image

Wolters Kluwer haalt boekhoudsoftware offline wegens malware

woensdag 8 mei 2019, 14:57 door Redactie, 8 reacties

Softwarebedrijf Wolters Kluwer heeft vanwege een malware-infectie verschillende platformen en applicaties voor boekhouders offline gehaald, om zo de impact van de malware beperken. Dit zorgde voor boze reacties van gebruikers, die geen toegang meer tot hun online CCH-boekhoudsoftware hadden. CCH is de cloudgebaseerde boekhoud- en belastingsoftware van Wolters Kluwer.

Het Nederlandse bedrijf stelt in een verklaring dat het op maandag 6 mei in een aantal platformen en applicaties "technische onregelmatigheden" zag. Verder onderzoek wees uit dat het om malware ging. Uit voorzorg werd besloten om een reeks platformen en applicaties offline te halen. "Met deze actie wilden we de impact die de malware zou kunnen hebben beperken", aldus Wolters Kluwer. "Helaas had dit ook gevolgen voor onze communicatiekanalen en beperkte het onze mogelijkheid om updates te delen."

Tevens meldt het softwarebedrijf dat er geen bewijs is aangetroffen dat er klantgegevens zijn gestolen of dat de vertrouwelijkheid van data is geschonden. Ook is er volgens de verklaring geen aanleiding om aan te nemen dat klanten via de applicaties en platformen besmet zijn geraakt. Gisteren heeft het bedrijf verschillende platformen weer online gebracht, maar een aantal applicaties is nog steeds offline, tot woede van klanten.

Reacties (8)
08-05-2019, 15:01 door Anoniem
Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.
08-05-2019, 15:06 door Anoniem
Boekhoudsoftware, waar heb ik dat eerder gezien?
08-05-2019, 16:12 door Anoniem
Early in the afternoon on Friday, May, 3, I asked a friend to relay a message to his security contact at CCH, the cloud-based tax division of the global information services firm Wolters Kluwer in the Netherlands. The message was that the same file directories containing new versions of CCH’s software were open and writable by any anonymous user, and that there were suspicious files in those directories indicating some user(s) abused that access.

Dit alles dus door een onbeveiligde FTP server.

https://krebsonsecurity.com/2019/05/whats-behind-the-wolters-kluwer-tax-outage/
08-05-2019, 21:02 door [Account Verwijderd]
Door Anoniem: Boekhoudsoftware, waar heb ik dat eerder gezien?

https://www.security.nl/posting/521846/Petya-ransomware+verspreidde+zich+via+boekhoudsoftware
09-05-2019, 09:19 door Anoniem
Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.

Bij bedrijven is IT geen core-business, dus besteden het liever uit.
Dit in de vorm van bv. o.a. outsourcing, cloud-applicaties, externe inhuren voor kennis…

Dus klopt, bedrijven willen niet altijd alles "binnen eigen bedrijf en eigen beheer", daar zijn ze vaak zelf niet mee bezig, ondanks dat ze er wel heel erg afhankelijk van zijn.
Heeft vaak ook met "kosten" te maken, die vaak goedkoper (lijken) door het niet zelf te doen.
09-05-2019, 09:40 door Anoniem
Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.
Dat hebben we dus duidelijk niet geleerd: We hebben een gigantische monocultuur met hardware van één fabrikant (en een second source die ook nog net even mee mag doen) en software van één fabrikant.

We waren veel beter af geweest met een markt voor een half dozijn hardware-architecturen en minstens net zoveel software stacks die allemaal anders waren maar wel wisten hoe ze netjes data moesten uitwisselen. Dat weten "we" nu ook niet, gezien het aantal emailtjes vol met dataformaten die volstrekt [x] ongeschikt zijn voor "data-uitwisselen".


Persoonlijk denk ik dat ik met een tekstbestandje, ledger-cli, en wat scripting best een eind zou komen. De meeste boekhouders weten vooral de weg door donkere regeltjesbossen, maar zijn niet zo sterk in het zien van de essentie en dus wat ze nodig hebben laat staan dat ze zelf zoiets kunnen bouwen uit wat handige bouwstenen. En aangezien administratie toch maar als kostenpost wordt gezien is het tegenwoordig mode om dat maar zoveel mogelijk uit te besteden. Dat andere hype-vehikel, 'SaaS in de Cloud', past daar goed bij natuurlijk. Gewoon een paar euro in de maand aan lopende kosten en probleem opgelost. Totdat de leverancier net zo'n incompetente rukker als alle andere blijkt en de "cloud"-infrastructuur van extreem malware gevoelige prutssoftware aanelkaar blijkt te hangen. Tsja.

