Privacy - Wat niemand over je mag weten

Nog steeds toegang tot mijn oude bedrijf na 3 jaar uit dienst te zijn. Ben ik verplicht dit te melden.

23-08-2017, 16:20 door Anoniem, 26 reacties
Zoals de titel al zegt, ik heb nog steeds toegang tot mijn oude bedrijf (IT branche) waar ik ooit (stagiaire) was. Met toegang bedoel ik elk bedrijf waar mijn vorige bedrijf mee gewerkt heeft denk hierbij aan ziekenhuizen en grote bedrijven. Ik kan dus met kwade bedoelingen dossiers en bestanden verwijderen of eventueel manipuleren. Nu ben ik dit niet van plan maar dit voelt gewoon niet goed.

Dit alles is wel beveiligd met een wachtwoord maar deze is nooit gewijzigd, elke stagiaire\medewerker die hier gewerkt heeft in de tussentijd 10 a 11 man, heeft dus in principe nog steeds toegang

Ben ik verplicht dit te melden aan de autoriteit persoonsgegevens? (Ik heb wel een geheimhoudingsplicht ondertekend)

Ik verneem dit graag!
Reacties (26)
23-08-2017, 18:23 door Anoniem
Ik weet niet of je verplicht bent, ik zou het persoonlijk wel sportief vinden om dit te melden, en je kan advies geven over het gebruik van wachtwoorden ed. Zoals bijf ene stagair account met gelimiteerde functies die elke keer word aangemaakt met ene eigen wachtwoord die daarna verwijderd word

Je kan het op zijn minst melden. Ze zullen het zeker op prijs stellen.
23-08-2017, 18:28 door Anoniem
Door Anoniem: Zoals de titel al zegt, ik heb nog steeds toegang tot mijn oude bedrijf (IT branche) waar ik ooit (stagiaire) was. Met toegang bedoel ik elk bedrijf waar mijn vorige bedrijf mee gewerkt heeft denk hierbij aan ziekenhuizen en grote bedrijven. Ik kan dus met kwade bedoelingen dossiers en bestanden verwijderen of eventueel manipuleren. Nu ben ik dit niet van plan maar dit voelt gewoon niet goed.

Dit alles is wel beveiligd met een wachtwoord maar deze is nooit gewijzigd, elke stagiaire\medewerker die hier gewerkt heeft in de tussentijd 10 a 11 man, heeft dus in principe nog steeds toegang

Ben ik verplicht dit te melden aan de autoriteit persoonsgegevens? (Ik heb wel een geheimhoudingsplicht ondertekend)

Ik verneem dit graag!

Beetje Offtopic, hoe weet je dat je nog steeds toegang hebt? dat betekent dat je het geprobeert hebt toch? Dan moet je het zo ie zo even bij het bedrijf melden. Feit dat er 3 jaar nadat je uit dienst bent gegaan geen een wachtwoord is gewijzigd is ronduit bizar voor een IT bedrijf. En helemaal als die faciliteerd aan Ziekenhuisen en groot zakelijk. Meld dit gewoon bij het bedrijf. Ik lees graag mee of je ook verplicht bent dit te melden bij een instantie.
23-08-2017, 18:59 door Anoniem
Aangezien het om een waarschijnlijke structurele laksheid met brede impact gaat zou ik sterk overwegen een (anonieme) tip bij voorheen-het-CBP neer te leggen. Als dat niet het geval was dan zou ik ze zelf een bericht sturen of ze mijn toegang even gauw dicht willen zetten, dank u.

(Dat is ook de reden dat toen ik ergens wegging waarvan ik wist dat ze daar waarschijnlijk te laks voor zouden zijn, ik maar gewoon zelf al mijn toegang zoveel mogelijk dichtgezet heb--handig als je zelf de chef admin bent. Niet vanwege hun belang, wat mij betreft mocht en mag dat bedrijf afbranden, maar vanuit mijn belang: Dan kan ik altijd zeggen "maar ik heb die toegang al lang niet meer, kijk maar.")

Wat er verplicht is? Geen idee. Maar gezien die NDA zou ik me beperken tot een anonieme melding.
23-08-2017, 20:21 door Anoniem
Ben ik verplicht dit te melden aan de autoriteit persoonsgegevens? (Ik heb wel een geheimhoudingsplicht ondertekend
Antwoord: nee.
U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.
En een jurist:
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben.
Er staat duidelijk "in handen vallen". Niet "in handen kunnen vallen".

