Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

Hackers halen honderden Nazi-sites offline

BERLIJN – Hackers hebben in de nachtelijke uren van een conferentie honderden websites van neonazi’s en andere extreem rechtse groeperingen offline gehaald. De actie is bedoeld om in te grijpen waar de overheid dat nalaat. In totaal zou het gaan om ruim tweehonderd websites. De actie is door een groep in het diepste geheim voorbereid. Tijdens het 28C3-congres van de Chaos Communication Club in Berlijn is in de nachtelijke uren de operatie uitgevoerd. Lees het verhaal op NU.nl.

‘Diginotar negeerde misbruik en was slecht beveiligd’

DEN HAAG – Het Beverwijkse bedrijf Diginotar wist al op 28 juli dat mensen in Iran daadwerkelijk werden misleid. Ook blijkt de beveiliging op cruciale punten afwezig te zijn geweest, waardoor misbruik kinderlijk eenvoudig was.

Dat blijkt uit het onderzoek (.pdf) dat is gehouden door Fox IT naar aanleiding van de hacks bij Diginotar, een dochter van beveiligingsbedrijf Vasco Data Security. Een overheidsbron heeft NU.nl en Webwereld dit onderzoek laten inzien. De Nederlandse instantie die gaat over ICT-veiligheid bij de overheid hoorde pas vorige week maandag van Duitse collega’s van problemen met certificaten van Diginotar. Lees het verhaal op NU.nl.

Fox IT heeft een vernietigend oordeel geveld over de infrastructuur van Diginotar. Het bedrijf hield zich niet aan afspraken en procedures. Ook ontbraken basale beveiligingsmaatregelen. Dat blijkt uit het onderzoeksrapport van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten. Lees het verhaal op Webwereld.

Anonymous roept op tot wraakhacks

AMSTERDAM – Het hackerscollectief Anonymous roept in een conceptpersbericht op wraak te nemen voor de golf van arrestaties. De Nederlandse verdachten blijken door hun chatgedrag tegen de lamp te zijn gelopen. Het hackersgilde Anonymous werkt op internet aan een persverklaring om daarmee het ongenoegen over de recente golf van arrestaties kenbaar te maken. Volgens de groep zijn de arrestanten mensen die opkomen voor burgerlijke vrijheden. Hun acties zouden te vergelijken zijn met een demonstratie op straat of een blokkade van bijvoorbeeld een gebouw. Lees het verhaal op NU.nl.

26C3: Hackers discussiëren over ‘Wikipedia-censuur’

Op Duitse hackerscongres CCC is een fel debat gevoerd over het beleid van Wikipedia om artikelen te verwijderen vanwege een “gebrek aan relevantie”. Volgens sommige betrokkenen is er geen sprake van een kwaliteitsslag, maar wordt er censuur bedreven. Het probleem komt voort uit het principe dat iedereen aan de encyclopedie kan meewerken. Vrijwilligers kunnen artikelen toevoegen, aanpassingen doen of verwijdering van artikelen voorstellen. Lees het verhaal op NU.nl.

26C3: Hackers moeten politieker worden

Als het aan Frank Rieger ligt, bestuurslid van de Chaos Computer Club, dan treden hackers meer naar buiten met hun expertise en worden ze politieker. Dat vertelde hij tijdens hij tijdens zijn keynote-toespraak waarmee hij de zesde editie van het Chaos Communication Congress opende. Volgens hem is er langzamerhand een voedingsbodem ontstaan, waarbij er kritisch naar de plannen van overheden gekeken wordt. “Mensen hebben genoeg van de marketing- bullshit”, observeerde Rieger dan ook. Langzaam beseffen burgers dat de overheid te snel misbruik maakt van persoonlijke gegevens, zo liet hij verder weten. Lees het verhaal op Security.nl.