Categorie op Hacken

Hackers schuilen op 39 Nederlandse servers, hoewel Citrix-lek gedicht is

Hackers houden zich schuil op 39 Nederlandse servers nadat zij binnen zijn gekomen via een lek in software van het Amerikaanse bedrijf Citrix, blijkt uit onderzoek van beveiligingsbedrijf Fox-IT. Het omvangrijke lek werd eind 2019 ontdekt, waarna het bedrijf maatregelen nam om de kwetsbare toegang af te sluiten. Toch hebben hackers weten binnen te dringen, bijvoorbeeld doordat de kwetsbaarheid door de serverbeheerder niet of te laat is gedicht.

Aan hoeveel Nederlandse organisaties de 39 door Fox-IT geïdentificeerde Nederlandse servers toebehoren, kan het bedrijf niet zeggen. Het is mogelijk dat een groot bedrijf meerdere Citrix-servers gebruikt, of dat een buitenlands bedrijf gebruikmaakt van Nederlandse servers.

Volgens de Volkskrant zitten de hackers bij zeker 25 Nederlandse organisaties nog steeds in de systemen, hoewel zij de Citrix-kwetsbaarheid inmiddels hebben weggenomen. Dertig Nederlandse organisaties zouden het lek niet hebben gedicht, schrijft de krant, waardoor de deur voor hackers nog steeds openstaat.

Lees hier verder. © Nu.nl

ICTWaarborg: leg aansprakelijkheid bij hack vast

Ict-leveranciers zijn verantwoordelijk voor de netwerkbeveiliging bij klanten en dragen bij onvoldoende beveiliging zelfs aansprakelijkheid voor schade door ransomware. Dat oordeelt de Rechtbank Amsterdam. Ict-bedrijven hebben een zorgplicht en zouden niet moeten opleveren zonder adequate beveiliging. Juridisch-adviesorganisatie ICTWaarborg is het daarmee niet eens. ‘Als een klant er bewust voor kiest om bepaalde diensten niet af te nemen, moet je de aansprakelijkheid ten aanzien daarvan uitsluiten.’

Eerder deze week publiceerde de rechtbank een vonnis uit november 2018, merkte het Financieele Dagblad op. Het betreft een geschil tussen een Hilversums administratiekantoor en een niet nader genoemd ict-bedrijf dat bij zijn klant het ict-netwerk in 2009 vernieuwde en in beheer nam. Het kantoor was begin 2017 doelwit van een ransomware-aanval en stelt de ict-leverancier aansprakelijk voor de geleden schade. 

Deel van totaalpakket?

“Gedaagde heeft deze opdracht niet naar behoren uitgevoerd”

De ict-dienstverlener meent dat netwerkbeveiliging geen deel uitmaakte van het afgenomen totaalpakket, terwijl de klant vindt dat beveiliging erbij hoort. Afspraken hierover waren echter nergens schriftelijk vastgelegd. Uiteindelijk werd het netwerk opgeleverd zonder firewall en externe back-up. Een firewall zou voor de klant te duur zijn en back-up te veel gedoe geven, stelt het ict-bedrijf. Deze voerde na de aanval herstelwerk uit, maar de klant weigerde de factuur daarvan te betalen.

De rechter rekent het de dienstverlener aan dat er geen afspraken over de netwerkbeveiliging op schrift zijn gezet. Ook staan eerdere waarschuwingen over het ontbreken van beveiliging niet expliciet op papier. ‘Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft [gedaagde] deze opdracht niet naar behoren uitgevoerd.’ Volgens de rechter had het ict-bedrijf de opdracht kunnen weigeren als de klant dergelijke beveiligingsmaatregelen van de hand wijst.

Niet zonder meer aansprakelijk

ICTWaarborg, een organisatie die ict-bedrijven informeert over juridische zaken, kan zich niet vinden in de uitspraak van de rechter. Marloes Wijnholds, hoofd van de juridische afdeling van ICTWaarborg, legt uit waarom niet. ‘De rechter zegt dat de ict-leverancier in feite altijd aansprakelijk is en dat het bedrijf in kwestie niet voldoende heeft gewaarschuwd voor de gevolgen. Ik vind zeker niet dat een ict-leverancier zonder meer aansprakelijk is, maar dat deze uitspraak des te meer onderstreept dat je als leverancier heel goed moet waarschuwen voor de gevolgen van de keuzes van de klant.’

‘Het is van belang dat u uw klant heel duidelijk schriftelijk waarschuwt voor de gevolgen en risico’s van zijn keuze rondom beveiliging’, schrijft de organisatie in een aanvullend bericht. ‘Mocht u ooit met een dergelijke situatie geconfronteerd worden, dan dient u uw klant dus schriftelijk te informeren en te waarschuwen (…) Wanneer een klant er heel bewust voor kiest om bepaalde diensten niet af te nemen, [raden wij] aan om onderling overeen te komen om aansprakelijkheid ten aanzien daarvan uit te sluiten.’

Ook het teruggeven van de opdracht is een overweging wanneer de risico’s te groot zijn, aldus ICTWaarborg.

Fiets zonder slot

Jurist Inge Bremmer van branchevereniging NLdigital is ook kritisch op de uitspraak. In het FD vergelijkt ze de zaak met de verkoop van een fiets zonder slot. ‘Een fietsenmaker zal je altijd adviseren te investeren in een deugdelijk slot. Maar de rechter zegt hier als het ware: als die klant dan nee zegt, moet je eigenlijk ook de fiets niet verkopen. Dat gaat wel erg ver.’