Wat ik denk ik zou doen is (alsof je van niks weet) bij het bedrijf eens vragen of ze hetzelfde wachtwoord nog hebben.
Zo ja, schrik er dan maar van en eis verontwaardigd dat ze het wachtwoord z.s.m. wijzigen.
Zolang dat niet gebeurt, loop je met de andere stagiairs een risico om medeverdachte te worden als er écht iets gebeurt.
Dat willen jullie vast uitsluiten door er eenvoudig niet meer bij te kunnen dmv een wachtwoordwijziging.
En verder is het überhaupt niet zo veilig om zolang hetzelfde wachtwoord te houden op een verbinding die zoveel toegang geeft tot zoveel data. En eh...neem het even op (voor jezelf)...
24-08-2017, 09:02 door Whacko
Ik zou zeggen dat dit gewoon onder "responsible disclosure" valt. In plaats van dat je een beveiligings lek op traditionele manier vindt, zoals een sql injection of xss lek, vind je nu eigenlijk een "default login". Zou je dus op z'n minst bij het bedrijf mogen melden. Je hebt immers het beste voor met het bedrijf.
Vooral als deze account wordt hergebruikt voor alle mensen die voor en na jou in dienst zijn geweest. Dan zijn er dus potieel meerdere mensen die toegang hebben en dat niet meer mogen hebben. En misschien zit daar WEL een kwaadwillend persoon tussen.
24-08-2017, 09:44 door Anoniem
Door Anoniem: Wat ik denk ik zou doen is (alsof je van niks weet) bij het bedrijf eens vragen of ze hetzelfde wachtwoord nog hebben.
Zo ja, schrik er dan maar van en eis verontwaardigd dat ze het wachtwoord z.s.m. wijzigen.
Het bedrijf kan natuurlijk in haar logs opzoeken welke oud stagiair heeft ingelogd. Dus ontkennen heeft niet veel zin.
Ik zou volgens https://www.security.nl/posting/470888#posting470988 of (makkelijk) https://www.schneier.com/academic/passsafe/ een alfanumeriek wachtwoord aan maken van minimaal 16 tekens en deze al dan niet bewaren. (Jouw computer kan natuurlijk ook gehackt worden en dan kunnen deze inloggegevens ook gestolen worden met alle gevolgen van dien).

Dus ik zou zo je account op slot zetten voor kwaadwillenden, en verder is het hun probleem (IANAL).
24-08-2017, 12:35 door Whacko
Door Anoniem:
Door Anoniem: Wat ik denk ik zou doen is (alsof je van niks weet) bij het bedrijf eens vragen of ze hetzelfde wachtwoord nog hebben.
Zo ja, schrik er dan maar van en eis verontwaardigd dat ze het wachtwoord z.s.m. wijzigen.
Het bedrijf kan natuurlijk in haar logs opzoeken welke oud stagiair heeft ingelogd. Dus ontkennen heeft niet veel zin.
Ik zou volgens https://www.security.nl/posting/470888#posting470988 of (makkelijk) https://www.schneier.com/academic/passsafe/ een alfanumeriek wachtwoord aan maken van minimaal 16 tekens en deze al dan niet bewaren. (Jouw computer kan natuurlijk ook gehackt worden en dan kunnen deze inloggegevens ook gestolen worden met alle gevolgen van dien).

Dus ik zou zo je account op slot zetten voor kwaadwillenden, en verder is het hun probleem (IANAL).
Neeeee, nooit dingen gaan wijzigen zodat jij er alleen in kunt. Dan ben je met mogelijk kwaadwillende acties bezig. Asl het account door iemand anders gebruikt wordt, dan kan deze zijn/haar werk niet meer doen en ben je schade aan het veroorzaken.
Je test een sql injectie ook niet met DROP TABLE. Nee je probeert een SELECT uit te voeren om te zien of je een response krijgt, en daarna meldt je het direct.
24-08-2017, 13:17 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik denk ik zou doen is (alsof je van niks weet) bij het bedrijf eens vragen of ze hetzelfde wachtwoord nog hebben.
Zo ja, schrik er dan maar van en eis verontwaardigd dat ze het wachtwoord z.s.m. wijzigen.
Het bedrijf kan natuurlijk in haar logs opzoeken welke oud stagiair heeft ingelogd. Dus ontkennen heeft niet veel zin.
Slim hoor. Dat had ik vast bedoeld. (NOT)
Kan je ook nog iets bedenken waarom het misschien wél verstandig kan zijn om nadat de persoon zich heeft voorgesteld
als een oud-stagiair en naam, daarna niet te gaan zeggen:
"Ik heb zonet nog eens geprobeerd om bij jullie in te loggen, en ondekt dat etc etc.?"
24-08-2017, 14:21 door [Account Verwijderd] - Bijgewerkt: 25-08-2017, 08:24
[Verwijderd]
24-08-2017, 16:49 door Anoniem
Door Anoniem: Slim hoor. Dat had ik vast bedoeld. (NOT)
Kan je ook nog iets bedenken waarom het misschien wél verstandig kan zijn om nadat de persoon zich heeft voorgesteld
als een oud-stagiair en naam, daarna niet te gaan zeggen:
"Ik heb zonet nog eens geprobeerd om bij jullie in te loggen, en ondekt dat etc etc.?"
Een reden om dat niet te zeggen is, dat het met klokkenluiders in Nederland over het algemeen slecht afloopt.
Mijn post was trouwens geen persoonlijke aanval, maar slechts een mening.
24-08-2017, 20:29 door Anoniem
Ze zoeken iemand om er in te luizen, zodat jij de schuld krijgt als er wat fout gaat. Niet intrappen. Ik weet echter niet hoe je hier een einde aan kan maken. Als je dit aan het daglicht brengt zal je nooit meer werk vinden, je toekomst is dan voorbij.

