NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Netsplitter
#jesuisMasi
Meh.quote:Op woensdag 20 augustus 2025 16:24 schreef The-BFG het volgende:
[..]
Was een tijdje het standaard geroep als er een datalek was.. maar ik mag hopen dat de tijd voorbij is dat we onbeveiligde elastic search clusters in de cloud hadden hangen.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ja ik geloof dat bij ons er iets van 5000 policies deployed zijn, je kunt eigenlijk niets doen als je niet de best practices volgt, sowieso mag een resource nooit publiek zijn, dat moet altijd via private networks die je vervolgens met het network team moet ontsluiten.quote:
[..]
Dat is één van de dingen die ik eng vind aan de cloud. Niet de cloud zelf maar wat met erop/erin? gooit.
Bij ons heb je een dedicated cloud team dat helpt met cloud migraties maar ook met security door o.a. policies in geval van Azure.. maar een gemiddelde MKB toko heeft dat allemaal niet..
Met betrekking tot andere bedrijven, ja ik zie daar heel veel gepruts, een database server heb ik in 5 minuutjes voor je klaar, maar als je dat gewoon lekker publiek open laat staan, dan is het wachten tot iemand een keer de connection key bemachtigt, en dan ben je de sjaak.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Netsplitter
#jesuisMasi
https://www.nu.nl/binnenl(...)lkingsonderzoek.html
Volgens Rejo Zenger, beleidsadviseur van stichting Bits of Freedom, is het een "bijzonder heftig" lek, omdat het om een combinatie van veel en gevoelige gegevens gaat, legt hij uit aan NU.nl. De vraag is wat de hackers ermee willen doen.
Volgens Zenger zijn er altijd twee opties. De eerste is de gestolen data gebruiken om de bron onder druk te zetten, zoals al is gebeurd bij Clinical Diagnostics. De hacker heeft gedreigd om de buitgemaakte gegevens van de ruim 485.000 patiënten op het darkweb te publiceren als Clinical Diagnostics niet betaalt. Om te laten zien dat het menens is, zijn de gegevens van 53.516 mensen al geplaatst.
De tweede optie is dat hackers zich richten op de personen van wie de gegevens zijn gelekt. Als jij per brief te horen hebt gekregen dat je gegevens zijn gestolen, zou jij in theorie dus ook kunnen worden afgeperst. Dat kan door de hackers zelf worden gedaan, of door andere cybercriminelen die je gegevens via het darkweb hebben gevonden.
Maar met alle gegevens die zijn buitgemaakt is eigenlijk "elke denkbare vorm van fraude" mogelijk, zegt Marianne Junger. Zij is emeritus hoogleraar cybersecurity aan de Universiteit Twente. "Denk bijvoorbeeld aan identiteitsfraude, waarbij iemand zich met jouw gegevens kan voordoen als een ander."
Daarbij gaat het vooral om de combinatie van verschillende gegevens. Met alleen een BSN-nummer kunnen hackers bijvoorbeeld weinig. Maar de mogelijkheden liggen voor het oprapen als daar ook een naam of adres aan is gekoppeld.
'Risico's hangen af van creativiteit cybercriminelen'
Het hangt erg af van de "creativiteit" van de cybercriminelen op welke manier misbruik kan worden gemaakt van de gestolen gegevens, zegt Daan Keuper, securityspecialist bij online beveiligingsbedrijf Computest. "Vaak hebben deze kwaadwillenden meerdere operaties tegelijk lopen en willen ze in een korte tijd zoveel mogelijk geld verdienen. Dus het moet allemaal niet te veel tijd kosten."
De cybersecurity-experts wijzen er daarom alle drie op dat de gedupeerden vooral waakzaam moeten zijn voor phishing. Dat is een vorm van internetfraude waarbij criminelen zich in een mail of sms-bericht voordoen als een persoon, bedrijf of instantie. Het doel is om meer gegevens over je te verzamelen of geld af te troggelen. Vaak word je gevraagd om op een link te klikken, ergens in te loggen of geld over te maken.
