Recent is bekend geworden dat gegevens van achthonderdduizend Nederlanders op straat zijn komen te liggen door een inbraak bij een Service provider. Wat houdt dat precies in, wat betekent dat voor mij en wat kan ik er aan doen?
Door het kijken in een onbeveiligde server waar een aantal publieke websites gebruik van maakte, zijn de gegevens van achthonderdduizend Nederlanders 'op straat' komen te liggen. Voorwaar een populaire term die aangeeft dat er met de beveiliging van de service provider iets goed mis is. Volgens Nu.nl werd de zwakheid ontdekt door hacker Trixy van het Nederlands Genootschap van Hackende Huisvrouwen. Zij kwam erachter dat het ontbrak aan iedere toegangsbeveiliging om als beheerder in te loggen.
Deze gebeurtenis roept een aantal vragen op. Ten eerste: Hoeveel onbeveiligde servers (of databases) zijn er eigenlijk in Nederland? Wie zou hier een voorzichtige schatting van kunnen maken? Uiteraard is het nogal een schande om dit te bekennen voor een bedrijf of een provider en als zodanig geen publieke informatie. Het zou interessant zijn als deze gegevens eens door het Genootschap bekend zouden worden gemaakt (als ze dat kunnen tenminste).
Ten tweede denk ik dan 'Is Trixy strafbaar?'. Zij doet zich voor als iemand anders en maakt misbruik van de rechten die aan de beheerder zijn voorbehouden. Ik raad ook iedere service provider vanaf nu aan dat de beheerder die inlogt een 'I accept' moet lezen en versturen. Zo kan eenvoudig de aansprakelijkheid worden gegarandeerd, en het email adres van de zender worden gedetecteerd. En o ja, houd dan ook een lijst bij van ip-adressen waar het van is toegestaan om in te loggen op het systeem, is dat geen idee (naast het instellen en het regelmatig wijzigen van het wachtwoord natuurlijk).
Wat betekent nu eigenlijk op straat? Betekent dat misbruik van mijn gegevens? Waarschijnlijk betreft het niet meer dan (afleverings) naam en adres, en ook emailadres. Eigenlijk nogal openbaar. Het zou anders zijn als er ook echte privé data mee gemoeid is, maar is dat hier het geval? Wordt het aanbevolen je emailadres te veranderen of je wachtwoord? Het wachtwoord verandert deze gegevens niet en verhuizen of een naamswijziging is geen optie. Dus het emailadres dan maar. Lastig voor de bedrijven die dan opeens klantcontacten kwijt zijn. Zelf check ik eerst of ik slachtoffer zou kunnen zijn. Vervolgens verwijder ik mij van de email lijst (als dat tenminste kan) en wijzig zeker mijn emailadres.
Tenslotte nog dit: Zou Trixy echt bestaan? En is zij een echte huisvrouw? Ik weet niet of ik op deze informatie kan vertrouwen …. misschien is alles wel verzonnen.
Mag ik aannemen dat in deel 2 van je verhaal ingegaan wordt op een aanpak/oplossingsrichting. Natuurlijk zijn de vragen , “waslijst in huisvrouwen termen…” aardig om te stellen, maar de combinatie met oplossingsrichting geeft meerwaarde…… Ik kijk er naar uit.
Trixy zal vast wel echt bestaan. De hackende huisvrouwen werken, voor zover mij bekend, met aliases. Het is dus niet uitgesloten dat Trixy in werkelijkheid Henk of Willem heet. En zij (of hij) hoeft ook helemaal geen huisvrouw te zijn. Net als bij Anonymous is “De hackende huisvrouwen” slechts de naam waaronder zij publiceren. En zoals de Nederlandse afdeling van Anonymous sinds de hack eerder deze week helemaal niet zo anoniem is, hoeven De hackende huisvrouwen helemaal geen huisvrouwen te zijn en zelfs geen vrouwen.
Manager securety solution…..
Nee… Senior manager zelfs…..
Het is te merken.
Kenlijk even vergeten dat dit magazine iha door ict specialisten word gelezen, en niet door Henk de wassende hackhuisvrouw
Als schrijver van deze BLOG wil ik graag even reageren. Daar is een BLOG immers voor.
Ten eerste, Maarten, mijn vragen zijn meer bedoeld om mensen aan het denken te zetten, niet om oplossingen voor problemen te geven. Een dergelijke vorm van marketing past niet in de Computable blog. Kijk je er naar uit? Stuur me een email (graag wel gesigned).
Ten tweede, Cor: Leuke reactie, in de geest van het artikeltje.
Ten derde, Pascal: Ik neem aan dat jij een ICT specialist bent. Je zult verrast zijn over de varieteit aan lezers van Computable blog. Het zijn niet allemaal experts, en waarom niet Bloggen voor een breed publiek?
Jan,
We kunnen natuurlijk ook de vragen omdraaien door zo’n bedrijf te vervolgen op grond van de Wet Bescherming Persoonsgegevens of Artikel 10 van onze Grondwet in plaats van achteraf weer een ‘Bel Me Niet’register op te zetten. Of net als met de nieuwe cookie-wet bedrijven expliciet te laten vragen of ze mijn persoonsgegevens mogen opslaan en ze uitleg laten geven waarvoor ze deze gebruiken.