image

Cel voor it'er die 23 cloudservers ex-werkgever verwijderde

vrijdag 29 maart 2019, 09:48 door Redactie, 13 reacties

Een Britse it-consultant is in Engeland veroordeeld tot een gevangenisstraf van 2 jaar wegens het verwijderen van 23 Amazon-cloudservers van zijn ex-werkgever. De man was werkzaam voor een digitaal marketing- en softwarebedrijf. Het bedrijf biedt websites, apps en beheerdiensten voor vervoersbedrijven.

In de dagen na zijn ontslag wist de man toegang tot het account van een collega te krijgen. Vervolgens verwijderde hij 23 virtuele servers die het bedrijf bij Amazon Web Services had draaien, aldus de Daily Mirror. Het incident vond plaats in mei 2016 en veroorzaakte een schade van omgerekend 580.000 euro. De Brit werd in maart 2017 aangehouden. Het bedrijf heeft de verloren data nooit kunnen herstellen, zo laat de Thames Valley Police weten.

Reacties (13)
29-03-2019, 09:59 door Anoniem
Natuurlijk is het strafbaar wat diegene gedaan heeft maar het laat ook boven water komen dat het bedrijf slordig met hun accounts omgaat. Bij public cloud is het cruciaal om goed na te denken over:

- Gebruik nooit je root account
- Verplichten om 2fa te gebruiken op alle accounts
- Geef iemand alleen maar de rechten die ze nodig hebben om hun taak uit te kunnen voeren (IAM goed inregelen).
- Maak altijd backups en maak het niet mogelijk dat die zomaar verwijderd kunnen worden ( alleen evt via een ander account)
- Regel monitoring goed in zodat verwijderen van bedrijfs systemen gelijk een melding geeft (Cloudwatch bij AWS)

Dit is denk ik de grootste valkuil van de public cloud. Lijkt allemaal heel simpel maar juist over deze zaken nadenken vergt kennis waar veel bedrijven mee geholpen moeten worden.
29-03-2019, 10:54 door Anoniem
IT Extremisme/Cybercrime...het zou je toch overkomen als bedrijf...

Dit wil je niet meemaken.

Zegt ook wel alles over de procedures en inrichting van de infrastructuur van dat bedrijf. Zeker als je cloud diensten aanbiedt.
29-03-2019, 11:20 door Anoniem
Het bedrijf heeft de verloren data nooit kunnen herstellen, zo laat de Thames Valley Police weten.
Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.
29-03-2019, 11:54 door Anoniem
Door Anoniem:
Het bedrijf heeft de verloren data nooit kunnen herstellen, zo laat de Thames Valley Police weten.
Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.

Beetje simpele reactie
Zou dat aan de cloud provider liggen? Of aan de werkgever zelf die zijn servers moet backuppen?
Het gebruiken van een virtuele laag en infrastructuur is één ding, beheer van je speelgoed een ander ding.
29-03-2019, 12:12 door [Account Verwijderd] - Bijgewerkt: 29-03-2019, 12:13
Door Anoniem:
Het bedrijf heeft de verloren data nooit kunnen herstellen, zo laat de Thames Valley Police weten.
Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.

Speel niet de gemaakte verongelijktheid. De term Cloud Backups is je vreemd?

Het is natuurlijk wel treurig en lachwekkend tegelijkertijd dat iemand die met zijn achternaam 'Gonzalez' heet, 'speedy' als wachtwoord gebruikt voor een werkgevers computeraccount, waardoor met enige gebruikte fantasie ingelogd kon worden op dat slecht beveiligde account door de veroordeelde it'er, maar toch... als dit niet tot een hartig en vooral speedy woordje met de directie heeft geleid, ben ik benieuwd naar het.. en waarom niet?
29-03-2019, 12:27 door Anoniem
Wat voor werkgever, leiding, zou t geweest zijn om n werkgever tot zulke daden te brengen?

