Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Groot datalek JeugdRIAGG

01-10-2020, 14:53 door [Account Verwijderd], 23 reacties
Dit keer geen stuntelende figuren die het verschil tussen "Aan:" "CC" en "BCC" in e-mail niet kennen, maar dit keer een totale, absolute blunder van formaat door een domeinnaam te laten verlopen zodat die door RTL kon worden overgenomen en waardoor vertrouwelijke gegevens konden worden afgevangen.

Tweakers schrijft op de website:
De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, blijkt uit onderzoek van RTL Nieuws.

Het gaat om de namen, adressen en bsn's van 'miljoenen Nederlanders', schrijft RTL. Ook was in te zien welke zorgverzekering en aanvullende pakketten een verzekerde had. De informatie stond in een database van Vecozo, een bedrijf dat digitale ondersteuning biedt aan zorginstellingen. RTL kon een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database werden in plaintext naar die e-mailadressen gestuurd.

Als je dit stukje verhaal leest, dan krijg je daar bijna een digitale hartinfarct van. Hoe kan het dat organisaties hun domein laten verlopen zodat die door een andere partij kan worden overgenomen en daardoor de meest vertrouwelijke gegevens kunnen inzien?! Hoe incompetent ben je in de IT als je DIT durft te produceren?! Hier zijn gewoon geen woorden voor!

Meer info hier:
https://tweakers.net/nieuws/172876/rtl-bsns-van-miljoenen-nederlanders-online-te-zien-door-verlopen-domeinnaam.html
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5187220/jeugdriagg-kenter-jeugdhulp-datalek-dossiers
en de reactie van VECOZO:
https://www.vecozo.nl/over-ons/nieuws-en-agenda/2020/reactie-op-berichtgeving-rtl-nieuws/
Reacties (23)
01-10-2020, 15:04 door Anoniem
Nou wil het dat ik vandaag voor alle zekerheid het domein van mijn zorgverzekering heb gecheckt. Voorlopig is daar alles in orde. Maar misschien is het goed dat iedereen dit even bij de zorgverzekeraar uitvoert. Wie weet zit er nog meer kaf tussen het koren. Ik hoop van niet natuurlijk...
01-10-2020, 15:08 door [Account Verwijderd] - Bijgewerkt: 01-10-2020, 15:09
Ja. het is misselijkmakend. Hier zijn óók echt geen woorden voor vanuit de blunderveroorzaker en dat is maar goed ook. Elke verontschuldiging is totaal absurd irreel en voedt dan slechts terecht de totale 100% terecht afbrekende kritiek die dit geblunder verdient.
Het bewijst temeer dat we op een digitaal armageddon afstevenen. Die wal zal het schip niet keren maar breken.
01-10-2020, 15:12 door Anoniem
Overdrijven is ook een vak! Het gaat over JeugdRIAG en dan zouden er miljoenen mensen in die database staan?
01-10-2020, 15:20 door [Account Verwijderd]
Door Piet Slagwerker: Ja. het is misselijkmakend. Hier zijn óók echt geen woorden voor vanuit de blunderveroorzaker en dat is maar goed ook. Elke verontschuldiging is totaal absurd irreel en voedt dan slechts terecht de totale 100% terecht afbrekende kritiek die dit geblunder verdient.

Cutting Fingers / Otoshimae (Yubitsume) | The Outsider (2018)

https://youtu.be/oR2kpF4wLpQ
01-10-2020, 15:50 door Anoniem
Door Anoniem: Overdrijven is ook een vak! Het gaat over JeugdRIAG en dan zouden er miljoenen mensen in die database staan?

