In het blog van deze week kijken we onder andere terug op de Twitteraanval van vorige week. Inmiddels weten we veel meer over de werkwijze van de digitale bandieten en dat geeft wat interessante inzichten. Daarnaast behandelen we de tegenvallende downloadcijfers van de wereldwijde corona-app en sluiten we af met een nieuwe beweging in Nederland genaamd “Platform Spoofing’. Over dat laatste onderwerp vindt u onderaan de blog overigens ook een stelling. We zijn erg benieuwd naar uw mening!
Het was persbureau Reuters dat deze week de headlines stal met hun artikel over de Twitteraanval. Zo kwamen zij met het statement dat meer dan duizend medewerkers van Twitter de mogelijkheid hadden om via interne supporttools de instellingen van accounts aan te passen. Dit betekende onder andere dat ze de mogelijkheid hadden om 2FA uit te schakelen en het e-mailadres te wijzigen. Deze informatie, waarvan Twitter waarschijnlijk liever had gehad dat het een intern geheim was gebleven, werd medegedeeld door twee voormalige medewerkers. Na de aanval van vorige week kwamen er veel vragen, ook van de meer prominente individuen in deze samenleving, over hoe het mogelijk was dat de aanvallers toegang kregen tot al deze gerenommeerde accounts. Het antwoord is inmiddels gegeven. Door het aanpassen van dergelijke accountinstellingen is het namelijk mogelijk om anderen toegang te geven tot een account. Tijdens de Twitteraanval werd voor 45 accounts een ander e-mailadres ingesteld en waar nodig werd 2FA uitgeschakeld met een simpele klik van de muis. Daarna was het slechts een kwestie van een wachtwoord reset en de aanvallers hadden de volledige controle over het account.
Inmiddels heeft Twitter in de vorm van CEO Jack Dorsey aardig door het stof moeten gaan. Zo heeft hij tijdens een gesprek met investeerders zijn officiële excuses gemaakt.
Wij zijn tekort geschoten in onze bescherming tegen social engineering van onze medewerkers en het instellen van beperkingen voor onze interne tools – Jack Dorsey, CEO Twitter
In een brief aan de aandeelhouders laat Twitter weten dat het inmiddels de nodige stappen heeft gezet ter verbetering van hun beveiliging. Zo hebben ze onder andere de toegang van medewerkers tot interne supporttools beperkt. De vraag die bij ons het meest door het hoofd speelt is echter niet zozeer de hoe maar veel meer de waarom. Waarom werd het door Twitter noodzakelijk gevonden om 1000 medewerkers toegang te geven tot dit soort tools. Dit is vergelijkbaar met 1000 domain admins binnen 1 bedrijf. Je maakt jezelf onnodig kwetsbaar en van een multinational als Twitter mag je beter verwachten. Althans, zo zien wij dat.
Twitter laat weten dat er momenteel met opsporingsdiensten wordt samengewerkt in het onderzoek naar de aanval. Specifieke details hierover worden, uiteraard, nog niet echt gegeven. Wij hopen vooral dat Twitter het aantal medewerkers met toegang tot deze tools heeft afgeschaald naar een handje vol in plaats van een heel leger. Als zoveel andere ontwikkelingen krijgt ook deze ongetwijfeld nog een staartje.
Het moge in ieder geval duidelijk zijn dat men geen gebruik maakte van Endpoint Protection.
En dan de corona-app. We hebben er al veel over geschreven en gaan er nog even mee door ook. Want, zoals wellicht ook wel te verwachten was, slaat het nog niet echt aan. En dan druk ik mijzelf nog voorzichtig uit. Analyticsbedrijf SensorTower heeft onderzoek gedaan naar de dertien dichtstbevolkte landen waar een corona-app beschikbaar is om te kijken of deze een beetje massaal gedownload werd. Het antwoord valt tegen.
In het figuur is te zien dat Australië met 21,6% bovenaan staat qua downloads. De corona-app daar werd eind april echter al gelanceerd. En inmiddels is er ook veel kritiek over ‘CovidSafe’, de Australische corona-app. Nu wordt het namelijk langzaam maar zeker duidelijk wat het ding gekost heeft en dat is niet niks. Zo heeft de Australische overheid ruim 43 miljoen euro uitgegeven aan CovidSafe. En dan kan je nog het argument aandragen dat volksgezondheid onbetaalbaar is, maar dat blijkt niet echt het geval te zijn. Want tot op heden heeft de app nog geen enkel contact van een besmet persoon gevonden dat al niet op andere contactonderzoeksmanieren was gevonden. Een voor ons grappig detail van dit alles is dat 40 van de 43 miljoen werd uitgegeven aan een landelijke advertentiecampagne. Het ontwikkelen van de app kostte ‘slechts’ 2.4 miljoen euro. En ondanks deze mega advertentiecampagne wordt de app slechts door 21.6% van de bevolking gebruikt.
Maar ook in Duitsland en Turkije, die respectievelijk op de 2e en 3e plaats staan, word de app slechts mondjesmaat gebruikt. Qua absolute downloads staat India bovenaan. Hier hebben 127,6 miljoen gebruikers de app gedownload. Maar goed, dat land telt dan ook enorm veel mensen. Concluderend kunnen we stellen dat men niet warm loopt voor een corona-app. De reden? Dit heeft denk ik te maken met het feit dat men corona-moe is. Was het gelukt om deze app eerder te lanceren dan hadden we, in mijn optiek, waarschijnlijk actiever gebruik waargenomen dan waar we nu mee van doen hebben. Binnenkort krijgen we de Nederlandse variant, ben benieuwd hoe dat gaat lopen.
Deze week sluiten we af met een semi-ethische kwestie. Voordat we tot de stelling komen geven we u eerst wat context, maar we vernemen heel graag uw mening over dit geheel. Gister kwam in het nieuws dat er een nieuw platform is opgericht voor slachtoffers van telefoonspoofing. Het platform, genaamd Platform Spoofing (hoe treffend), wil dat banken de geleden schade bij spoofing gaan vergoeden. Bij telefoonspoofing schermen oplichters hun eigen telefoonnummer af en geven een ander telefoonnummer op dat slachtoffers vervolgens te zien krijgen. Zo denken deze dat ze worden gebeld door hun eigen bank. Vervolgens stelt de ‘bankmedewerker’ dat het geld van de spaarrekening van het slachtoffer voor veiligheidsoverwegingen moet worden overgebracht naar een andere rekening. Dit rekeningnummer is echter van een zogenaamde money mule (katvanger) en zodra het geld is gestort wordt het snel opgenomen.
Ene Klaas Willems, familie van een spoofing-slachtoffer, is het platform gestart. Het stelt dat het hun doel is om geld terug te krijgen van de banken met daarbij ook de eis dat de banken hun systemen op orde maken en een controlemogelijkheid inbouwen. Geen malse eisen. Op dit moment hebben 73 slachtoffers zich aangesloten bij het platform die samen meer dan 1,76 miljoen euro verloren. Volgens het Kifid (Klachteninstituut Financiele Dienstverlening) maken de eisers weinig kans. Zij stellen dat dit niet onder de zorgplicht van de bank valt en je moet zelf waakzaam zijn. Wij zijn echter meer benieuwd naar uw mening. Is het inderdaad de schuld, van de veelal oudere slachtoffers, of moeten banken inderdaad meer veiligheid inbouwen?