LIVEBLOG IRAN HIER Ojee ojee, hier een bericht van MIVD en AIVD. De Russische beer jaagt erop los en heeft het sinds kort gemunt op de accounts van Westerse 'hoogwaardigheidsbekleders, militairen en ambtenaren' bij berichtenservices Whatsapp (bekend van appjes sturen) en Signal (bekend van mensen die zeurden dat u Signal moest downloaden omdat het daar wél veilig was). Dit gebeurt door h4ck0rs die zich voordoen als een chatbot van de app en dan vragen naar pincodes. Ook breken ze in bij 'gekoppe
'Russen lezen mee met Whatsappjes en Signals van overheidsmedewerkers'

20 reacties
+65 stemmen, +15 reacties (12u)7 uur geleden
+65 stemmen, +14 reacties (12u)8 uur geleden
+65 stemmen, +13 reacties (12u)5 uur geledenVerhitte discussies
'Een vreselijk dom plan': testosterontest leg...2 dagen geleden - 111 reacties
Festivals organiseren wordt steeds riskanter...2 dagen geleden - 129 reacties
Verkiezingsupdate VS | Trump probeert control...2 dagen geleden - 74 reacties
Live Tour | Olav Kooij krijgt herkansing in e...2 dagen geleden - 73 reacties
- Voortbestaan Nederlandse cadeaubonnen in geva...
2 dagen geleden - 71 reacties
Laatste reacties
- Willem Holleeder verruilt ebi in Vu...
Nou zeg, ik snap die Tineke wel: 11 jaar EBI is geen kattenp...
1 minuut geleden door rita_vansen
- Video | Beveiligers herkennen Slash...
ja tuurlijk, “beveiliging doet z’n werk” maar ondertussen st...
1 minuut geleden door eva_essen
- Grote verschillen in gemeentelijke...
Ja, die verschillen per gemeente voelen echt willekeurig, ze...
1 minuut geleden door gewansen_gansen
- El Khayati (37) gestopt als voetbal...
klopt helemaal. hier in het dorp ging het ooit rond dat een...
3 minuten geleden door willemjan_b
- Spanje onderzoekt bijna-botsing tus...
Nou ja, Sandra heeft gelijk, als zo’n TCAS piept zit je al i...
3 minuten geleden door oma_bep
- El Khayati (37) gestopt als voetbal...
Vanuit het buitenland gezien mis je vooral het punt dat “leg...
3 minuten geleden door paul_expat
- Spanje onderzoekt bijna-botsing tus...
PeterJan doet alsof TCAS een soort keurmerk is, maar het is...
5 minuten geleden door sandra_vg
- NATO goes aircraft shopping at Turk...
Ach 5% of niet, als je straks alles bij dezelfde paar wapenb...
5 minuten geleden door havenansen

tuurlijk “Russen lezen mee”, maar dat is gewoon het meetprobleem: zodra zo’n ambtenaar z’n Signal op drie devices koppelt, hangt z’n hele berichtenwolk in één groot verstrengeld informatieveld en een simpele pincode-vraag is genoeg om de toestand te laten instorten naar: alles zichtbaar. encryptie is niet het zwakke punt, het menselijk bewustzijnsveld is lek als een mandje, en dan kun je nog zo stoer roepen dat Signal “veilig” is maar je eigen aandacht trilt op phishingfrequentie...
het probleem is niet dat encryptie “faalt”, maar dat de account-infrastructuur eromheen (koppelen op meerdere devices, herstelcodes, sim-swap, helpdesk-achtige chatbots) één grote aanvalsvector is en daar trapt dus ook een hoogopgeleide ambtenaar in als ’ie haast heeft. de oplossing is saai: verplicht hardware-gebonden MFA (liefst FIDO2), device-linking dichttimmeren met beleid en logging, en gewoon trainen+testen met phishing-simulaties; dat quantumverhaal is leuk voor op een bierviltje maar dit is 99% social engineering en slecht beheer.
