Orange blundert bij Europol met Iomega-lek
Een ict’er van dienstverlener Orange Business Services heeft per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet gelekt. Hij had de informatie op een network attached storage (nas)-schijf van Iomega opgeslagen die hij privé gebruikte. Op Iomega-schijven staat het wachtwoord standaard uitgeschakeld en als deze niet aangezet wordt, is een schijf via internet benaderbaar. KRO-televisieprogramma Reporter bracht het lek naar buiten.
Reporter deed de afgelopen tijd onderzoek naar computerrandapparatuur en deed verschillende schokkende ontdekkingen. Zo vond het programma lekken in printers van HP, Ricoh en Brother, in netwerkbeveiligingscamera’s van AVtech en in nas-schijven van Iomega, onderdeel van EMC. Vooral dit laatste lek ligt gevoelig, omdat nas-schijven erg veel data, en dus informatie, kunnen opslaan. Reporter vond wereldwijd in totaal zestienduizend ip-adressen van schijven van Iomega die in totaal dertig miljoen gigabyte aan schijfruimte via internet staan te lekken. In Nederland gaat het om twaalfhonderd schijven.
KLM, ING en Ballast Nedam
Via de Iomega-schijven kreeg Reporter inzage in vertrouwelijke en privacygevoelige informatie van verschillende bedrijven. Zo zag het van een medewerker van het bedrijf Jet Effectvie een kopie van zijn paspoort en kon het lezen hoe er vergunningen konden worden verkregen om tot beveiligde delen van Schiphol toegang te krijgen. Op hetzelfde Schiphol heeft vliegtuigmaatschappij KLM zijn beveiligde datacenter staan. Hier binnenkomen lukt zo goed als niet, maar informatie uit dat datacenter wordt ongemerkt wel verspreid door de directeur van het datacenter zelf. Hij neemt vertrouwelijke informatie van KLM op zijn Iomega-schijf mee naar huis.
Op de nas-schijf van de datacenterdirecteur van KLM vond Reporter ook calamiteitenplannen van bank ING. Het ging hier om informatie hoe te handelen bij computerproblemen. Ook wist het KRO-programma zich toegang te verschaffen tot concurrentiegevoelige informatie van Unilever en beursgevoelige informatie over toekomstige bouwprojecten van Ballast Nedam. Het lek dat Orange Business Servcies ontwikkelde bij Europol sprong het meest in het oog.
Europese Commissie
Orange Business Services is al jaren verantwoordelijk voor het wereldwijde wide area network (wan) van de Europese Commissie (EC). Europol is in Den Haag gevestigd en hierdoor zijn er vooral Nederlandse ict’ers bij de Europese politieorganisatie actief. Eén van hen sloeg informatie van het intranet van Europol op zijn privéschijf van Iomega op. Reporter vond dit via internet en vroeg zowel Europol als Orange om een reactie. Volgens Europol heeft Orange een probleem, maar levert het lek geen probleem voor de eigen organisatie op. Het Euopol-intranet is niet voor hackers toegankelijk geweest. De woordvoerder is niet verbaasd over het lek. Orange wilde in de uitzending niet reageren en geeft de eigen ict’er de schuld. Dergelijke informatie mag niet op privéapparaten worden opgeslagen. De ict-dienstverlener probeerde nog wel via kort geding de uitzending van Reporter te voorkomen, maar ving bot bij de rechter.
Tegenover Computable wilde Orange Business Services wel reageren. Hoofd marketing en communicatie van de Benelux Francine Linzell hamert er vooral op dat er geen klanten in gevaar zijn geweest. ‘Het probleem zat bij één iemand zijn persoonlijke harde schijf. Daar stond oudere klantinformatie op. Toen we hierop attent werden gemaakt, hebben we direct de impact bekeken. Al snel constateerden wij dat niemand in gevaar was. We hebben beleid dat werkgegevens niet op privéapparaten opgeslagen mogen worden en dat beleid wordt verder aangescherpt. Zo gaan we technische maatregelen doorvoeren zodat dergelijke informatie niet meer dan op de daarvoor bestemde zakelijke apparaten opgeslagen kan worden.’
