D9D1E2

Datalekken in Nederland

2012

Videovergadersysteem militairen toegankelijk voor onbevoegden (12/02/24)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Defensie.

Verwerking

Videovergadersysteem.

Betrokkenen

"Bij het ministerie is niet bekend hoeveel medewerkers [gebruik maken van het systeem]." [Bron]

Soort (persoons)gegevens

"Behalve dat een inbreker militair overleg kan afluisteren is ook het adresboek van het systeem te raadplegen, waarin een lijst met namen en locaties met verschillende ip- en telefoonnummers." [Bron]

"De DMO-topman, met de rang van commandeur, heeft maandag en dinsdag zeker vijf keer vergaderd via het systeem, blijkt uit logfiles. In zijn adressenlijst staan telefoonnummers en IP-adressen van kazernes en kantoren, waaronder een van de Koninklijke Luchtmacht in Den Haag." [Bron]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"De inlogpagina van een topman bij de Defensie Materieel Organisatie (DMO) bleek te openen met een standaard fabriekswachtwoord dat op internet eenvoudig te vinden was in een handleiding van het bewuste Cisco-communicatiesysteem. De Volkskrant was hiervan woensdagavond getuige. Er zijn geen vergaderingen afgeluisterd." [Bron]

"Verschillende defensieonderdelen blijken met een teleconference systeem van Cisco te werken dat niet alleen aan het internet hangt, maar ook toegankelijk is met het standaard wachtwoord dat in de handleiding staat. Dat toonde [een securityexpert] aan [...]. Met dit fabriekswachtoord kon [de securityexpert] zonder enige verdere problemen inloggen op het systeem als directeur Marinebedrijf CDRT [...]. En zelfs al zou het wachtwoord veranderd zijn, dat kan een inbreker relatief eenvoudig alsnog binnen komen via een bruteforce aanval. Het systeem laat namelijk oneindig veel pogingen toe om wachtwoorden in te vullen." [Bron]

Respons van de organisatie

"Defensie heeft volgens de woordvoerder zeven videoconferentiesystemen in gebruik. 'Een onderhoudsbedrijf heeft die ooit aangeschaft. Ze draaien op internet. Onze cyber-veiligheidsafdeling waarschuwt voor dergelijke systemen, omdat die makkelijk gehackt kunnen worden. En dat blijkt.'" [Bron]

"Defensie stelt in een reactie aan de Volkskrant dat het lekke videovergadersysteem ooit is aangeschaft door een onderhoudsbedrijf van Defensie. Deze systemen draaien op het reguliere, publieke internet. 'Defensie betreurt het dat met dit voorval de schijn van onveiligheid kan zijn gewekt, maar we benadrukken dat het eigen netwerk nooit in gevaar is geweest.' [...] Het Ministerie van Defensie zegt in een reactie aan Webwereld onderzoek te doen naar de kwestie. De woordvoerder benadrukt dat het videobelsysteem geheel los staat van het defensienetwerk. Het is aangeschaft door enkele medewerkers, zonder dat het ict-beheer hier iets van af wist." [Bron]

Bronnen

Ricky Gevers: Videoconference systemen van Defensie eenvoudig te hacken (12/02/24)
[Open link in dit venster | Open link in nieuw venster]

Volkskrant: Communicatie Defensie eenvoudig te kraken (12/02/24)
[Open link in dit venster | Open link in nieuw venster]

WebWereld: Intern videobelsysteem Defensie wagenwijd open (12/02/24)
[Open link in dit venster | Open link in nieuw venster]

.