Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Hoe beschermt u zich tegen ‘misconfiguraties’?

23 januari 2020 - 09:31AchtergrondCloud & InfrastructuurMicrosoft
Krijn Soeteman
Krijn Soeteman

Via een niet-beveiligde database van Microsoft zijn miljoenen klantgegevens gelekt. Het zou gaan om een klantenondersteuningsdatabase die door een misconfiguratie 25 dagen open en bloot op het internet lag. Hoe beschermt u zich tegen dit soort foutjes?

De klantendatabase bevatte 250 miljoen records, wat niet betekent dat elk record van een andere klant was. Een groot deel van de informatie bevatte logs van gesprekken tussen Microsoftmedewerkers en klanten. Het ging om gegevens verzameld tussen 2005 en 2019, ofwel veertien jaar aan informatie.

Ondanks dat er volgens Microsoft geen persoonlijke informatie in zou zitten, zoals contractnummers, betaalinformatie en e-mailadressen, zouden toch veel persoonlijke gegevens vindbaar zijn in de gegevens. 

De via internet toegankelijke database werd gevonden door beveiligingsonderzoeker Bob Diachenko. Hij stelt in een tweet dan ook dat ‘Misconfiguratons happen – no matter how big or secured a company is. Here is my new report. 250M+ million Microsoft’s Customer Service and Support (CSS) records were exposed on the web’. 

Vermoedelijk is er geen misbruik gemaakt van de database, maar je weet maar nooit. Is er te beveiligen tegen dit soort foutjes?

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    ActueelGovernance & Privacy

    Microsoft: we zijn geen hulpsheriff

    ActueelCloud & Infrastructuur

    HPE-Juniper vormt blok tegen Cisco

    OpinieCloud & Infrastructuur

    Opkomst van soevereine clouds: stel dataportabiliteit centraal

    knop op toetsenbord met rolstoelsymbool
    ActueelOverheid

    Einde aan wildgroei van overheidswebsites

    big tech
    ActueelOverheid

    Na ingreep Microsoft bij ICC: kabinet waarschuwt voor afhankelijkheid Amerikaanse tech

    Europese Unie
    AchtergrondData & AI

    Wake-up call voor inkopers ai

    Eén reactie op “Hoe beschermt u zich tegen ‘misconfiguraties’?”

    1. Cpt schreef:
      23 januari 2020 om 12:26

      In dat soort gevallen is het antwoord NJa… nee en ja dus.

      Zonder de details te kennen lijkt me het eerste dat de database alleen vanuit een private IP adress (class A, B of C) te benaderen mag zijn. Dat zet de drempel voor hackers al redelijk hoog, ze kunnen het ding dan in elk geval niet rechtstreeks vanaf het internet benaderen.
      De gebruikers moeten dus gebruik maken van een tussenliggende server (gateway zeg maar) die de verbinding legt tussen hun applicatie en de database. De verbinding tussen de applicatie en die gateway beveiligen met SSL en een goed certificaat. Dat legt al weer de tweede drempel voor hackers, regelmatig het certificaat wijzigen creeert de derde drempel.

      Hebben we hiermee 100% afgedekt dat onwelwillenden van buitenaf de database niet kunnen benaderen? Waarschijnlijk niet, maar het werpt in elk geval wel een aantal drempels op.

      De volgende drempels gaan te maken hebben met waar de applicatie (die de db via die gateway benadert) draait. Draait deze op de pc/laptop van de gebruikers, of draait deze op een server ergens in de MS-cloud? Hoe beveilig je deze verbinding, etc. etc.

      Het kan enorm goed worden dichtgetimmerd, maar is het daarmee wind- en waterdicht? Waarschijnlijk niet, en het inrichten van firewall en routerings instellingen en inrichten van certificaten etc. valt onder ‘configuratie’ en als het daar fout gaat….

      Als je de toegang met pasjes, vingerafdrukken, toegangssluizen en dergelijke op papier vastlegt, het gebouw daarna helemaal daarmee inricht, maar vervolgens de deuren openzet… tja, dan helpt niets meer. Beter opletten en mogelijk wat alarmen inrichten, maar dat kost tijd (en geld).

      Goede beveiliging wordt tegenwoordig gedefinieerd als ‘voldoende drempels (zowel in aantal als in hoogte) inbouwen zodat het de hackers teveel moeite gaat kosten om in te breken’. Een waterdichte beveiliging maakt overigens vaak het werken onmogelijk :).

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs