Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen....
What happened? Stripchat is a website owned by Technius Ltd. in Cyprus that hosts a large amount of aduld webcam operators. The owner has been reprimanded by the Cyprus data protection authority for a breach of over 64 million user accounts and not informing them properly about the breach. I didn’t know the website before, but on Oktober 22 2019 I get an e-mail from the website that an account has been created on this website....
Op 31 juli heb ik bij de gemeente Den Haag een aantal issues gemeld. Het hele proces is nogal moeizaam verlopen. Elke keer als ik telefonisch of persoonlijk contact heb met medewerkers van de gemeente heb ik het gevoel dat we elkaar begrijpen, maar van de geschreven communicatie krijg ik het idee dat er gigantische miscommunicatie is of dat de gemeente terugkomt op toezeggingen. Pogingen om in te gaan op de uitnodiging om te overleggen over wat er fout gaat en hoe het beter kan worden door de gemeente genegeerd....
“Wij zullen jouw gegevens niet aan derden verstrekken zonder jouw voorafgaande toestemming, …” jokt de gemeente Den Haag in het privacybeleid van de 2023 editie van Hâck The Hague. Tijdens de 2021 editie van het evenement van de gemeente Den Haag heb ik een paar issues gemeld waarbij de (partner van de) gemeente juist wel zonder toestemming persoonsgegevens aan derden verstrekte en dat proces is behoorlijk slecht bevallen. Dit jaar wilde ik controleren of er geleerd is van de vorige melding....
TLDR: It depends. People who discover bugs and security vulnerabilities and want to improve security by publishing about their findings generally have a substantial task managing competing interests in the process. Publishing your findings can help others learn from that single mistake by installing a known patch, learning what mistakes not to make when building systems, knowing what vendors to avoid or taking other measures. However publishing can also introduce risks by informing people how to abuse vulnerabilities....
Op 27 september 2021 heeft de gemeente Den Haag samen met Cybersprint het evenement Hack the Hague georganiseerd. Hackers van over de hele wereld konden zich inschrijven en onder gecontroleerde omstandigheden de beveiliging van verschillende systemen testen zodat de gemeente en de leveranciers van de gemeente de beveiliging kunnen verbeteren. Dat zorgt voor goede PR voor de gemeente, lost de (meeste) gemelde beveiligingsproblemen op, laat de gemeente en de leveranciers oefenen met het snel oplossen van problemen en is voor de hackers een leuk evenement met een kans op prijzen....
Zoals verschenen op Alert Online. Het is 4 uur en het rapport waar je zo lang aan hebt zitten werken is bijna af. Je moet het alleen nog even langs je collega sturen zodat hij nog een laatste keer alles kan doorlezen om de laatste foutjes er uit te halen. Je maakt een nieuw mailtje aan, voegt het rapport als bijlage toe en klikt op verzenden. Tijd voor een kopje koffie....
Met enige regelmaat beland ik in een discussie waarin ik probeer uit te leggen dat er gevallen zijn waarin hacken wel illegaal is, maar niet meteen onethisch. Dat kunnen hele leuke filosofische discussies zijn, maar het kan heel verhelderend zijn om jezelf daadwerkelijk in zo’n dilemma te plaatsen. Dat is dus precies wat ik gedaan heb. Ik heb bewust de naam van de leverancier weggelaten. Op Twitter lees ik de tweets van @ntisec met veel plezier....
Op 13 juni 2012 komt Webwereld met een bericht dat een hacker een bankgegevens van een miljoen klanten van de ING gestolen zou hebben. Dit blijkt een grote fout geweest te zijn van het ANP waar ik de oorzaak nog niet van weet. Dat is heel lullig voor de ING en de ING komt snel met een persbericht om dit recht te zetten. Toch denk ik dat de ING veel fout heeft gedaan....