Maar... maar... cloud was toch de toekomst en veilig enzo.
En helemaal niemand heeft dit natuurlijk aan zien komen.
Niks mis met gewoon lokaal werken en dan het liefste en niet gekoppeld aan internet. Maar ja, het is zo makkelijk he?

He, een beetje manager laat zich daardoor niet tegenhouden

https://www.helpnetsecurity.com/2017/03/16/adoption-advanced-technology/

Stel je voor dat je gaat nadenken over langere termijn consequenties, dan kan je geen kordate beslissingen nemen, en je loopt dan misschien je bonus mis. Dat kunnen we niet hebben!

De politiek zou dit heel simpel op kunnen lossen.
1) Zorg dat de GDPR sancties worden opgevolgd en opgelegd (https://en.wikipedia.org/wiki/General_Data_Protection_Regulation#Sanctions)
2) Zorg dat de melder 10% van het boetebedrag ontvangt.
Ik geef je op een blaadje dat na 5 jaar alles gepatched en wel is. De rest is failliet.

"de beheerders van deze omgevingen zelf verantwoordelijk en zijn ze nalatig door het niet tijdig installeren van updates."

Cloud of niet dat blijft het zelfde.

Vergeet vooral de veiligheid niet, het gaat dikwijls over persoonlijke gegevens waar ze geen verantwoordelijk voor geven.

Heartbleed, Cloudbleed, DROWn, enz. enz. allemaal ten gevolge van een gebrekking blijvende veiligheid infrastructuur.
Een vertrouwen dat niet altijd via e2e encryptie te garanderen valt. Transport als doorgeefluik en bulkhosting met weinig verantoordelijkheidsgevoel.

Uw data zijn uw meest kwetsbare bezit.. Uw data moet u beschouwen als goed belegde wijn, die moet kunnen rijpen. Applicaties zijn als de spreekwoordelijke vis, die moet vers blijven en rood aan de kieuwen en applicaties dus altijd weer op te bouwen.

Zijn uw data corrupt, dan bent u in de spreekwoordelijke aap gelogeerd. Kunnen we zo slecht de feitelijke situatie inschatten en moeten we zo klakkeloos volgen wat de outsourcende communicatie expert als ontsnappingsroutes voor de CEO, die van toeten noch blazen weet, heeft bedacht? En juist kwetsbare en verlaten script weer als de kern van de problemen. Voorlopig blijft het dweilen met de kraan open en raakt de boel steeds meer ontwricht.

Even voor de duidelijkheid, die 20.000 insecure servers zijn vrijwel allemaal ownCloud. 97% van de Nextcloud servers is secure en up to date. Zie voor wat er gebeurt is ons blog: https://nextcloud.com/blog/nextcloud-releases-security-scanner-to-help-protect-private-clouds/
En zie de statistieken op https://scan.nextcloud.com

En ja, de moraal van het verhaal: hou je server up to date. Een prive cloud is niet prive als die niet veilig is en een outdated server is natuurlijk niet veilig...

Wat er gebeurt is in het kort(sorry, copy-paste van ergens anders - Engels):

* we discovered late last year there are tens of thousands of insecure oC and Nc servers on the web
* we discussed what to do:
* can't contact them directly. Ppl would yell at us for doing a marketing scam, besides, we don't have their contact data.
* can't just blog or write about it. Black hats would notice and attack while the users themselves clearly don't notice our blogs as they hadn't updated in some cases since 2012.
* can't do nothing. Some day, somebody will find out and hack 200K servers in an automated fashion, putting the data online or using ransomware to collect big $$$.
* we concluded we should contact the [Computer Emergency Response Teams](https://en.wikipedia.org/wiki/Computer_emergency_response_team) as it is their job to handle this.
* They reached out to providers who, in turn, contacted the server owners of the servers we had found (about 80K)
* we kept it all secret for 3 weeks to give ppl time to update, then did a media offensive to reach the 120K we couldn't reach directly.
* An estimated 45K updated since we started, right now 97% of Nextcloud servers is secure (and only 29% of oC servers, sadly many of them still didn't respond)

Now most ppl have been positive. But some providers didn't act very professionally:
* some simply forwarded the email, which contained info about all the insecure servers on their network (sigh)
* some called their users, scaring the s***** out of them
* some even threatened to shut down the servers
* others simply DID shut down the network connections (just a few, thankfully)
* and a few did absolutely nothing (not great either)

We're sorry for those who got harmed by the above.