Dacht toch ook dat weggooien bij USA bedrijven lastig was, jammer dat de patriot-act nog niet op klantwens data retourneert. Zou n hoop kosten besparen in de westerse economie :)
29-03-2019, 13:00 door Anoniem
Het valt wel op dat zoiets vaker voorkomt: ontslag gevolgd door een dergelijke wraak.
Ik vraag me dan ook af of ICT-personeel wel altijd redelijk en terecht wordt ontslagen.

Het is mij ook overkomen:
Je spant je jarenlang in en werkt je de pestpokken, want meer personeel willen (zelf zeggen ze "mogen") ze niet aannemen, of "er is geen personeel te krijgen met dergelijke kennis".
Ondertussen is je manager eigenlijk maar een sufferd, speelt spelletjes op de computer in werktijd en geeft soms nodeloze kritiek op je praktische en adequate handelen.
Maar dat hij een sufferd is, wil hij niet weten omdat hij niet doorvraagt en maar half luistert, de kennis niet heeft,
onvoldoende praktisch is ingesteld, of het simpelweg in al zijn ijdelheid niet wil horen dat hij eigenlijk maar een sufferd is.
En o wee als je zelfstandig heel keurig en creatief en probleemoplossend buiten je eigen functieregels opereert.
Daar wordt je manager zo angstig van, dat hij vindt dat je toch maar een andere taak moet krijgen waarmee niet goed zichtbaar is voor het hogere management hoe hard je wel niet werkt.
Ondertussen komt je manager zelf zijn afspraken te vaak niet na, en laat wie er op hem wachten in het ongewisse.

Nu ben ik toevallig niet kwaadaardig aangelegd, en ontslag kan in bepaalde gevallen natuurlijk ook wel eens rechtvaardig zijn, maar tjongejongejonge, er zijn bedrijven (H.R. en bepalende managers) die wel eens in eigen boezem mogen kijken
of het allemaal wel klopt. Dan kan er een goedgekeurd schriftelijk afvloeiplan zijn, maar de praktijk?.....
29-03-2019, 15:38 door Anoniem
@Anoniem van 13:00 heden,

Heel herkenbaar probleem. Zelfs een kritisch probleem voor de hele B.V. Nederland. Management en CEO grootverdieners, die nergens verstand van hoeven te hebben, dan het indienen van bonusregelingen en het tevreden houden van de aandeelhouders en verder effectief moeten kunnen lobbyen en "netwerken" als bovenlaag.

Daarnaast de mensen met de relevante kennis en kunde, waar men het liefst zonder zou kunnen verder gaan en hoopt ooit te kunnen vervangen door niets kostende robots. Voor dit soort overhead figuren en uitbuiters van natie en regio bent u minder waard dan een kant en klare doos-oplossingen, een one click voor al oplossing. Het eindje zal de last wel dragen. Blijf dus optimistisch.

luntrus
29-03-2019, 22:50 door Briolet
Door Anoniem:
Het bedrijf heeft de verloren data nooit kunnen herstellen, zo laat de Thames Valley Police weten.
Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.

Waar staat dat er geen backup was? Bij 23 verwijderde servers, was die data misschien wel 22-voudig gebackuped.
30-03-2019, 10:28 door Anoniem
Door Briolet: Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.

Waar staat dat er geen backup was? Bij 23 verwijderde servers, was die data misschien wel 22-voudig gebackuped.
Briolet had het niet over backups zonder meer maar over backups waarmee je in de meest extreme situatie nog terug kunt komen. Om dat te bereiken zet je je backups niet allemaal bij dezelfde provider en zijn ze niet allemaal online benaderbaar.

Dan nog kan ik wel situaties bedenken die zo extreem zijn dat dat ook niet voldoende is, maar er zit een grens aan waar je nog zinvol rekening mee kan houden. Die grens lijkt in dit geval niet opgezocht te zijn.
30-03-2019, 12:21 door karma4
Door Anoniem:
Briolet had het niet over backups zonder meer maar over backups waarmee je in de meest extreme situatie nog terug kunt komen. Om dat te bereiken zet je je backups niet allemaal bij dezelfde provider en zijn ze niet allemaal online benaderbaar.