Meer klantgegevens gelekt
Linzell betreurt het lek en vindt dat Orange Business Services adequaat heeft gehandeld. ‘We hebben direct een assessment gemaakt en alle klanten ingelicht waarvan er gegevens gelekt waren.’ Naast Europol ging het namelijk om meer klantgegevens. Winzell wil niet zeggen om hoeveel klanten het gaat of welke bedrijven het betreft. Zij bestempelt cybercrime als ‘een groot maatschappelijk probleem’. ‘Dat is ook de reden dat wij via kort geding hebben geprobeerd om de uitzending van Reporter te voorkomen. We willen namelijk niet hackers op ideeën brengen. Uiteindelijk mocht de uitzending onder enkele voorwaarden doorgaan. Dat is goed, want het is belangrijk dat dit soort problemen worden aangekaart.’
P.J Westerhof, 10-12-2012 13:41
Vraag is wel waarom op het Europol-netwerk de USB-poorten blijkbaar open staan. Want dan kan elk willekeurig USB-opslagapparaat in de trein blijven liggen.
Eric, 10-12-2012 13:43
Als Orange IT medewerkers in diens heeft die niet eens zo'n simpele thuis nas kunnen beveiligen, dan mag je je sterk afvragen of het complexere werk dat deze IT-ers bij klanten uitvoeren wel deskundig is.
Bert, 10-12-2012 14:26
Een consumenten-NAS kan je ook vaak via andere protocollen benaderen (bv. http(s), ftp(s) dus het is niet gezegd dat je per sé op het netwerk moet komen om op die NAS te komen.
Het is dus waarschijnlijk dat deze persoon zijn NAS via zo'n protocol kon benaderen, maar ergens een standaard wachtwoord niet heeft aangepast.
Ano, 10-12-2012 14:47
Ik denk dat de meeste mesnen de apparaten rechtstreeks met een kabeltje aan de modem/router hangen in de meterkast. Dan is wifi beveiliging niet aan de orde dus.
Bassie, 10-12-2012 15:36
Henri Koppen, 10-12-2012 15:58
Accessibility is-the-most-important thing ;-)
Nu hopen dat de "schuldige" een wat sterker gestel heeft dan de telefoniste van een Engels ziekenhuis anders moet KRO reporter ook huilen, zo had die het namelijk nooit bedoeld! ( http://www.nu.nl/buitenland/2978525/dj-in-tranen-dood-verpleegkundige-kate-middleton.html )
Emanuel, 10-12-2012 16:06
M_Felt, 10-12-2012 16:08
I guess I know why, as an owner of Iomega NAS device, why, surprisingly, I received an email from Iomega pointing out that:
IF I had enabled remote access AND I had not set an administrative password I was at risk.
I knew this already, the documentation was quite plain about this, years ago.
So, imho, what this comes down to, is lack of professionalism by the people involved - first and foremost. Read manuals.
Yes, companies are embarressed, and worse, confidential data is "out there" where it should not be.
If you want to help, speak with colleagues about the importance of practicing what we preach - as professionals.
A lot more can be said of course, but the first place to begin with securing IT is with ourselves - and our habits. Hopefully, more people will think before they act - even if it is just reading the warning messages in the manual and dialogs.
Richard Jonker, 10-12-2012 16:28
1 De reflex van de fabrikanten om meteen de schuld op de gebruikers te schuiven
2 De arrogantie bijvoorbeeld door klachten of problemen niet serieus te nemen, niet terug te bellen, dingen pas volgend jaar te fixen
3 Het gebrek aan realiteitsbesef; natuurlijk moet je als fabrikant zorgen dat remote access alleen mogelijk is na diverse pop-ups, waarschuwingen en het aanvinken van een paar features die standaard uit moeten staan.
4 Gebruiksgemak mag nooit ten koste gaan van beveiliging, tenzij de gebruiker hier bewust voor kiest na eerst geconfronteerd te zijn met de risico's.
Wim B., 10-12-2012 17:21
ICT-er, 10-12-2012 20:31
Conclusie, de meeste grote ICT-afdelingen en ingehuurde ICT-dienstverleners bieden slecht beveiligde ICT-diensten aan. Ze weten het, maar wachten gewoon af totdat ze tegen de lamp lopen. En dan proberen ze de boodschapper met behulp van woordvoerders en advocaten, neer te sabelen en spreken van "een losstaand incident''.
Vertrouwelijke data van klanten van je werkgever meenemen en op een privé NAS zetten is niet professioneel (al lopen privé- en werkomgevingen steeds meer door elkaar vanwege het nieuwe werken en BYOD). Maar als je als ICT-er die NAS niet zelf beveiligt, dan mag je toch wel even gaan nadenken wat je vak is. De medewerker van Orange moet zich natuurlijk niet van kant maken, maar hij/zij moet het gebeuren wel als leermoment zien. Dat geldt net zo goed voor de opdrachtgevers zoals KLM, Unilever en Europol. Men is vaak slordig bij het uitbesteden en cloud computing.
Richard Jonker, je hebt natuurlijk gelijk m.b.t. de reflex van de fabrikanten. Maar een ICT-er kan zich niet verschuilen achter fabrikanten of achter leveranciers. Als beheerder heb je een eigen verantwoordelijkheid. Natuurlijk kan het alsnog mis gaan. Dat kan echt iedereen overkomen, maar dan heb je wel je professioneel best gedaan.
Jan, 11-12-2012 10:14
Het beleid van Orange om dit soort gevoelige informatie niet privé op te slaan lijkt mij voor iedere IT'er een no-brainer. Maar blijkbaar is niet iedereen zich daar bewust van. Daarom komen dit soort incidenten dagelijks voor en zal uiteindelijk lijden tot nog meer beperkende (onzin) regeltjes die de vrijheid van het internet nog meer beknotten.
ICT-er, 12-12-2012 13:54
Juist op het werk lopen de zaken door elkaar. Illegaal downloaden op het werk is een voorbeeld. Maar het zijn vooral bazen die BYOD verkeerd gebruiken en commerciële afdelingen die ontwikkelaars geen tijd geven om website goed te beveiligen.
Redactie, jammer van die kop; net doen alsof het een iOmega probleem is. Je hebt ook (lege) standaard(master)wachtwoorden bij Cisco, LinkSys, NetGear, Nortel, Alcatel en vele tientallen andere hardware leveranciers en tevens bij nog meer softwareleveranciers zoals Apple, Oracle en Microsoft. Daarvan zijn lijsten op het internet te vinden, met vaak enkele duizenden gebruiker-wachtwoordcombinaties.
21-05 Eurofiber koopt met Unet 1000 km glasvezel
21-05 ICTroom bouwt energiezuinig datacenter Ricoh
21-05 TNO zet Cyber Security Lab op
21-05 Computable nomineert 10 partnerprojecten
17-05 Infotheek regelt hardwaredonatie via IT4kids
17-05 OpenSesame ICT start eigen CRM-bedrijf
17-05 Rabobank verlengt ook applicatiecontract IBM
17-05 Wadinko investeert in Caase.com
17-05 Leden De Unie verwerpen sociaal plan Ericsson
17-05 3D-model van plaats delict helpt rechercheur
17-05 Rabobank verlengt ook applicatiecontract IBM
16-05 Groei IT-budgetten bij grote ondernemingen
15-05 Ordina levert agile ontwikkelteams aan het CAK
07-05 Vijf nieuwe ‘zekerheden’ bij outsourcing
07-05 'Uitbesteding Spir-it is niet aan de orde'
03-05 CGI verhoogt bespaardoelstelling Logica
03-05 Ook loonoffer bij Capgemini Financial Services
01-05 OR Kadaster overweegt gang Ondernemingskamer
29-04 KPN moet bouw rijksdatacenter zelf betalen
26-04 100 procent uptime is een beleving
|
|
20-09-10 EC verlengt contract met Orange
In vijf stappen een brug slaan tussen IT en business
 |
Van een informatiemanager wordt verwacht dat hij of zij optimaal inspeelt op de wensen van de business. Dat vereist......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 752 | 6.1 | |
 | 2 | 647 | 6.3 | |
 | 3 | 616 | 6.4 | |
 | 4 | 588 | 6.3 | |
 | 5 | 534 | 6.3 | |
 | 6 | 516 | 6.2 | |
 | 7 | 276 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 154 | 6.1 | |
| 10 | 122 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep
Mijn netwerk harde schijf is dan wel netjes met wachtwoord beveiligd, maar de vertrouwelijkheid van onze documenten is erg laag.
Overigens wordt het open staan van een schijf pas een probleem als de beveiliging (WPA/WPA2) van de modem/router gekraakt is. Of stond die van genoemde personen open? Dat lijkt me sterk, en zou wel erg dom zijn.
Bewust ermee omgaan is in dit soort gevallen wel het belangrijkst, want technische oplossingen werken nooit of zelden. Orange kondigt aan technische maatregelen te nemen maar die maken het werken in zo'n organisatie vaak erg lastig, en als je perse wilt is het altijd wel weer te breken.