Drunense persfotograaf voor rechter na 'inbraak' in Landelijk Crisis Management Systeem (LCMS)

Auteur Topic: Drunense persfotograaf voor rechter na 'inbraak' in Landelijk Crisis Management Systeem (LCMS)  (gelezen 20076 keer)

0 gebruikers (en 2 gasten bekijken dit topic.



NikonDirk

  • Leeft op een eiland.
  • Senior gebruiker
  • ****
  • Berichten: 4,223
    • Opvallende politievoertuigen.
Hij maakt nou niet echt een héél heldere indruk en vindt het best wel jammer dat het nu ontdekt is. Dat werkt allemaal niet in zijn voordeel lijkt mij.


Stefan Verkerk

  • Fotograaf Wezep e.o.
  • Senior gebruiker
  • ****
  • Berichten: 3,968
  • Weerliefhebber
    • StefanVerkerk.nl
Welkom123... LOL. Dat is bijna net zo erg als user/pass: admin/password... zucht. Overheid en ICT. En dan met zulke gevoelige informatie. Het zou mij niks verbazen als er nog veel meer systemen bij de hulpdiensten makkelijk te 'bekijken' zijn.

Zo zie je maar weer: de mens is de zwakste schakel in het geheel.
www.stefanverkerk.nl | www.hmpaal.nl | PPK houder | Canon


peen van dienst

  • Senior gebruiker
  • ****
  • Berichten: 1,288
Op een reportage van Omroep Brabant werd gesteld dat het een 'streng beveiligd systeem' is.

Nou een systeem met dergelijke wachtwoorden als 'Welkom123' is, euh, niet echt mega-beveiligd naar mijn (overigens zeer bescheiden) mening.  098uo

Wat een gestuntel zeg....
Redacteur van


RemcoV

  • Forum gebruiker
  • ***
  • Berichten: 299
Ben zelf ook wel eens in een gepubliceerd document  gebruikersnamen en wachtwoorden van LCMS tegen gekomen.
Direct gebeld met de publicerende instantie en nog steeds gelukt om mijn nieuwsgierigheid te bedwingen.   8)

Wat ik gezien heb over de inlog procedure doet mij vermoeden dat een hacker tijdens zijn  lunchpauze met zijn vrije hand zich toegang kan verschaffen...
! Al mijn uitspraken zijn op persoonlijke titel !


Live

  • Senior gebruiker
  • ****
  • Berichten: 65,815
  • pay it forward
    • Hulpverleningsforum
Het feit dat het niet is goed te praten dat de fotograaf niet meteen aan de bel heeft getrokken blijft natuurlijk staan.

Maar wat een ongelooflijk prutswerk is dit van de eigenaar en beheerders van het LCMS systeem! Als een systeem gevoelige informatie bevat die niet in handen van buitenstaanders mag vallen, en via internet bereikbaar, dan is het belachelijk dat dit in deze tijden nog steeds alleen maar met een userid/password is beveiligd, en niet al veel langer met multi factor authentication (d.m.v. bijv. een token zoals RSA of een sms naar je telefoonnummer).

Degene die hier verantwoordelijk voor is en dan ook nog eens als wachtwoord Welkom123 verzint en op internet zet, is gewoon net zo schuldig dat de geclassificeerde info op straat komt te liggen en kunnen ze ook beter vannacht nog met een arrestatieteam van zijn bed lichten en opsluiten om te voorkomen dat deze persoon nog meer schade zal aanrichten. :-X

De fotograaf is door de mand gevallen omdat hij het niet voor zich kon houden, maar de kans is dus levensgroot dat er tientallen anderen dit ook via google gevonden hebben en tijdenlang hebben kunnen meelezen, en die hebben misschien wel veel slechtere bedoelingen dan alleen wat foto's maken voor 112drunen.nl
98uiye
Samen sterk in de hulpverlening!


zwelgje

  • Burger met bijzondere interesse in wetgeving en organisatie structuren
  • Senior gebruiker
  • ****
  • Berichten: 2,077
Een compleet wachtwoord googelen of informatie opzoeken via Google om daar vervolgens een wachtwoord mee te kraken?

Ik weet niet hoe het gegaan is (was er niet bij), maar het is sowieso al kwalijk dat je het uberhaupt probeert...

