Privacy - Wat niemand over je mag weten

Responsible Disclosure. Maar wat als men liever stug de koppen in het zand willen houden?

24-02-2020, 19:35 door Anoniem, 17 reacties
Een paar dagen geleden geprobeerd bij het verzekeraars conglomeraat, een Responsible Disclosure te doen.

Ze laten 't volgens hun RDP voorwaarden tekst alleen maar toe via een web pagina, wat al vreemd is, als email+PGP toch internationaal al jaren normaal is.

Maaaar hun web-formulier vertikte het hoe dan ook om de informatie aan te nemen en te verwerken.
Telkens kwamen er bijzonder vage foutmeldingen.

- Eerst met de foutmelding dat een toegevoegd bestand niet zou voldoen, omdat het geen correct formaat zou hebben. Maar geen enkele info over waar 't dan aan zou moeten voldoen, behalve max 10MB. [vreemd!]
Vervolgens er dan maar geen voorbeeld en bewijsmateriaal bestanden er bij kunnen doen :(
Maar toen kwam ergens klein een foutmelding "Spam", ook zonder uitleg. [wat een onzin!] (Doe er dan een CAPTCHA bij of iets dergelijks om spam te voorkomen.)
Kortom, ze maken 't direct bij de voordeur op meerdere manieren al zo goed als onmogelijk om gewoon een melding aan ze door te geven.

Zij verwerken de Bijzondere Persoonsgegevens data van een zeer groot deel van de bevolking.
Zou je toch denken dat ze netjes volgens wettelijke voorschriften het wel heel eenvoudig zouden maken om meldingen te kunnen doen?

Toen toch maar email die kant op, en bleek onmiskenbaar dat ze de kop in 't zand willen houden. Doordat hun PR mensen vervolgens lieten weten dat de ook de Chief Risk Officer dergelijke info liever niet wil krijgen.


Het lijkt 't resultaat van een typische belangenverstrengelingen Catch-22 structuur, waarbij de interne voor 'security' verantwoordelijken personen tot 't bittere einde niet willen toegeven dat ze de boel niet daadwerkelijk op orde hebben.
En 't dus zeker niet willen horen, als 't mis is.
.....Net als bijv KPN, DigiNotar, UWV, en vele andere de schone schijn hoog houden organisaties, die de afgelopen jaren de koppen in 't zand hebben gestoken bij meldingen, tot dat de media er achter kwam of black-hat's zwaar misbruik gingen maken van de tekortkomingen die reeds tijd eerder gemeld en genegeerd waren.

Zelfs het 't zogenaamde "Nationaal Cyber-Security Centrum" van het zogenaamde "Ministerie voor Veiligheid & J" doet daar aan mee, als ze een CC: krijgen en ook zij 't domweg vertikken om actief de nodige actie te ondernemen om de gaten te dichten. Ze reageren niet eens richting de melders met vragen enzo. En ook zij houden zich dus ook niet aan de eigen RDP richtlijnen.


Kortom,
Melden blijkt vaak zinloos, als ook Het NCSC geen enkele verantwoordelijkheid wenst te dragen en ook de kop in 't zand steekt.
De melder krijgt hoogstens Stank voor dank, als 't slechte nieuws de personen binnen de org persoonlijk niet goed uitkomt, maar vervolgens eventueel wel misbruikt wordt voor achterbakse "Shoot the messenger" reacties. :(


?? De Responsible Disclosure Procedures waren toch juist bedoeld om er voor te zorgen dat we er met z'n allen voor zorgen dat er waar nodig verbetering komt voor de veiligheid voor ons allemaal. En zo mensen aan te sporen om eenvoudig melding te doen, zonder narigheid !??

Nu blijkt het hebben van een RDP niets anders als een schijnvertoning!!
Reacties (17)
24-02-2020, 21:20 door Anoniem
Jammer om dit te lezen. Misschien even op social media hun webcare wakker maken dat zaken functioneel niet werken?


Ze laten 't volgens hun RDP voorwaarden tekst alleen maar toe via een web pagina, wat al vreemd is, als email+PGP toch internationaal al jaren normaal is.

