Overheden monitoren eigen Gov-domeinen op Have I Been Pwned
De Australische en Britse overheid maken gebruik van Have I Been Pwned om te controleren dat er geen e-mailadressen van overheidsdiensten zijn gecompromitteerd, zo meldt beveiligingsonderzoeker Troy Hunt, aanbieder van de dienst. Have I Been Pwned is een zoekmachine waarmee gebruikers in bijna 4,9 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen. De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig.
Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. Daarnaast is het voor domeineigenaren mogelijk om binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Volgens Hunt maken al veel bedrijven, onder andere in de Fortune 500, hier gebruik van. De Australische en Britse overheid kunnen nu gratis van deze dienst gebruik maken, zo laat de onderzoeker weten.
Zo kan de Britse overheid zoekopdrachten op .gov.uk en de Australische overheid op .gov.au uitvoeren, aangevuld met een aantal gewhiteliste domeinen. Tevens maken beide overheden gebruik van de waarschuwingsdienst van Have I Been Pwned. Zodra een e-mailadres eindigend op .gov.uk of .gov.au in een datalek of paste voorkomt, wordt er een waarschuwing verstuurd. Hunt stelt dat hij in het kader van transparantie het gebruik van de dienst door de Australische en Britse overheid bekend heeft gemaakt en benadrukt dat ze alleen toegang tot hun eigen domeinen hebben.
Bij Troy Hunt navragen of hij persoonsgegevens van je heeft geeft maar over een ding zekerheid: of hij illegaal persoonsgegevens van je verwerkt of niet. Hij kan je niet aangeven of die gegevens echt gelekt zijn, hij kan je niet aangeven wanneer die gegevens gelekt zijn. Hij kan hooguit aangeven wanneer hij de gegevens illegaal heeft verkregen. Waar hij ze vandaan heeft doet hij meestal geen uitspraak over, dan drogen zijn bronnen op en dat is niet goed voor zijn handeltje.
Het enige wat tegen een datalek helpt is er vanuit gaan dat je gegevens uitlekken en preventieve maatregelen namen. Zoals je gegegevens niet met iedere willekeurige website of winkel te delen, alleen te delen wat echt nodig is, je gegevens te laten verwijderen als die niet meer nodig zijn, de toegang tot je accounts niet te beschermen met een slecht wachtwoordbeleid en daar waar je gegevens wel gelekt zijn de verwerker aansprakelijk te stellen.
25 mei kun je keihard je recht halen als organisaties in de EER niet willen conformeren aan de AVG/GDPR :)
Wat ben jij een negatieve azijnpisser zeg!
Zeer goed van die Troy Hunt.
Deze gegevens zijn al te vinden op het 'darkweb', of Troy het nou gebruikt of niet, deze gegevens liggen al op straat. Nu is er in ieder geval iemand die je hiervoor probeert te waarschuwen. En ja, daarvoor moet hij wel je gegevens verzamelen. Als de overheid niet in staat zijn om haar burgers er met zo'n service voor te waarschuwen, dan krijg je zulke initiatieven. Politie.nl bied wel een vergelijkbare service, maar die bevat maar een kleine fractie van wat er daadwerkelijk op straat ligt.
Ik kan snappen dat sommige de dienst van Troy zien als een kwaad, maar het is wel een noodzakelijk kwaad.
Bij Troy Hunt navragen of hij persoonsgegevens van je heeft geeft maar over een ding zekerheid: of hij illegaal persoonsgegevens van je verwerkt of niet. Hij kan je niet aangeven of die gegevens echt gelekt zijn, hij kan je niet aangeven wanneer die gegevens gelekt zijn. Hij kan hooguit aangeven wanneer hij de gegevens illegaal heeft verkregen. Waar hij ze vandaan heeft doet hij meestal geen uitspraak over, dan drogen zijn bronnen op en dat is niet goed voor zijn handeltje.
Het enige wat tegen een datalek helpt is er vanuit gaan dat je gegevens uitlekken en preventieve maatregelen namen. Zoals je gegegevens niet met iedere willekeurige website of winkel te delen, alleen te delen wat echt nodig is, je gegevens te laten verwijderen als die niet meer nodig zijn, de toegang tot je accounts niet te beschermen met een slecht wachtwoordbeleid en daar waar je gegevens wel gelekt zijn de verwerker aansprakelijk te stellen.
Begin je nou hier ook al af te geven op Troy Hunt?
Je hebt zeker niet even stiekem gekeken of jouw e-mail ook in een breach voorkomt?
En hij doet dat in de vorm van responsible disclosure, zodat mensen geen misbruik kunnen maken van de informatie. Jij stopt liever je hoofd in het zand, en jij hebt liever dat mensen *niet* worden geinformeerd over breaches ?
Volgens mij moet jij je nog eens verdiepen in de ''vergoedingen'' bij conferenties. Betaald, met reiskostenvergoeding, en hotelovernachtingen ? Dream on, dat is zeer, zeer zeldzaam.
En indien preventie niet werkt, dan steek je je kop in het zand ? Hoe neem jij trouwens preventieve maatregelen, om te voorkomen dat je gegevens uitlekken bij diensten, waarover jij geen enkele controle hebt ?
Ga jij de beveiliging van LinkedIn verbeteren, indien ze jouw credentials lekken ? Van de bank, belastingdienst, whatever ? Nee natuurlijk niet, want daar ga jij helemaal niet over.
Je bent een zeikerd, die aan het pissen is over een waardevolle dienst, welke bijdraagt om de impact van breaches te verkleinen.
Weer het bekende voorbeeld van:
Ander voorbeeld:
Ooit hadden we alleen de openbare weg zonder gescheiden rijstroken voor wielrijders: "Mopperdemopperdemopper..." want ik word op het trottoir gedrukt door langsrazend gemotoriseerd verkeer
Toen kwam het verplichte rijwielpad: "mopperdemopperdemopper..." want het is verplicht.
Oh oh oh.....Is er iemand (Troy Hunt) die een service heeft waar je van minuut tot minuut kunt controleren of je ergens een account hebt (waarvoor een emailadres verplicht is) dat is gehackt.... word daar ook weer over gemuggenzifd!!
Door de mentaliteit hier en in USA is privacy zo goed als verdwenen en komt de dataslurper overal mee weg.
Buiten jezelf beschermen is er geen bescherming.
Weer het bekende voorbeeld van:
Ander voorbeeld:
Ooit hadden we alleen de openbare weg zonder gescheiden rijstroken voor wielrijders: "Mopperdemopperdemopper..." want ik word op het trottoir gedrukt door langsrazend gemotoriseerd verkeer
Toen kwam het verplichte rijwielpad: "mopperdemopperdemopper..." want het is verplicht.
Oh oh oh.....Is er iemand (Troy Hunt) die een service heeft waar je van minuut tot minuut kunt controleren of je ergens een account hebt (waarvoor een emailadres verplicht is) dat is gehackt.... word daar ook weer over gemuggenzifd!!
hear hear
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.