Drunense persfotograaf voor rechter na 'inbraak' in Landelijk Crisis Management Systeem (LCMS)

[JJ75]

Er zijn diverse websites die een beter paswoord afdwingen dan welkom123. Die accepteren zwakke wachtwoord  niet eens.

[Peter71]

Kunnen we ons wel blind staren op dat wachtwoord, maar enig hulp van binnenuit is ook belangrijk, een gebruikersnaam is ook wel handig. Anders heb je niets aan dat wachtwoord. Dus zal het mij niet verbazen als iemand anders binnenkort ook wat uit te leggen heeft. En zelfs zijn eigen advocaat geeft toe dat meneer de plaatjesschieter het voorval direct had moeten melden

Wachtwoord gevonden op Google
"Als persfotograaf vind ik dat natuurlijk wel interessant. Ik had via-via een gebruikersnaam gevonden en het wachtwoord vond ik na drie minuten zoeken op Google", zegt de verdachte tegen Omroep Brabant.

Dagvaarding rept niet over LCMS
Volgens advocaat Casimir Vink is het begrijpelijk dat de Drunenaar gezien zijn werk als persfotograaf nieuwsgierig was, maar had hij zijn bevindingen wel moeten melden.

[zwelgje]

Kunnen we ons wel blind staren op dat wachtwoord, maar enig hulp van binnenuit is ook belangrijk, een gebruikersnaam is ook wel handig.

Natuurlijk weten we nog niet hoe hij dit exact heeft gekregen. Maar er zijn meerdere manieren hoe dit kan, het hoeft niet per se bewust gebeurt te zijn.

Denk bijvoorbeeld aan presentaties met screenshots, bijvoorbeeld op persdagen of andere publiek toegankelijke gebeurtenissen.

Maar ook functionarissen die documenten op webservers zetten die gewoon publiek toegankelijk zijn, screenshots op linkedin, facebook, etc...

Zoekt en gij zult vinden.

[JJ75]

Natuurlijk weten we nog niet hoe hij dit exact heeft gekregen. Maar er zijn meerdere manieren hoe dit kan, het hoeft niet per se bewust gebeurt te zijn.

Denk bijvoorbeeld aan presentaties met screenshots, bijvoorbeeld op persdagen of andere publiek toegankelijke gebeurtenissen.

Maar ook functionarissen die documenten op webservers zetten die gewoon publiek toegankelijk zijn, screenshots op linkedin, facebook, etc...

Zoekt en gij zult vinden.

En daarbij worden gebruikersnamen vaak logisch gekozen waardoor ze vaak ook te beredeneren zijn.

[zwelgje]

En daarbij worden gebruikersnamen vaak logisch gekozen waardoor ze vaak ook te beredeneren zijn.

Precies, heb met google al een document gevonden waarin wordt uitgelegd hoe een gebruikersnaam voor LCMS is samengesteld.
En ook in dat document staat het standaard wachtwoord, met de opmerking dat het aan de gebruiker is om dit te wijzigen.
("Kies wel een wachtwoord wat je makkelijk kan onthouden".)

In de resultaten van dezelfde zoekopdracht, ook de login gegevens voor een informatiesysteem uit de gele tak..
(Voor de duidelijkheid: geen patiënten gegevens. En natuurlijk een mailtje gestuurd..)

[HIT]

Het hoeft niet eens zo te zijn dat mensen deze gegevens willens en wetens online zetten.

Zoekmachines zijn tegenwoordig zo goed dat ze ook onbeveiligde PDF files die ooit zijn verstuurd gewoon als hit vinden. Files die verstuurd worden via een externe partij omdat ze voor de mailserver te groot zijn bijvoorbeeld. Hier is jaren geleden al voor gewaarschuwd toen het internet nog niet eens zoals nu zo groot bestond en ik nog met 3.11 werkte.

[Stefan Verkerk]

Ik heb de test gedaan. En ja hoor, binnen 3 minuten had ik het betreffende document ook gevonden.