PGP is ook zo lekker compatible met je bedrijfsinfra. Ik snap wel dat het via een formulier moet, moet die natuurlijk wel werken.
Overigens als je als bedrijf wel PGP aanbied: je krijgt echt 1 melding per jaar met PGP versleuteld (en de rest gewoon zo hoppa onversleutelt over de mail), dus met een goed formulier op https is dat een stuk veiliger.
25-02-2020, 02:00 door Anoniem
Welkom in de wereld van domme bestuurskundigen i.c.m. ICT.

Het is zoals je betoogd (en ook ik spreek uit ervaring) een drama bij de overheid als het gaat om security.
25-02-2020, 08:14 door Erik van Straten
Het is ook mijn ervaring dat het melden van misstanden meestal zeer lastig en soms onmogelijk is. Webformulieren werken sowieso zelden, mogelijk krijgen ze daar zoveel spam op binnen dat niemand er nog naar kijkt, of iemand die geen idee heeft wat je probeert te vertellen en er gemakshalve niets mee doet.

Wellicht helpt het als je kort en bondig, feitelijk en zakelijk en zonder bijlage, meldt wat er aan de hand is en je contactgegevens geeft voor meer details. Bellen, vragen doorverbonden te worden met de security officer of de afdeling ICT en om een e-mailadres vragen, werkt ook wel eens. Maar ook dan kun je, in mijn ervaring, tegen onprofessionele muren van onbegrip en irritatie oplopen.

Vergelijkbaar zijn info@, abuse@ en postmaster@ e-mailadressen vaak een soort grabbelton voor de ontvangende bedrijven, met een automatische /dev/null koppeling als er niet snel iemand grabbelt.

Misschien heb je meer kans op twitter of facebook om in contact te komen, maar daar heb ik persoonlijk geen ervaring mee.

Overigens moet je niks verwachten als je partijen zoals NCSC een CC stuurt, want waarom zou dat meer zijn dan "ter informatie"? Bel ze en vraag wat je het beste kunt doen. Wellicht hebben zij een contact binnen de betreffende organisatie en kunnen ze een mail van jou doorzetten; dat maakt vermoedelijk meer indruk dan dat jij zelf probeert contact te krijgen met een organisatie. Maar ook via deze weg kun je waarschijnlijk het beste kort en bondig uitleggen wat jouw bevinding is, en melden dat je op verzoek meer gegevens beschikbaar zult stellen; NCSC medewerkers hebben echt geen tijd om uit te pluizen of het allemaal klopt wat je schrijft (tenzij het om een kritieke overheidsinstantie gaat).

Succes!
25-02-2020, 09:02 door Anoniem
Als ze een webcare afdeling hebben, kun je het daarlangs mogelijk spelen. "Hoi beste webcare, ik heb een grote kwetsbaarheid gevonden die ik graag aan jullie responsible disclosure lui wil melden maar jullie webformulier werkt niet. Kan één van jullie RD lui met mij contact opnemen?"
25-02-2020, 09:35 door Anoniem
Als het om kwetsbare beveiliging gaat van bijzondere persoonsgegevens, zijn de volgende stappen:

1. Contact opnemen met de Functionaris Gegevensbescherming van het bedrijf.
2. Indien dat ook niet lukt, met het hele verhaal een klacht indienen bij de Autoriteit Persoonsgegevens.
25-02-2020, 10:05 door Anoniem
Door Anoniem: Welkom in de wereld van domme bestuurskundigen i.c.m. ICT.

Het is zoals je betoogd (en ook ik spreek uit ervaring) een drama bij de overheid als het gaat om security.
Volgens OP gaat het om een "verzekeraars conglomeraat". Dus waarom hier de overheid weer wordt bij gehaald, snap ik niet helemaal."Betoogd" is overigens met een 't".
25-02-2020, 13:33 door johanw
"Responsible disclosure" is een grote gok, veel bedrijven zullen de melder aanvallen met advocaten. Veiliger is het om het anoniem te melden, en als ze op een deregelijke manier reageren de boel gewoon te openbaren. Dan kunnen ze jou er in elk geval niet op aanvallen.
25-02-2020, 13:39 door Anoniem
Er zijn verschillende manieren om te escaleren. Contact opnemen met de FG is inderdaad een goede optie. Daarna kan je bij de AP een tip of een klacht indienen: https://www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/gebruik-uw-privacyrechten/klacht-melden-bij-de-ap Klachten kunnen alleen als het ook over jouw eigen persoonsgegevens gaat. Tips kunnen altijd, maar de AP is niet verplicht om individueel te behandelen. Als het gaat over een datalek en niet alleen een kwetsbaarheid heeft het tipformulier zelfs een speciale optie die je kan gebruiken.

