Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Tientallen websites van de overheid hebben openbaar toegank

Pagina: 1
Acties:

Vraag


  • n9iels
  • Registratie: november 2017
  • Niet online
nieuws: Tientallen websites van de overheid hebben openbaar toegankelijke adm...

@SirRosencrantz
RTL heeft hun berichtgeving over dit artikel in Trouw inmiddels teruggetrokken omdat het onjuist is. Wellicht het melden waard.
https://twitter.com/danielverlaan/status/1402519576492101635
https://www.rtlnieuws.nl/...-cyber-kwetsbaar-openbaar
Dat zegt niet dat de sites per definitie ook makkelijk binnen te komen zijn, ze kunnen nog steeds voorzien zijn van een sterk wachtwoord of andere inlogbeveiliging, maar omdat de pagina's openbaar vindbaar zijn, kunnen anderen toegang proberen te krijgen tot de beheerderspagina's.
Dit klopt zeker 100%, maar vergeet niet dat de beheer pagina slechts een klein deel is van de attack surface van een website. Je kunt met de juiste beveiligingslekken op de front-end net zo veel (of misschien zelfs meer) schade aanrichten dan met toegang tot de back-end.

[Voor 40% gewijzigd door n9iels op 09-06-2021 09:50]

Beste antwoord (via n9iels op 09-06-2021 14:46)


  • SirRosencrantz
  • Registratie: juli 2014
  • Laatst online: 11-06 19:24
Ik snap jullie punt, maar ik vind het artikel persoonlijk genuanceerd en duidelijk genoeg. Veel duidelijker dan het oorspronkelijke Trouw-artikel of de artikelen die bijvoorbeeld Nu.nl en de NOS na publicatie van Trouw schreven. Het blijft een nieuwsfeit dat zoveel overheidssites zich niet aan de NCSC-richtlijnen voldoen omdat zij inlog en publieke pagina's niet scheiden. We hebben duidelijk opgeschreven dat dat niet per definitie een kwetsbaarheid veroorzaakt, maar dat het wel een vermijdbaar risico is dat deze sites zo eenvoudig te benaderen zijn via de publieke sites.

Ik zie geen reden waarom ik dit artikel offline zou halen, wat RTL deed, en in principe doen we dat ook niet zomaar. Als er concrete dingen zijn die verbeterd moeten worden, dan sta ik daarvoor open. Alle dingen die hierboven genoemd worden zijn voor mijn gevoel al duidelijk meegenomen.

Alle reacties


  • SirRosencrantz
  • Registratie: juli 2014
  • Laatst online: 11-06 19:24
We hebben het artikel behoorlijk genuanceerd ten opzichte van wat Trouw schrijft. Dat lijkt me in dit geval een betere optie dan terugtrekken. Ik vind het niet zoveel toevoegen dat RTL het terugtrekt, dus dat lijkt me geen update van ons artikel waardig.

Acties:
  • +4Henk 'm!

  • The Killer
  • Registratie: april 2004
  • Niet online
De titel is wat mij betreft pure clickbait: "openbaar toegankelijke admin-pagina's" suggereert wel iets heel, heel anders dan er daadwerkelijk aan de hand is.

Acties:
  • +2Henk 'm!

  • eric.1
  • Registratie: juli 2014
  • Laatst online: 00:11
SirRosencrantz schreef op woensdag 9 juni 2021 @ 10:28:
We hebben het artikel behoorlijk genuanceerd ten opzichte van wat Trouw schrijft. Dat lijkt me in dit geval een betere optie dan terugtrekken. Ik vind het niet zoveel toevoegen dat RTL het terugtrekt, dus dat lijkt me geen update van ons artikel waardig.
De nuance maakt de bron nog niet nieuws-waardig. Sterker nog, de nuance maakt van dit artikel een "facepalm-niveau".

Om het vrij en bondig samen te vatten:
Beheerpagina's van verschillende overheids-websites zijn vindbaar door (en toegankelijk voor) derden, hierdoor zijn ze doelwit voor kwaadwillenden.*

Maar of er makkelijk binnen te komen is, dat ligt aan de rest van de beveiligingsmaatregelen en is niet meegenomen in dit onderzoek.
* Dit stellen ze zonder verder te vermelden waarom ze dit denken. Worden de beheerpagina's nu actief aangevallen? Hoeveel incidenten heeft dit probleem opgeleverd?