"En hoe meer gegevens ze van je hebben, hoe realistischer zo'n mail of sms lijkt", zegt Junger. Normaal gesproken kun je nepmails bijvoorbeeld herkennen aan spelfouten of een opvallende vraag. Maar als ze je volledige naam, adres, BSN-nummer en zelfs medische informatie hebben, kun je snel denken dat een mail echt afkomstig is van bijvoorbeeld Bevolkingsonderzoek Nederland, legt ze uit.
"Het zou daarom zomaar kunnen dat getroffen mensen een valse aanmaning krijgen van het bevolkingsonderzoek", vult Zenger van Bits of Freedom aan. "Terwijl het bevolkingsonderzoek gratis is."
'Risico voor oplichting wordt niet kleiner'
Naast phishing ziet Junger ook andere risico's voor gedupeerden. Aangezien ook adressen zijn gelekt, zouden kwaadwillenden aan de deur kunnen komen voor een zogeheten babbeltruc. "En als telefoonnummers ook zijn gelekt, kunnen mensen bijvoorbeeld worden gebeld door iemand die zich voordoet als een bankmedewerker. Als die dan al jouw gegevens weet op te noemen, is dat erg geloofwaardig."
Het is de komende tijd dus opletten geblazen voor de ontvangers van de brief. Al geldt dat eigenlijk voor iedereen, benadrukt Keuper. "Van veel mensen zijn waarschijnlijk al eens gegevens gelekt, aangezien we op zoveel plekken gegevens achterlaten. Maar de mensen die hebben deelgenomen aan het bevolkingsonderzoek hebben een aanleiding om extra scherp te zijn."
Daarbij wijst hij erop dat het niet alleen gaat om de komende weken of maanden. Als data eenmaal beschikbaar is gesteld op het darkweb, is de kans groot dat het daar blijft rondzweven of al in handen is van andere cybercriminelen. "Het risico voor oplichting wordt dus niet binnen afzienbare tijd ineens kleiner."
Volgens Rejo Zenger, beleidsadviseur van stichting Bits of Freedom, is het een "bijzonder heftig" lek, omdat het om een combinatie van veel en gevoelige gegevens gaat, legt hij uit aan NU.nl. De vraag is wat de hackers ermee willen doen.
Volgens Zenger zijn er altijd twee opties. De eerste is de gestolen data gebruiken om de bron onder druk te zetten, zoals al is gebeurd bij Clinical Diagnostics. De hacker heeft gedreigd om de buitgemaakte gegevens van de ruim 485.000 patiënten op het darkweb te publiceren als Clinical Diagnostics niet betaalt. Om te laten zien dat het menens is, zijn de gegevens van 53.516 mensen al geplaatst.
De tweede optie is dat hackers zich richten op de personen van wie de gegevens zijn gelekt. Als jij per brief te horen hebt gekregen dat je gegevens zijn gestolen, zou jij in theorie dus ook kunnen worden afgeperst. Dat kan door de hackers zelf worden gedaan, of door andere cybercriminelen die je gegevens via het darkweb hebben gevonden.
Maar met alle gegevens die zijn buitgemaakt is eigenlijk "elke denkbare vorm van fraude" mogelijk, zegt Marianne Junger. Zij is emeritus hoogleraar cybersecurity aan de Universiteit Twente. "Denk bijvoorbeeld aan identiteitsfraude, waarbij iemand zich met jouw gegevens kan voordoen als een ander."
Daarbij gaat het vooral om de combinatie van verschillende gegevens. Met alleen een BSN-nummer kunnen hackers bijvoorbeeld weinig. Maar de mogelijkheden liggen voor het oprapen als daar ook een naam of adres aan is gekoppeld.
'Risico's hangen af van creativiteit cybercriminelen'
Het hangt erg af van de "creativiteit" van de cybercriminelen op welke manier misbruik kan worden gemaakt van de gestolen gegevens, zegt Daan Keuper, securityspecialist bij online beveiligingsbedrijf Computest. "Vaak hebben deze kwaadwillenden meerdere operaties tegelijk lopen en willen ze in een korte tijd zoveel mogelijk geld verdienen. Dus het moet allemaal niet te veel tijd kosten."
