11/25/2014

Mensura dient klacht in bij skynetblogs tegen belsec but.....

ze wensten de verwijdering van bepaalde postings en wilden in feite de totale verwijdering van deze blog 

ze zeiden dat het opnemen van screenshots en links naar de datadumps illegaal is 

de betrokken verwijzingen en screenshots op de genoemde postings zijn dan ook verwijderd en er is gemeld dat dit is door een klacht bij skynetblogs 

deze klachten worden trouwens altijd opgevolgd 

maar maak u zelf geen blaasjes wijs 

deze data is slechts een peulschil van de data online 

en er is niemand in België die deze dataleaks opvolgt op een systematische manier en de CERT die het zou moeten doen is zodanig onderbemand en overbelast dat ze deze datasets zelfs niet aankan 

dit kost trouwens niet veel moeite om ze te vinden (ik gebruik een tweetal sites en een paar googledorks) en het gaat niet om duizenden .be mailadressen maar in het slechtste geval een paar tiental in een week (tenzij Rex Mundi weer bezig is) 

Het zou slechts een paar duizend euro kosten om dit efficiënt te monitoren en een kleine applicatie om de slachtoffers onmiddellijk na de automatische ontdekking hiervan op de hoogte te brengen. Maar er is wel geld voor grote onderzoeken over wat al onderzocht is. 

trouwens wat doet Mensura dan met de meer dan 400 downloads van de data die al hebben plaatsgevonden 

ik zou zeggen, nice try Mensura maar er zijn belangrijker dingen om je mee bezig te houden 

vb hoe verklaar je dat je certificaat nog altijd kreupel is en dat je formulier voor ziektecontrole nog altijd niet achter een beschermde inlogpagina zit en dat men nog altijd het Rijksregisternummer vraagt van de persoon die moet gecontroleerd worden (die dit dus NIET weet en daar ook zijn akkoord NIET voor heeft gegeven) en dat de 'meer info' rubriek (waar al die schandalige onuitwisbare commentaren in stonden) er ook nog altijd in staat 

zelfs al wist u sinds het lek dat u NOOIT heb aangekondigd op uw blog (tenzij onderhoudswerken op zondag maar zonder te specifiëren) dat er drie grote problemen zijn met dat formulier

* het is niet beschermd door een inlogscherm

* het bevat persoonlijke info waarvan de eigenaar van die info de toelating niet toe heeft gegeven (rijksregister)

* het staat niet alleen op het internet maar het heeft een gebrekkige encryptie maar het had een sql injection (die niet getest was ondanks het feit dat ze in de OWASP 10 staan) 

en indien dat de fout is van uw serviceproviders, dan bent u beter bezig met een andere te zoeken en met een klacht tegen hen in te dienen

btw there are numerous blogs, forums and twitterstream who do nothing else than to report and link to new datadumps on the internet  - it is even by such a twitterstream that I have found the information on saturday that you were trying to hide. 

Trouwens indien advokaten bezig zijn met een klacht voor te bereiden zullen ze deze informatie al lang hebben. 

Permalink | |  Print |  Facebook | | | | Pin it! |

The comments are closed.