Tegen de tijd dat u dit leest is het vrijdag en zit de werkweek er weer bijna op. Waarschijnlijk zit u al met uw hoofd bij hetgeen u gepland heeft voor dit weekend. Maar we vragen toch nog even enkele minuten van uw aandacht. Het laatste beetje dat u nog heeft. En dan zorgen wij er zoals altijd voor dat u enkel informatie voorgeschoteld krijgt waar u wat aan heeft. Zo zien we in de blog van deze week dat sommige datalekken wel hele vergaande gevolgen hebben, behandelen we het zerologon-lek en is zelfs uw koffiezetapparaat kwetsbaar voor hackers?
We trappen deze week af met een groot datalek bij Jeugdriagg, inmiddels bekend als Kenter Jeugdhulp. Uit onderzoek van RTL Nieuws is gebleken dat Kenter Jeugdhulp zijn oude website (jeugdriagg.nl) niet goed heeft afgesloten. Met als resultaat dat het mogelijk was voor iedereen om de oude website en bijbehorende e-mailadressen over te nemen. In het kader van goed journalistiekonderzoek besloot RTL dit te doen en kreeg zo inzage in alle e-mails die nog steeds binnenkwamen. En u kunt zich voorstellen dat deze e-mails bijna allemaal gevoelige informatie bevatten, van medische dossiers tot berichten die toegang geven tot hun online systemen. Simone van der Hof, hoogleraar aan de Universiteit Leiden en gespecialiseerd in digitale kinderrechten benadrukt de ernst van deze situatie.
“Als deze dossiers op straat komen te liggen en bijvoorbeeld op school worden verspreid, kan dat vreselijke gevolgen hebben voor deze toch al kwetsbare doelgroep. Zo’n datalek kan consequenties hebben die hen de rest van hun leven achtervolgen.”
Het feit dat Kenter Jeugdhulp dit heeft laten gebeuren is zeer pijnlijk. Zeker in de wetenschap dat er dus is besloten om de domeinnaam van de website niet te verlengen. De kosten hiervoor? 10 euro per jaar. Nu zal het niks te maken hebben met dit toch haast symbolische bedrag, maar het schets wel een pijnlijk plaatje. Voor slechts 10 euro had Kenter Jeugdhulp zich enorm veel imagoschade kunnen besparen. De journalisten van RTL kregen namelijk toegang tot veel persoonlijke data. Van complete psychologische verslagen en aanvragen voor medicatie tot verzoeken van advocaten voor het verstrekken van dossiers. Ook kwamen er berichten van bezorgde ouders binnen, die in alle wanhoop hun verhaal per mail aan de zorginstelling kenbaar maakte.
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) noemt het datalek buitengewoon zorgelijk en ernstig. Na het datalek bij Jeugdzorg Utrecht in 2019 hebben hackers van Deloitte op verzoek van het ministerie de online veiligheid van zes jeugdhulporganisaties getest. Kenter Jeugdhulp werd niet getest. Ook de Inspectie Gezondheidszorg en Jeugd (IGJ) is toen een onderzoek gestart. Op basis van alle resultaten is toen al gebleken de er onvoldoende kennis is binnen de Jeugdzorg op het gebied van online veiligheid en informatiebeveiliging. De oplossing? In december deelt het ministerie als een ware sinterklaas een handleiding uit die moet helpen om de online beveiliging te verbeteren.