De cybersecurity-experts wijzen er daarom alle drie op dat de gedupeerden vooral waakzaam moeten zijn voor phishing. Dat is een vorm van internetfraude waarbij criminelen zich in een mail of sms-bericht voordoen als een persoon, bedrijf of instantie. Het doel is om meer gegevens over je te verzamelen of geld af te troggelen. Vaak word je gevraagd om op een link te klikken, ergens in te loggen of geld over te maken.
"En hoe meer gegevens ze van je hebben, hoe realistischer zo'n mail of sms lijkt", zegt Junger. Normaal gesproken kun je nepmails bijvoorbeeld herkennen aan spelfouten of een opvallende vraag. Maar als ze je volledige naam, adres, BSN-nummer en zelfs medische informatie hebben, kun je snel denken dat een mail echt afkomstig is van bijvoorbeeld Bevolkingsonderzoek Nederland, legt ze uit.
"Het zou daarom zomaar kunnen dat getroffen mensen een valse aanmaning krijgen van het bevolkingsonderzoek", vult Zenger van Bits of Freedom aan. "Terwijl het bevolkingsonderzoek gratis is."
'Risico voor oplichting wordt niet kleiner'
Naast phishing ziet Junger ook andere risico's voor gedupeerden. Aangezien ook adressen zijn gelekt, zouden kwaadwillenden aan de deur kunnen komen voor een zogeheten babbeltruc. "En als telefoonnummers ook zijn gelekt, kunnen mensen bijvoorbeeld worden gebeld door iemand die zich voordoet als een bankmedewerker. Als die dan al jouw gegevens weet op te noemen, is dat erg geloofwaardig."
Het is de komende tijd dus opletten geblazen voor de ontvangers van de brief. Al geldt dat eigenlijk voor iedereen, benadrukt Keuper. "Van veel mensen zijn waarschijnlijk al eens gegevens gelekt, aangezien we op zoveel plekken gegevens achterlaten. Maar de mensen die hebben deelgenomen aan het bevolkingsonderzoek hebben een aanleiding om extra scherp te zijn."
Daarbij wijst hij erop dat het niet alleen gaat om de komende weken of maanden. Als data eenmaal beschikbaar is gesteld op het darkweb, is de kans groot dat het daar blijft rondzweven of al in handen is van andere cybercriminelen. "Het risico voor oplichting wordt dus niet binnen afzienbare tijd ineens kleiner."
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Dit is echt wel heel ernstig zeg.
Vrouwen (die dit betreft) zouden zich moeten verenigen en een rechtzaak moeten aanspannen.
Veel te relaxed gaat de overheid hier mee om.
Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun gefaal?
Vrouwen (die dit betreft) zouden zich moeten verenigen en een rechtzaak moeten aanspannen.
Veel te relaxed gaat de overheid hier mee om.
Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun gefaal?
Netsplitter
#jesuisMasi
Wat had de overheid in deze moeten doen?quote:
Dit is echt wel heel ernstig zeg.
Vrouwen (die dit betreft) zouden zich moeten verenigen en een rechtzaak moeten aanspannen.
Veel te relaxed gaat de overheid hier mee om.
Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun gefaal?
Bij een private bedrijf?
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Huh wat? Ik geloof dat jij mijn posts anders leest dan wat ik schrijf of bedoel. Ik heb het niet over het verleden.quote:
[..]
Wat had de overheid in deze moeten doen?
Bij een private bedrijf?
Dus nogmaals. Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun (van dat bedrijf) gefaal?
Dit moet toch voorkomen gaan worden in de toekomst?
Netsplitter
#jesuisMasi
Jij schrijft dat de overheid er veel te relaxed mee omgaat.quote:
[..]
Huh wat? Ik geloof dat jij mijn posts anders leest dan wat ik schrijf of bedoel.
Staat er letterlijk.
Dus wat had de overheid moeten doen in deze?
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ja. In de toekomst. Niet in het verleden.quote:
[..]
Jij schrijft dat de overheid er veel te laks mee omgaat.
Staat er letterlijk.
Dus wat had de overheid moeten doen in deze?
Netsplitter
#jesuisMasi
Dus de overheid moet gaan controleren bij bedrijven of ze hun zooi op orde hebben?quote:
[..]
Ja. In de toekomst. Niet in het verleden.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ja. Zeker.quote:
[..]
