Orange blundert bij Europol met Iomega-lek

10-12-2012 11:55 | Door Sander Hulsman | Lees meer artikelen over: Authenticatie, Hacking, Intranet, NAS | Lees meer over de bedrijven: Iomega, Orange Business Services, Europese Commissie, Europol | Er zijn 14 reacties op dit artikel | Permalink
Blunder

Een ict’er van dienstverlener Orange Business Services heeft per ongeluk meerdere vertrouwelijke documenten van de Europese politieorganisatie Europol via internet gelekt. Hij had de informatie op een network attached storage (nas)-schijf van Iomega opgeslagen die hij privé gebruikte. Op Iomega-schijven staat het wachtwoord standaard uitgeschakeld en als deze niet aangezet wordt, is een schijf via internet benaderbaar. KRO-televisieprogramma Reporter bracht het lek naar buiten.

Reporter deed de afgelopen tijd onderzoek naar computerrandapparatuur en deed verschillende schokkende ontdekkingen. Zo vond het programma lekken in printers van HP, Ricoh en Brother, in netwerkbeveiligingscamera’s van AVtech en in nas-schijven van Iomega, onderdeel van EMC. Vooral dit laatste lek ligt gevoelig, omdat nas-schijven erg veel data, en dus informatie, kunnen opslaan. Reporter vond wereldwijd in totaal zestienduizend ip-adressen van schijven van Iomega die in totaal dertig miljoen gigabyte aan schijfruimte via internet staan te lekken. In Nederland gaat het om twaalfhonderd schijven.

KLM, ING en Ballast Nedam

Via de Iomega-schijven kreeg Reporter inzage in vertrouwelijke en privacygevoelige informatie van verschillende bedrijven. Zo zag het van een medewerker van het bedrijf Jet Effectvie een kopie van zijn paspoort en kon het lezen hoe er vergunningen konden worden verkregen om tot beveiligde delen van Schiphol toegang te krijgen. Op hetzelfde Schiphol heeft vliegtuigmaatschappij KLM zijn beveiligde datacenter staan. Hier binnenkomen lukt zo goed als niet, maar informatie uit dat datacenter wordt ongemerkt wel verspreid door de directeur van het datacenter zelf. Hij neemt vertrouwelijke informatie van KLM op zijn Iomega-schijf mee naar huis.

Op de nas-schijf van de datacenterdirecteur van KLM vond Reporter ook calamiteitenplannen van bank ING. Het ging hier om informatie hoe te handelen bij computerproblemen. Ook wist het KRO-programma zich toegang te verschaffen tot concurrentiegevoelige informatie van Unilever en beursgevoelige informatie over toekomstige bouwprojecten van Ballast Nedam. Het lek dat Orange Business Servcies ontwikkelde bij Europol sprong het meest in het oog.

Europese Commissie

Orange Business Services is al jaren verantwoordelijk voor het wereldwijde wide area network (wan) van de Europese Commissie (EC). Europol is in Den Haag gevestigd en hierdoor zijn er vooral Nederlandse ict’ers bij de Europese politieorganisatie actief. Eén van hen sloeg informatie van het intranet van Europol op zijn privéschijf van Iomega op. Reporter vond dit via internet en vroeg zowel Europol als Orange om een reactie. Volgens Europol heeft Orange een probleem, maar levert het lek geen probleem voor de eigen organisatie op. Het Euopol-intranet is niet voor hackers toegankelijk geweest. De woordvoerder is niet verbaasd over het lek. Orange wilde in de uitzending niet reageren en geeft de eigen ict’er de schuld. Dergelijke informatie mag niet op privéapparaten worden opgeslagen. De ict-dienstverlener probeerde nog wel via kort geding de uitzending van Reporter te voorkomen, maar ving bot bij de rechter.

Tegenover Computable wilde Orange Business Services wel reageren. Hoofd marketing en communicatie van de Benelux Francine Linzell hamert er vooral op dat er geen klanten in gevaar zijn geweest. ‘Het probleem zat bij één iemand zijn persoonlijke harde schijf. Daar stond oudere klantinformatie op. Toen we hierop attent werden gemaakt, hebben we direct de impact bekeken. Al snel constateerden wij dat niemand in gevaar was. We hebben beleid dat werkgegevens niet op privéapparaten opgeslagen mogen worden en dat beleid wordt verder aangescherpt. Zo gaan we technische maatregelen doorvoeren zodat dergelijke informatie niet meer dan op de daarvoor bestemde zakelijke apparaten opgeslagen kan worden.’