Het enige noemenswaardige was dat ze niet aan de richtlijnen voldoen, helaas zonder link of een toelichting of de richtlijnen uit 2014 nog volstaan annu-nu.

  • MuddyMagical
  • Registratie: januari 2001
  • Laatst online: 22:03
Maar wat is nu het nieuws als je de nuance erbij pakt?

Voor sommige overheidswebsites is er een openbare inlogpagina te zien die behalve voor admin zaken ook net zo goed voor andere inlogs word gebruikt?
Want het kan net zo goed dat het een inlog is voor externe partners om in te loggen en heeft het niets met de admin te maken. Of op accounts die een admin rol hebben zit two-factor authentication.

De titel is pure clickbait idd.

404 error.


Acties:
  • +2Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 22:44
SirRosencrantz schreef op woensdag 9 juni 2021 @ 10:28:
We hebben het artikel behoorlijk genuanceerd ten opzichte van wat Trouw schrijft. Dat lijkt me in dit geval een betere optie dan terugtrekken. Ik vind het niet zoveel toevoegen dat RTL het terugtrekt, dus dat lijkt me geen update van ons artikel waardig.
Dan kan je ook wel een stukje gaan schrijven over overheidsinstanties die Office 365 oid gebruiken. De admin page daarvoor zit ook aan het internet.

  • Hackus
  • Registratie: december 2009
  • Niet online

Hackus

Chain DL,SQ,BP,MP, and Flys

Trouw is DPG, Tweakers behoort daar ook onder. zo krijg je dit soort 'onzin' onrust stoken.
Zonder gedegen onderzoek en onderbouwing is het niets zeggend, en zul je zoiets niet moeten schrijven op nieuws. Het is nu net of Jan en alleman zomaar op de beheerpagina kan komen.

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.


  • CyBeRSPiN
  • Registratie: februari 2001
  • Nu online

CyBeRSPiN

sinds 2001

Schijnt dat ze poort 443 wagenwijd open hadden staan richting public internet. Ongelofelijk ;)
Jammer idd van dit soort clickbait dat vertrouwen ondermijnt.

Acties:
  • +1Henk 'm!

  • The Killer
  • Registratie: april 2004
  • Niet online
@SirRosencrantz Hoe langer dit ongewijzigd online staat, hoe minder effect een broodnodige correctie heeft.

Acties:
  • Beste antwoord
  • 0Henk 'm!

  • SirRosencrantz
  • Registratie: juli 2014
  • Laatst online: 11-06 19:24
Ik snap jullie punt, maar ik vind het artikel persoonlijk genuanceerd en duidelijk genoeg. Veel duidelijker dan het oorspronkelijke Trouw-artikel of de artikelen die bijvoorbeeld Nu.nl en de NOS na publicatie van Trouw schreven. Het blijft een nieuwsfeit dat zoveel overheidssites zich niet aan de NCSC-richtlijnen voldoen omdat zij inlog en publieke pagina's niet scheiden. We hebben duidelijk opgeschreven dat dat niet per definitie een kwetsbaarheid veroorzaakt, maar dat het wel een vermijdbaar risico is dat deze sites zo eenvoudig te benaderen zijn via de publieke sites.

Ik zie geen reden waarom ik dit artikel offline zou halen, wat RTL deed, en in principe doen we dat ook niet zomaar. Als er concrete dingen zijn die verbeterd moeten worden, dan sta ik daarvoor open. Alle dingen die hierboven genoemd worden zijn voor mijn gevoel al duidelijk meegenomen.

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Laatst online: 22:44
Ik vind de nieuwswaarde maar matig. Het enige wat interessant is, is dat de overheid waarschijnlijk helemaal geen Wordpress mag gebruiken.

Dat kun je gelukkig nog in de comments lezen.

  • The Killer
  • Registratie: april 2004
  • Niet online
SirRosencrantz schreef op woensdag 9 juni 2021 @ 14:23:
Alle dingen die hierboven genoemd worden zijn voor mijn gevoel al duidelijk meegenomen.
De titel is nog steeds nodeloos suggestief. De adminpagina’s van al die websites zijn niet openbaar toegankelijk. Slechts de inlogpagina voor admins is openbaar toegankelijk. Groot verschil.

Beter zou zijn: Tientallen overheidswebsites kwetsbaar voor aanvallen via publiek bereikbare beheerspagina.

  • The Killer
  • Registratie: april 2004
  • Niet online
Joe, graag gedaan @SirRosencrantz ! Fantastisch werk geleverd. Tien met een griffel.

-O-
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True