Het is 20 september 2019, voor velen geen speciale dag, maar voor u wel. Waarom? Vanwege de nieuwe Rootsec blog natuurlijk! Deze week vertellen we u waarom u liever niet in Ecuador woont, hoe een stel penetratietester fysiek gearresteerd werd, waarom Hyves veel toffer is dan Facebook en ten slotte zien we dat de medische sector een unieke prijs heeft gewonnen.
We hebben in dit blog al meerdere grote lekken behandeld, dit is niet per definitie nog iets waar u van uw stoel van valt. Maar, wat nou als we u vertellen dat er een database met gegevens over de gehele Ecuadoraanse bevolking publiekelijk bereikbaar was? Dit werd deze week duidelijk na onderzoek van ZDNet. Via de database waren onder meer gegevens te achterhalen van miljoenen Ecuadorianen, van kinderen tot zelfs WikiLeaks-oprichter Julian Assange. Deze laatstgenoemde logeerde een tijdje op de Ecuadoriaanse ambassade in Londen. Onderzoekers van ZDNet, Noam Rotem en Ran Locar, kwamen erachter dat er een server verkeerd was ingesteld. Het resultaat? De gegevens van maar liefst 20.8 miljoen gebruikers op straat. Fun fact? Ecuador telt maar 16.6 miljoen burgers. Het lek is inmiddels (naar zo geclaimd wordt) gedicht, maar de onderzoekers vonden hier onder andere; stambomen van families, thuisadressen, financiële en arbeidsgerelateerde informatie en autoregistraties. De reden dat het lek uiteindelijk relatief snel is gedicht heeft mogelijkerwijs te maken met het feit dat er ook informatie te vinden was over de huidige president van Ecuador.
Bij Rootsec zijn wij op dagelijkse basis veel bezig met het uitvoeren van penetratietesten. Hier zijn we erg goed in en daar zijn we trots op. En tijdens de testen komen we nog wel eens wat rare dingen tegen, maar de volgende situatie hebben wij nog niet meegemaakt. In de VS zijn namelijk vorige week twee penetratietesters gearresteerd tijdens het uitvoeren van een fysieke beveiligingstest bij een rechtbank in de staat Iowa. Wat bleek? Er was een klein misverstand ontstaan betreffende welke locaties precies onderdeel zouden zijn van de fysieke beveiligingstest. Lang verhaal kort, de pentesters hebben alles gedaan om ongeautoriseerd toegang te verkrijgen tot digitale gerechtelijke dossiers, maar dat had een alarm bij de rechtbank ten gevolgen. Nadat deze, overduidelijk gemotiveerde, penetratietester op ongetwijfeld subtiele Amerikaanse wijze waren geboeid werd duidelijk dat er “verschillende interpretaties van de reikwijdte van de overeenkomst” waren. Na her en der wat excuses is het allemaal met een sisser afgelopen. Voor de rechtbank is het fijn om te weten dat hun alarmsysteem werkt en ik gok dat de penetratietesters zich voorlopig even bezig gaan houden met opdrachten die uitgevoerd kunnen worden achter de veiligheid van hun computerscherm.
Een tikkie, een krabbel, een dansende banaan en “r&r = r&r back”. Als deze dingen u iets zeggen dan bent u van de Hyves generatie. Nu gaat dit stuk niet daadwerkelijk over waarom Hyves vele malen beter was dan Facebook, maar hebben we toch heugelijk nieuws. Uw profiel staat namelijk nog online! Jazeker, na onderzoek van VPNgids.nl bleek namelijk dat in de archieven van Archive.com nog zo’n 9 miljoen profielen bewaard zijn gebleven. Kent u uw oude gebruikersnaam nog? Dan kunt u hier uw oude profiel bekijken. Dit doet u door uw gebruikersnaam gevolgd door ‘.hyves.nl’ in te voeren. Ondanks dat het verzamelen van de data op dat moment niet strafbaar was (openbare data), moet Archive.org wel voldoen aan de AVG wet omdat er persoonsgegevens op de profielpagina’s staan. Dus staat uw profiel dieter_playboy69_puijs.hyves.nl nog online en wilt u deze pagina graag laten verwijderen? Dan kunt u schriftelijk vragen om inzage en de verwijdering van persoonsgegevens.
Nog even kort naar de zorgsector. Deze week was in het nieuws dat de meeste meldingen (!) van datalekken dit jaar wederom uit de zorgsector kwamen. Met bijna 12.000 meldingen in de eerste helft van het jaar is dit een stijging van liefst 14%. Dat is niet mis. En dat gaat mooi hand in hand bij een bericht dat ons gisteren bereikten. De onderzoeksredactie van Pointer maakte namelijk melding van röntgenfoto’s- en MRI-scans van 25.000 Nederlands die online beschikbaar zijn. Dus dacht u net al uw pikante zelfportretten uit de handen van hackers gehouden te hebben, sta je mogelijk next-level naakt op internet. Het is vooralsnog onduidelijk om welke ziekenhuizen het hier gaat. De scans en röntgenfoto’s stonden op onbeveiligde servers opgeslagen, hierbij werden ook de voor- en achternamen en geboortedatums van patiënten vermeld.