Je wordt er in geluisd.

Ik heb het zo vaak gezien, een zondebok in een organisatie, dat is wat je zal worden, trap er niet in.

Wat ik zou denken, neem een advocaat die er op staat je toegang stop te zetten, je wil toch niet verantwoordelijk zijn voor waar je er voor wordt ingeluisd?
25-08-2017, 09:14 door Whacko
Door Anoniem: Ze zoeken iemand om er in te luizen, zodat jij de schuld krijgt als er wat fout gaat. Niet intrappen. Ik weet echter niet hoe je hier een einde aan kan maken. Als je dit aan het daglicht brengt zal je nooit meer werk vinden, je toekomst is dan voorbij.

Je wordt er in geluisd.

Ik heb het zo vaak gezien, een zondebok in een organisatie, dat is wat je zal worden, trap er niet in.

Wat ik zou denken, neem een advocaat die er op staat je toegang stop te zetten, je wil toch niet verantwoordelijk zijn voor waar je er voor wordt ingeluisd?
Halleluja! hoeveel kilo aluminiumfolie gebruik jij per jaar voor je hoedjes!? Als jij alles netjes aangeeft aan je oud-werkgever, dan is zelf de minst technisch onderlegde rechter nog in jouw voordeel hoor.
25-08-2017, 09:52 door Anoniem
Door Neb Poorten: Ik heb ook nog wat wachtwoorden van server accounts liggen die mogelijk nog werken. Maar dat ga ik niet uitproberen zonder dat die bedrijven daarom vragen. Waarom zou ik? Is dat mijn taak? Nee en het kan ook gemakkelijk verkeerd worden uitgelegd wanneer je zoiets probeert. En het wordt gelogd.

Als er na jouw inloggen toevallig iets gebeurt wat verdenking opwekt (maar waar je helemaal niets mee te maken hebt) dan kan men toch bij jou aankloppen en om toelichting vragen. Toon dan maar eens aan dat je weliswaar hebt ingelogd - zonder dat daarom gevraagd werd en waarvoor je eigenlijk geen goede reden hebt - maar dat je niets hebt uitgevreten.

Kortom: niet doen en dergelijke toegangsgegevens meteen weggooien of uit je geheugen wissen.
Ik verbaas me vaker over je reacties en vraag me af of je een ITer bent of maar wat roept. Natuurlijk moet je dit melden en niet alleen bij het bedrijf. Zoals whacko aangeeft valt dit inderdaad onder responsible disclosure, iets waar elke rechter in mee gaat. Mocht er iets gebeuren waarmee bestanden verwijderd worden en hij wordt er op aangekeken, kunnen logbestanden uitwijzen wie het is geweest. Indien die er niet zijn kan iedereen met toegang de boosdoener zijn geweest. Wat denk je dat zwaarder zal wegen, een oud-stagiaire die een beveiligingsissue meldt of een bedrijf dat een werknemer aanklaagt omdat het test of zn logingegevens nog werken?

Laatstgenoemde zal nooit gebeuren, het bedrijf in kwestie bijt zichzelf er alleen maar mee in de vingers en die geheimhoudingsplicht gaat nooit over dit soort dingen. Aangezien er ook ziekenhuizen mee gemoeid zijn zou ik niet alleen het bedrijf inlichten maar ook de AP.
25-08-2017, 09:53 door Anoniem
Door Anoniem: Ze zoeken iemand om er in te luizen, zodat jij de schuld krijgt als er wat fout gaat. Niet intrappen. Ik weet echter niet hoe je hier een einde aan kan maken. Als je dit aan het daglicht brengt zal je nooit meer werk vinden, je toekomst is dan voorbij.

Je wordt er in geluisd.

Ik heb het zo vaak gezien, een zondebok in een organisatie, dat is wat je zal worden, trap er niet in.