In het vonnis staat dat de ict-dienstverlener twee derde van de geleden schade moet vergoeden. Een derde is voor rekening van het administratiekantoor, dat volgens de rechter medeschuldig is door het gebruik van gemakkelijke wachtwoorden. De totale schade bedraagt 15.400 euro. Dit is inclusief het onderzoek dat een extern bureau uitvoerde.

© Computable

Inspectie: Universiteit Maastricht was niet goed voorbereid op ransomware-aanval

De Universiteit Maastricht was niet goed voorbereid op een aanval met ransomware, waarmee het eind vorig jaar te maken kreeg. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Onderwijsinspectie. Naar aanleiding van het incident, waarbij criminelen allerlei systemen van de universiteit wisten te versleutelen en uiteindelijk 197.000 euro losgeld ontvingen voor het ontsleutelen van bestanden, stelde de Inspectie een onderzoek in.

Uit het onderzoek blijkt dat de universiteit niet goed voorbereid was op een dergelijke aanval. Zo was er wel aandacht voor databeveiliging, maar ging dat voornamelijk over de AVG en niet over mogelijke cyberaanvallen. In de draaiboeken voor grote incidenten was ransomware niet opgenomen. Tevens was er voorafgaand aan de aanval geen totaal (over)zicht op de it-inrichting en daarmee slechts beperkt zicht op de cyberweerbaarheid van de universiteit als geheel, aldus de inspectie.

Verder blijkt dat de interne controle op de uitvoering van het ict-beleid en de opvolging van afspraken nauwelijks was ingericht. Zo was de externe controle procesmatig en enkel gericht op het financiële en HR-pakket van de centrale it-voorziening van de universiteit. Verschillende partijen, waaronder het College van Bestuur (CvB), laten aan de Onderwijsinspectie weten dat er binnen de universiteit over cyberdreigingen werd gesproken, maar dat dit niet als één van de hoogste risico’s werd geprioriteerd. “Risico’s voor het UM-onderwijs en onderzoek rond de politieke en maatschappelijke discussie over taal en internationalisering stonden hoger op de agenda”, aldus de Inspectie.

Die stelt verder dat een aantal zwakheden in de it-infrastructuur en organisatie van de Universiteit Maastricht hebben bijgedragen aan de omvang van de uiteindelijke ransomware-aanval. Bij een aantal servers in het netwerk waren de laatste beveiligingsupdates niet geïnstalleerd en was er beperkte segmentatie binnen het UM-netwerk. Daarnaast was er volgens de inspectie sprake van gebrekkige monitoring waardoor er geen opvolging werd gegeven aan meldingen van een virusscanner die uiteindelijk door de aanvallers handmatig werd uitgeschakeld. “Hierdoor heeft men onder andere gefaald in het detecteren van de malware”, zo laat de Inspectie weten.

Lees hier verder. © Security.nl

Hacker krijgt toegang tot e-mails van duizenden cliënten bij CJG Rijnmond

Een hacker heeft toegang weten te krijgen tot de e-mailbox van het Centrum voor Jeugd en Gezin (CJG) Rijnmond. Op die manier had hij toegang tot e-mailverkeer met duizenden cliënten, bevestigt woordvoerder Mariska Briët zaterdag aan NU.nl. De organisatie wil in het midden laten om hoeveel personen het precies gaat.

Om welke gevoelige informatie het gaat, hangt af van het e-mailverkeer dat cliënten met het CJG Rijnmond hebben gehad. “Dat gaat soms om een naam, soms om een adres en soms om een BSN”, schetst de woordvoerder de situatie.

Uit onderzoek van een computerbeveiligingsbedrijf komt naar boven dat de hacker niet verder in de systemen is gekomen dan de e-mailbox, aldus Briët. “Daaruit is gebleken dat er geen toegang is geweest tot cliëntendossiers.”

Aan de betrokkenen is een brief gestuurd waarin het CJG hen waarschuwt dat de persoonlijke informatie van cliënten misbruikt kan worden. Informatie zoals namen en BSN’s zijn gevoelig voor bijvoorbeeld identiteitsfraude.

De hacker wist toegang te krijgen tot de e-mailbox via een phishingmail naar enkele medewerkers. Nadat een medewerker op een malafide link had geklikt, kon de onbevoegde in het systeem.

Lees hier verder. © Nu.nl

Nederlandse Loterij reset 1,5 miljoen wachtwoorden na hack 12.000 accounts

De Nederlandse Loterij heeft vorige week 1,5 miljoen wachtwoorden gereset van accounts waarop het afgelopen half jaar is ingelogd. Dat is gedaan omdat sinds halverwege maart 12.000 accounts daadwerkelijk zijn gehackt, verduidelijkt een woordvoerder donderdag in gesprek met NU.nl. Daarbij zijn mogelijk privégegevens buitgemaakt.

Onder de Nederlandse Loterij vallen onder meer de Staatsloterij, de Lotto en TOTO. De organisatie is niet zelf gehackt, maar vermoedt dat hackers gebruik hebben gemaakt van hergebruikte wachtwoorden.

Als mensen voor verschillende accounts hetzelfde wachtwoord gebruiken, kan een crimineel toegang krijgen tot meerdere accounts als er bij één dienst een lek plaatsvindt. De Nederlandse Loterij roept mensen met een account nu op om een sterk, uniek wachtwoord te gebruiken.

Lees hier verder. © Nu.nl