Bij ons van Rootsec ontstaan er heel veel vragen. Allereerst, toen op het moment van het testen van de zes instellingen bleek dat er zeer veel werk aan de winkel was, waarom is toen niet besloten om het onderzoek uit te breiden? Iedereen is op de hoogte van de gevoelige data die dit soort instanties beheren. In plaats daarvan werd er niks gedaan en besloot men een handleiding te schrijven die pas over twee maanden uitgedeeld gaat worden. Je kunt je afvragen of de fout enkel bij de desbetreffende jeugdhulporganisaties ligt. De manier waarop het ministerie heeft geprobeerd om zorginstellingen beter te beveiligen is lachwekkend slecht. Je moet van geluk spreken dat deze nalatigheid is geconstateerd door RTL. Wanneer dit een hacker was geweest had deze een ware goudmijn in handen gehad voor een phishingaanval. Om nog maar te zwijgen van al het materiaal dat gebruikt had kunnen worden voor chantage. Bent u werkzaam bij een jeugdhulpinstelling en wilt u zeker weten dat u niet op deze manier in het nieuws komt? Neem dan contact op met ons en wij zorgen ervoor dat alle (potentieel) aanwezige kwetsbaarheden aan het licht komen en verholpen worden.
Na Microsoft en de Amerikaanse overheid heeft ook Cisco inmiddels een waarschuwing afgegeven voor actief misbruik van het “zerologon-lek”. Een toename van het aantal exploitpogingen is zichtbaar, aldus het netwerkbedrijf. Via de kwetsbaarheid kan een aanvaller in het Netlogon-onderdeel van de Windows Server toegang krijgen op domeinbeheerder niveau. Op 11 augustus bracht Microsoft een beveiligingsupdate uit. Dit naar aanleiding van de waarneming van aanvallen waarbij het beveiligingslek actief werd misbruikt. Dit zorgde ervoor dat het Amerikaanse ministerie van Homeland Security meteen met een aparte “Emergency Directive” kwam. Dit verplichtte federale overheidsinstanties om de beveiligingsupdate voor maandagmiddag 21 september te installeren. Nu geldt dus voor alles en iedereen wereldwijd om zo spoedig mogelijk de beveiligingsupdate te installeren. Twijfelt u of dit nieuws al is aangekomen bij de IT-afdeling van uw organisatie? Stel deze hier dan meteen van op de hoogte. Voorkomen is tenslotte veel beter dan genezen.
In diverse films over robots hebben we gezien dat een opstand van onze mechanische vrienden nagenoeg niet te voorkomen is. Maar of dit gaat beginnen bij het koffiezetapparaat, ik betwijfel het. Maar toch hebben onderzoekers van Avast laten zien dat een koffiezetapparaat wel degelijk aan te vallen is. De machine van fabrikant Smarter is ook via een app te bedienen. Op die manier kan het koffiezetapparaat verbinding maken met het wifi-netwerk. Wanneer de gebruiker een nieuwe versie van de app installeert kan zo ook de firmware van de machine worden geüpdatet. Door het reverse engineeren van de firmware ontdekten de onderzoekers dat de veiligheid van de updateprocedure ernstig te wensen overlaat. Deze kent namelijk geen encryptie of digitale handtekeningen. Tevens wordt de updateprocedure via het eigen onbeveiligde wifi-netwerk gedaan.
“Alles wordt in plaintext over een onbeveiligde wifi-verbinding verstuurd. De enige controle is de cyclic redundancy check (CRC) aan het einde” – Aldus de onderzoekers
Wat zou een aanvaller hiermee kunnen bereiken? Niet bijster veel. Het ergste dat er gedaan kan worden is het onbruikbaar maken van de machine door continu heet water door de koffiemolen te laten lopen. Verder wordt de warmhouder ingeschakeld en verschijnt er op het display een melding die om losgeld vraagt. Dat vonden wij dan wel weer grappig. Ondanks dat dit natuurlijk allemaal onschuldig is maak je het als fabrikant wel onnodig moeilijk voor jezelf. Waarom moet een koffiezetapparaat überhaupt per app te bedienen zijn? Waarom moet die via het wifi-netwerk verbonden worden? Het praktisch nut ontgaat ons compleet. Het zal wel voor de gadgetfreaks bedoeld zijn. Maar het enige dat je ermee bereikt is dat je binnenkort moet voldoen aan een hele lading eisen omdat je een IoT-apparaat hebt gemaakt. Tot zover de berichtgeving van deze week, wij gaan een bakkie doen in de Rootsec keuken. Gewoon, zonder app.
Automated page speed optimizations for fast site performance