Minstens vijftig Nederlandse bedrijven en organisaties hebben de toegang tot hun cloudomgeving niet goed afgesteld. Daardoor liggen persoonlijke gegevens van Nederlanders voor het oprapen voor hackers en cybercriminelen. Hoogstwaarschijnlijk is dit slechts het topje van de ijsberg en hebben meerdere bedrijven de achterdeur tot hun cloud open staan.
Dat blijkt uit onderzoek van BNR (1). De redactie gebruikte de scantool Gray Hat Warfare om de gebrekkige configuratie bij tientallen Nederlandse bedrijven aan het daglicht te brengen.
De cloud is een ideale en veilige plek om back-upbestanden en andere bedrijfsinformatie op te slaan. Voorwaarde is wel dat deze data niet publiekelijk toegankelijk zijn. Op dat vlak schieten Nederlandse bedrijven en organisaties tekort, zo stelt BNR. Tientallen partijen -de redactie spreekt van ten minste vijftig bedrijven- hebben onvoldoende maatregelen genomen om bedrijfsgegevens veilig te bewaren in de cloud.
Vergissen is menselijk, maar door deze vergissing zijn vertrouwelijke bedrijfsgegevens en privégegevens van klanten vrij toegankelijk voor iedereen. Als voorbeeld noemt BNR onder meer Sunweb. De reisorganisatie had meer dan tweeduizend cv’s en sollicitatiebrieven in de cloud opgeslagen. Doordat deze niet goed waren afgeschermd, kon iedereen erbij.
Ook bij welnesscentrum Thermen Resorts waren cv’s en sollicitatiebrieven van sollicitanten openbaar. B&F Casting, dat jaarlijks meer dan 15.000 figuranten aan werk helpt in Nederlandse tv- en filmproducties, had honderden scripts, briefings, cv’s en ondertekende contracten opgeslagen in de cloud, zonder deze naar behoren af te schermen.
De redactie van BNR benaderde alle vijftig bedrijven en organisaties waarvan de cloud verkeerd was geconfigureerd. Ongeveer de helft kwam direct in actie en schermde de cloudomgeving alsnog af voor onbevoegden. Achttien bedrijven reageerden niet op het bericht van BNR. De overige acht vonden het niet nodig om maatregelen te nemen, omdat er geen gevoelige bestanden in de cloud waren opgeslagen.
Bij Sunweb trad het veiligheidsprotocol in werking. Volgens een woordvoerder zijn de documenten per ongeluk in de cloud terechtgekomen. Drie jaar geleden werd de wervingssoftware namelijk naar de cloudomgeving verplaatst. Alle cv’s en sollicitatiebrieven zijn direct verwijderd. Ook Thermen Resorts en B&F Casting zeggen inmiddels maatregelen te hebben genomen om herhaling te voorkomen.
Experts waarschuwen dat Nederlandse bedrijven voorzichtig moeten omspringen met hun data in de cloud. Zij denken vaak dat de aanbieder van de clouddienst verantwoordelijk is voor de beveiliging. Die verantwoordelijkheid ligt echter bij henzelf.
Eward Driehuis, voorzitter van cybersecuritycommunity CSIRT Global, vermoedt dat de vijftig aangetroffen servers slechts het topje van de ijsberg zijn. “Het probleem is misschien nog wel duizend keer zo groot”, zo vertelt hij aan BNR.
De redactie ontdekte dat het bij één bedrijf mogelijk was om data te uploaden. Een onvergeeflijke fout, zo benadrukt Roos Dijkxhoorn, oprichter van cybersecuritybedrijf Purasec. Zo maak je het voor hackers en cybercriminelen namelijk wel erg gemakkelijk om ransomware of andere malware
binnen te smokkelen. De server van het betreffende bedrijf is inmiddels beveiligd.
Twee weken geleden meldde BNR dat juweliersketen Brandfield (2) met een datalek werd geconfronteerd. De retailer had een back-up van klantgegevens opgeslagen in de cloud van Google. Deze was niet afgeschermd, waardoor iedereen zonder wachtwoord toegang had tot deze data. Het ging om gegevens van zo’n 60.000 klanten die tussen 2018 en 2020 een bestelling hadden geplaatst.
De betreffende cloudserver werd direct ontkoppeld van het internet. Het incident werd gemeld bij de Autoriteit Persoonsgegevens. Alle klanten zijn ingelicht door de juweliersketen. Operationeel directeur Bas Beukers zei enorm geschrokken te zijn van het voorval. “We zijn er niet blij mee. Maar laat dit een waarschuwing zijn voor anderen”, zo zei hij over het voorval.
Beveiligingsexperts menen dat Brandfield ernstig tekort is geschoten. “Opslagplekken in de cloud zijn juist beter beveiligd dan traditionele opslag. Maar je moet dan wel zelf ervoor zorgen dat niet zomaar iedereen toegang heeft”, zo zei Simon Besteman, directeur van de Dutch Cloud Community. Dave Maasland, CEO van cybersecuritybedrijf ESET Nederland, waarschuwde dat de gegevens ‘een goudmijn’ zijn voor hackers en goed gebruikt kunnen worden voor phishing. De oplossing in zijn ogen is om meer bewustwording te creëren.
(1) https://www.bnr.nl/nieuws/technologie/10541786/tientallen-open-servers-bij-nederlandse-bedrijven-gegevens-op-straat
(2) https://www.vpngids.nl/nieuws/groot-datalek-bij-juweliersketen-brandfield/