Ik kan de het probleem niet inhoudelijk beoordelen. Het komt voor dat wat vanaf de buitenkant een probleem lijkt toch wel mee blijkt te vallen als je de maatregelen achter de schermen kent. Maar je kan altijd het probleem nog eens goed opschrijven, uitleggen dat je het via het officiële RD kanaal niet gemeld krijgt en dat je van plan bent om binnen x dagen te publiceren. Het lijkt alsof 90 dagen een standaard termijn aan het worden is daarvoor. Dit alles kan je ongetwijfeld naar een helpdesk adres sturen. Als het echt een probleem is hebben ze ruime tijd om te reageren en maatregelen te nemen. Als er geen probleem is kan de publicatie ook geen kwaad. Als melder hoef je je niet teveel te laten beperken. Je kan ook zonder medewerking publiceren over problemen, maar geeft ze wel netjes de kans om daarvoor maatregelen te treffen.
25-02-2020, 13:40 door Anoniem
Ze laten 't volgens hun RDP voorwaarden tekst alleen maar toe via een web pagina, wat al vreemd is, als email+PGP toch internationaal al jaren normaal is.
Hier ga je al meteen de fout in. PGP mag dan wellicht normaal zijn bij jou en je hacker vriendjes, maar in een bedrijf
is dat niet normaal. Men zal het niet kunnen lezen en aan de kant gooien als een vergissing of een virus.
Je denkt wellicht "waarom installeren ze dan niet even mijn favoriete PGP programma dat is toch maar een paar
muisklikken werk" maar dat geldt wellicht voor jouw eigen PC maar niet voor een typische werkomgeving in een
groot bedrijf.
25-02-2020, 14:04 door Anoniem
Door Anoniem:
Door Anoniem: Welkom in de wereld van domme bestuurskundigen i.c.m. ICT.

Het is zoals je betoogd (en ook ik spreek uit ervaring) een drama bij de overheid als het gaat om security.
Volgens OP gaat het om een "verzekeraars conglomeraat". Dus waarom hier de overheid weer wordt bij gehaald, snap ik niet helemaal."Betoogd" is overigens met een 't".

FYI: de OP spreekt ook over het NCSC.
25-02-2020, 14:26 door Anoniem
Door johanw: "Responsible disclosure" is een grote gok, veel bedrijven zullen de melder aanvallen met advocaten. Veiliger is het om het anoniem te melden, en als ze op een deregelijke manier reageren de boel gewoon te openbaren. Dan kunnen ze jou er in elk geval niet op aanvallen.
Mja lopen we niet een beetje hard van stapel door meteen over openbaren te roepen?

Hij heeft het pas 'enkele dagen geleden' gemeld. Men moet wel de kans krijgen om gedegen onderzoek te doen.
25-02-2020, 14:43 door Anoniem
RD gaat niet om klagen en gelijk krijgen maar om relevantie en samenwerken. Klagen dat een bedrijf het je niet makkelijk maakt omdat je bepaalde bestanden niet kan uploaden is gewoon zeuren. Een bedrijf is niet een geheel dat overal op gelijke manier werkt zonder fouten. Anders waren rd meldingen vaak niet nodig. Als de techniek niet mee zit, stuur dan met dat formulier informatie dat je een melding wil doen en vraag om een veilige manier van communiceren en leg simpel uit wat het risico is als ze het niet oplossen. Als je als alternatief maar naar onbekenden gaat mailen moet je ook niet gek opkijken dat het bij de verkeerde personen terecht komt die er geen verstand van hebben.
Als je de houding aanneemt dat het alleen maar aan anderen ligt zonder naar jezelf te kijken ben je zelf dan wel responsible bezig?
25-02-2020, 14:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Welkom in de wereld van domme bestuurskundigen i.c.m. ICT.