Dus de overheid moet gaan controleren bij bedrijven of ze hun zooi op orde hebben?
Audit dit soort bedrijven maar eens flink. Het is niet niets hè, dit.
Netsplitter
#jesuisMasi
Daar gaat de NIS2 bij helpen. Maar zoals meerderen hier kunnen vertellen, tegen een 0-day gaan geen audit werken. Daar doe je niks tegen als bedrijf.quote:Op woensdag 20 augustus 2025 22:48 schreef Black_Baron het volgende:
[..]
Ja. Zeker.
Audit dit soort bedrijven maar eens flink. Het is niet niets hè, dit.
Het is nog steeds zo dat hackers gemiddeld 100 dagen onopgemerkt in het bedrijfsnetwerk rondsnuffelen.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Veel bedrijven controleren alleen aan de poort, en doen weinig om dat rondsnuffelen te kunnen dedecteren.quote:
[..]
Daar gaat de NIS2 bij helpen. Maar zoals meerderen hier kunnen vertellen, tegen een 0-day gaan geen audit werken. Daar doe je niks tegen als bedrijf.
Het is nog steeds zo dat hackers gemiddeld 100 dagen onopgemerkt in het bedrijfsnetwerk rondsnuffelen.
IT beveiliging zou uit lagen moeten bestaan.
Je moet ook methodes hebben om “lateral movement” te kunnen dedecteren, en daarop te kunnen acteren.
Een hack actie begint meestal bij een gewone gebruikersaccount, vanwaar ze kijken hoe ver ze kunnen komen. En er zit altijd wel ergens een gaatje. Iets dat niet up to date is, maar “ach, het is alleen intern bereikbaar”.
En inderdaad, het gemiddelde is gewoon 3+ maanden binnen, wat eigenlijk best bizar is.
Netsplitter
#jesuisMasi
IT beveiliging kost geld. Hoe beter de beveiliging, hoe hoger het prijskaartje.quote:
[..]
Veel bedrijven controleren alleen aan de poort, en doen weinig om dat rondsnuffelen te kunnen dedecteren.
IT beveiliging zou uit lagen moeten bestaan.
Je moet ook methodes hebben om “lateral movement” te kunnen dedecteren, en daarop te kunnen acteren.
Een hack actie begint meestal bij een gewone gebruikersaccount, vanwaar ze kijken hoe ver ze kunnen komen. En er zit altijd wel ergens een gaatje. Iets dat niet up to date is, maar “ach, het is alleen intern bereikbaar”.
En inderdaad, het gemiddelde is gewoon 3+ maanden binnen, wat eigenlijk best bizar is.
(Cyber)Security heeft een zeer slechte ROI. Zolang je niet gehackt bent of wordt, kost het alleen maar geld.
En een hoop bedrijven denken/vinden dat het nog steeds een ver-van-mijn-bed show is.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Netsplitter
#jesuisMasi
Kritiek op summiere brief na medische hack: 'Standaard pr-briefje'
Deskundigen plaatsen kanttekeningen bij de brief die slachtoffers van het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker deze week ontvangen. Die voldoet aan de wet, maar is wel summier, zeggen ze. "Een beetje een standaard pr-briefje".
De brief is verstuurd naar de ruim 485.000 mensen van wie de gegevens zijn buitgemaakt bij een hack. Onder meer namen, adressen, geboortedata, burgerservicenummers, namen van zorgverleners en uitslagen van uitstrijkjes en zelftests zijn gestolen. Van sommigen zijn ook telefoonnummers en e-mailadressen gestolen.
De gegevens zijn begin juli gestolen bij het Rijswijkse laboratorium Clinical Diagnostics, maar de hack werd pas vorige week bekendgemaakt. Het laboratorium voerde de tests uit voor Bevolkingsonderzoek Nederland, dat pas begin augustus op de hoogte werd gesteld. Die organisatie verstuurde de brieven begin deze week. Dat het zo lang duurde voordat de hack bekend werd, vindt Privacy First-bestuurslid Steven Derks kwalijk. "Daardoor zijn betrokkenen heel lang niet geïnformeerd."
