Privacy - Wat niemand over je mag weten

Privacy van HCC leden ligt op straat

11-11-2015, 21:36 door Anoniem, 9 reacties
Hoe kan de HCC dit nu laten gebeuren.
De gegevens van hum leden ligt op straat als ik hum eigen site moet geloven:
https://www.hcc.nl/webzine/nieuws/hccseniorenacademie-gehackt
Reacties (9)
11-11-2015, 22:38 door rwk
Beetje vreemde reactie. Hoeveel grote en klein bedrijven zijn de afgelopen jaren niet gekraakt ?
Ik weet niet of je weet hoever de HCC last heeft gehad ledenkrimp ? De HCC heeft naar mijn mening behoorlijk moeten afslanken! Ook heeft de HCC enorm veel vrijwillegers en volgens mij vrij weinig betaalde krachten.

100% veilig systemen bestaan niet. Dus ja het jammer dat het gebeurd is. De HCC is er in ieder geval eerlijk over en maakt het openbaar en de server is offline. Wat hadden ze meer kunnen doen ?
12-11-2015, 06:19 door Alex88
Ben het met rwk eens, dit kan elk bedrijf gebeuren, al is het natuurlijk wel ernstig. Maar heel vreemd hoe HCC dit heeft laten gebeuren is het niet.
12-11-2015, 07:36 door Erik van Straten - Bijgewerkt: 12-11-2015, 11:30
Verwijderd. Sorry, per ongeluk was dezelfde reactie 2x gepost. Zie hieronder.
12-11-2015, 07:36 door Erik van Straten
11-11-2015, 22:38 door rwk: Beetje vreemde reactie. Hoeveel grote en klein bedrijven zijn de afgelopen jaren niet gekraakt ?
Jouw reactie vind ik vreemd. Als genoeg mensen door rood gaan rijden wordt het acceptabel?

11-11-2015, 22:38 door rwk: Ik weet niet of je weet hoever de HCC last heeft gehad ledenkrimp ? De HCC heeft naar mijn mening behoorlijk moeten afslanken! Ook heeft de HCC enorm veel vrijwillegers en volgens mij vrij weinig betaalde krachten.
Wat er precies is misgegaan weet ik niet. Maar jouw reactie suggereert dat je minder onderhoudsinspanningen hoeft te verrichten naarmate er bijv. minder mensen voor beschikbaar zijn (vertaald naar commerciële organisaties: inkomsten teruglopen). En dat mensen wiens gegevens minder goed worden beveiligd wel zullen begrijpen waarom.

11-11-2015, 22:38 door rwk: 100% veilig systemen bestaan niet. Dus ja het jammer dat het gebeurd is. De HCC is er in ieder geval eerlijk over en maakt het openbaar en de server is offline. Wat hadden ze meer kunnen doen ?
In z'n algemeenheid geldt (niet specifiek voor dit HCC incident):

1) Zodra mankracht ontbreekt om systemen met vertrouwelijke gegevens fatsoenlijk te onderhouden, die systemen uitzetten en de schijven wissen. Indien uitzetten niet "kan", de betrokkenen waarschuwen en ze de kans geven hun gegevens te verwijderen. Alternatief: betrokkenen om een bijdrage vragen om het systeem te laten onderhouden.
Nietsdoen in deze situatie is geen optie en verwijtbaar.

2) Inderdaad, 100% veilige systemen bestaan niet. Echter, de oorzaak van zo'n lek is meestal gebrek aan onderhoud, gebruik van niet meer onderhouden software, onduidelijkheid wie verantwoordelijk is of een zwak beheerderwachtwoord. M.a.w. zelden een 0-day, meestal een gebrek aan cyberhygiène.

3) Bij de start van projecten de risico's afwegen en een exit-strategie vastleggen. En, die risico's en exit-strategie publiceren zodat personen die hun gegevens delen, redelijkerwijs kunnen weten welke risico's zij daarbij lopen.

Nogmaals, ik weet niet precies hoe het HCC systeem gehacked kon worden, maar vind jouw argumenten om incidenten zoals deze, bij voorbaat goed te praten, onacceptabel. Helaas denken te veel mensen zoals jij. Met een dergelijke instelling gaan we systemen niet veiliger krijgen. Erger, gehackte oganisaties kunnen naar reacties als die van jou verwijzen met "zelfs specialisten op security.nl vinden het heel begrijpelijk dat zoiets gebeurt".
12-11-2015, 11:07 door Anoniem
Ik zie op hun site dat het niet om de hele HCC gaat.
Een klein onderdeel voor 65 plussers was zo slim om een gehakte website weer terug te zetten.
Hopelijk pakt de Hcc ze keihard aan.
12-11-2015, 18:30 door Anoniem
Waarschijnlijk gaat bejaarde webmaster, die niks om beveiliging geeft. Die moeten ze meteen de laan uit sturen.
13-11-2015, 00:51 door Anoniem
Heel mooi allemaal, maar nu vanaf het business perspective.