Er is heel veel op internet te vinden qua slecht of niet beveiligde online systemen, die gewoon via google te vinden zijn. Als ICT security je interesseert, waarom zou dat niet opzoeken?
Daar heb ik zelf ook wel eens naar gezocht en gevonden. (Niks spannend aan, meestal kleine bedrijven of privé personen.)
Alleen ga je dan niet in een systeem rondneuzen, hooguit controleren of de toegang werkt, maar stel je de beheerder of eigenaar op de hoogte. In de meeste gevallen krijg je netjes een bedankje.

Let wel we hebben het hier niet over poort scanners of andere "professionele" hack  software. Dat is van een andere orde.
(En ook daar zijn gewoon search engines voor die dit al voor je hebben gedaan, en de resultaten weergeven.)
Als je niet veel onthoudt, kan je ook niet veel vergeten


Ultra

  • Journalist
  • Forum gebruiker
  • ***
  • Berichten: 103
Ik ben ook vooral heel benieuwd hoe dat PDF'je met die login op het internet is gekomen.

Het is natuurlijk onacceptabel dat een buitenstander het systeem binnen kan komen, maar dat die jongen na die dagen rondkijken nog steeds geen melding had gemaakt is een kwalijke zaak. Ten eerste lijkt het me zeer onwaarschijnlijk dat hij per ongeluk inlogde. Hij is dus zelf op zoek gegaan naar de inloggegevens, want zoals hij zei dat hij even had Gegoogled en het wachtwoord had gevonden.

Als het je dan lukt hoor je dat netjes door te geven en niet drie dagen rond te neuzen en via Whatsapp delen.

Je zou toch zeggen dat zo'n systeem ook IP adressen zou loggen, maar blijkbaar worden de logins niet gekoppeld aan IP adressen. En op zo'n gevoelig systeem verwacht je op zn minst two-factor auth.


Dennis 2331

  • ICT'er (Engineer Wireless) - Fractielid gemeente Eindhoven
  • Senior gebruiker
  • ****
  • Berichten: 559
  • Eindhoven
Citaat van: Stefan Verkerk link=msg=1326647 date=1422476437
Welkom123... LOL. Dat is bijna net zo erg als user/pass: admin/password... zucht. Overheid en ICT. En dan met zulke gevoelige informatie. Het zou mij niks verbazen als er nog veel meer systemen bij de hulpdiensten makkelijk te 'bekijken' zijn.

Zo zie je maar weer: de mens is de zwakste schakel in het geheel.

Kon mijn oren niet geloven toen hij het wachtwoord opnoemden :-X Hoop dat andere systemen wel ''beter'' beveiligd zijn!
 As ge nie mìr nèijsgierig bent, dan worde aau


Hunter

  • Senior gebruiker
  • ****
  • Berichten: 6,176
  • Zoetermeer, Haaglanden
Citaat van: Ultra link=msg=1326694 date=1422484578
Je zou toch zeggen dat zo'n systeem ook IP adressen zou loggen, maar blijkbaar worden de logins niet gekoppeld aan IP adressen. En op zo'n gevoelig systeem verwacht je op zn minst two-factor auth.

Je noemt nu twee totaal verschillende dingen. IP's loggen zal vast gebeuren, dat doet zelfs dit forum. Een beetje hacker (al dan niet amateur) weet dat wel te omzeilen, die mogelijkheden worden je (net als dit soort wachtwoorden) tegenwoordig bijna in de schoot geworpen. Voorts; het koppelen van een login aan een IP-adres? Ik heb voor mijn werk diverse, op diverse manieren beveiligde logins, maar als deze aan een vast (lees: niet dynamisch) IP-adres gekoppeld zouden worden dan kan ik mijn werk niet op een normale manier uitvoeren, aangezien ik niet vanaf 1 IP adres werk.

Live noemde het al. Tegenwoordig heb je OTP's (one time password), SMS tokens of hard tokens. Daarnaast is Welkom123 niet zomaar verzonnen, maar een bijzonder standaard wachtwoord. Je kunt je afvragen of ik dat hier wel moet zeggen, maar je kunt je ook afvragen of men uberhaupt wel zulke stompzinnige standaard wachtwoorden moet gebruiken. Als elk bedrijf nou zijn eigen standaard wachtwoord (zoals MediaMarkt123) zou gebruiken dan is dat al te eenvoudig, laat staan als het algemeen wordt gebruikt.

Volgens mij waait het buiten harder dan in dit glas, maar tegenwoordig hebben we schijnbaar meer olifanten dan muggen om ons heen  :-X