Wat ik zou denken, neem een advocaat die er op staat je toegang stop te zetten, je wil toch niet verantwoordelijk zijn voor waar je er voor wordt ingeluisd?
Wat een bangmakerij. Niet te geloven dit. Je hebt geen toekomst meer als je een beveiligingsissue meldt? Ben je wel helemaal 100?
25-08-2017, 17:31 door Anoniem
Door Anoniem:
Door Anoniem: Ze zoeken iemand om er in te luizen, zodat jij de schuld krijgt als er wat fout gaat. Niet intrappen. Ik weet echter niet hoe je hier een einde aan kan maken. Als je dit aan het daglicht brengt zal je nooit meer werk vinden, je toekomst is dan voorbij.

Je wordt er in geluisd.

Ik heb het zo vaak gezien, een zondebok in een organisatie, dat is wat je zal worden, trap er niet in.

Wat ik zou denken, neem een advocaat die er op staat je toegang stop te zetten, je wil toch niet verantwoordelijk zijn voor waar je er voor wordt ingeluisd?
Wat een bangmakerij. Niet te geloven dit. Je hebt geen toekomst meer als je een beveiligingsissue meldt? Ben je wel helemaal 100?

Werk je bij Fox It?

Zo gek is dat niet als je ziet wat er met de jonge man is gebeurd die WannaCry stopte, die zit nu lekker in de USA vast weliswaar op borgtocht, met een GoFundMe en de hele USA regering achter zich aan voor het tegenhouden van WannaCry.

Verder meld Security o.a. dit,

Beveiligingsonderzoekers en hackers zwijgen over lekken omdat ze bang zijn voor Microsoft, aldus beveiligingsexpert Robert Graham, die zelf ook door de softwaregigant bedreigd zou zijn. Graham reageert naar aanleiding van het lek in Internet Explorer, waardoor vermoedelijk Chinese hackers bij Google wisten in te breken. De bug noemt hij op zichzelf geen falen van Microsoft. "Microsoft is waarschijnlijk de beste in de industrie als het gaat om het oplossen van dit soort bugs." Toch had de reus uit Redmond een week nodig om het lek te patchen en wist het hier al maanden van. "Dat is een vrij lange tijd voor een zero-day om los te lopen."

Bedreiging
Volgens Graham reageerde Microsoft vroeger sneller op grote beveiligingslekken en wordt het elk jaar erger. "Dat komt doordat ze direct of indirect de helft van de beveiligingsindustrie inhuren en de andere helft beïnvloeden." Als Microsoft een lek negeert en een onderzoeker besluit het probleem bekend te maken, dan zal Microsoft ze binnen de industrie proberen te weren. "Onderzoekers houden hun mond omdat ze bang zijn voor Microsoft", zegt Graham. Zelf zegt hij ook door de Microsoft bedreigd te zijn.

Hij ontdekte een aantal jaren geleden een eenvoudig WiFi-lek in Windows Mobile. Het werd nooit gepatcht, grotendeels omdat de telecomprovider dit weigerde. Aangezien hij het lek pas kon publiceren na de patch, betekende dit dat hij het lek nooit publiceerde. "We kennen veel onderzoekers die lekken in Windows Mobile vinden die voor precies dezelfde reden nooit gepubliceerd worden." In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft."

Graham erkent dat het redelijk van Microsoft is om te verlangen dat onderzoekers wachten met publiceren totdat er een patch is. Microsoft zou echter zijn doorgeslagen, met als gevolg dat ze te lang over het patchen van lekken doen.

Noodpatch
Een ander probleem waar de softwaregigant mee zit zijn de noodpatches. Out-of-band updates kosten zowel voor Microsoft als klanten veel geld. De maandelijkse patchcyclus is dan ook goedkoper en eenvoudiger voor iedereen. Toch komt het voor dat een lek zo ernstig is dat het buiten deze cyclus om gepatcht moet worden. De beveiligingsexpert vroeg Microsoft of het hier een budget voor heeft en tot zijn grote verrassing blijkt dit niet zo te zijn. Out-of-band patches zouden namelijk nooit moeten voorkomen.

"Ik durf er geld op te zetten dat er in de komende maanden een nieuw zero-day lek in Windows wordt gevonden en Microsoft moet hier rekening mee houden." Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. De reactie op het recente IE-lek noemt Graham een fiasco. "Daarnaast wordt Microsoft steeds slechter in het oplossen van lekken, niet beter."

Mensen, negeer beveiligingslekken, doe alsof het niet gebeurt. Dat scheelt je tijd en je leven. Je bent slechts een zondebok, meer niet, maar ook niet minder.