Meer klantgegevens gelekt

Linzell betreurt het lek en vindt dat Orange Business Services adequaat heeft gehandeld. ‘We hebben direct een assessment gemaakt en alle klanten ingelicht waarvan er gegevens gelekt waren.’ Naast Europol ging het namelijk om meer klantgegevens. Winzell wil niet zeggen om hoeveel klanten het gaat of welke bedrijven het betreft. Zij bestempelt cybercrime als ‘een groot maatschappelijk probleem’. ‘Dat is ook de reden dat wij via kort geding hebben geprobeerd om de uitzending van Reporter te voorkomen. We willen namelijk niet hackers op ideeën brengen. Uiteindelijk mocht de uitzending onder enkele voorwaarden doorgaan. Dat is goed, want het is belangrijk dat dit soort problemen worden aangekaart.’

Reacties op dit artikel
De redactie vindt deze reactie: OKj. de lange, 10-12-2012 13:11
Een juiste inschatting van de gevoeligheid van je gegevens is wel belangrijk, lijkt me, het college van bescherming persoonsgegevens zegt daar wel goede dingen over ( http://www.cbpweb.nl/Pages/av_23_Beveiliging.aspx ).
Mijn netwerk harde schijf is dan wel netjes met wachtwoord beveiligd, maar de vertrouwelijkheid van onze documenten is erg laag.
Overigens wordt het open staan van een schijf pas een probleem als de beveiliging (WPA/WPA2) van de modem/router gekraakt is. Of stond die van genoemde personen open? Dat lijkt me sterk, en zou wel erg dom zijn.
Bewust ermee omgaan is in dit soort gevallen wel het belangrijkst, want technische oplossingen werken nooit of zelden. Orange kondigt aan technische maatregelen te nemen maar die maken het werken in zo'n organisatie vaak erg lastig, en als je perse wilt is het altijd wel weer te breken.
De redactie vindt deze reactie: OKP.J Westerhof, 10-12-2012 13:41
Blijkbaar rammelt bij alle betrokken partijen de beveiliging op zowel technisch als proces-vlak en tussen de oren.
 
Vraag is wel waarom op het Europol-netwerk de USB-poorten blijkbaar open staan. Want dan kan elk willekeurig USB-opslagapparaat in de trein blijven liggen.
De redactie vindt deze reactie: OKEric, 10-12-2012 13:43
Orange mag dan zeggen dat geen klanten in gevaar geweest zijn, maar dat lijkt me niet juist.
 
Als Orange IT medewerkers in diens heeft die niet eens zo'n simpele thuis nas kunnen beveiligen, dan mag je je sterk afvragen of het complexere werk dat deze IT-ers bij klanten uitvoeren wel deskundig is.
De redactie vindt deze reactie: OKBert, 10-12-2012 14:26
@j. De Lange:
Een consumenten-NAS kan je ook vaak via andere protocollen benaderen (bv. http(s), ftp(s) dus het is niet gezegd dat je per sé op het netwerk moet komen om op die NAS te komen.
Het is dus waarschijnlijk dat deze persoon zijn NAS via zo'n protocol kon benaderen, maar ergens een standaard wachtwoord niet heeft aangepast.
De redactie vindt deze reactie: OKAno, 10-12-2012 14:47
"Overigens wordt het open staan van een schijf pas een probleem als de beveiliging (WPA/WPA2) van de modem/router gekraakt is. Of stond die van genoemde personen open? Dat lijkt me sterk, en zou wel erg dom zijn."
 
Ik denk dat de meeste mesnen de apparaten rechtstreeks met een kabeltje aan de modem/router hangen in de meterkast. Dan is wifi beveiliging niet aan de orde dus.
De redactie vindt deze reactie: OKBassie, 10-12-2012 15:36
WPA/WPA2 beveilging is hier niet aan de orde. Dit is alleen maar een encryptie tussen bijv. de netwerkschijf en de (thuis) router. Deze netwerkschijven zorgen er (automatisch) voor via waarschijnlijk upnp dat ze bereikbaar zijn vanaf het internet. Standaard staat er geen of een default wachtwoord op dit soort mogelijkheden. Als je die vervolgens niet aanpast kan iedereen bij je gegevens.
De redactie vindt deze reactie: OKHenri Koppen, 10-12-2012 15:58
Simpel scenario: Consultant mailt bijlagen naar zichzelf, slaat deze thuis op op zijn NAS, zich niet realiseren dat deze apparaten tegenwoordig zo gebruiksvriendelijk als mogelijk zijn.
 