Aan de deze week alsnog verstuurde brief zijn regels verbonden. Zo moet een organisatie bij een datalek volgens de privacywetgeving in duidelijke taal uitleggen wat er is gebeurd, wat de gevolgen zijn en welke maatregelen zijn of worden genomen. Ook moet er een contactmogelijkheid worden geboden.
"Alle verplichte elementen zitten in de brief", reageert hoogleraar Anna Berlee (Gegevensbescherming en Privacyrecht). Maar ze vindt wel dat het uitgebreider had gekund. Bijvoorbeeld als het gaat over de maatregelen die worden of zijn getroffen door Bevolkingsonderzoek Nederland om de ontstane risico's zo klein mogelijk te houden. Deze informatie is deels terug te vinden op de websites waarnaar verwezen wordt. Hier had ook wel wat over in de brief kunnen staan, vindt Berlee.
Vooral algemene informatie over fraudegevaar
"Ik vind dat er vrij weinig in staat", reageert Derks. Om die reden noemt hij het "een beetje het standaard pr-briefje". Hij vindt het opvallend dat het maar één alinea bevat over de fraude die kan plaatsvinden met de gelekte gegevens, en dat die informatie ook heel algemeen is.
"Het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken", schrijft Bevolkingsonderzoek Nederland in die alinea. "Daarom is het belangrijk dat u altijd alert blijft op mogelijke fraude." Daarna wordt er al snel doorverwezen naar de website van de Rijksoverheid. "Ik vind dat heel karig als je ziet welke gegevens gelekt zijn", zegt Derks. "Ik denk dat ook weinig mensen naar zo'n website zouden gaan."
"Een algemene oproep om alert te zijn op fraude is onvoldoende", vindt advocaat Sven van Dooren (Louwers IP&Tech Advocaten). Het advocatenkantoor waarvoor hij werkt, krijgt veel ongeruste mails van gedupeerden. "Zeker bij gevoelige gegevens als het burgerservicenummer en medische informatie is concrete informatie en advies nodig - en bovendien wettelijk verplicht - om de onrust weg te nemen."
Hoogleraar cybersecurity Marianne Junger vindt de boodschap "let op" ook onvoldoende. Ze vindt het beter om specifiek te benoemen waar mensen dan op moeten letten. "Wat is phishing? Hoe herken je het?" Zo zou ze het goed vinden als wordt uitgelegd hoe mensen een foute URL kunnen herkennen. "Alle andere dingen, zoals tikfouten en gekke vragen, vallen wel op." Daarnaast vindt ze dat mensen die telefonisch benaderd zouden kunnen worden extra geïnformeerd moeten worden. Nu wordt niet duidelijk uit de brief of jouw telefoonnummer gelekt is of niet.
Bevolkingsonderzoek Nederland noemt zich in een reactie op de kritiek "geen expert op het gebied van informeren/waarschuwen". Om die reden besloot de organisatie te verwijzen naar websites van de overheid. De complete reactie is onder dit artikel te lezen.
Concrete voorbeelden missen
Op de overheidswebsites staat meer informatie en zijn voorbeelden te vinden. Maar Derks benadrukt dat het goed zou zijn geweest als juist Bevolkingsonderzoek Nederland veel concreter had gemaakt hoe criminelen te werk zouden kunnen gaan.
Hij herinnert zich een datalek bij een bioscoopketen waar dat wel goed werd gedaan. Als je op een willekeurig moment in het jaar een mail krijgt van die organisatie met de vraag of je mee wil doen aan een prijsvraag, snap je direct dat het phishing is. Maar als je net die week naar de bioscoop bent geweest en er staat "bedankt voor je bezoek, deze week maak je kans op een prijs", voelt het voor mensen al veel overtuigender. Zulk soort voorbeelden zou Bevolkingsonderzoek Nederland ook kunnen geven.
Derks benadrukt nogmaals dat de hackers heel veel data hebben buitgemaakt. Hiermee kunnen kwaadwillenden een heel overtuigend verhaal neerzetten om iemand daarmee op te lichten. "Ik acht de kans best groot dat veel mensen opgelicht gaan worden", concludeert hij.
Van Dooren wijst erop dat de gevolgen ook verder kunnen gaan dan fraude: "Ik heb gedupeerden gesproken die vrezen dat hun adres is gelekt en die door hun ex-partner worden bedreigd. Voor hen biedt deze brief geen enkel houvast."
Bron: https://www.nu.nl/binnenl(...)aard-pr-briefje.html
Deskundigen plaatsen kanttekeningen bij de brief die slachtoffers van het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker deze week ontvangen. Die voldoet aan de wet, maar is wel summier, zeggen ze. "Een beetje een standaard pr-briefje".
De brief is verstuurd naar de ruim 485.000 mensen van wie de gegevens zijn buitgemaakt bij een hack. Onder meer namen, adressen, geboortedata, burgerservicenummers, namen van zorgverleners en uitslagen van uitstrijkjes en zelftests zijn gestolen. Van sommigen zijn ook telefoonnummers en e-mailadressen gestolen.
De gegevens zijn begin juli gestolen bij het Rijswijkse laboratorium Clinical Diagnostics, maar de hack werd pas vorige week bekendgemaakt. Het laboratorium voerde de tests uit voor Bevolkingsonderzoek Nederland, dat pas begin augustus op de hoogte werd gesteld. Die organisatie verstuurde de brieven begin deze week. Dat het zo lang duurde voordat de hack bekend werd, vindt Privacy First-bestuurslid Steven Derks kwalijk. "Daardoor zijn betrokkenen heel lang niet geïnformeerd."
Aan de deze week alsnog verstuurde brief zijn regels verbonden. Zo moet een organisatie bij een datalek volgens de privacywetgeving in duidelijke taal uitleggen wat er is gebeurd, wat de gevolgen zijn en welke maatregelen zijn of worden genomen. Ook moet er een contactmogelijkheid worden geboden.
"Alle verplichte elementen zitten in de brief", reageert hoogleraar Anna Berlee (Gegevensbescherming en Privacyrecht). Maar ze vindt wel dat het uitgebreider had gekund. Bijvoorbeeld als het gaat over de maatregelen die worden of zijn getroffen door Bevolkingsonderzoek Nederland om de ontstane risico's zo klein mogelijk te houden. Deze informatie is deels terug te vinden op de websites waarnaar verwezen wordt. Hier had ook wel wat over in de brief kunnen staan, vindt Berlee.
Vooral algemene informatie over fraudegevaar
"Ik vind dat er vrij weinig in staat", reageert Derks. Om die reden noemt hij het "een beetje het standaard pr-briefje". Hij vindt het opvallend dat het maar één alinea bevat over de fraude die kan plaatsvinden met de gelekte gegevens, en dat die informatie ook heel algemeen is.
"Het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken", schrijft Bevolkingsonderzoek Nederland in die alinea. "Daarom is het belangrijk dat u altijd alert blijft op mogelijke fraude." Daarna wordt er al snel doorverwezen naar de website van de Rijksoverheid. "Ik vind dat heel karig als je ziet welke gegevens gelekt zijn", zegt Derks. "Ik denk dat ook weinig mensen naar zo'n website zouden gaan."
"Een algemene oproep om alert te zijn op fraude is onvoldoende", vindt advocaat Sven van Dooren (Louwers IP&Tech Advocaten). Het advocatenkantoor waarvoor hij werkt, krijgt veel ongeruste mails van gedupeerden. "Zeker bij gevoelige gegevens als het burgerservicenummer en medische informatie is concrete informatie en advies nodig - en bovendien wettelijk verplicht - om de onrust weg te nemen."
Hoogleraar cybersecurity Marianne Junger vindt de boodschap "let op" ook onvoldoende. Ze vindt het beter om specifiek te benoemen waar mensen dan op moeten letten. "Wat is phishing? Hoe herken je het?" Zo zou ze het goed vinden als wordt uitgelegd hoe mensen een foute URL kunnen herkennen. "Alle andere dingen, zoals tikfouten en gekke vragen, vallen wel op." Daarnaast vindt ze dat mensen die telefonisch benaderd zouden kunnen worden extra geïnformeerd moeten worden. Nu wordt niet duidelijk uit de brief of jouw telefoonnummer gelekt is of niet.