Neen, je goed en volledig laten informeren is een vak!
Ook inloggegevens verzekeringsdatabase gelekt

Niet alleen waren de dossiers van kinderen die werden geholpen door Jeugdriagg inzichtelijk voor RTL, ook een database met daarin gegevens van alle verzekerden in Nederland was toegankelijk.
https://www.nu.nl/tech/6081062/medische-dossiers-jeugdhulpcentrum-jeugdriagg-gelekt.html
01-10-2020, 16:10 door Anoniem
Door Anoniem: Overdrijven is ook een vak! Het gaat over JeugdRIAG en dan zouden er miljoenen mensen in die database staan?
Het gaat om een database van Vecozo en inderdaad, daar staan miljoenen mensen in. Niks overdreven dus.
01-10-2020, 16:36 door MathFox
Door Anoniem: Overdrijven is ook een vak! Het gaat over JeugdRIAG en dan zouden er miljoenen mensen in die database staan?
RTL Nieuws:
Ook biedt het lek toegang tot de database van Vecozo met daarin de volledige namen, woonadressen en burgerservicenummers van miljoenen zorgverzekerde Nederlanders. Daar kan per burger worden bekeken bij welke zorgverzekering diegene zit, welke pakketten diegene heeft en wat zijn of haar verzekeringsnummer is. [...]
De toegang tot de Vecozo-database was mogelijk omdat Kenter Jeugdhulp de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde.
Slordig om een domein te laten verlopen; slordig om medische dossiers leesbaar te emaillen; helemaal slordig om dat naar een verouderd adres te doen. Ik weet niet of we nog over "slordig" mogen praten wanneer inloggegevens voor een privacy-gevoelige database onversleuteld naar hetzelfde adres gestuurd worden.

En de consument staat wederom met lege handen wanneer criminelen misbruik maken van zijn gegevens.
01-10-2020, 16:48 door Anoniem
Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.

* Ik weet, assumptions are the mother of all ......
01-10-2020, 16:55 door Anoniem
Het lijkt me dat "de schuld" van dit lek niet ligt bij JeugdRIAGG maar bij Vecozo. En eventuele andere instellingen die
kennelijk lang na het vervallen/veranderen van een mail adres daar nog plaintext persoonsgegevens en wachtwoorden
heen sturen.

Waarom noemen ze het geen Vecozo lek?
01-10-2020, 17:56 door Anoniem
Lezers van deze, allen gegroet,

Let binnenkort goed op uw mailbox als u een spammailtje krijgt, kennelijk van uw zorgverzekeraar.
Troy Hunt heeft weer iets meer data in/voor z'n al uitpuilende AmIPnewed-verzameling.

Ga maar een extra 16 cijferige twee-factor authenticatie zetten op uw sociale media appjens.
Daar gaat weer een klap geld naar diverse criminele organisaties, opgebracht door de hardwerkende burger..

Hoe vrijwaren wij ons tegen het gestuntel van dombo's en hun nog dommere collega's.
Misschien is het veiliger voor hen om een carriere als gamer te beginnen.
De hoofdprijs hebben ze al laten vallen.(iron.).

Kijk alles goed na, eer u vanavond uw computermuis omgedraaid neerlegt op uw muismat ;)

#sockpuppet
01-10-2020, 18:00 door Anoniem
Door Anoniem: Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.

* Ik weet, assumptions are the mother of all ......

Het ging hier over het domein Jeugdriagg.nl...
Als een NL domein verloopt, gaat deze voor 40 dagen in quarantaine. In deze periode kan niemand de domeinnaam registreren, maar alleen uit quarantaine gehaald worden door de laatste domeinnaamhouder.

Dus zal er inderdaad gedurende deze tijd geen mailserver gedraaid hebben.
01-10-2020, 18:34 door Anoniem
Door Anoniem: Het lijkt me dat "de schuld" van dit lek niet ligt bij JeugdRIAGG maar bij Vecozo. En eventuele andere instellingen die
kennelijk lang na het vervallen/veranderen van een mail adres daar nog plaintext persoonsgegevens en wachtwoorden
heen sturen.