@Beheer: linken naar onderstaand document is niet strafbaar / gewoon toegestaan volgens de wet!

Ik heb gezocht naar: https://www.google.nl/search?q=lcms+inloggen&ie=utf-8&oe=utf-8&gws_rd=cr&ei=hP3JVJnuFoOrPI22gIAC#q=lcms+ijsselland+wachtwoord+gebruikersnaam

Eerste document:

Netcentrisch Werken - Veiligheidsregio IJsselland
www.rijv.nl/data/styleit/files/Q&A_nieuwsbrief_NCW.doc
30 mrt. 2011 - In 2011 krijgen we instructies op het LCMS. Zijn de .... Om in te loggen heb je een gebruikersnaam en wachtwoord nodig. Deze kun je bij mij ...

En in dat document staat:

   De gebruikersnamen kennen een standaard opbouw:
      04-achternaamvoorletter. In mijn geval is mijn gebruikersnaam 04-XXXXXXX. Het standaard wachtwoord dat je krijgt is Welkom123. Let op: je bent zelf verantwoordelijk voor het wijzigen en het beheer van je wachtwoord. Kies dus slim, zodat je je wachtwoord kunt onthouden! [naar boven]

Ik sta er echt versteld van dat het zo ongelooflijk makkelijk te vinden is. Als overheid zou ik mij echt kapot schamen en sowieso moet er bij IT beheer ook het een en ander aan koppen rollen, want - wat Hunter ook al zegt: waarom geen SMS code of token etc. etc.

Bizar. Echt bizar.

[zwelgje]

Het hoeft niet eens zo te zijn dat mensen deze gegevens willens en wetens online zetten.

Nee, maar in de meeste gevallen is het toch wel echt bewust op een webserver gezet.
Als de beheerder dan vergeten is om deze mappen uit te sluiten van de indexering door zoekmachines, of er een ander foutje zit in de mapstructuur, zie je die gegevens dus zo terug in Google....

Ook hier geldt de wet van Murphy ....

Ik heb de test gedaan. En ja hoor, binnen 3 minuten had ik het betreffende document ook gevonden.

@Beheer: linken naar onderstaand document is niet strafbaar / gewoon toegestaan volgens de wet!

Toch zou ik de gegevens die je quote weg halen. Het document kan verwijderd worden als je de persoon daarvan op de hoogte brengt. Maar dan blijft jouw quote nog steeds zichtbaar op een publiek deel van het forum.  (Het is niet "illegaal" maar ook niet netjes. Ik heb het dus niet over de link....)

Als overheid zou ik mij echt kapot schamen en sowieso moet er bij IT beheer ook het een en ander aan koppen rollen, want - wat Hunter ook al zegt: waarom geen SMS code of token etc. etc.

Dit gaat verder dan beheer, het is ook weer een voorbeeld van hoe de overheid zich laat inpakken door allerlei ICT organisaties.

[Stefan Verkerk]

Toch zou ik de gegevens die je quote weg halen. Het document kan verwijderd worden als je de persoon daarvan op de hoogte brengt. Maar dan blijft jouw quote nog steeds zichtbaar op een publiek deel van het forum.  (Het is niet "illegaal" maar ook niet netjes. Ik heb het dus niet over de link....)

Tja, valt onder citaatrecht ;-) maar dan nog: ik mag toch hopen dat men inmiddels hard aan het werk is om deze manier van inloggen te wijzigen naar een veiligere methode. Dus de waarde van de tekst vervalt dan toch wel.

[Bert65]

Tja, valt onder citaatrecht ;-) maar dan nog: ik mag toch hopen dat men inmiddels hard aan het werk is om deze manier van inloggen te wijzigen naar een veiligere methode. Dus de waarde van de tekst vervalt dan toch wel.

Het is in- en intriest dat het nog steeds op Google te vinden is en met wat voor een gemak je zo'n veilige site op kan/kon. Waarom is het nu, terwijl men aan de rechtzaak begint tegen de journalist, nog steeds op zoekmachines te vinden?