Vanzelfsprekend is een machtig bedrijf als Microsoft niet vergelijkbaar met iemand die bij een Nederlands bedrijf gaat klokkenluider, maar we kennen onze pappenheimers, en we weten hoe het in Nederland afloopt met klokkenluiders, daar zijn tientallen zaken over te vinden, ook in het niet digitaal domein, zoals Defensie met kenmerkend dat als je mensenlevens wil redden ten koste van geld je eindigt zoals hier beschreven, een verhaal zo ernstig dat er een film over gemaakt zou moeten worden.

https://nl.wikipedia.org/wiki/Fred_Spijkers

Ga niet klokkenluiden, die term is afkomstig van dat bij begrafenis een doodsklok werd geluid voor gelovigen. Doe het niet wees verstandig, houd je mond.

Horen, zien, zwijgen.
25-08-2017, 23:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ze zoeken iemand om er in te luizen, zodat jij de schuld krijgt als er wat fout gaat. Niet intrappen. Ik weet echter niet hoe je hier een einde aan kan maken. Als je dit aan het daglicht brengt zal je nooit meer werk vinden, je toekomst is dan voorbij.

Je wordt er in geluisd.

Ik heb het zo vaak gezien, een zondebok in een organisatie, dat is wat je zal worden, trap er niet in.

Wat ik zou denken, neem een advocaat die er op staat je toegang stop te zetten, je wil toch niet verantwoordelijk zijn voor waar je er voor wordt ingeluisd?
Wat een bangmakerij. Niet te geloven dit. Je hebt geen toekomst meer als je een beveiligingsissue meldt? Ben je wel helemaal 100?

Werk je bij Fox It?

Zo gek is dat niet als je ziet wat er met de jonge man is gebeurd die WannaCry stopte, die zit nu lekker in de USA vast weliswaar op borgtocht, met een GoFundMe en de hele USA regering achter zich aan voor het tegenhouden van WannaCry.

Verder meld Security o.a. dit,

Beveiligingsonderzoekers en hackers zwijgen over lekken omdat ze bang zijn voor Microsoft, aldus beveiligingsexpert Robert Graham, die zelf ook door de softwaregigant bedreigd zou zijn. Graham reageert naar aanleiding van het lek in Internet Explorer, waardoor vermoedelijk Chinese hackers bij Google wisten in te breken. De bug noemt hij op zichzelf geen falen van Microsoft. "Microsoft is waarschijnlijk de beste in de industrie als het gaat om het oplossen van dit soort bugs." Toch had de reus uit Redmond een week nodig om het lek te patchen en wist het hier al maanden van. "Dat is een vrij lange tijd voor een zero-day om los te lopen."

Bedreiging
Volgens Graham reageerde Microsoft vroeger sneller op grote beveiligingslekken en wordt het elk jaar erger. "Dat komt doordat ze direct of indirect de helft van de beveiligingsindustrie inhuren en de andere helft beïnvloeden." Als Microsoft een lek negeert en een onderzoeker besluit het probleem bekend te maken, dan zal Microsoft ze binnen de industrie proberen te weren. "Onderzoekers houden hun mond omdat ze bang zijn voor Microsoft", zegt Graham. Zelf zegt hij ook door de Microsoft bedreigd te zijn.

Hij ontdekte een aantal jaren geleden een eenvoudig WiFi-lek in Windows Mobile. Het werd nooit gepatcht, grotendeels omdat de telecomprovider dit weigerde. Aangezien hij het lek pas kon publiceren na de patch, betekende dit dat hij het lek nooit publiceerde. "We kennen veel onderzoekers die lekken in Windows Mobile vinden die voor precies dezelfde reden nooit gepubliceerd worden." In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft."

Graham erkent dat het redelijk van Microsoft is om te verlangen dat onderzoekers wachten met publiceren totdat er een patch is. Microsoft zou echter zijn doorgeslagen, met als gevolg dat ze te lang over het patchen van lekken doen.

Noodpatch
Een ander probleem waar de softwaregigant mee zit zijn de noodpatches. Out-of-band updates kosten zowel voor Microsoft als klanten veel geld. De maandelijkse patchcyclus is dan ook goedkoper en eenvoudiger voor iedereen. Toch komt het voor dat een lek zo ernstig is dat het buiten deze cyclus om gepatcht moet worden. De beveiligingsexpert vroeg Microsoft of het hier een budget voor heeft en tot zijn grote verrassing blijkt dit niet zo te zijn. Out-of-band patches zouden namelijk nooit moeten voorkomen.

"Ik durf er geld op te zetten dat er in de komende maanden een nieuw zero-day lek in Windows wordt gevonden en Microsoft moet hier rekening mee houden." Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. De reactie op het recente IE-lek noemt Graham een fiasco. "Daarnaast wordt Microsoft steeds slechter in het oplossen van lekken, niet beter."

Mensen, negeer beveiligingslekken, doe alsof het niet gebeurt. Dat scheelt je tijd en je leven. Je bent slechts een zondebok, meer niet, maar ook niet minder.