Waarom noemen ze het geen Vecozo lek?
Dat andere bekt zo lekker!
01-10-2020, 22:04 door Anoniem
Door Anoniem: Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.
Als er geen server is maar nog wel een geldige DNS setup dan bounced mail niet meteen. Het zal een aantal dagen duren voor er een bericht in de inbox van de verzender komt dat het mailtje niet kon worden afgeleverd.
Die berichten zijn vaak zeer technisch opgesteld en de gemiddelde medewerker uit die wereld (en eigenlijk uit de hele wereld buiten de security.nl bezoekers) snapt helemaal niks van dat bericht, durft het eigenlijk zelfs niet eens te lezen want hen is altijd voorgehouden "nooit mail van onbekende afzenders openen en zeker niet met rare Engelse namen en onderwerpen".
Dus wat moeten ze met een mail van Mailer-Daemon@eenofanderdomein met als onderwerp "Postmaster notify: see transcript for details"? Ongelezen wegmikken natuurlijk.
Plus, als ze het wel openen en begrijpen, verwacht je dan dat als zo'n bericht op een druk moment binnenkomt men er meteen even voor gaat zitten om uit te zoeken waarom er naar dat adres gemaild is (een paar dagen geleden), welke zaak dat ook weer was en waar dat mailadres ergens vandaan kwam? (een oud mailtje, een of ander informatiesysteem)
En verwacht je dan dat men gaat proberen die foute adressen te verwijderen? Daar heeft men wellicht niet eens de rechten voor.
Dus het verwijderen van die oude informatie gaat maar heel langzaam.

Zelfs met technische dingen waarop meteen actie kan worden genomen gaat het nog heel moeizaam. Ik heb toevallig begin van de week een berichtje naar 50 man gestuurd met een duidelijke uitleg hoe even 2 instellingen in de mobiele telefoon te veranderen. 3 dagen later hebben misschien 5 het gedaan. Als ik langsloop dan blijkt dat men het maar even heeft laten liggen, te druk, men snapte het niet, enz enz. En dat was dan gewoon "ga even naar de instellingen, ga naar dit item, tik dat aan, verzet dat schuifje". Een handeling van 1-2 minuten. Maar je komt in een totaal andere wereld terecht waar men met dat soort dingen net zoveel moeite mee heeft als wanneer je hier zou vragen "omschrijf waarom je plezier hebt in het leven" (ofzo).
01-10-2020, 22:55 door Anoniem
En zo durf je dus bijna nergens meer om hulp of steun te vragen, omdat de personen die je te hulp schieten meestal
totaal geen verstand van beveiliging van (jouw!) gegevens op computers/servers hebben.

Zoveel "lek-last" als er nu is, was er niet toen papieren dossiers in archiefkasten de gewoonte waren.
01-10-2020, 23:11 door Anoniem
Door Anoniem:
Door Anoniem: Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.

* Ik weet, assumptions are the mother of all ......

Het ging hier over het domein Jeugdriagg.nl...
Als een NL domein verloopt, gaat deze voor 40 dagen in quarantaine. In deze periode kan niemand de domeinnaam registreren, maar alleen uit quarantaine gehaald worden door de laatste domeinnaamhouder.

Dus zal er inderdaad gedurende deze tijd geen mailserver gedraaid hebben.

Ik zou eerst eens kijken naar de 5 jaar dat de naam jeugdriagg niet meer in gebruik was voor de instelling maar het domein nog wel geregistreerd was. Wat is er in die tijd gebeurd? Mail gewoon doorgestuurd naar het nieuwe domein? Mail geweigerd met een duidelijk bericht in het Nederlands wat er aan de hand was? Mail niet meer aangepakt waardoor het pas dagen later retour kwam met een cryptisch Engelstalig bericht?
Dat lijkt me heel wat belangrijker dan wat er die laatste 40 dagen eventueel gebeurd is.
Als mail gewoon zonder enig nader bericht is doorgestuurd dan heeft die 5 jaar het domein aanhouden niks opgeleverd.
02-10-2020, 07:29 door Anoniem
Door Anoniem:
Door Anoniem: Overdrijven is ook een vak! Het gaat over JeugdRIAG en dan zouden er miljoenen mensen in die database staan?
Het gaat om een database van Vecozo en inderdaad, daar staan miljoenen mensen in. Niks overdreven dus.
De Vecozo DB is een ander lek. Bij JeugdRIAG ging het inderdaad over een verlopen domeinnaam.
02-10-2020, 07:59 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.