Bevolkingsonderzoek Nederland noemt zich in een reactie op de kritiek "geen expert op het gebied van informeren/waarschuwen". Om die reden besloot de organisatie te verwijzen naar websites van de overheid. De complete reactie is onder dit artikel te lezen.
Concrete voorbeelden missen
Op de overheidswebsites staat meer informatie en zijn voorbeelden te vinden. Maar Derks benadrukt dat het goed zou zijn geweest als juist Bevolkingsonderzoek Nederland veel concreter had gemaakt hoe criminelen te werk zouden kunnen gaan.
Hij herinnert zich een datalek bij een bioscoopketen waar dat wel goed werd gedaan. Als je op een willekeurig moment in het jaar een mail krijgt van die organisatie met de vraag of je mee wil doen aan een prijsvraag, snap je direct dat het phishing is. Maar als je net die week naar de bioscoop bent geweest en er staat "bedankt voor je bezoek, deze week maak je kans op een prijs", voelt het voor mensen al veel overtuigender. Zulk soort voorbeelden zou Bevolkingsonderzoek Nederland ook kunnen geven.
Derks benadrukt nogmaals dat de hackers heel veel data hebben buitgemaakt. Hiermee kunnen kwaadwillenden een heel overtuigend verhaal neerzetten om iemand daarmee op te lichten. "Ik acht de kans best groot dat veel mensen opgelicht gaan worden", concludeert hij.
Van Dooren wijst erop dat de gevolgen ook verder kunnen gaan dan fraude: "Ik heb gedupeerden gesproken die vrezen dat hun adres is gelekt en die door hun ex-partner worden bedreigd. Voor hen biedt deze brief geen enkel houvast."
Bron: https://www.nu.nl/binnenl(...)aard-pr-briefje.html
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
There are 2 kind of companies, those that have been hacked, and those that will be hacked:quote:
[..]
IT beveiliging kost geld. Hoe beter de beveiliging, hoe hoger het prijskaartje.
(Cyber)Security heeft een zeer slechte ROI. Zolang je niet gehackt bent of wordt, kost het alleen maar geld.
En een hoop bedrijven denken/vinden dat het nog steeds een ver-van-mijn-bed show is.
Vraag mij wel af hoeveel deze hack dit lab nou precies gekost heeft, en hoe dat afsteekt tegen de kosten van goede beveiliging.quote:
[..]
Het is meestal geen geval van prutsende ITers (hoewel ik dat ook gezien heb) maar een bedrijfs cultureel probleem. Weinig budget voor security, geen CISO, en besparingen op IT zijn vaak de oorzaak.
Uiteindelijk gaan de hackers toch voor het makkelijkste doelwit.
Je hoeft niet harder te rennen dan de leeuw.
Je moet alleen harder rennen dan de andere mensen.
Netsplitter
#jesuisMasi
Waarom denk je dat ze hun security niet op orde hadden? Omdat ze gehackt zijn?quote:
[..]
There are 2 kind of companies, those that have been hacked, and those that will be hacked:
[..]
Vraag mij wel af hoeveel deze hack dit lab nou precies gekost heeft, en hoe dat afsteekt tegen de kosten van goede beveiliging.
Dat is een slechte maatstaf.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Omdat ze gehackt zijn door afpersers.quote:
[..]
Waarom denk je dat ze hun security niet op orde hadden? Omdat ze gehackt zijn?
Dat is een slechte maatstaf.
Dat soort hackers gaat altijd voor het makkelijkste doelwit.
Dus dat is een prima maatstaf.
Net zoals straatovervallers rico verhoeven door laten lopen, maar een omatje wel overvallen.
[ Bericht 0% gewijzigd door #ANONIEM op 21-08-2025 15:29:51 ]
Netsplitter
#jesuisMasi
Jij denkt serieus dat hun verdediging een gatenkaas was?quote:
[..]
Omdat ze gehackt zijn door afpersers.
Dat soort hackers gaat altijd voor het makkelijkste doelwit.
Dus dat is een prima maatstaf.
Net zoals straatovervallers rico verhoeven door laten lopen, maar een omatje wel overvallen.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Nee. Dat zeg ik ook niet. Er zit een wereld van verschil tussen gatenkaas en niet op orde.quote:
[..]