Vanzelfsprekend is een machtig bedrijf als Microsoft niet vergelijkbaar met iemand die bij een Nederlands bedrijf gaat klokkenluider, maar we kennen onze pappenheimers, en we weten hoe het in Nederland afloopt met klokkenluiders, daar zijn tientallen zaken over te vinden, ook in het niet digitaal domein, zoals Defensie met kenmerkend dat als je mensenlevens wil redden ten koste van geld je eindigt zoals hier beschreven, een verhaal zo ernstig dat er een film over gemaakt zou moeten worden.

https://nl.wikipedia.org/wiki/Fred_Spijkers

Ga niet klokkenluiden, die term is afkomstig van dat bij begrafenis een doodsklok werd geluid voor gelovigen. Doe het niet wees verstandig, houd je mond.

Horen, zien, zwijgen.
Mooi stukje tekst heb je bij elkaar geraapt. Kan allemaal gefabriceerd zijn. Bovendien leven we in Nederland en niet in Amerika. Kijk niet naar het verleden, kijk naar het nu en de toekomst.
26-08-2017, 08:26 door [Account Verwijderd] - Bijgewerkt: 26-08-2017, 08:50
[Verwijderd]
26-08-2017, 09:31 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Neb Poorten: Ik heb ook nog wat wachtwoorden van server accounts liggen die mogelijk nog werken. Maar dat ga ik niet uitproberen zonder dat die bedrijven daarom vragen. Waarom zou ik? Is dat mijn taak? Nee en het kan ook gemakkelijk verkeerd worden uitgelegd wanneer je zoiets probeert. En het wordt gelogd.

Als er na jouw inloggen toevallig iets gebeurt wat verdenking opwekt (maar waar je helemaal niets mee te maken hebt) dan kan men toch bij jou aankloppen en om toelichting vragen. Toon dan maar eens aan dat je weliswaar hebt ingelogd - zonder dat daarom gevraagd werd en waarvoor je eigenlijk geen goede reden hebt - maar dat je niets hebt uitgevreten.

Kortom: niet doen en dergelijke toegangsgegevens meteen weggooien of uit je geheugen wissen.

Ik verbaas me vaker over je reacties en vraag me af of je een ITer bent of maar wat roept.

Goed lezen. Ik schreef dat je na vertrek oude inloggegevens moet weggooien en zeker niet ongevraagd gaan proberen of deze nog werken.

Jij hebt het over een situatie waarin er al is geprobeerd in te loggen. Dan heb je als 'hacker' een groot probleem want dat is zeer waarschijnlijk gelogd. Als er nu iets gebeurt dan worden die logs uitgeplozen en kloppen ze sowieso bij jou aan en heb je wat uit te leggen.

Je had beter het bedrijf kunnen vragen wat er zou gebeuren wanneer je met je oude gegevens probeert in te loggen (zonder dat daadwerkelijk te doen). Maar ja, daarvoor is het nu te laat.

Je gaat toch ook niet met dat oude toegangspasje, wat je door een foutje nog hebt liggen, proberen om op een ongezien moment door de toegangspoort binnen te komen? (Dat wordt ook gelogd met al die camera's die er tegenwoordig hangen.) En dan achteraf naar de politie stappen met een verhaal dat je alleen maar wilde controleren of het pasje nog werkte.
Ik heb goed gelezen. Wat je zegt is dat je initieel al niet zou moeten proberen om in te loggen. Maar dat heeft hij wel gedaan. Ik denk dat als een bedrijf daar nu niks van hoort, het eerder verdacht gaat vinden dan als hij dit zou aankaarten. Het zou idioot zijn als het bedrijf opeens geen vertrouwen meer heeft in de oud stagiaire dat het in eerste instantie, toen hij daar werkzaam was, wel heeft gehad.

Nogmaals, als er dan iets gebeurd, dan zou de logging ook aan kunnen geven wie wat heeft gedaan.

Het is en blijft een groot beveiligingsrisico dat er ongebruikte accounts open blijven staan. Ik ben benieuwd of de topicstarter inmiddels al stappen heeft gezet.
26-08-2017, 16:29 door [Account Verwijderd] - Bijgewerkt: 26-08-2017, 16:33
[Verwijderd]
26-08-2017, 19:01 door Anoniem
Laat een advocaat op jouw kosten dit verhaal technisch en juridisch afsluiten, dan is het sluitend bij wet. Laat je niet gebruiken voor als er wat fout gaat, dek je zelf in.
26-08-2017, 19:12 door Anoniem

Mooi stukje tekst heb je bij elkaar geraapt. Kan allemaal gefabriceerd zijn. Bovendien leven we in Nederland en niet in Amerika. Kijk niet naar het verleden, kijk naar het nu en de toekomst.