* Ik weet, assumptions are the mother of all ......

Het ging hier over het domein Jeugdriagg.nl...
Als een NL domein verloopt, gaat deze voor 40 dagen in quarantaine. In deze periode kan niemand de domeinnaam registreren, maar alleen uit quarantaine gehaald worden door de laatste domeinnaamhouder.

Dus zal er inderdaad gedurende deze tijd geen mailserver gedraaid hebben.

Ik zou eerst eens kijken naar de 5 jaar dat de naam jeugdriagg niet meer in gebruik was voor de instelling maar het domein nog wel geregistreerd was. Wat is er in die tijd gebeurd? Mail gewoon doorgestuurd naar het nieuwe domein? Mail geweigerd met een duidelijk bericht in het Nederlands wat er aan de hand was? Mail niet meer aangepakt waardoor het pas dagen later retour kwam met een cryptisch Engelstalig bericht?
Dat lijkt me heel wat belangrijker dan wat er die laatste 40 dagen eventueel gebeurd is.
Als mail gewoon zonder enig nader bericht is doorgestuurd dan heeft die 5 jaar het domein aanhouden niks opgeleverd.
Allemaal logische opmerkingen en overwegingen hier, maar de praktijk is een stuk weerbarstiger. Ik spreek hier uit ervaring. Bij het al dan niet doorsturen heb je ook weer een afweging. Als er niet doorgestuurd wordt, wordt een dossier niet opgepakt en kan een kind op die wijze in gevaar raken. Automatische antwoorden is een idee, maar wat als de afzender een geautomatiseerd systeem met een no-reply adres is.

Wat hier fout gaat, is het gebruik van e-mail voor gevoelige informatie. E-mail is per definitie niet geschikt voor uitwisseling van dit soort informatie. Nu is het een verlopen domeinnaam, maar er zijn talloze andere risico' s. Encryptie is er ook zo een. Als je geluk hebt, is er nog TLS op de verbinding, maar op een mailserver staan al die dossiers in 'plain tekst'. Er zijn ook instanties die Office 365 gebruiken, die dossiers staan dan 'plain' in de cloud.

Jaren geleden heb ik al een memo geschreven waarin ik dringend adviseer om te stoppen met gebruik van mail voor gevoelige dossiers (Jeugdzorg). Aanleiding was de decentralisastie van Jeugdzorg. Er was een lijst met meer dan 100 domeinnamen die handmatig(!) bijgehouden werd om veilig informatie via mail uit te wisselen. Je weet dat dat nooit goed kan gaan, dat is vragen om ongelukken.

Maar daar is toen niet op doorgepakt, dit zijn de gevolgen.
02-10-2020, 09:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.

* Ik weet, assumptions are the mother of all ......

Het ging hier over het domein Jeugdriagg.nl...
Als een NL domein verloopt, gaat deze voor 40 dagen in quarantaine. In deze periode kan niemand de domeinnaam registreren, maar alleen uit quarantaine gehaald worden door de laatste domeinnaamhouder.

Dus zal er inderdaad gedurende deze tijd geen mailserver gedraaid hebben.

