Bij #BNR, over het #Odido # Datalek, zegt Menno de Weij niet te begrijpen waarom #Odido niet betaald.
-
Bij #BNR, over het #Odido # Datalek, zegt Menno de Weij niet te begrijpen waarom #Odido niet betaald.
Je bent advocaat. Je komt regelmatig in contact met criminelen. En je bent zo naïef dat je denkt dat je #ShinyHunters op hun blauwe ogen kunt geloven om niet over twee maanden alsnog alle data aan anderen te verkopen of gewoon te publiceren?
-
Bij #BNR, over het #Odido # Datalek, zegt Menno de Weij niet te begrijpen waarom #Odido niet betaald.
Je bent advocaat. Je komt regelmatig in contact met criminelen. En je bent zo naïef dat je denkt dat je #ShinyHunters op hun blauwe ogen kunt geloven om niet over twee maanden alsnog alle data aan anderen te verkopen of gewoon te publiceren?
@burne : ja, maar KNVB en vele anderen betaalden wel. En in een deel van de gevallen voorkwam dat publicatie.
-
@burne : ja, maar KNVB en vele anderen betaalden wel. En in een deel van de gevallen voorkwam dat publicatie.
@ErikvanStraten Gokken dat deze crimineel wel te vertrouwen is? Ik zou er niet aan beginnen.
-
@ErikvanStraten Gokken dat deze crimineel wel te vertrouwen is? Ik zou er niet aan beginnen.
@burne @ErikvanStraten Dan vervalt hun verdienmodel toch? Stel dat er wel betaald zou zijn en de gegevens werden niet gelekt maar vernietigt, dan zouden de gebruikers enorm tevreden zijn geweest. Hun gegevens zouden dan niet bekend zijn geworden. Hoe dan ook; met dit soort beslissingen wordt geen rekening gehouden met de slachtoffers.
-
@ErikvanStraten Gokken dat deze crimineel wel te vertrouwen is? Ik zou er niet aan beginnen.
@burne : de praktijk is dat dit soort criminelen meestal woord houden. Doen ze dat niet dan schieten ze in hun eigen voet.
Het kromme hier is dat Odido beslist over het lot van heel veel kwetsbare mensen zonder zelf grote risico's te lopen.
Dit nadat Odido heeft bezuinigd op beveiligingsmaatregelen die de omvang van het datalek drastisch hadden kunnen beperken waarmee Odido allang kwetsbare klanten aan een voorspelbaar risico blootstelde.
Zolang losgeld betalen niet verboden wordt zullen er organisaties zijn die wél betalen en blijft gijzelen een lucratieve business. Met ook of vooral derden als risicodragers.
En zolang organisaties zélf weinig risico lopen, zijn ISO27001 certificeringen volstrekt zinloos. Odido zou nu zó zwaar beboet moeten worden dat ze failliet gaan. Dát zou een risico zijn waar directie en aandeelhouders van wakkerliggen. Alleen dan hebben risico-gedreven certificeringen zin.
Screenshot hieronder uit https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf.
-
@burne @ErikvanStraten Dan vervalt hun verdienmodel toch? Stel dat er wel betaald zou zijn en de gegevens werden niet gelekt maar vernietigt, dan zouden de gebruikers enorm tevreden zijn geweest. Hun gegevens zouden dan niet bekend zijn geworden. Hoe dan ook; met dit soort beslissingen wordt geen rekening gehouden met de slachtoffers.
@Vanstra : zoals ik schreef in https://todon.nl/@ErikvanStraten/116143338568691582 moeten we stoppen met de pappen-en-nathouden mentaliteit.
Ofwel losgeld betalen verbieden (op straffe van faillissement bij ontdekking, wat ertoe zal leiden dat afpersers kunnen blijven afpersen), ofwel zeer zware boetes na onnodig grote datalekken - of beide.
Daarnaaast internet veiliger maken. Lastig, want Big Tech wil dat niet.
-
@Vanstra : zoals ik schreef in https://todon.nl/@ErikvanStraten/116143338568691582 moeten we stoppen met de pappen-en-nathouden mentaliteit.
Ofwel losgeld betalen verbieden (op straffe van faillissement bij ontdekking, wat ertoe zal leiden dat afpersers kunnen blijven afpersen), ofwel zeer zware boetes na onnodig grote datalekken - of beide.
Daarnaaast internet veiliger maken. Lastig, want Big Tech wil dat niet.
@ErikvanStraten @Vanstra Ik heb nergens voorgesteld dat Odido _geen_ boete of straf moet krijgen.
Inmiddels zijn een paar dingen duidelijk. Het management weet niet wat er op de werkvloer gebeurd. Callcenter-personeel legt bijkans medische dossiers aan van klanten en schrijft BSN's op. Beiden zijn *VERBODEN*. Management staat in de pers met de bek vol tanden als dat naar buiten komt.