Accessibility is-the-most-important thing ;-)
 
Nu hopen dat de "schuldige" een wat sterker gestel heeft dan de telefoniste van een Engels ziekenhuis anders moet KRO reporter ook huilen, zo had die het namelijk nooit bedoeld! ( http://www.nu.nl/buitenland/2978525/dj-in-tranen-dood-verpleegkundige-kate-middleton.html )
De redactie vindt deze reactie: OKEmanuel, 10-12-2012 16:06
Het toegang verkrijgen van op het internet geplaatste gegevens zonder daarvoor een authenticatie-methode te omzeilen/kraken is volgens het burgerlijk boek van strafrecht geen 'crime'.. Dus cybercrime is niet van toepassing, wel grove nalatigheid. Voor de rest weer een groot voorbeeld dat je verantwoordelijkheidsbesef niet kan outsourcen.. ( je kan door een onafhankelijk bedrijf maandelijks audits laten uitvoeren bij je cloud provider en bonussen uitbetalen per gevonden misstand, maar levert alleen angst op de werkvloer op en verdoezelpraktijken).. Niet alles kan je outsourcen of in de cloud brengen dus, tenzij die omgevingen dusdanig beveiligd worden, dat de cloud provider zelf op geen enkele manier de data kan ontsleutelen en het applicatie/OS-beheer door de verantwoordelijken zelf worden gedaan.
De redactie vindt deze reactie: OKM_Felt, 10-12-2012 16:08
Please excuse my English - much easier to write.
 
I guess I know why, as an owner of Iomega NAS device, why, surprisingly, I received an email from Iomega pointing out that:
IF I had enabled remote access AND I had not set an administrative password I was at risk.
 
I knew this already, the documentation was quite plain about this, years ago.
 
So, imho, what this comes down to, is lack of professionalism by the people involved - first and foremost. Read manuals.
 
Yes, companies are embarressed, and worse, confidential data is "out there" where it should not be.
 
If you want to help, speak with colleagues about the importance of practicing what we preach - as professionals.
 
A lot more can be said of course, but the first place to begin with securing IT is with ourselves - and our habits. Hopefully, more people will think before they act - even if it is just reading the warning messages in the manual and dialogs.
De redactie vindt deze reactie: OKRichard Jonker, 10-12-2012 16:28
Er vallen in deze zaak een paar dingen op.
1 De reflex van de fabrikanten om meteen de schuld op de gebruikers te schuiven
2 De arrogantie bijvoorbeeld door klachten of problemen niet serieus te nemen, niet terug te bellen, dingen pas volgend jaar te fixen
3 Het gebrek aan realiteitsbesef; natuurlijk moet je als fabrikant zorgen dat remote access alleen mogelijk is na diverse pop-ups, waarschuwingen en het aanvinken van een paar features die standaard uit moeten staan.
4 Gebruiksgemak mag nooit ten koste gaan van beveiliging, tenzij de gebruiker hier bewust voor kiest na eerst geconfronteerd te zijn met de risico's.
De redactie vindt deze reactie: OKWim B., 10-12-2012 17:21
Hoezeer de Orange consultant ook aanspreekbaar is, persoonlijk vond ik de reactie van de directeur van het KPN datacenter schadelijker voor onze beroepsgroep. Je hand voor de camera houden alsof je zojuist bent overvallen door 'TROS opgelicht' en daarna snel weer door de draaideur naar binnen. Liet echt een heel professioneel beeld achter....
De redactie vindt deze reactie: OKICT-er, 10-12-2012 20:31
Een déjà vu en ik ben geeneens een security specialist. Toch zie ik het ook geregeld, vooral bij telecombedrijven. Een collega van mij is wel security specialist. Hij voert quick scans uit bij potentiële klanten met enkele tientallen tot duizenden automatiseerders onder contract. Die zouden toch echt wel voldoende kennis in huis moeten hebben om algemeen bekende lekken te dichten of te voorkomen. Toch is het meestal snel raak. Vaak zijn meerdere eenvoudig te voorkomen lekken. Een tip over 1 beveiligingsgat krijgen ze gratis op discrete wijze aangereikt, en daarna uiteraard de vraag of ze een meer diepgaande betaalde scan willen. Slechts een klein deel reageert, waarvan een deel weer met “nee dat kunnen we wel zelf oplossen”. Na controle blijkt het meestal niet of maar ten dele gebeurd te zijn.
 