Ach ieder die tweakers(punt)net of arschtechnica of Nederlandse kranten zoals de Volkskrant/Telegraaf leest weet hoe het met klokkenluiders afloopt.

Die WannaCry gast die de aanval stopte is nu nog steeds een hot item, hij heeft veel geld nodig om de rechtszaak aan te kunnen. De aanklacht is dat hij juist verantwoordelijk is.

Citaat: FBI arresteert Britse onderzoeker die WannaCry-verspreiding stopte - update

De Brit Marcus Hutchins is woensdag door de FBI aangehouden om onbekende redenen. De man was onder het pseudoniem MalwareTech verantwoordelijk voor de ontdekking van de killswitch in de ransomware WannaCry. Hierdoor werd de verspreiding een halt toebracht.

Motherboard heeft van Amerikaanse autoriteiten vernomen dat Hutchins is aangehouden door de FBI, maar verdere details zijn niet bekend. De Brit was in Las Vegas voor de hackersconferenties Black Hat en Def Con. Beveiligingsonderzoeker Andrew Mabbitt bevestigt dat de Brit is aangehouden. Het National Crime Agency van het VK erkent dat een Brit is aangehouden, maar laat aan Motherboard weten dat het zaak is voor de autoriteiten in de VS.
https://tweakers.net/nieuws/127975/fbi-arresteert-britse-onderzoeker-die-wannacry-verspreiding-stopte.html

Het gaat er niet om wie iets gedaan heeft, als er maar iemand is die er voor op kan draaien. De IT sector is niet echt liefdevol, en het zeker niet om fabricage van feiten. Een ieder kan ook voor Nederland uitzoeken wat er gebeurt met klokkenluiders. In het beste geval kom je te wonen in een caravan op een camping terwijl je daarvoor een mooi leven had.

Bronnen noemen heeft geen zin. Laat de topic starter denken aan zichzelf, louter zichzelf, klokkenluiden is einde oefening, een advocaat kost geld maar verzekert zijn toekomst in de IT industrie waar je voor kleine dingen aan de doodskist genageld wordt. ( Zoals Ian Murdock van Debian Linux die oveleed na excuus aanbieden vanwege geluidsoverlast door een geslaagde suicide poging, of Aaron Schwartz die vond dat computer kennis voor ieder was. )

Maar ik zou zelfs de duivel niet kunnen overtuigen dat ie slecht is, dus het heeft geen verdere zin om argumenten in te brengen.

Voor de topic starter, neem nou die advocaat, en laat die het doen, kost je geld, op dit moment, maar je toekomst is meer waard dan geld.
26-08-2017, 23:31 door Anoniem
Door Neb Poorten:
Door Anoniem: Wat je zegt is dat je initieel al niet zou moeten proberen om in te loggen. Maar dat heeft hij wel gedaan. Ik denk dat als een bedrijf daar nu niks van hoort, het eerder verdacht gaat vinden dan als hij dit zou aankaarten. Het zou idioot zijn als het bedrijf opeens geen vertrouwen meer heeft in de oud stagiaire dat het in eerste instantie, toen hij daar werkzaam was, wel heeft gehad.

Dat vertrouwen was blijkbaar niet helemaal terecht. Want ondanks dat hij een geheimhoudingsverklaring heeft getekend heeft hij of zij:

(a) gedurende een periode van 3 jaar ('nog steeds toegang') zonder toestemming ingelogd met bewaarde toegangsgegevens na beëindiging van de stage;
(b) het bedrijf niet meteen op de hoogte gesteld na de eerste keer vaststellen dat de toegangsgegevens nog werkten;
(c) in plaats daarvan overwogen melding te doen bij de autoriteit persoonsgegevens (dat zou echt een mes in de rug van het bedrijf zijn, met mogelijk gevolgen voor hen).

Door Anoniem: Nogmaals, als er dan iets gebeurd, dan zou de logging ook aan kunnen geven wie wat heeft gedaan.

Als je eenmaal binnen bent dan kan je - mogelijk, niet uit te sluiten - ook de logs aanpassen. Het spoor van zijn of haar IP adres naar de server van dat bedrijf is moeilijker te wissen want dat staat niet alleen in de server logs.

Door Anoniem: Het is en blijft een groot beveiligingsrisico dat er ongebruikte accounts open blijven staan. Ik ben benieuwd of de topicstarter inmiddels al stappen heeft gezet.

Hij of zij zou in overleg moeten gaan met dat bedrijf zodat ze er wat aan kunnen doen en aankaarten dat zij dat dienen te melden bij de autoriteit persoonsgegevens (indien van toepassing op deze situatie).
Een geheimhoudingsverklaring zegt niks over inloggegevens die na de stageperiode gebruikt worden. Ik kan me ook niet voorstellen dat je zoiets terug ziet in een gemiddelde stageovereenkomst. Bovenal is het bedrijf nalatig dat voormalig stagiaire deze constatering kan doen.