Hoezo competent leiderschap en verantwoorde bedrijfsvoering?
Niks boete, celstraf.
-
@burne : de praktijk is dat dit soort criminelen meestal woord houden. Doen ze dat niet dan schieten ze in hun eigen voet.
Het kromme hier is dat Odido beslist over het lot van heel veel kwetsbare mensen zonder zelf grote risico's te lopen.
Dit nadat Odido heeft bezuinigd op beveiligingsmaatregelen die de omvang van het datalek drastisch hadden kunnen beperken waarmee Odido allang kwetsbare klanten aan een voorspelbaar risico blootstelde.
Zolang losgeld betalen niet verboden wordt zullen er organisaties zijn die wél betalen en blijft gijzelen een lucratieve business. Met ook of vooral derden als risicodragers.
En zolang organisaties zélf weinig risico lopen, zijn ISO27001 certificeringen volstrekt zinloos. Odido zou nu zó zwaar beboet moeten worden dat ze failliet gaan. Dát zou een risico zijn waar directie en aandeelhouders van wakkerliggen. Alleen dan hebben risico-gedreven certificeringen zin.
Screenshot hieronder uit https://assets.odido.nl/x/055ed05d0a/240712-odido_csrreport2023_nl_def.pdf.
@ErikvanStraten Oh, en ongeveer de helft van de 'cybercriminelen' schiet zichzelf in de voet en verspreidt de data later of vraagt de afgeperste klant om twee, drie soms zelfs vier betalingen. Semperis schrijft daar rapportjes over. (pdfwarning: https://www.semperis.com/wp-content/uploads/resources-pdfs/reports/resources-semperis-ransomware-holiday-risk-report.pdf)
Hou jezelf niet voor de gek: De ShinyHunters zijn jong, 22, 17, 25, en denken dat ze onkwetsbaar zijn. Maar als het geld opraakt..
-
@ErikvanStraten Oh, en ongeveer de helft van de 'cybercriminelen' schiet zichzelf in de voet en verspreidt de data later of vraagt de afgeperste klant om twee, drie soms zelfs vier betalingen. Semperis schrijft daar rapportjes over. (pdfwarning: https://www.semperis.com/wp-content/uploads/resources-pdfs/reports/resources-semperis-ransomware-holiday-risk-report.pdf)
Hou jezelf niet voor de gek: De ShinyHunters zijn jong, 22, 17, 25, en denken dat ze onkwetsbaar zijn. Maar als het geld opraakt..
@burne : persoonlijk heb ik geen ervaring met of cybercriminelen zich aan hun woord houden of niet, maar in alles wat ik erover lees doen de meesten dat wel.
Bovendien, uit https://sijmen.ruwhof.net/weblog/4303-odido-datalek-crowdfunding-gestart:
"De hackergroep ShinyHunters heeft sinds zijn oprichting in 2020 tientallen zeer bekende bedrijven gehackt en zijn tot dusver altijd hun afspraken nagekomen: als je losgeld betaald, wordt de buitgemaakte data niet verder verspreid. Deze modus operandi is heel gebruikelijk bij beruchte hackersgroepen. Als ze één keer hun afspraak niet na komen, dan zullen toekomstige slachtoffers ook niet meer gaan betalen en snijden ze zichzelf gigantisch in de vingers."
Hoewel ik (nog) een ODIDO account heb, peins ik er niet over om bij te dragen. Wat er m.i. wel moet gebeuren schreef ik in mijn vorige toots.
Van mij mag Odido failliet worden beboet, alleen al omdat er steeds "smeuïger" details naar buiten komen (zoals https://nos.nl/artikel/2604265-toeleverancier-odido-waarschuwde-voor-gebruikte-hackmethode).
Bij voorganger t-mobile.nl ging gemak ook al vóór beveiliging, zie bijv. https://www.security.nl/posting/622467/T-Mobile+autologon+en+eSIM+risico%27s.
-
@ErikvanStraten @Vanstra Ik heb nergens voorgesteld dat Odido _geen_ boete of straf moet krijgen.
Inmiddels zijn een paar dingen duidelijk. Het management weet niet wat er op de werkvloer gebeurd. Callcenter-personeel legt bijkans medische dossiers aan van klanten en schrijft BSN's op. Beiden zijn *VERBODEN*. Management staat in de pers met de bek vol tanden als dat naar buiten komt.
Hoezo competent leiderschap en verantwoorde bedrijfsvoering?
Niks boete, celstraf.
@burne @ErikvanStraten Volledig mee eens.
-
R relay@relay.infosec.exchange shared this topic
