OWASP lekt persoonsgegevens leden via misconfiguratie webserver
Het Open Web Application Security Project (OWASP), een organisatie die zich met de veiligheid van webapplicaties bezighoudt, heeft via de misconfiguratie van een webserver de persoonsgegevens van leden gelekt. Dat heeft de organisatie zelf bekendgemaakt. Het gaat om cv's met e-mailadressen, telefoonnummers, adresgegevens en andere persoonlijke identificeerbare informatie van mensen die van 2006 tot en met 2014 hun cv hadden verstrekt om lid te worden.
In de genoemde periode moesten leden cv verstrekken, wat inmiddels niet meer het geval is om lid te worden. Wat de misconfiguratie precies is wordt niet genoemd, maar OWASP zegt naar aanleiding van het datalek specifiek directory browsing te hebben uitgeschakeld. Tevens heeft het de webserver en wikiconfiguratie op andere beveiligingsproblemen gecontroleerd. Daarnaast zijn de cv's van leden van de wikiwebsite verwijderd en is de CloudFlare-cache opgeschoond om verdere toegang te voorkomen. Tevens is het Web Archive verzocht de informatie te verwijderen.
Volgens OWASP is het lastig om slachtoffers van het datalek in te lichten. Veel van de getroffen personen zijn geen lid meer en de data uit het datalek is tussen de tien en achttien jaar oud en daardoor waarschijnlijk niet meer actueel. Wel zal er een datalekmelding naar de gelekte e-mailadressen worden gestuurd. De organisatie zegt het datalek te betreuren, zeker omdat het zich juist met cybersecurity bezighoudt.
Het bewijst: het kan de beste overkomen.
Van owasp verwacht ik wel een full writeup nu, zodat anderen ervan kunnen leren.
Met alleen directory browsing uitzetten verberg je immers hooguit data, dan zat er ook geen authenticatie op.
Klinkt wel alsof de AVG hier niet helemaal goed was toegepast, data van zo lang geleden had al mogelijk al verwijderd moeten zijn?
Het bewijst: het kan de beste overkomen.
Van owasp verwacht ik wel een full writeup nu, zodat anderen ervan kunnen leren.
Met alleen directory browsing uitzetten verberg je immers hooguit data, dan zat er ook geen authenticatie op.
Klinkt wel alsof de AVG hier niet helemaal goed was toegepast, data van zo lang geleden had al mogelijk al verwijderd moeten zijn?
Als het met Directory Browsing te maken heeft, is dat ZEKER geen best-in-class implementatie geweest, OWASP had beter moeten weten dan een luie oplossing te kiezen !
En zoals het spreekwoord zegt: "als het kalf verdronken is, dempt men de put."
Heb maar geen illusies dat zoiets nooit weer gebeurt.
Het begint bij teveel persoonlijke data verstrekken. Dit hoort bij onszelf stevig op de rem te staan,
Als men teveel vraagt dan maar geen lid van OWASP of van welke organisatie dan ook.
Wanneer het bij wet verplicht is, kan je er niet zomaar omheen, maar anders...
Altijd goed afwegen of voordelen wel voldoende opwegen tegen de nadelen, en niet hals-over-kop maar snel doen.
Meestal ben je gelukkiger zonder zulke ballast.
Euro-pappa
Uit hun verklaring over dit lek:
Als je op zolder gaat grasduinen in de rommel die je daar in de loop van de jaren verzameld hebt kan je er makkelijk achter komen dat je dingen hebt waarvan je allang vergeten was dat je ze had. Iets dergelijks zal hier gebeurd zijn en dat kan ook heel makkelijk gebeuren. Om dit soort dingen te voorkomen volstaat het daarom niet om uit het oog te verliezen wat je hebt, je moet het actief bijhouden en actief actie ondernemen op dingen die je niet meer nodig hebt, en dat zijn precies de dingen waar je organisatie vanuit de huidige bezigheden geen aandacht voor heeft. Je moet dus actief denken aan de dingen waar je niet aan denkt. Dat gaat niet vanzelf, dat gaat juist vanzelf mis. Je moet daarom organiseren dat je dit doet en blijft doen. Het gaat al mis als je het ziet als iets dat je later nog kan doen omdat je organisatie het nu te druk heeft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.