Ik blijf erbij dat je maar wat loopt te roepen en klaarblijkelijk geen ervaring lijkt hebt met dit soort zaken, wat erg jammer is voor een topicstarter die op zoek is naar een serieus antwoord op zn vraag.
27-08-2017, 11:03 door Anoniem
We gaan met zijn allen weer volledig Oftopic:

TS moet gewoon naar het betreffende bedrijf toe gaan, het gaat niet om goed of fout maar een kwestie van fatsoen. Het bedrijf is nalatig wat betreft de policy met wachtwoorden (indien ze die hebben) dan is het gewoon het beste het bedrijf daar op een fatsoenlijke manier op te wijzen zonder dat je zelf in de problemen komt.

Met alle respect maar zeggen dat je een anonieme tip wilt gaan wegzetten etc, in wat voor wereld leven we. Als de buurman de sleutels in zijn deur laat dan laat je dat toch ook even bij hem weten? Of bel je dan de makelaar of de beheerder op? Cmon...

Het bedrijf in kwestie moet gewoon ingelicht worden dat stagaires nog bij gegevens kunnen en in systemen kunnen inloggen

Niet te moeilijk doen. Kwestie van normen en waarden. En dan kunnen we met zijn allen heel moeilijk gaan doen over wat wel en niet moet. Wat de TS gewoon moet doen is ff naar het bedrijf toe gaan en het melden. En anders een Anonieme brief schrijven naar het bedrijf zelf zonder afzender. Dan kom je helemaal niet in de problemen.
27-08-2017, 12:50 door [Account Verwijderd] - Bijgewerkt: 27-08-2017, 12:52
[Verwijderd]
27-08-2017, 14:49 door Anoniem
Ts controleert toch alleen maar of het wachtwoord wel is veranderd sinds hij daar weg is en geen toegang meer heeft tot de data? Dat is ten eerste voor zijn eigen veiligheid en ten tweede die van het bedrijf! Het doel heiligt de middelen.
Als het de bedoeling zou zijn geweest om de boel te hacken en leeg te roven dan had ts dat wel gedaan.
27-08-2017, 17:02 door karma4
Ik snap de hele situatie van TS niet.
Ik ben gewend aan een machine/desktop van de zaak (VPN voor thuiswerk). Geen mogelijkheid tot een toegang via eigen machines of het zou om een gecontroleerde remote desktop moeten zijn. Project/werk afgelopen machine inleveren en alle toegang as verdwijnt. Soms is het slepen met meerdere laptops, het zij zo.

De gevallen met open internet access heb ik gezien als bypass door het niet faciliteren van de benodigde techniek door ICT clubjes dan wel een marketingclubje die op eigen houtje wel iets in de cloud oplost.
Het gebruik van shared accounts ligt in dat verlengde waar de ICT faalt om tijdig autorisaties te regelen (9 maanden wachten meegemaakt) zoekt de lijn organisatie eigen oplossingen.

Volgens TS:
- Zo te horen gaat het om een shared account en deze wordt door stagiaires bij het bedrijf voor het gangbare werk.
- Het gangbare wordt benoemd als het uitvoeren van werkzaamheden bij klanten van dat IT-bedrijf.

Dat je uit nieuwsgierigheid geprobeerd hebt om aan te loggen is begrijpelijk. wat links:
- https://www.security.nl/posting/374528/Juridische+vraag%3A+ex-werkgever+blijft+mijn+e-mailadres+gebruiken
- http://www.iusmentis.com/beveiliging/hacken/computercriminaliteit/computervredebreuk/
- https://www.security.nl/posting/40096/Krol+krijgt+boete+wegens+computervredebreuk
- https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBOBR:2013:BZ1157
"Verdachte en medeverdachte hadden zich kunnen beperken tot het inloggen in het systeem, zonder verder specifieke dossiers met daarin voornoemde gevoelige gegevens te bevragen."

Daar lig zo te zien de grens. Inloggen en melden dat zoiets nog lukt wordt door deze rechter niet als een probleem gezien. Verder gaan met data benaderen wel.
Het is niet goed dat het bij dat IT bedrijf nog steeds open staat. Ik ken de omvang van dat bedrijf niet, naar verwachting niet zo heel groot of een kleine zelfstandig werkende dependance. In dat geval zou ik het aan de betreffende directie melden dat je gemerkt hebt dat je nog steeds kan aanloggen en dat je dat zorgelijk vind. Het is aan hun om daar wat mee te doen of niet. Je hoeft het niet te melden daar is geen verplichting toe. Slecht management en wanbeleid zijn geen misdrijven en een vergissing dan wel nalatigheid ook niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.