image

Juridische vraag: App maakt verbinding met een verlopen domein. Blunder of toch een datalek?

woensdag 21 juni 2017, 13:22 door Arnoud Engelfriet, 10 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ik had een vraag over dit nieuwsbericht: "Samsung laat gebruikers risico lopen door verlopen domein". Al die telefoons van Samsung-gebruikers gaan nu dus naar de site van die security-onderzoeker, en die kan alle gegevens uitlezen. Is dat niet een datalek?

Antwoord: Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker ziet nu miljoenen verzoeken vanaf Samsung-telefoons naar de domeinnaam. Is dat nu ook al een datalek?

Het is natuurlijk een blunder eerste klas. Een domeinnaam kost een paar euro, en een simpele “This service is not available anymore”-autoresponder moet ook geen bakken geld kosten. Maar zelfs de domeinnaam nergens heen laten wijzen had gekund, dan waren mensen ook wel snel gestopt met die app. En nu zou een kwaadwillende het protocol kunnen reverse engineeren en nepdata sturen, bijvoorbeeld suggesties voor phishing-apps die mensen dan klakkeloos installeren “want Samsung zegt dat deze compatibel is”.

Maar of het een datalek is? Daarvoor is vereist dat via dit domein persoonsgegevens lekken. Enkel dat een telefoon verbinding maakt met een app is denk ik niet genoeg daarvoor. (Tenzij je zegt dat headers zoals X-Asid persoonsgegevens zijn.)

Als de verbinding succesvol is en er wordt dan persoonlijke informatie opgestuurd door de app, dan komt die nu dus bij een ongeautoriseerd persoon terecht. Dus dan zou ik het wel een datalek noemen. Maar dat is wel een stevige als, en bovendien eentje die zich pas ruime tijd later kan voordoen.

Desondanks kan ik er niet bij dat Samsung dit heeft laten vallen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
21-06-2017, 18:09 door Anoniem
"Desondanks kan ik er niet bij dat Samsung dit heeft laten vallen."

Ik denk dat je de mogelijkheden om dit soort dingen in de hand te houden overschat.
Er bestaat niet een soort waakhond die alles in de gaten houdt wat er in een bedrijf gebeurt en niet gebeurt.
Dit soort innovatie (een grappige app onder de naam van Samsung uitgebracht) wordt vaak niet in-house ontwikkeld
maar dit wordt uitbesteed of er wordt zelfs een al eerder door een ander ontwikkelde app overgenomen om onder eigen
vlag uit te brengen. Wellicht wordt zelfs een startup gekocht daarvoor.
Op een gegeven moment is het niet meer leuk en stopt men ermee, maar de mensen die precies weten hoe het in
elkaar steekt zijn dan allang uit de picture. Naar een andere werkgever, een nieuwe startup begonnen om weer zo
iets te doen, of naar een andere job in het bedrijf. De factuur voor verlenging van het domain was wellicht onbestelbaar
of degene die hem kreeg wist niet meer waar het voor was. Toen is ie niet meer verlengd, en kreeg je dit probleem.

Voor domeinnamen zou je nog kunnen beredeneren dat het wellicht niet handig is dat een domein wat vervallen is weer
beschikbaar komt voor registratie. Daar zou een zeer ruime quarantaine periode aan moeten hangen en wellicht een
gericht onderzoek. Maar een domeinnaam is niet het enige, er kunnen ook vaste IP adressen gebruikt zijn voor
zo iets en er zijn zat andere scenario's van diensten die niet meer bestaan en dan een datalek zouden kunnen worden
of anderszins een risico.

