Toon posts:

Tientallen websites van de overheid hebben openbaar toegank

Pagina: 1
Acties:

Vraag

woensdag 9 juni 2021 09:48

Acties:
  • 0 Henk 'm!
  • n9iels
  • Registratie: November 2017
  • Niet online

n9iels

Topicstarter
nieuws: Tientallen websites van de overheid hebben openbaar toegankelijke adm...

@SirRosencrantz
RTL heeft hun berichtgeving over dit artikel in Trouw inmiddels teruggetrokken omdat het onjuist is. Wellicht het melden waard.
https://twitter.com/danielverlaan/status/1402519576492101635
https://www.rtlnieuws.nl/...-cyber-kwetsbaar-openbaar
Dat zegt niet dat de sites per definitie ook makkelijk binnen te komen zijn, ze kunnen nog steeds voorzien zijn van een sterk wachtwoord of andere inlogbeveiliging, maar omdat de pagina's openbaar vindbaar zijn, kunnen anderen toegang proberen te krijgen tot de beheerderspagina's.
Dit klopt zeker 100%, maar vergeet niet dat de beheer pagina slechts een klein deel is van de attack surface van een website. Je kunt met de juiste beveiligingslekken op de front-end net zo veel (of misschien zelfs meer) schade aanrichten dan met toegang tot de back-end.

[ Voor 40% gewijzigd door n9iels op 09-06-2021 09:50 ]

Beste antwoord (via n9iels op 09-06-2021 14:46)

woensdag 9 juni 2021 14:23

  • SirRosencrantz
  • Registratie: Juli 2014
  • Laatst online: 28-03 09:07

SirRosencrantz

Steam Deck-user

Ik snap jullie punt, maar ik vind het artikel persoonlijk genuanceerd en duidelijk genoeg. Veel duidelijker dan het oorspronkelijke Trouw-artikel of de artikelen die bijvoorbeeld Nu.nl en de NOS na publicatie van Trouw schreven. Het blijft een nieuwsfeit dat zoveel overheidssites zich niet aan de NCSC-richtlijnen voldoen omdat zij inlog en publieke pagina's niet scheiden. We hebben duidelijk opgeschreven dat dat niet per definitie een kwetsbaarheid veroorzaakt, maar dat het wel een vermijdbaar risico is dat deze sites zo eenvoudig te benaderen zijn via de publieke sites.

Ik zie geen reden waarom ik dit artikel offline zou halen, wat RTL deed, en in principe doen we dat ook niet zomaar. Als er concrete dingen zijn die verbeterd moeten worden, dan sta ik daarvoor open. Alle dingen die hierboven genoemd worden zijn voor mijn gevoel al duidelijk meegenomen.

Alle reacties

woensdag 9 juni 2021 10:28

Acties:
  • 0 Henk 'm!
  • SirRosencrantz
  • Registratie: Juli 2014
  • Laatst online: 28-03 09:07

SirRosencrantz

Steam Deck-user

We hebben het artikel behoorlijk genuanceerd ten opzichte van wat Trouw schrijft. Dat lijkt me in dit geval een betere optie dan terugtrekken. Ik vind het niet zoveel toevoegen dat RTL het terugtrekt, dus dat lijkt me geen update van ons artikel waardig.

woensdag 9 juni 2021 10:51

Acties:
  • +4 Henk 'm!
  • FirePuma142
  • Registratie: April 2004
  • Niet online

FirePuma142

Sergius Bauer

De titel is wat mij betreft pure clickbait: "openbaar toegankelijke admin-pagina's" suggereert wel iets heel, heel anders dan er daadwerkelijk aan de hand is.

Good taste is for people who can’t afford sapphires

woensdag 9 juni 2021 11:00

Acties:
  • +2 Henk 'm!
  • eric.1
  • Registratie: Juli 2014
  • Laatst online: 11:06

eric.1

SirRosencrantz schreef op woensdag 9 juni 2021 @ 10:28:
We hebben het artikel behoorlijk genuanceerd ten opzichte van wat Trouw schrijft. Dat lijkt me in dit geval een betere optie dan terugtrekken. Ik vind het niet zoveel toevoegen dat RTL het terugtrekt, dus dat lijkt me geen update van ons artikel waardig.
De nuance maakt de bron nog niet nieuws-waardig. Sterker nog, de nuance maakt van dit artikel een "facepalm-niveau".

Om het vrij en bondig samen te vatten:
Beheerpagina's van verschillende overheids-websites zijn vindbaar door (en toegankelijk voor) derden, hierdoor zijn ze doelwit voor kwaadwillenden.*

Maar of er makkelijk binnen te komen is, dat ligt aan de rest van de beveiligingsmaatregelen en is niet meegenomen in dit onderzoek.
* Dit stellen ze zonder verder te vermelden waarom ze dit denken. Worden de beheerpagina's nu actief aangevallen? Hoeveel incidenten heeft dit probleem opgeleverd?

Het enige noemenswaardige was dat ze niet aan de richtlijnen voldoen, helaas zonder link of een toelichting of de richtlijnen uit 2014 nog volstaan annu-nu.

woensdag 9 juni 2021 11:02

Acties:
  • 0 Henk 'm!
  • MuddyMagical
  • Registratie: Januari 2001
  • Laatst online: 16:59

MuddyMagical

Maar wat is nu het nieuws als je de nuance erbij pakt?

