hacker iets gevonden heeft waardoor parameterisering gelijk staat aan de simpele SQL-injection, het kan zomaar gebeuren..)
Nee, maar er zijn wel wetten (tenminste in NL) omtrent hoe er met persoonsgegevens omgegaan moet worden. Dat is niet afhankelijk van prijs.
Klopt, dat zal initieel wel zo geweest zijn ook, maar mensen snappen niet dat een website binnen een netwerk beschikbaar is en erbuiten (thuis) niet. Dus dan moet je wel opengooien, en als je dan niet naar veiligheid kijkt, jah dan maak je een fout. Zoals ik vermoed hier is gebeurt.
Je kan ook je personeel via een vpn in laten loggen waarna ze vervolgens bij de interne website kunnen. Dat maakt extern werken een stuk veiliger. en die website ook.
En als binnen je vpn ALLES is dichtgetimmerd, heb je geen andere optie dan zelf buiten de vpn een app op te zetten.
En als mensen zo wanhopig zijn dat ze zelf een database opzetten, dan was er waarschijnlijk ook niet de mogelijkheid om Łberhaupt met voldoende kennis een vpn verbinding op te zetten die veilig in elkaar steekt.
Ik weet uit persoonlijke ervaring dat die VPN software op de botten trekt.

Zo krijg je standaard te horen 'Ah, maar jij hebt *insert firewall en/of antivirus software*. Je moet die uitzetten en dan werkt het wel.

Ongeldige certificaten,... echt verschrikkelijk.

Voor mij dus geen verrassing
Bij de NMBS ging het om een klantenbestand van B-Europe dat instaat voor het internationaal vervoer. Het was een csv lijst die gewoon benaderbaar was vanaf het internet en bedoeld was om door te geven aan een advertentiebureau. Daar ging het gewoon om een idiote manier van datauitwisseling tussen 2 bedrijven. Over het algemeen zijn de interne NMBS systemen en databanken verdomd goed afgeschermd.
Als ze geen beveiligt ftp of http connectie kunnen maken, zou ik toch m'n vragen stellen hoor. (.htaccess was voldoende geweest)
Als ze geen beveiligt ftp of http connectie kunnen maken, zou ik toch m'n vragen stellen hoor. (.htaccess was voldoende geweest)
Waarom zou .htacccess voldoende zijn geweest? Er zijn genoeg flaws bekend van Apache en met elke versie zullen er vast wel weer nieuwe bij komen. Meestal kan je dan wel ondanks .htaccess gewoon jezelf toegang geven of een bepaald script uit laten voeren bijvoorbeeld. Dus nee, anno 2014 is een .htaccess niet genoeg tbv beveiliging van je webserver.
NMBS "hack" is uitgevoerd doordat het bestand door google bot gelezen was ... .htaccess was hier genoeg geweest om google toegang te verhinderen en dus de zoekopdracht niet mogelijk te maken.
NMBS "hack" is uitgevoerd doordat het bestand door google bot gelezen was ... .htaccess was hier genoeg geweest om google toegang te verhinderen en dus de zoekopdracht niet mogelijk te maken.
Dan volstaat zelfs een robots.txt. Maar nogmaals; een .htaccess of robots.txt gebruiken als "beveiliging" is anno 2014 niet voldoende.
.htaccess en robots.txt zijn niet echt vergelijkbaar behalve dat beide tekstbestanden zijn. Beetje gek om dat op een hoop te gooien.
.htaccess en robots.txt zijn niet echt vergelijkbaar behalve dat beide tekstbestanden zijn. Beetje gek om dat op een hoop te gooien.
Net zo gek als het te gebruiken om veiligheidsissues te voorkomen. ;) Ook met een robots.txt kan je een search crawler de toegang ontzeggen tot een map of pagina op een website.

[Reactie gewijzigd door CH40S op 11 maart 2014 12:14]

Ja, maar een robots.txt is een vrijwillig verzoek aan crawlers en dient verder geen beveiligingsfunctie. Met een .htaccess kun je een directory daadwerkelijk afschermen voor ongeautoriseerde bezoekers (helemaal geen toegang, alleen toegang op basis van ip en/of alleen toegang op basis van gebruikersnaam/wachtwoord). Dat is nogal wel een verschil.
De Belgische justitie staat aan de top wat betreft achterkomen in de informatisering van de diensten. Ik ben er zowat zeker van dat de databank een lijst van veroordelingen bevat.
Eerder bleek het namelijk al een pijnpunt te zijn dat rechtbanken telkens omslachtige opzoekingen moeten laten doen om te achterhalen of iemand reeds eerdere veroordelingen heeft of niet.
Niet genoeg geÔnvesteerd? Dus die bodemloze put moet nog dieper? Als ik een gokje mag wagen zal het inderdaad eerder met amateurisme te maken hebben. Dat krijg je als je mensen een statuut geeft waaronder ze nooit meer ontslagen kunnen worden (why bother?)
BelgiŽ heeft geen geld om deze investeringen te doen. Er verdwijnt te veel geld in bodemloze putten en politiek vereiste ambtenaren om zich ook nog eens security te kunnen veroorloven.
Waarop baseer je dat? Dit klinkt als een regelrechte troll.
Even een vraagje voor de belgen:

Het artikel spreekt over een databank NIET een database. Nou is een database voor mij iets als MySQL. Iets wat je niet zelf zou willen bouwen.

Maar een databank, dat kan gewoon een stukje software zijn, een website dat gebruik maakt van een "echte" database maar net zo goed of slecht kan zijn als de makers het bouwen.

Klinkt voor mij alsof een aantal medewerkers behoefte had aan een systeem, geen geld/zin had om dit aan te besteden voor miljoenen bij een door overheid goedgekeurde verprutser als Rocade of wat de belgische versie daarvan is en zelf iets bouwden zonder aan de beveiliging te denken. Iets wat wel werkte maar niet veilig was. Wat nog altijd beter is dan de meeste overheids projecten die niet werken EN niet veilig zijn.
Ik acht de kans reŽel dat het gewoon in MS Access gedaan is.
Het artikel spreekt over een databank NIET een database. Nou is een database voor mij iets als MySQL. Iets wat je niet zelf zou willen bouwen.
naar mijn bescheiden mening is databank de nl/vlaamse vertaling van het engelse woord database.
Ik interpreteer het artikel dan ook dat de database niet onveilig was, maar wel de software die geschreven werd om ermee te communiceren.
lijkt me eerder dat men een access database aangemaakt heeft met een frontend waar een wachtwoord op staat.
Iedere verzameling van informatie is een "databank" de methode waar je dan spontaan aan denkt is MySQL die gebruik maakt van een database, maar opzich is een text-file met namen evengoed een databank.

Ik deel je mening 100% volgens mij was dit een eigen initiatief die door het ontbreken aan gespecialiseerd personeel het zelf gewoon gefixed hebben, en nu het zwarte schaap zijn omdat er iets fout loopt.
Als je dan toch zo op de woordjes aan het letten bent.

MySQL/MSSQL/PostgreSQL zijn allemaal databank beheersystemen (database management system (DBMS)), niet de databank zelf. Ze beheren dus de databank. Een databank is de georganiseerde collectie van informatie die ze beheren.

[Reactie gewijzigd door drZymo op 10 maart 2014 12:26]

Quote uit het originele artikel:

"Overijverige medewerkers van een Belgische gerechtelijke instantie hadden begin 2013 op eigen houtje een databank voor eigen gebruik in mekaar geknutseld. Het was zo amateuristisch gebeurd dat de databank op een gegeven moment het voorwerp werd van een datalek."

Nu vraag ik mij wel af wat de rationale was van deze medewerkers. Als ze bijvoorbeeld al 5 jaar aan het wachten waren op een computersysteem, en nu alles met papier doen, kan je het hun niet echt kwalijk nemen dat ze efficiŽnter willen werken. Dan moet justitie ook zijn conclusies trekken.
Die nemen de term 'transparante wetgeving' dan wel heel letterlijk.

Maar dit soort toestanden is vaak een symptoom van zodanig restrictief beleid op vaak het financiele vlak dat medewerkers van ellende maar zelfs iets gaan bouwen. Dus wat dat betreft zou ik ook naar het complete plaatje kijken en niet alleen die knutselaars aankijken.
Wat betreft grote bedrijven hebben de Belgen wel een punt. Het internet is een groot internationaal gebeuren, en het is voor alle betrokken partijen gewoon inzichtelijker om de boel op Europees niveau te regelen, want anders krijgen we weer verhalen van een Nederlander post iets op het profiel van een belg, waar een duitser op reageert. Facebook Europa zit in Ierland, en welke regels gelden nu? Laten we dat maar Europees regelen.

Maar een "zeer amateuristisch gebouwde database" bij een rechtbank moet natuurlijk niet kunnen. Waarschijnlijk bedoelen ze eerder dat de interface naar de database amateuristisch was. Bijvoorbeeld een web interface die een SQL injectie toeliet.

Het is een rechtbank, de meeste mensen daar zullen rechten hebben gestudeerd en geen ICT. Desalnietemin heeft iedere instantie die met privacy gevoelige gegevens werkt de wettelijke plicht deze te beschermen. Geen ICT ervaring is geen excuus.
Het zou ook natuurlijk kunnen dat deze informatie door het gerecht "bewust" is gegeven aan de pers.
Om zo de regering te dwingen om te investeren in nieuwe software.
veel mensen snappen niet wat voor een belang beveiliging is totdat ze getroffen worden door een hacker of data lek of wat dan ook
Het aangehaalde artiekel is wel intressant om door te lezen.
Blijkbaar zijn er banken die Facebookprofielen van je vriendennetwerk bekijken om je kredietwaardigheid in te schatten?

Willem Debeuckelaere: Dat is inderdaad het geval. Onlangs is de Privacycommisie zelfs getipt over een ziekenhuis dat hetzelfde deed om in te schatten welke patiŽnten mogelijk wanbetalers zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True