De realiteit van datalekken

/0 Reacties/door

Datalekken gebeuren aan de lopende band en krijgen regelmatig de nodige media aandacht. Op de website datalekt.nl vind je een overzicht van cyberincidenten in Nederland (waaronder ook datalekken) die sinds 2016 in de media zijn verschenen. Maar de grote vraag is eigenlijk: hoe erg is dat nu, zo’n datalek? Ik merk tijdens gesprekken met mensen in mijn omgeving dat ze vaak niet goed begrijpen wat de persoonlijke impact kan zijn wanneer jouw data wordt gelekt. Vaak heerst er een (in mijn ogen) bepaalde naïviteit: “dan hebben ze mijn gegevens, nou en?” of “wat kun je nou met een BSN nummer?” en de klassieker “ik heb niks te verbergen, van mij mogen ze alles weten”. Denk jij dit ook wel eens? Lees dan vooral even verder. Lees meer

Schipper mag ik (gratis) overvaren?

/0 Reacties/door

Eenmaal per week steek ik (voor woon-werk verkeer) bij Bergambacht met de veerpont de Lek over. Men werkt nu nog met een papieren knipkaart, maar per januari 2025 gaan verschillende veerdiensten in die regio over op de Veerpas. Donderdag 19 december tijdens de overtocht op weg naar huis kocht ik zo’n Veerpas en later die avond koppelde ik deze Veerpas aan mijn nieuwe veerpas.nl account. Toen ontdekte ik een blanco-cheque-kwetsbaarheid. Lees meer

Wel of geen cyberverzekering?

/0 Reacties/door

Regelmatig wordt mij gevraagd hoe ik aankijk tegen het afsluiten van een cyberverzekering. De dooddoener “dat het nut van een cyberverzekering in sterke mate afhankelijk is van de omstandigheden” is uiteraard waar, maar niet erg behulpzaam. Daar zijn de vragenstellers doorgaans niet mee geholpen. Wat vaak wel helpt is om even een stapje terug te zetten en het verzekeringsvraagstuk te benaderen vanuit een risicomanagement perspectief. Lees meer

SaaS back-up vaak onbruikbaar

/0 Reacties/door

Je hoeft niet lang te zoeken om te ontdekken dat het maken van back-ups nog steeds een van de belangrijkste (reactieve) beveiligingsmaatregelen is. In sommige onfortuinlijke gevallen is een goede back-up zelfs het laatste redmiddel om een ransomware eis af te kunnen wijzen of zelfs een faillissement te voorkomen. Zorg er dus voor dat jouw back-ups in orde zijn. Niet alleen voor de ICT voorzieningen die je in eigen beheer hebt, maar juist ook voor SaaS diensten waarbij de leverancier doorgaans verantwoordelijk is voor het beheer. Want zelfs wanneer de leverancier aangeeft dat er back-ups worden gemaakt, wil dat niet zeggen dat ze voor jouw organisatie bruikbaar zijn. Lees meer

BitLocker: TPM pre-boot PIN versus UEFI / BIOS boot wachtwoord

/0 Reacties/door

Enkele maanden geleden vroeg ik mijn LinkedIN netwerk om hulp inzake BitLocker. Ik wilde graag weten of een UEFI / BIOS boot wachtwoord, vergeleken met een TPM pre-boot PIN, ook bescherming biedt tegen het zogenaamde ‘running state’ risico. Microsoft lijkt namelijk te impliceren dat dit zo is, maar ik had moeite om in deze interpretatie mee te gaan. Hoewel ik niet direct een antwoord kreeg, werd ik wel in de juiste richting gestuurd. Na het nodige speurwerk ben ik eruit: alleen een TPM pre-boot PIN biedt bescherming tegen het running state risico. Lees meer

Externe partij: verwerker of niet?

/0 Reacties/door

Sinds de komst van de AVG heb ik meerdere organisaties mogen bijstaan met het opzetten en implementeren van een privacybeleid. Een terugkerend thema is het bepalen van de criteria waarmee wordt bepaalt of een externe partij (zoals een leverancier) verwerker of verwerkingsverantwoordelijke is. Nog steeds merk ik dat veel organisaties en privacy professionals hiermee worstelen. Lees meer

Waarde van certificering informatiebeveiliging vaak overschat

/0 Reacties/door

Wanneer je zaken doet met een leverancier van ICT diensten, dan maak je passende afspraken met elkaar. Niet alleen over prijzen en algemene voorwaarden, maar ook over privacy en informatiebeveiliging. Ik wil vooral even stilstaan bij deze laatste categorie: de afspraken op het gebied van informatiebeveiliging. Lees meer

Duizenden persoonsgegevens toegankelijk door lek in webshopplatform

/2 Reacties/door

Door een lek in het webshopplatform van mijnwebshoppartner.nl waren duizenden persoonsgegevens voor iedereen toegankelijk. Na mijn CVD-melding op 18 september wist de leverancier het lek binnen een aantal dagen te dichten, maar schitterde vervolgens door afwezigheid. Het betrof een unauthenticated Insecure Direct Object Reference (IDOR) kwetsbaarheid, waardoor gegevens van ruim 7200 webshopklanten makkelijk toegankelijk waren. Lees meer

CSRF mislukt door SameSite cookies by default

/0 Reacties/door

Sinds er een embedded Chrome browser beschikbaar is in Burp Suite (vanaf versie 2020.7) maak ik hier regelmatig gebruik van als vervanger van Firefox met een separaat profiel. Toen ik eerder deze week bezig was met het uitvoeren van een pentest tegen een Lotus Domino webapplicatie, werkte een CSRF aanval niet terwijl ik dit wel had verwacht. Lees meer

Marktplaats oplichters aan het werk

/106 Reacties/door

Vorige week ontving John, de vader van een van mijn beste vrienden, plotseling een berichtje op zijn mobiele telefoon: “…via jouw adres is net mijn zoon via zijn bankrekening beroofd. Als je hier iets van weet vraag ik je dringend het geld terug te storten. Anders ben ik genoodzaakt aangifte te doen.“. Euhm, pardon? John is zelfstandig ondernemer en heeft een simpele website met daarop vermeldt zijn adresgegevens, e-mailadres en KvK nummer, en is zich uiteraard van geen kwaad bewust. Lees meer