Jouw reactie vind ik vreemd. Als genoeg mensen door rood gaan rijden wordt het acceptabel?
Nee, maar het kan een keer gebeuren. Iets met 100% security bestaat niet, wat je beneden ook zegt.

Tuurlijk is het acceptabel, mensen maken fouten. Het wordt pas onacceptabel als er sprake is van nalatigheid. Krijgen we de 810.000 boete van het CPB? Nee, we hebben het netjes gemeld toch?
Bel team legal even of ze de boel kunnen controleren, dan zitten we prima. Goed - volgende onderwerp op de agenda.


Wat er precies is misgegaan weet ik niet. Maar jouw reactie suggereert dat je minder onderhoudsinspanningen hoeft te verrichten naarmate er bijv. minder mensen voor beschikbaar zijn (vertaald naar commerciële organisaties: inkomsten teruglopen).

'Hoeft te verrichten', lekker theoretisch en een ethisch argument. Als je minder resources hebt, kun je minder doen. It's that simple.


En dat mensen wiens gegevens minder goed worden beveiligd wel zullen begrijpen waarom.
Volgens mij ben je hier sarcastisch. Ik heb even een Google opdracht uitgevoerd op 'HCC gehacked'. De enige twee resultaten zijn de pagina genoemd in topic starter zijn reactie, en een link naar deze post. Op Twitter kwam ik ook noppes tegen. Nu.nl staat het niet op. Waar precies zijn die mensen die het niet begrijpen?
Die drie klanten die ik eventueel hierdoor kwijtraak boeit me niks, heb al lang geld terug verdiend op het besparen op InfoSec.


1) Zodra mankracht ontbreekt om systemen met vertrouwelijke gegevens fatsoenlijk te onderhouden, die systemen uitzetten en de schijven wissen. Indien uitzetten niet "kan", de betrokkenen waarschuwen en ze de kans geven hun gegevens te verwijderen. Alternatief: betrokkenen om een bijdrage vragen om het systeem te laten onderhouden.
Nietsdoen in deze situatie is geen optie en verwijtbaar.

Oh - het interne InfoSec team gaat nu bedrijfsdata verwijderen vanwege een paar ethische standpunten. Lekker dan.
Of we gaan naar onze leden communiceren dat we het eigenlijk niet goed aankunnen en daarmee inherent aangeven dat hun data in geding is.
Dat wordt de PR-campagne van het jaar.


2) Inderdaad, 100% veilige systemen bestaan niet. Echter, de oorzaak van zo'n lek is meestal gebrek aan onderhoud, gebruik van niet meer onderhouden software, onduidelijkheid wie verantwoordelijk is of een zwak beheerderwachtwoord. M.a.w. zelden een 0-day, meestal een gebrek aan cyberhygiène.

Ik dacht juist dat dit de functie was van het infosec team? Wat doen die gasten de hele dag behalve hun verantwoordelijkheden terug de operatie in afschuiven.


3) Bij de start van projecten de risico's afwegen en een exit-strategie vastleggen. En, die risico's en exit-strategie publiceren zodat personen die hun gegevens delen, redelijkerwijs kunnen weten welke risico's zij daarbij lopen.

Nog meer geniale PR van het infosec team. Hey COO - waar zitten die cheffies eigenlijk? Hebben ze uberhaubt wel door dat er aan het einde van de dag geld verdient moet worden?
13-11-2015, 08:44 door Anoniem
Door Anoniem: Waarschijnlijk gaat bejaarde webmaster, die niks om beveiliging geeft. Die moeten ze meteen de laan uit sturen.

Waarschijnlijk de reactie van een jongere die zelf vrijwel niks van dit soort dingen weet.
En dan ook nog eens de kennis van de webmaster, zonder enige informatie, vergelijkt met die van zijn grootouders.
13-11-2015, 13:06 door Erik van Straten
13-11-2015, 00:51 door Anoniem: Heel mooi allemaal, maar nu vanaf het business perspective.
[...]
Als je minder resources hebt, kun je minder doen. It's that simple.
[...]
Hebben ze uberhaubt wel door dat er aan het einde van de dag geld verdient moet worden?
Als jouw reactie sarcastisch bedoeld is (wat ik hoop), sluit hij mooi aan op een eerdere bijdrage van mij in https://www.security.nl/posting/409730/#posting409764.

En hoewel jouw reactie niet van toepassing lijkt op de (niet commerciële) HCC seniorensite, is het wel een beetje laf dat de HCC https://www.hcc.nl/webzine/nieuws/hccseniorenacademie-gehackt achter een login gezet heeft en er op https://www.hcc.nl/webzine/nieuws/ niets over vermeldt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.