Jij denkt serieus dat hun verdediging een gatenkaas was?
Netsplitter
#jesuisMasi
Hoe kan een 0-day iets zijn wat een bedrijf kan voorkomen?quote:
[..]
Nee. Dat zeg ik ook niet. Er zit een wereld van verschil tussen gatenkaas en niet op orde.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Een 0-day is nog geen succesvolle hack he?quote:
[..]
Hoe kan een 0-day iets zijn wat een bedrijf kan voorkomen?
Als je een hacker die maanden in je netwerk rondhangt zonder dat je dat door hebt, heb je je beveiliging niet op orde..
Als 300 GB aan kroonjuweel data je netwerk uitgaat, zonder dat jet doorhebt, heb je je beveiliging niet op orde.
Nogmaals, security moet lagen hebben.
Als 1 0-day je langs alle lagen van security heenbrengt, heb je gewoon je security niet op orde.
[ Bericht 1% gewijzigd door #ANONIEM op 21-08-2025 18:14:33 ]
Netsplitter
#jesuisMasi
Ik ben eigenlijk wel klaar met deze discussie.quote:
[..]
Een 0-day is nog geen succesvolle hack he?
Als je een hacker die maanden in je netwerk rondhangt zonder dat je dat door hebt, heb je je beveiliging niet op orde..
Als 300 GB aan kroonjuweel data je netwerk uitgaat, zonder dat jet doorhebt, heb je je beveiliging niet op orde.
Nogmaals, security moet lagen hebben.
Als 1 0-day je langs alle lagen van security heenbrengt, heb je gewoon je security niet op orde.
Ik werk zelf al jaren in de (cyber)sec.
Weet hoe het werkt, klappen van de zweep.
Geen zin meer om in een cirkel te blijven praten.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Jammer. Ik vind het leuk om te sparren over cybersecurity.quote:
[..]
Ik ben eigenlijk wel klaar met deze discussie.
Ik werk zelf al jaren in de (cyber)sec.
Weet hoe het werkt, klappen van de zweep.
Geen zin meer om in een cirkel te blijven praten.
Maar mag ik je goedbedoeld advies geven? “Weet hoe het werkt, klappen van de zweep.” is geen goede instelling voor een cybersecurity expert. Denk niet “Hoe kan een 0-day iets zijn wat een bedrijf kan voorkomen?” Maar denk: “hoe kan ik bij een zero day voorkomen dat mijn hele netwerk open ligt?” Zeker als je dit soort gevoelige gegevens hebt.
Hackers veranderen continue van tactieken. Als wij hetzelfde niet doen, zijn we de sjaak.
Tegenwoordig heb je bijvoorbeeld RaaS. Ransomware as a Service.
Dat betekend dat een gemiddelde medewerkers die pissig is of dringend geld nodig heeft je hele netwerk kan laten vergrendelen.
Goede firewalls is echt niet meer genoeg.
Je geeft zelf aan dat een hacker bij een succesvolle hack gemiddeld 100 dagen rondzwerft op een netwerk.
Die kans moeten we benutten. Er zijn oplossingen die je netwerk in de gaten houdt, en veranderende patronen kan herkennen. Je netwerk vol met honeypots zetten kan ook.
Maar stil blijven zitten, dat kan niet in dit vak.
Mwah, onversleutelde PII is toch wel een teken dat er iets niet op orde is. En PII versleutelen kost geen drol, maar ligt aan het kennis niveau van de ontwikkelaars en beheerders.quote:
[..]
Waarom denk je dat ze hun security niet op orde hadden? Omdat ze gehackt zijn?
Dat is een slechte maatstaf.
Netsplitter
#jesuisMasi
Wie zegt dat het niet versleuteld was? En dat de hackers niet de sleutel in handen hebben gekregen? Als het goede account wordt gehackt maakt de versleuteling niet meer uit.quote:
[..]
Mwah, onversleutelde PII is toch wel een teken dat er iets niet op orde is. En PII versleutelen kost geen drol, maar ligt aan het kennis niveau van de ontwikkelaars en beheerders.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
|
|