Het is zoals je betoogd (en ook ik spreek uit ervaring) een drama bij de overheid als het gaat om security.
Volgens OP gaat het om een "verzekeraars conglomeraat". Dus waarom hier de overheid weer wordt bij gehaald, snap ik niet helemaal."Betoogd" is overigens met een 't".

FYI: de OP spreekt ook over het NCSC.

Ja - OP snapt duidelijk niet zo goed wat precies de rol/mandaat van NCSC is.

OP denkt blijkbaar echt dat het NCSC overal in NL als een Federal Marshall met guns blazing mag binnenvallen om Grote Digitale Gaten Nu te Dichten.

Freeze ! This is NCSC ! We're taking you OFFLINE NOW !. And we won't leave until the last patch is done !
Mooie puberdroom.
26-02-2020, 09:44 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Welkom in de wereld van domme bestuurskundigen i.c.m. ICT.

Het is zoals je betoogd (en ook ik spreek uit ervaring) een drama bij de overheid als het gaat om security.
Volgens OP gaat het om een "verzekeraars conglomeraat". Dus waarom hier de overheid weer wordt bij gehaald, snap ik niet helemaal."Betoogd" is overigens met een 't".

FYI: de OP spreekt ook over het NCSC.

Ja - OP snapt duidelijk niet zo goed wat precies de rol/mandaat van NCSC is.

Bovendien is een cc niet meer dan "kijk eens wat ik naar de partij op to heb gestuurd. leuk voor jullie archief".

Het NCSC zal waarschijnlijk gewoon denken dat het goed wordt opgepakt. Zelfs als ze geen verdere communicatie zien. Het is in dergelijke gevallen gebruikelijk om alleen te reageren naar de melder. Zeker niet naar externe partijen op de cc. Dat is in ieder geval hoe wij RD meldingen oppakken.

Peter
26-02-2020, 09:47 door RaceAap
Zelf ervaren dat een melding naar NCSC als een non-issue bestempeld werd, echter nu een jaar later is er wel actie op ondernomen zonder enige terugkoppeling.. ( mail spoofing blijkt dus toch wel een issue ;-) )

Maar goed het probleem is gelukkig wel opgelost en dat is waar het mij in eerste instantie om ging.
26-02-2020, 13:03 door Anoniem
Als je ooit aan de ontvangende kant hebt gestaan van Responsible Disclosure bij een groot bedrijf, dan zul je snappen waarom ze dit soort zaken massaal via HackerOne, BugCrowd, HackTrophy e.d. laten lopen. Of je moet er meerdere FTE op willen zetten zodat je kordaat kunt reageren op elke melding uit verwegistan die 'tralala-geld' doet (een http header staat uit bijvoorbeeld). De overhead is gruwelijk. Buiten dat, reageren vanuit een 'moral highground' zorgt er maar zelden voor dat je reactie serieus wordt genomen. 'Don't be a dick' is een passend mantra.
26-02-2020, 17:38 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Welkom in de wereld van domme bestuurskundigen i.c.m. ICT.

Het is zoals je betoogd (en ook ik spreek uit ervaring) een drama bij de overheid als het gaat om security.
Volgens OP gaat het om een "verzekeraars conglomeraat". Dus waarom hier de overheid weer wordt bij gehaald, snap ik niet helemaal."Betoogd" is overigens met een 't".

FYI: de OP spreekt ook over het NCSC.

Ja - OP snapt duidelijk niet zo goed wat precies de rol/mandaat van NCSC is.

OP denkt blijkbaar echt dat het NCSC overal in NL als een Federal Marshall met guns blazing mag binnenvallen om Grote Digitale Gaten Nu te Dichten.

Freeze ! This is NCSC ! We're taking you OFFLINE NOW !. And we won't leave until the last patch is done !
Mooie puberdroom.

Mooie Amerikaanse gedachtengang... het is hier ook al bijna een politiestaat. Moet je daar nog wel je invloed van willen ontlenen? Denk na.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.