Conclusie, de meeste grote ICT-afdelingen en ingehuurde ICT-dienstverleners bieden slecht beveiligde ICT-diensten aan. Ze weten het, maar wachten gewoon af totdat ze tegen de lamp lopen. En dan proberen ze de boodschapper met behulp van woordvoerders en advocaten, neer te sabelen en spreken van "een losstaand incident''.
 
Vertrouwelijke data van klanten van je werkgever meenemen en op een privé NAS zetten is niet professioneel (al lopen privé- en werkomgevingen steeds meer door elkaar vanwege het nieuwe werken en BYOD). Maar als je als ICT-er die NAS niet zelf beveiligt, dan mag je toch wel even gaan nadenken wat je vak is. De medewerker van Orange moet zich natuurlijk niet van kant maken, maar hij/zij moet het gebeuren wel als leermoment zien. Dat geldt net zo goed voor de opdrachtgevers zoals KLM, Unilever en Europol. Men is vaak slordig bij het uitbesteden en cloud computing.
 
Richard Jonker, je hebt natuurlijk gelijk m.b.t. de reflex van de fabrikanten. Maar een ICT-er kan zich niet verschuilen achter fabrikanten of achter leveranciers. Als beheerder heb je een eigen verantwoordelijkheid. Natuurlijk kan het alsnog mis gaan. Dat kan echt iedereen overkomen, maar dan heb je wel je professioneel best gedaan.
De redactie vindt deze reactie: OKJan, 11-12-2012 10:14
Als IT professionals onder elkaar. Wie hier heeft thuis een soortgelijke opstelling of een dedicated internet server waarbij gevoelige informatie via het internet benaderbaar is? En houdt u dan ook bij of die opstelling ook zwakke plekken bevat en handelt u hier ook naar door regelmatig security patches uit te voeren?
 
Het beleid van Orange om dit soort gevoelige informatie niet privé op te slaan lijkt mij voor iedere IT'er een no-brainer. Maar blijkbaar is niet iedereen zich daar bewust van. Daarom komen dit soort incidenten dagelijks voor en zal uiteindelijk lijden tot nog meer beperkende (onzin) regeltjes die de vrijheid van het internet nog meer beknotten.
De redactie vindt deze reactie: OKICT-er, 12-12-2012 13:54
Jan, het is een kwestie van functies scheiden. Dat weet elke ict-er. Thuis heb ik aparte omgevingen voor mijn werk, testen en privé. Werkomgevingen zijn up-to-date met router, firewall en anti-malware software. De meeste collega's die ik ken doen dat ook. Ze gebruiken ook vaak Linux en OS-X.
Juist op het werk lopen de zaken door elkaar. Illegaal downloaden op het werk is een voorbeeld. Maar het zijn vooral bazen die BYOD verkeerd gebruiken en commerciële afdelingen die ontwikkelaars geen tijd geven om website goed te beveiligen.
 
Redactie, jammer van die kop; net doen alsof het een iOmega probleem is. Je hebt ook (lege) standaard(master)wachtwoorden bij Cisco, LinkSys, NetGear, Nortel, Alcatel en vele tientallen andere hardware leveranciers en tevens bij nog meer softwareleveranciers zoals Apple, Oracle en Microsoft. Daarvan zijn lijsten op het internet te vinden, met vaak enkele duizenden gebruiker-wachtwoordcombinaties.
Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1572 6.2
Klik voor meer info2 1305 6.0
Klik voor meer info3 1271 6.2
Klik voor meer info4 1072 6.2
Klik voor meer info5 993 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 524 6.1
Klik voor meer info9 405 6.2
Klik voor meer info10 399 6.0