image

Schiphol meldt datalek bij Autoriteit Persoonsgegevens

zondag 27 oktober 2019, 09:21 door Redactie, 6 reacties

Schiphol heeft een datalek in de website van het Bewoners Aanspreekpunt Schiphol gemeld bij de Autoriteit Persoonsgegevens, zo laat de luchthaven via de eigen website weten. Bij het Aanspreekpunt kunnen omwonenden terecht met vragen en klachten over het vliegverkeer van, naar en op Schiphol.

Een kwetsbaarheid in de website zorgde ervoor dat gegevens van bijna 60.000 mensen die via de website een klacht of vraag hadden ingediend inzichtelijk waren, zo laat een woordvoerder van Schiphol tegenover Nu.nl weten. Het kan dan gaan om namen, adressen, e-mailadressen, telefoonnummers, gehashte wachtwoorden en de inhoud van achtergelaten klachten.

Volgens Schiphol zijn er geen aanwijzingen dat er persoonsgegevens zijn gestolen. "Ondanks dat er geen aanwijzingen voor zijn, kan niet volledig worden uitgesloten dat gegevens onttrokken zijn. Iedereen krijgt het advies om het wachtwoord bij andere online diensten aan te passen als dezelfde combinatie van e-mailadres en wachtwoord wordt gebruikt als bij het BAS-account."

Onderzoeker Wouter van Dongen die het lek ontdekte en meldde stelt dat de website een zwak algoritme voor het hashen van wachtwoorden gebruikte dat eenvoudig te kraken is. Schiphol heeft de website inmiddels "vanwege technische reden" offline gehaald en maakt excuses aan getroffen gebruikers.

Reacties (6)
27-10-2019, 10:38 door Anoniem
En waarom staat dat allemaal eindeloos online?

Het is vrij triviaal om zulke data in te pakken en naar een minder publieke plek te verslepen. Tenzij je denkt dat alle servers webservers moeten zijn, ofzo. Dat noemen ze "cloud", geloof ik?
28-10-2019, 07:31 door botbot
Door Anoniem: En waarom staat dat allemaal eindeloos online?

Het is vrij triviaal om zulke data in te pakken en naar een minder publieke plek te verslepen. Tenzij je denkt dat alle servers webservers moeten zijn, ofzo. Dat noemen ze "cloud", geloof ik?

Nee dat noemen ze geen "cloud". Ook in een cloud omgeving kun je namelijk prima publieke webservers hebben die de data van klanten in ontvangst nemen maar afgescheiden servers die niet publiekelijk benaderbaar zijn om de data op te slaan.
Cloud wil niets anders zeggen dan dat je de infrastructuur die je normaal gesproken op je eigen hardware hebt staan, dan op de hardware die in beheer is van een ander hebt staan. Hoe je dit inricht is nog steeds geheel aan jou.

Probleem is dat "cloud" een beetje een containerbegrip is geworden. Alles van je 50 euro router met clouddrive tot aan complete infrastructuren met VPC, loadbalancers, VPN, firewalls, interne databases, publieke webservers, kubernetes stacks en weet ik wat nog meer is "cloud", als het op hardware staat van een ander en je beheert/benaderd via internet.

In een cloud omgeving is een infrastructuur even veilig op te zetten als dat het in je eigen datacenter ook zou kunnen. Je moet het alleen doen. En dat is hier blijkbaar niet gebeurd.
28-10-2019, 08:53 door Anoniem
In een cloud omgeving is een infrastructuur even veilig op te zetten als dat het in je eigen datacenter ook zou kunnen. Je moet het alleen doen. En dat is hier blijkbaar niet gebeurd.

Een cloud duidt erop dat je gebruik maakt van virtualisatie. Fysieke servers kan je ook in je eigen data center, of elders kunnen onderbrengen. Met cloud technologie is dat niet anders. Je hebt geen cloud nodig, om bij derden te kunnen hosten.
28-10-2019, 10:39 door Anoniem
Dat BAS is sowieso een schaamlapje; zelden een site gezien met zo slechte UX; het interesseert de eigenaars niet zoveel wat er gebeurd want te veel klachten over vliegtuigen zijn niet welkom
28-10-2019, 10:42 door botbot - Bijgewerkt: 28-10-2019, 10:44
Door Anoniem:
In een cloud omgeving is een infrastructuur even veilig op te zetten als dat het in je eigen datacenter ook zou kunnen. Je moet het alleen doen. En dat is hier blijkbaar niet gebeurd.

Een cloud duidt erop dat je gebruik maakt van virtualisatie. Fysieke servers kan je ook in je eigen data center, of elders kunnen onderbrengen. Met cloud technologie is dat niet anders. Je hebt geen cloud nodig, om bij derden te kunnen hosten.

Wat dus maar aangeeft wat voor container begrip "cloud" is geworden. Want het gaat niet alleen over virtualisatie maar ook over shared resources.

Je webpagina bij een webhoster. Geen cloud / misschien cloud ?
Je webpagina op een EC2 instance bij amazon. Wel cloud.
Je webpagina op een dedicated server in een datacenter. Geen cloud.
Je webpagina op een virtual machine op een dedicated server in een datacenter. Geen cloud.
Je webpagina op een private VM op een shared server in een datacenter. Wel cloud.

En ieder hier zal het weer anders zien, met allerlei valide mitsen en maren. Mijn punt is dat naar aanleiding van een artikel over een datalek zeggen: "ja cloud" is te simpel en geheel nietszeggend en voegt weinig toe aan een discussie.
28-10-2019, 11:34 door Anoniem
Door Anoniem: En waarom staat dat allemaal eindeloos online?

Het is vrij triviaal om zulke data in te pakken en naar een minder publieke plek te verslepen. Tenzij je denkt dat alle servers webservers moeten zijn, ofzo. Dat noemen ze "cloud", geloof ik?
Exact dit dus ja, als een klacht is afgehandeld, archiveren en in de back-up gooien na x aantal dagen of zeg maar wat na 2 weken. Maar nee alles moet in de cloud blijven staan. Tsja als er dan een lek is dan is de schaden ook vele malen groter, dat kan iedereen zich wel beredeneren... Slecht doordacht systeem of luiigheid van de ITer's wat betreft de beveiliging of het back-up plan..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.