Ik zou eerst eens kijken naar de 5 jaar dat de naam jeugdriagg niet meer in gebruik was voor de instelling maar het domein nog wel geregistreerd was. Wat is er in die tijd gebeurd? Mail gewoon doorgestuurd naar het nieuwe domein? Mail geweigerd met een duidelijk bericht in het Nederlands wat er aan de hand was? Mail niet meer aangepakt waardoor het pas dagen later retour kwam met een cryptisch Engelstalig bericht?
Dat lijkt me heel wat belangrijker dan wat er die laatste 40 dagen eventueel gebeurd is.
Als mail gewoon zonder enig nader bericht is doorgestuurd dan heeft die 5 jaar het domein aanhouden niks opgeleverd.

Ik heb ook vragen over de 5 jaar tussen naamsverandering en verlopen domein. Ik vermoed dat ze gewoon het nieuwe email domein op alle users erbij hebben gezet en primair gemaakt. De oude nooit verwijderd!

Dan blijft de oude mailfunctionaliteit dus in tact ! Anders moeten mensen al 5 jaar lang non-deliverables hebben gehad op oude mail adressen..... dat is dan de grootste fuck-up in deze lijkt mij.
02-10-2020, 11:05 door Anoniem
Als je dit stukje verhaal leest, dan krijg je daar bijna een digitale hartinfarct van. Hoe kan het dat organisaties hun domein laten verlopen zodat die door een andere partij kan worden overgenomen en daardoor de meest vertrouwelijke gegevens kunnen inzien?! Hoe incompetent ben je in de IT als je DIT durft te produceren?

Gebeurt aan de lopende band ook bij bedrijven. Verlopen certificaten en domeinnamen. Probeer eens degene te vinden in een bedrijf, die denkt verantwoordelijk te zijn voor het voorkomen daarvan.

Hoe vaak word je geconfronteerd met bijvoorbeeld een verlopen certificaat, bij een legitieme website ? ;)
02-10-2020, 11:07 door Anoniem
Het lijkt me dat "de schuld" van dit lek niet ligt bij JeugdRIAGG maar bij Vecozo

Lijkt me niet, ken je het begrip ketenaansprakelijkheid ? Het feit dat ze het beheer uitbesteden aan een dienstverlener, ontslaat hen niet van verantwoordelijkheid.
02-10-2020, 15:20 door Anoniem
Juist dus de dader ligt nu en meestal op het kerkhof.
Leuke boel, gaan we weer. Op naar het volgend incident.

Leidt ze maar op die frisse nieuwe IT medewerkers.
Waarom worden aan deze kritische zaken juist niet meer aandacht geschonken,
want het kost later ook niet zo een klein beetje aan materiele maar vooral immateriele schade.

#sockpuppet
02-10-2020, 17:38 door karma4
Vecozo verzorgt dd declaraties van zorgverleners naar de verzekeraars vice versa. Bsn naam verzekeraar zijn daarbij legitiem benodigde gegevens. Het aantal zorgverleners 80.000 https://www.zorgkaartnederland.nl dan weet je dat de toegangsdefinities een keer in ander handen zullen vallen.

Beter is het om niet zo paniekerig over het bsn te doen.
Het enige doel is persoonsverwisselingen te minimaliseren.
Met door de werkgever aangeboden contracten al de kans groot dat je goede label van een van verzekeraars goed raad.
02-10-2020, 18:33 door Anoniem
Door Anoniem:
Het lijkt me dat "de schuld" van dit lek niet ligt bij JeugdRIAGG maar bij Vecozo

Lijkt me niet, ken je het begrip ketenaansprakelijkheid ? Het feit dat ze het beheer uitbesteden aan een dienstverlener, ontslaat hen niet van verantwoordelijkheid.

Nee het probleem is niet dat JeugdRIAGG een domein heeft laten verlopen maar dat Vecozo mailtjes verstuurt met
toegangsgegevens voor hun database zonder te (kunnen) weten wat er dan met die mailtjes gebeurt.
Dat is dus een brak systeem wat nu omvalt doordat iemand een domein heeft laten verlopen, maar waarmee ze ook
op allerlei andere manieren op hun bek hadden kunnen gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.