Voor sommige overheidswebsites is er een openbare inlogpagina te zien die behalve voor admin zaken ook net zo goed voor andere inlogs word gebruikt?
Want het kan net zo goed dat het een inlog is voor externe partners om in te loggen en heeft het niets met de admin te maken. Of op accounts die een admin rol hebben zit two-factor authentication.

De titel is pure clickbait idd.

woensdag 9 juni 2021 11:07

Acties:
  • +2 Henk 'm!

Verwijderd

SirRosencrantz schreef op woensdag 9 juni 2021 @ 10:28:
We hebben het artikel behoorlijk genuanceerd ten opzichte van wat Trouw schrijft. Dat lijkt me in dit geval een betere optie dan terugtrekken. Ik vind het niet zoveel toevoegen dat RTL het terugtrekt, dus dat lijkt me geen update van ons artikel waardig.
Dan kan je ook wel een stukje gaan schrijven over overheidsinstanties die Office 365 oid gebruiken. De admin page daarvoor zit ook aan het internet.

woensdag 9 juni 2021 11:08

Acties:
  • 0 Henk 'm!
  • Hackus
  • Registratie: December 2009
  • Niet online

Hackus

Lifting Rusty Iron !

Trouw is DPG, Tweakers behoort daar ook onder. zo krijg je dit soort 'onzin' onrust stoken.
Zonder gedegen onderzoek en onderbouwing is het niets zeggend, en zul je zoiets niet moeten schrijven op nieuws. Het is nu net of Jan en alleman zomaar op de beheerpagina kan komen.

Kiest als MTB' er voor het mulle zand en drek, ipv het naastgelegen verharde pad.

woensdag 9 juni 2021 11:10

Acties:
  • 0 Henk 'm!
  • CyBeRSPiN
  • Registratie: Februari 2001
  • Laatst online: 17:06

CyBeRSPiN

sinds 2001

Schijnt dat ze poort 443 wagenwijd open hadden staan richting public internet. Ongelofelijk ;)
Jammer idd van dit soort clickbait dat vertrouwen ondermijnt.

woensdag 9 juni 2021 14:04

Acties:
  • +1 Henk 'm!
  • FirePuma142
  • Registratie: April 2004
  • Niet online

FirePuma142

Sergius Bauer

@SirRosencrantz Hoe langer dit ongewijzigd online staat, hoe minder effect een broodnodige correctie heeft.

Good taste is for people who can’t afford sapphires

woensdag 9 juni 2021 14:23

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • SirRosencrantz
  • Registratie: Juli 2014
  • Laatst online: 28-03 09:07

SirRosencrantz

Steam Deck-user

Ik snap jullie punt, maar ik vind het artikel persoonlijk genuanceerd en duidelijk genoeg. Veel duidelijker dan het oorspronkelijke Trouw-artikel of de artikelen die bijvoorbeeld Nu.nl en de NOS na publicatie van Trouw schreven. Het blijft een nieuwsfeit dat zoveel overheidssites zich niet aan de NCSC-richtlijnen voldoen omdat zij inlog en publieke pagina's niet scheiden. We hebben duidelijk opgeschreven dat dat niet per definitie een kwetsbaarheid veroorzaakt, maar dat het wel een vermijdbaar risico is dat deze sites zo eenvoudig te benaderen zijn via de publieke sites.

Ik zie geen reden waarom ik dit artikel offline zou halen, wat RTL deed, en in principe doen we dat ook niet zomaar. Als er concrete dingen zijn die verbeterd moeten worden, dan sta ik daarvoor open. Alle dingen die hierboven genoemd worden zijn voor mijn gevoel al duidelijk meegenomen.

woensdag 9 juni 2021 14:34

Acties:
  • 0 Henk 'm!

Verwijderd

Ik vind de nieuwswaarde maar matig. Het enige wat interessant is, is dat de overheid waarschijnlijk helemaal geen Wordpress mag gebruiken.

Dat kun je gelukkig nog in de comments lezen.

woensdag 9 juni 2021 20:08

Acties:
  • 0 Henk 'm!
  • FirePuma142
  • Registratie: April 2004
  • Niet online

FirePuma142

Sergius Bauer

SirRosencrantz schreef op woensdag 9 juni 2021 @ 14:23:
Alle dingen die hierboven genoemd worden zijn voor mijn gevoel al duidelijk meegenomen.
De titel is nog steeds nodeloos suggestief. De adminpagina’s van al die websites zijn niet openbaar toegankelijk. Slechts de inlogpagina voor admins is openbaar toegankelijk. Groot verschil.

Beter zou zijn: Tientallen overheidswebsites kwetsbaar voor aanvallen via publiek bereikbare beheerspagina.

Good taste is for people who can’t afford sapphires

donderdag 10 juni 2021 21:08

Acties:
  • +1 Henk 'm!
  • FirePuma142
  • Registratie: April 2004
  • Niet online

FirePuma142

Sergius Bauer

Joe, graag gedaan @SirRosencrantz ! Fantastisch werk geleverd. Tien met een griffel.

-O-

Good taste is for people who can’t afford sapphires

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq