Gefeliciteerd ShinyHunters in ieder geval.

In ieder geval een organisatie die actief probeert haar klanten te beschermen. Toch wel een groot verschil met Odido!

"In ieder geval een organisatie die actief probeert haar klanten te beschermen. Toch wel een groot verschil met Odido!"

Door criminelen te betalen voor hun daden?
Of door blind aan te nemen dat de gegevens zijn verwijderd. Bewijzen dat je iets niet hebt is best wel knap Vooral data "teruggeven".

Wat is het resultaat dat stelen en chanteren beloond wordt? Geen garantie dat alles verwijderd is. Niet de goede oplossing. Dit is deur open naar meer.

ze doen een poging hun klanten te beschermen, en houden tegelijk een businessmodel in stand dat andere klanten in gevaar brengt in de toekomst. Betalen voor een moeilijk controleerbare belofte dat de gegevens vernietigd zijn is kortzichtig en gevaarlijk

Tja, je weet nooit zeker of ze toch niet ergens nog een kopietje op een harde schijf ergens hebben liggen...

Cybermisdaad lijkt te lonen. Zal dit soort nieuws nu (nieuwe) groepen aanwakkeren met als gevolg nog meer datalekken?

Als ze actief haar klanten probeerden te beschermen hadden ze eerder al mitigerende maatregelen getroffen en permissies default strenger ingericht.

Beste wat je kan doen is niet betalen; je laat toch niet inbreken bij je, en vervolgens betaal je die inbrekers om je spullen terug te krijgen?

Ze moeten het betalen van losgeld illegaal maken als een financieel delict en een boete a la 5% van jaaromzet op te leggen.

En weet je nu ook 100% zeker dat die data daadwerkelijk ook vernietigd is???

Dat geeft Shinyhunters een mooi budget voor teams om de volgende aanvallen uit te voeren. De toekomstige slachtoffers danken Canvas alvast van harte.

Als criminelen de data eenmaal hebben is het een keuze uit twee kwaden: nu je gebruikers/klanten beschermen maar helpen het criminele verdienmodel lucratief te houden en zo in stand te houden; of nu je gebruikers/klanten laten vallen maar niet meedoen aan het financieren van toekomstige ellende. Bekijk je het vanuit het kleinere perspectief van alleen je gebruikers/klanten nu dan is de eerste optie de beste; bekijk je het vanuit het grotere perspectief van iedereen altijd dan is de tweede optie de beste. De eerste optie is vanuit dat grotere perspectief het vergroten van het risico dat het je in de toekomst vaker overkomt.

Zo bezien denk ik dat er echt wel serieus iets te zeggen is voor de keuze van Odido. Maar het is natuurlijk ook best mogelijk dat Odido vooral goedkoop was en er geen geld aan kwijt wilde zijn.

Hoe dan ook, het is natuurlijk veel beter als het om te beginnen niet zo ver komt. En wat dat aangaande hebben we ons met hoe we als mensheid IT in de laatste decennia hebben ontwikkeld aardig in een hoek geschilderd.

Systemen waren makkelijker te beveiligen geweest als we niet met het internet enthousiast alles aan alles waren gaan hangen. Systemen waren ook beter te beveiligen geweest als we niet maar door zouden zijn blijven stomen met schaalvergroting op schaalvergroting naar steeds grotere leveranciers maar meer diversiteit hadden om de software en de grotere risicospreiding die dat oplevert. En systemen waren beter te beveiligen geweest als data bij de klanten was blijven staan in plaats van die bij de softwareleverancier te stallen, want dan vorm je niet samen dat ene reusachtige en superaantrekkelijke doelwit.

Natuurlijk doet goede beveiliging van die systemen er ook toe. Ik vind het er alleen uitzien of die schaalvergrotende factoren het vereiste beveiligingsniveau zo enorm omhoog hebben doen schieten dat veel organisaties het domweg niet weten te bolwerken. En die ontwikkeling van schaalvergroting draai je ook niet zomaar even terug, daar zit de hele wereld samen in.

Goed gedaan. Chapeau !!

Dit noemen we leergeld.

Ik zelf zou een deal met ShinyHunters hebben gesloten waarbij zij als Red Team fungeren.

En voordat er nu weer allerlei heiligen gaan lopen huilen. Dit is standaard procedure bij recherche en inlichtingendiensten. Je betaald criminelen en je wil er waarde voor terug. Heel normaal dus.

Tja, klassiek prisoner's dilemma.

Nu alles weer lijkt te draaien, laten we ons dan werpen op de vraag hoe het kan dat Instructure überhaupt over de data kon beschikken van 275 miljoen gebruikers, waarvan een deel in de EU.

Canvas is een Ruby on Rails systeem (open access, je kan het zo van Github plukken) dat lokaal kan draaien. Of dit het geval is aan NL universiteiten en hogescholen (en de randwaar en wie weet verder) weet ik niet. Als het lokaal draait, hoort de data niet in Utah te zijn. Is het waarschijnlijk er dat er bij a 9000 lokale installaties zijn leeggeplukt?
Als de data centraal in Utah staat is er een probleem: dat mag helemaal niet op basis van de AVG (GDPR). Instructure beweert dat data versleuteld wordt uitgewisseld en versleuteld wordt opgeslagen. Die encryptie is dus lek al een manie.

De vragen over de architectuur en werkwijze van Instructure lijken me iets belangrijker dan de discussie over grotendeels betrekkelijk onschuldige data die is buitgemaakt.