Het was toch ransomeware aanvankelijk? Dan wil ik ook briefing van al die andere ransomeware aanvallen bij organisaties gevestigd in Nederland.

In https://security.nl/posting/928060 schreef ik onder meer:
Oftewel, ik geef een wijziging van mijn e-mailadres door aan de voorganger van Odido, en zelfs dat oude adres bewaren ze. Ter illustratie het volgende.

Gisteren om 17:34 ontving ik in (ditmaal de spamboxes van) mijn beide e-mailadressen een nagenoeg identieke phishingmail met onderwerp "Neues Paket Angekommen" (ook de rest was in het Duits). Zo te zien het enige verschil is de link in de phishingmails: de ene eindigt op "U3ZwX" en de andere op "6fQ59".

Die links sturen mijn browser via https://track.pstmrk.it en vervolgens via 13his.atoms.world naar de volgende DHL phishingsite (die zich, zoals de meeste criminele websites, verstopt achter Cloudflare):

    https://signandgo[.]im               (detectie gisteravond: 6/94)

Detectie nu is 11/94 (https://www.virustotal.com/gui/domain/signandgo.im).

Screenshots van de phishingsite kunt u zien in https://todon.nl/@ErikvanStraten/116347335530736450 (en in toots daarboven nog veel meer screenshots van (toekomstige) phishingsites die zich achter Cloudflare verstoppen).

P.S. de twee phishingsites (1 achter Cloudflare) die ik noemde in https://todon.nl/@ErikvanStraten/116274355987240779 en waarover ik het topic "nep bunq beller (Odido lek)" in https://security.nl/posting/929480 schreef, zijn óók nog steeds live.

Aanvulling: ook 13his.atoms.world zit achter Cloudflare (met een certificaat van "Google Trust Services"), zie https://todon.nl/@ErikvanStraten/116351564508620956.

Ik geloof dat de AVG niet over het verweren maar over het verwerken van persoonsgegevens gaat ;-).

Deze snap ik niet. Worden de briefings openbaar? Iemand linkje?

Het was een inbraak in hun cloud klantensysteem salesforce staat op de website van odido zelf. https://www.odido.nl/veiligheid

Shiny Hunters toch?

Ik heb me ooit aangemeld door de jaren heen met 5 verschillende email aliassen. Veel waarvan ik het vergeten was. Blijkbaar doen ze dus niet aan dataminimalisatie. Immers, dat is jaren terug dat ik voor het laatst mijn email alias daar heb veranderd. Op elk alias ontvang ik sinds vorige maand spam, terwijl deze niet bekend waren ergens anders. Maar al pas je bijv. encryption at rest toe, dat vangt alleen maar bepaalde situaties af (bijv. een lek van een database), maar de mens blijft toch de zwakte schakel. En tevens Er zijn lagen in het systeem waarbij data unencrypted is, anders kun je een systeem niet gebruiken. Een goed systeem past diverse middelen toe, zoals bijv. een master key op een externe server, die nooit de server verlaat maar je alleen client -> server -> encrypt/decrypt hebt, geen server -> getMasterKey(), want dan staat de masterkey weer ergens in de memory van een client server. Maar dat komt met een prijskaartje, want zoeken in datasets wordt dan lastiger en zwaarder (heb je een key per user? dan moet wordt meestal de user key ontsleuteld met de master key, en 1000 users ophalen betekend dan meestal 1000 api requests voor decrypt actie, als je tenminste niet wilt dat de masterkey op een client server terecht komt). Voor zoekbare velden pas je dan weer sha hashes toe, maar dan moet je of per woord/segement een hash genereren om het zoekbaar te maken. Een wildcard "%%" werkt dan niet. Neemt niet weg dat een ingang bepaalde data decrypt. Dus als al je gebruikers in een admin panel ergens ge-unencrypt worden, tja... Daarnaast is encryption (bijv. at rest) niet verplicht, maar wel aangeraden (door GDPR). Het is wel mooi om dat eens goed uit te denken voor een grote organisatie. Ze kunnen bijv. een key per user gebruiken, en dan op basis van geboortedatum, postcode, huisnummer, een zoekbare hash genereren. En dat slechts 1 user decrypt wordt per actie/ zoekopdracht, en niet miljoenen records, zoals nu het geval was. Dan kan je hooguit een aantal users die lekken, maar niet miljoenen. Dan moet je eerst de combinatie (datum, postcode, huisnr) goed hebben voordat je een user kan inzien (dat lijkt mij voor een klantenservice een prima methode). Maar zover is Odido natuurlijk/ waarschijnlijk niet gegaan.

Hmm, krijgt de AP dan dezelfde birefing? Die zijn zelf ook gehackt omdat ze hun MDM niet op de juiste wijze hadden ingericht. Je kunt wel lekker wijzen en anderen op de vingers willen tikken maar als je er dan zelf ook een puinzooi van maakt zou je eigenlijk je kaken stijf op elkaar moeten houden. Als je geschoren wordt moet je stil zitten.

Bewaardrift breekt OdidO nu op. Als niet alle data was bewaard dan was de ellende minder groot geweest. Maar laten we er nog een paar datacenters bijbouwen dan kunnen we data nog langer opslaan want je weet nooit of “belangrijke” informatie na tien jaar nog van pas komt.

Tip. misschien moet je eens met de architecten daar gaan praten, en ze laten weten dat jij DE oplossing hebt gedacht.

Maar soort bedrijven werken met Enterprise oplossingen, niet hobby bob oplossingen.


Waarschijnlijk omdat daar ook over nadenken, dat bijvoorbeeld facturen verstuurd moeten worden, en dat dit met deze oplossing heel complex gaat worden, of je een stukje middelware er tussen moet zetten, wat deze decryptie weer gaat doen, wat een vertraging gaat opleveren en een extra stukje complexiteit toevoegt.

Ook nu wil ik het pleidooi houden dat iedereen die iets van een ander wil weten dit tot een minimum moet beperken.
Dan een stap terugnemen en dit minimum nog verder beperken, wedden dat dat kan.

Gegevens die je niet hebt, kun je niet kwijtraken.

Dan ook nog direct alle gegevens verwijderen (houdt wel rekening met de wetgever (daar kan het ook nog wel beter)) als de relatie voorbij is.

Natuurlijk is langer bewaren fout. Maar de overheid eist zelf om gegevens 7 jaar of zelfs 10
Jaar te bewaren. Administratie staan veel al in de cloud. Dan is het ook niet gek dat je deze risico’s/ ellende blijft houden. Is hier niet wat aan te doen…. Waarom 7 jaar?

De Fiscale Verjaringstermijn: De Belastingdienst wil de mogelijkheid hebben om met terugwerkende kracht controles uit te voeren. Omdat belastingverplichtingen pas na een paar jaar definitief vaststaan, hebben ze die 7 jaar nodig als "bewijstermijn".

Klopt vast wel , maar dat betekent nog niet dat je alles van transacties hoeft te bewaren