Een ander voorbeeld van die mode tot uitbesteden is payroll-bedrijfjes, overigens. Die de werknemer ongevraagd opzadelen met brakke websites waar je zelf je loonstrookje mag ophalen (wat mij dus extra werk kost en wat mij betreft niet aan de wettelijke eis voldoet al snapt de overheid dat detail zelf niet eens, zie mijnoverheid). Heb er nog geeneen gezien die loonstrookjes per gpg-versleutelde email naar een door mij gespecificeerd emailadres kan sturen. Kennelijk zijn die experts van de payroll-webite-leverende bedrijfjes toch niet zo expert. Maar alweer: Gewoon maandelijks wat geld naar een extern bedrijfje en je HR-probleem is ook weer afgevinkt. Nouja, dat denkt de baas dan.
09-05-2019, 11:44 door Anoniem
Door Anoniem:
Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.
Dat hebben we dus duidelijk niet geleerd: We hebben een gigantische monocultuur met hardware van één fabrikant (en een second source die ook nog net even mee mag doen) en software van één fabrikant.

We waren veel beter af geweest met een markt voor een half dozijn hardware-architecturen en minstens net zoveel software stacks die allemaal anders waren maar wel wisten hoe ze netjes data moesten uitwisselen. Dat weten "we" nu ook niet, gezien het aantal emailtjes vol met dataformaten die volstrekt [x] ongeschikt zijn voor "data-uitwisselen".


Persoonlijk denk ik dat ik met een tekstbestandje, ledger-cli, en wat scripting best een eind zou komen. De meeste boekhouders weten vooral de weg door donkere regeltjesbossen, maar zijn niet zo sterk in het zien van de essentie en dus wat ze nodig hebben laat staan dat ze zelf zoiets kunnen bouwen uit wat handige bouwstenen. En aangezien administratie toch maar als kostenpost wordt gezien is het tegenwoordig mode om dat maar zoveel mogelijk uit te besteden. Dat andere hype-vehikel, 'SaaS in de Cloud', past daar goed bij natuurlijk. Gewoon een paar euro in de maand aan lopende kosten en probleem opgelost. Totdat de leverancier net zo'n incompetente rukker als alle andere blijkt en de "cloud"-infrastructuur van extreem malware gevoelige prutssoftware aanelkaar blijkt te hangen. Tsja.

Een ander voorbeeld van die mode tot uitbesteden is payroll-bedrijfjes, overigens. Die de werknemer ongevraagd opzadelen met brakke websites waar je zelf je loonstrookje mag ophalen (wat mij dus extra werk kost en wat mij betreft niet aan de wettelijke eis voldoet al snapt de overheid dat detail zelf niet eens, zie mijnoverheid). Heb er nog geeneen gezien die loonstrookjes per gpg-versleutelde email naar een door mij gespecificeerd emailadres kan sturen. Kennelijk zijn die experts van de payroll-webite-leverende bedrijfjes toch niet zo expert. Maar alweer: Gewoon maandelijks wat geld naar een extern bedrijfje en je HR-probleem is ook weer afgevinkt. Nouja, dat denkt de baas dan.
Gelukkig ben jij schijnbaar de expert op dit gebied.
09-05-2019, 12:35 door Anoniem
Door Anoniem: Daarom dus geen SaaS. Dat maakt je bedrijf afhankelijk van derden (verkoper, beschikbaarheid hoster, internet) en er is vendor lockin. Ik dacht dat wel dat in de jaren 80 al geleerd hadden toen elke fabrikant zijn eigen processor en systeempje naar binnen wilde rijden, maar nee: alles moet vooral niet binnen eigen bedrijf en eigen beheer gebeuren.
Dus je moet alles maar zelf ontwikkelen of hopen dat je het zelf beter kan neer zetten en onderhouden?

Nog afgezien dit specifieke software is, wat je niet even zelf kan bouwen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.