Door een menselijke fout stonden de gegevens van alle particuliere en zakelijke klanten van Planet tijdelijk op internet. Dat meldt de beveiligingsnieuwssite Security.nl. Door een back-up methode, die op zijn zachtst gezegd merkwaardig is te noemen, stonden 2,5 miljoen klantnummers, e-mailadressen, aliassen en versleutelde wachtwoorden van Planet-klanten online. Een systeembeheerder van Planet maakte een back-up van de klantgegevens via het web. Hij wilde zijn eigen webruimte bij de provider gebruiken, maar maakte een tikfout waardoor de gegevens in de ruimte van een klant met bijna dezelfde naam terecht kwamen. Deze klant lichtte de provider in. Toen het internetbedrijf niet reageerde, postte de klant een bericht op het forum van Tweakers met als kop: ‘compleet klantbestand in mijn bezit maar het interesseert niemand’. Pas toen andere media het bericht oppikten toonde Planet interesse.

(Foto van Kris Krüg)

De onveiligheid van stemcomputers is in de Verenigde Staten net als in Nederland een belangrijk thema. Volgens Dennis Kucinich, een van de Democraten die graag president wil worden, is de zege van Hillary Clinton in de staat New Hampshire mogelijk te wijten aan het hacken van stemcomputers. De Democraat beroept zich op online berichten. Kucinich eist nu een hertelling van de stemmen. Bij de verkiezingen in New Hampshire werd 80 procent van de stemmen met een stemcomputer van Diebold geteld en 20 procent met de hand. Bij de handmatig getelde stemmen stemde 52,95 procent voor Barack Obama en 47,05% voor Hillary Clinton. Bij de computer getelde stemmen waren de resultaten precies omgekeerd. Clinton kreeg 52,95 procent van de stemmen en Obama 47,05 procent. (Cijfers afkomstig van Black Box Voting.) Het probleem van stemcomputers is dat het tellen niet democatisch gecontroleerd wordt. Handmatig tellen van stemmen geschiedt in een ruimte met meerdere mensen die kunnen meetellen of toekijken. Het proces van elektronsich tellen wordt geheim gehouden door de fabrikanten van stemmachines en de bijbehorende software. Deze geheimhouding kan de democratie ondermijnen.

Wetenschappers van Princeton University hebben in 2006 aangetoond hoe je stemmen kunt stelen met een Diebold-stemcomputer. De informatici Ariel J. Feldman, J. Alex Halderman en Edward W. Felten hebben een stemmachine van Diebold uit elkaar gehaald en bestudeerd. Ze ontdekten dat je vrij eenvoudig software kunt installeren waarmee een kwaadwillende stemmen voor een bepaalde kandidaat kan toeschrijven aan een andere kandidaat.

In de New York Times (gratis registratie verplicht) van 6 januari jl. staat een interessante reportage over technische problemen van stemcomputers van verschillende merken.

In 2022, dat is al over 15 jaar, zijn er ruim 86 miljard rfid-chips in omloop in de Europese Unie. Dat voorspellen wetenschappers van het Europese onderzoeksprogramma Bridge, dat de invoering van rfid in Europa wil stimuleren. Het is wel te hopen dat het tegen die tijd beter gesteld is met de beveiliging van de gegevens op rfid-tags. En dat beveiliging serieuzer wordt genomen. Enkele wetenschappers hebben via de site van Rop Gonggrijp laten weten dat ze de houding van Trans Link Systems, het bedrijf achter de ov-chipkaart, ten aanzien van de kraak van de Mifare chip door Karsten Nohl en Henryk Plötz weinig vertrouwenwekkend te vinden. “De problemen zijn serieus en vragen om een professionele respons, die niet slechts uit ontkenning en bagatellisering bestaat. Omdat reizigers geen keus hebben en hier veel overheidsgeld mee gemoeid is moet de infrastructuur van dit OV-Chipkaart project niet enkel aan een gesloten gezelschap met eigen belangen overgelaten worden. De huidige cultuur van geslotenheid is onverstandig, achterhaald, verkwistend en zelfs beledigend tegenover alle burgers die terechte vragen stellen over de manier van omgaan met hun geld en gegevens (en daarmee belangen)”, zeggen onder anderen Bart Jacobs (hoogleraar informatiebeveiliging in Nijmegen en Eindhoven), Andy Tanenbaum (hoogleraar in de informatica in Amsterdam) en Melanie Rieback (docent informatica in Amsterdam).

(Afbeelding: lagen van de rfid-chip die in de ov-chipkaart gebruikt wordt uit de presentatie van Karsten Nohl tijdens het hackerscongres Chaos Computer Camp

in Berlijn.)