In een middelgroot bedrijf is dit soort dingen al niet meer te overzien, zeker als het management denkt dat alles
outsourcen en "in de cloud gooien" de way to go is, maar op de schaal van Samsung is het helemaal een probleem.
"Desondanks kan ik er niet bij dat Samsung dit heeft laten vallen." dat gaat er vanuit dat iemand bij Samsung deze
keuze heeft afgewogen en het laten vervallen van het domein heeft verkozen boven 10 euro per jaar betalen om het
vast te houden. Ik denk niet dat dat zo is.
21-06-2017, 20:35 door karma4
Anoniem 18:09 prima reactie. Niets is zwart wit. Je beschrijving van wat er in grotere organisaties gebeurt is goed.
22-06-2017, 10:22 door Anoniem
Door karma4: Anoniem 18:09 prima reactie. Niets is zwart wit. Je beschrijving van wat er in grotere organisaties gebeurt is goed.
Daarom hebben we bij ons ook een systeem, dat bij certificaten en domeinnamen waarschuwt, wanneer ze gaan vervallen en aangeeft waarvoor ze zijn. Dan wordt i.i.g. gefundeerd overwogen of ze nog nodig zijn. Maar uiteraard blijven we mensen, dus fouten kunnen gebeuren.
22-06-2017, 10:51 door karma4
Door Anoniem:
Daarom hebben we bij ons ook een systeem, dat bij certificaten en domeinnamen waarschuwt, wanneer ze gaan vervallen en aangeeft waarvoor ze zijn. Dan wordt i.i.g. gefundeerd overwogen of ze nog nodig zijn. Maar uiteraard blijven we mensen, dus fouten kunnen gebeuren.
Prima dat is het ideaal (Itil). Echter als je het over 10.000+ systemen hebt met shadow-ict die je niet in beeld hebt dan gaat dat uit de menselijke maat. Krijg je daar boven op dat het vervangen van een certificaat (itil change) een heel goedkeuringsproces door moet met vele lagen managers en overleggen dan krijg je dat het of onwerkbaar is of buiten beeld gehouden wordt.
22-06-2017, 13:21 door Anoniem
Samsung?? Is dat die firma die "smart" TVs op de markt brengt/bracht die ongevraagd (en de gebruiker wist van niets!) verbinding maakt met een Samsung server en daar allemogelijke gegevens neerlegde??
Fijne jongens daar in Korea!
22-06-2017, 13:23 door Dystopia
In de nieuwe privacy wetgeving ben je als uitvoerder van een dienst straks medeverantwoordelijk. Dus ik zou als ik een registrar was wel even goed kijken naar het proces van vrijgave van domeinnamen. Voornamelijk ook omdat je dan als partij mogelijk medeverantwoordelijk kunt worden gehouden bij een datalek!
22-06-2017, 19:48 door Anoniem
Het lijkt mij hoe dan ook een datalek.
Zelfs al zou de nieuwe eigenaar niets doen om de pakketjes te lezen of mee te communiceren, heeft het al wel informatie over welke ip's er met androids op welke momenten online zijn verzameld.
Voor de één nutteloze informatie is voor de andere een schat.
22-06-2017, 23:26 door Anoniem
Als je en dienst in de markt zet, die onderdeel laat uitmaken van jouw aanbod. Dan heb je verantwoordelijkheid (in de zin van de GDPR). Als de dienst door anderen is gemaakt en jij wenst dit op te nemen als onderdeel van jouw dienstverlening, dan ben je nmm op zijn minst mede-verantwoordelijke in de zin van de GDPR.

Een verantwoordelijke is nmm altijd aanspreekbaar (in rechte). Ook als het nalatigheid betreft. En ook als jouw partner failliet gaat en een curator beslag laat leggen op alles dat bij die partner te vinden is. Aanspreekbaar betekent niet altijd dat een rechter uitspreekt dat er schadevergoeding of een boete moet worden betaald.

Als de verantwoordelijkheid wordt gedeeld door twee organisaties en eentje valt weg, dan is de andere organisatie nog steeds verantwoordelijk. Dit betekent risico in de ketens. Wil je in een dergelijke keten zitten, dan loop je ook zelf het risico. Bij het opzetten van de keten moet je dus al gaan nadenken hou jouw belangen gediend moeten worden als de keten breekt.

Nmm. Wees ervan bewust.
23-06-2017, 10:32 door Anoniem
Door Anoniem:
Door karma4: Anoniem 18:09 prima reactie. Niets is zwart wit. Je beschrijving van wat er in grotere organisaties gebeurt is goed.
Daarom hebben we bij ons ook een systeem, dat bij certificaten en domeinnamen waarschuwt, wanneer ze gaan vervallen en aangeeft waarvoor ze zijn. Dan wordt i.i.g. gefundeerd overwogen of ze nog nodig zijn. Maar uiteraard blijven we mensen, dus fouten kunnen gebeuren.
Inderdaad want zelfs dan zou het scenario kunnen zijn "domeinnaam verloopt, moeten we die verlengen, eens kijken
die wordt gebruikt voor deze app, die app supporten we niet meer, okee dan kan die domeinnaam wel weg".
Om daar tussen door te roepen "hoho maar de manier waarop die app werkt betekent dat de mensen die hem niet
verwijderd hebben nog hun gegevens daar heen sturen" dat vereist dat er dan nog iemand is die dat weet, of dat dit
allemaal van te voren heel goed is vastgelegd in dat systeem. En wat je precies vastlegt is natuurlijk afhankelijk van
wat er op dat moment allemaal actueel is en wettelijk vereist. Dat soort dingen verandert in de loop der tijd.
Het is echter zeker beter dan niets.
23-06-2017, 10:35 door Anoniem
Door karma4:
Prima dat is het ideaal (Itil). Echter als je het over 10.000+ systemen hebt met shadow-ict die je niet in beeld hebt dan gaat dat uit de menselijke maat. Krijg je daar boven op dat het vervangen van een certificaat (itil change) een heel goedkeuringsproces door moet met vele lagen managers en overleggen dan krijg je dat het of onwerkbaar is of buiten beeld gehouden wordt.
Tja als je voor een periodieke verlenging van certificaten een goedkeuringsproces door de hele organisatie door moet
dan ben je natuurlijk al behoorlijk van het rechte pad af. Ik sluit niet uit dat er organisaties zijn waar dat zo gaat,
maar die moeten dan ook niet verbaasd zijn dat ze zoveel overhead hebben en dat het zo vaak fout gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.