Dan nog kan ik wel situaties bedenken die zo extreem zijn dat dat ook niet voldoende is, maar er zit een grens aan waar je nog zinvol rekening mee kan houden. Die grens lijkt in dit geval niet opgezocht te zijn.

Goede opmerking. De accountant is vaak wel tevreden als er een backup gemaakt is, vinkje in het rapport door naar het volgende punt. In de praktijk heb je voor een DR maar 1 kans om in het geval van een calamiteit de boel terug te krijgen.
DR oefeningen die na een 3e poging een deelresultaat bereiken tonen eigenlijk aan dat het niet goed zit.
31-03-2019, 11:56 door svkost - Bijgewerkt: 31-03-2019, 11:57
Door Anoniem:
Het bedrijf heeft de verloren data nooit kunnen herstellen, zo laat de Thames Valley Police weten.
Grandioze service, je biedt diensten op internet aan, maar beschikt niet eens over backups waarmee je in de meest extreme situatie nog terug kunt komen.

Als iemand de account te pakken krijgt die de instances kan verwijderen, dan kan je daarmee waarschijnlijk ook wel de images en backups verwijderen. Deze staan normaal bij dezelfde cloud aanbieder.

Het hele probleem hier is dat er slordig is omgesprongen met de wachtwoorden, dat er geen MFI is ingeregeld, en de beveiliging van de cloud laat te wensen over. Je kunt op AWS de beveiliging helemaal dichttimmeren wie wat mag doen, met RBAC en alles. Maar het is complex, dus veel bedrijfjes kiezen er voor om alles open te zetten.

Van de andere kant zijn dit soort acties gewoon triest. Wat er ook voorgevallen is: het rechtvaardigt niet om een bedrijf naar de afgrond te sturen.
01-04-2019, 13:58 door Anoniem


Als iemand de account te pakken krijgt die de instances kan verwijderen, dan kan je daarmee waarschijnlijk ook wel de images en backups verwijderen. Deze staan normaal bij dezelfde cloud aanbieder.

Ja en dat is dus juist niet handig, het is uit BCM oogunt een slecht idee om alle eieren in één mandje te leggen. Externe backups hadden de schade kunnen beperken. Bij een andere cloud provider bijvoorbeeld, en alleeen toegankelijk voor iemand anders dan de systeembeheerder (iets met functiescheiding en zo).

Het hele probleem hier is dat er slordig is omgesprongen met de wachtwoorden, dat er geen MFI is ingeregeld, en de beveiliging van de cloud laat te wensen over. Je kunt op AWS de beveiliging helemaal dichttimmeren wie wat mag doen, met RBAC en alles. Maar het is complex, dus veel bedrijfjes kiezen er voor om alles open te zetten.

Eens, en ik begrijp dat het voor kleine bedrijfjes soms lastig is, maar een goede "what if" sessie had dit wel aan het licht kunnen brengen en hopelijk geleid tot actie.

Van de andere kant zijn dit soort acties gewoon triest. Wat er ook voorgevallen is: het rechtvaardigt niet om een bedrijf naar de afgrond te sturen.

Ook eens. Het gebeurt hier toch wat weinig, even benadrukken dat dit soort acties misdadig zijn en dat je niet alle verantwoordelijkheid bij het slachtoffer kan leggen (had de directeur maar geen kort rokje moeten dragen/aardiger zijn tegen de systeembeheerder).
Het feit dat iemand hiertoe in staat is en ook nog vindt dat hij daar het recht toe heeft, kan wel eens de grond achter het ontslag geweest zijn. ICTers worden niet altijd aardig behandeld door HR, maar veel ICTers zijn ook verdraaid eigenwijs, hebben niet zulke geweldige contactuele eigenschappen en zijn heel beroerd in zelfrelativering.
Misschien zouden we elkaar daar ook eens wat meer op kunnen wijzen en niet alleen op de voordelen van iOS boven Android of Agile boven Prince2.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.