De Britse verzekeraar Norwich Union heeft een boete van 1,64 miljoen euro gekregen vanwege de slechte beveiliging van persoonsgegevens. De boete is opgelegd door de Financial Services Authority, de Britse toezichthouder op de financiële markten. Door de gebrekkige beveiliging van de gegevens van klanten lukte het criminelen om 4,3 miljoen euro buit te maken. Criminelen wisten publiekelijk beschikbare informatie van directeuren te verzamelen, zoals namen, adresgegevens en geboortedata. Daarna belden ze de verzekeraar. Ze gebruikten de informatie om de “security vragen” te beantwoorden. Eenmaal “binnen” lieten ze rekeningnummers wijzigen en polissen van 74 klanten uitbetalen op hun eigen rekeningen. Zo stalen ze 4,3 miljoen euro van klanten van Norwich Union. Inmiddels zijn er 11 mensen in de zaak gearresteerd.

(Via Security.nl; afbeelding reclame van Norwich Union)

De gegevens van 55.000 aanvragers van een zorgverzekering bij CZ zijn door een lek in de beveiliging op straat beland. Door een gat in het systeem waren de namen, adressen, geboortedata, bankgegevens en sofinummers van 55.000 potentiële klanten van CZ gemakkelijk te achterhalen. CZ heeft de fout toegegeven en een speciale informatiepagina op de website van het bedrijf aangemaakt. “Stommer dan dit had nauwelijks gekund”, zegt CZ-woordvoerder Dirk-Jan Westerwoudt in het Algemeen Dagblad. “Er is maandag een reparatie-actie begonnen, maar die kwam veel te traag op gang.” CZ was al een week op de hoogte van het lek voordat het bedrijf begon met de reparatie. CZ heeft het offertesysteem, MijnCZ, extranet collectiviteiten en intermediairs uit de lucht gehaald om ze te beveiligen.

Mensen zijn de zwakste schakel als het gaat om computerbeveiliging. It-professionals volgen vaak bewust de voorschriften voor databeveiliging niet op, zo blijkt uit onderzoek van het Ponemon Institute onder 893 Amerikaanse it’ers. Van de deelnemers geeft 51 procent aan vertrouwelijke bedrijfsgegevens op usb-sticks te kopiëren zonder beveiliging. 87 procent denkt dat dat een overtreding van het bedrijfsbeleid is. Bij het delen van wachtwoorden met collega’s overtreedt 46 procent het bedrijfsbeleid. 72 procent van de ondervraagden geeft aan dat ze de vermissing van een gegevensdrager, mobiele telefoon of laptop niet direct melden bij de werkgever, terwijl 39 procent van de deelnemers wel eens dergelijke gegevensdragers met bedrijfsinformatie kwijt is geweest.

(Via Automatisering Gids; foto van Kai Hendry)

Hoogleraar computerbeveiliging Bart Jacobs maakt zich zorgen over de veiligheid van internetbankieren nu de twee-factor authenticatie doorbroken is. Dat zei hij volgens Webwereld gisteren op het Symposium Cybercrime in Den Haag, georganiseerd door ict-platform ECP en cybercrime-onderzoekscentrum Cycris. Bij twee-factor authenticatie wordt gebruik gemaakt van een loginnaam, wachtwoord en een unieke code die bijvoorbeeld per sms naar de klant wordt gestuurd of door een apparaatje wordt gegenereerd. Deze methode werd altijd veilig geacht, maar is inmiddels door phishers gekraakt. “Het doorbreken van de twee-factor authenticatie middels malware is dramatisch te noemen”, aldus Jacobs. In Nederland zijn klanten van de Postbank en ABN-AMRO slachtoffer geworden van het doorbreken van de twee-factor authenticatie (meer technische details bij Webwereld). De banken probeerden de boel te sussen en wijzen op hun 3 x kloppen-campagne. Zie ook Security.nl voor informatie over de twee-factor authenticatie.

(Foto van L. Javier Modino Martinez)

Mensen zijn de zwakste schakel als het om beveiliging gaat, schreef ik gisteren in de krant. Uit een onderzoek van beveiligingsbedrijf Websense blijkt dat tijdelijke werknemers een extra risico kunnen vormen voor de beveiliging van gegevens en bedrijfsgeheimen. Zij hebben volgens Websense vaak dezelfde toegangsrechten als mensen die in vaste dienst zijn. Uit het onderzoek bleek dat 88 procent van de tijdelijke medewerkers bestanden kon benaderen op de netwerkschijf van het bedrijf. 62 procent van hen gebruikte wel eens (met toestemming) de inloggegevens van iemand anders op het werk en 52 procent maakte met regelmaat gebruik van het e-mail account van een collega.

(Via Webwereld; foto van Tony Chang)

Door een fout in de software van stemcomputers in Lawrence County werd de verliezende partij opeens winnaar. De computer die de stemmen moest verwerken, heeft de stemmen verwisseld. Het ging om stemcomputers van ES&S. In de staat Californië zijn die in augustus afgekeurd omdat het bedrijf geen computers beschikbaar wilde stellen voor onderzoek. Volgens de stemraad van Lawrence County gaat het om een eenmalige fout. Dat is natuurlijk een naïeve veronderstelling. Pas als je meer verkiezingsuitslagen die via ES&S-stemcomputers tot stand zijn gekomen hebt getest, kun je iets meer zeggen over dergelijke fouten.

(Via Security.nl)