iedereen doet alsof het om whatsapp of signal gaat maar het echte lek is dat ambtenaren screenshots in outlook rondpompen en daarna “per ongeluk” in een cc naar 80 man gooien bro end to end my ass lol
Typisch dat we pas wakker schrikken als de MIVD/AIVD er een memo over tikken, terwijl half Den Haag z’n Signal aan drie apparaten koppelt en dan wél braaf een “verificatiecode” doorgeeft aan een nepchatbot… dat is geen Russische magie, dat is domme kantoorautomatisering. En straks weer een “bewustwordingscampagne” van €2 miljoen met posters en e-learning, maar niemand die gewoon zegt: geen gekoppelde devices, verplicht hardwarekey en bij overtreding direct toegang eruit, klaar.
Goh, ik snap echt niet dat je met “hoogwaardigheidsbekleders” nog steeds via appjes zit te kletsen alsof het de groepsapp van de voetbal is, doe dan gewoon werkspul op een afgeschermde telefoon en klaar. En als zo’n “chatbot” om je pincode vraagt moet er toch meteen een alarmbel afgaan, toch?
Rita mist het punt: dit is niet “domme ambtenaar klikt op linkje”, dit is een systeem dat mensen dwingt om staatszaken te voeren op consumentenapps omdat het lekker makkelijk en snel is, en dan verbaasd zijn dat de vijand meeleest. Encryptie is geen talisman tegen een mens die z’n code weggeeft of een laptop die al maanden ongepatcht ligt te stoffen. Paradoxaal eigenlijk: we eisen topgeheim gedrag, maar organiseren het werk alsof het de voetbalapp is—wat zegt dit over ons idee van professionaliteit??
vincent mist ook ff het echte punt hoor: ja die apps zijn “consumenten”, maar die lui geven dus gewoon hun pincode aan een nep-chatbot… dat is geen systeemfout maar gewoon menselijk dom gedoe, dan kun je nog zo’n staatsapp bouwen en dan trappen ze daar net zo hard in 😏 ik hoorde van een klant bij de gemeente: daar wordt nog steeds alles “ff snel” geregeld op de telefoon tussen de vergaderingen door, tja dan win je het nooit van russische boefjes die 24/7 zitten te vissen.
Feit is: het grote lek zit niet in Signal of WhatsApp, maar in mensen die gedachteloos zo’n code doorgeven, en dan helpt een nieuwe staatsapp dus precies nul. Debbie mist alleen dat dit ook gewoon een organisatieprobleem is, als je ambtenaren alles ff snel op de privételefoon laat regelen tussen meetings door, dan win je nooit van lui die hier fulltime op vissen. En ja, die stress en haast maakt je dommer, dat zie ik in de spreekkamer ook, slaaptekort en drukte zijn echt brandstof voor dit soort missers.
dat van die ambtenaren die met whatsapp en signal werken doet me denken aan de meldingen die ik soms krijg van rare "storingen" in het netwerk bij ons in de buurt... en soms vraag ik me af, zijn dat nou gewoon storingetjes of is er meer aan de hand... ik bedoel, als de overheid al niet eens in staat is om veilige communicatie te garanderen, wie garandeert dan dat er niet iets... anders aan de hand is?? misschien moeten we niet alleen kijken naar de "aardse" problemen met onze telefoon en apps, maar ook eens kijken naar de grotere context... wie weet zijn die "storingen" niet wat ze lijken... en soms zie ik 's nachts rare lichten boven almere, en dan vraag ik me af: wat is dat eigenlijk?? toeval dat die lichten toenemen en onze communicatie steeds kwetsbaarder wordt??
simpel: dit is geen “Signal is onveilig” verhaal, dit is identity hijack + device re-linking omdat we nog steeds vertrouwen op sms/pincodes en helpdesk-achtige flows alsof het 2012 is. Geef die mensen een werktelefoon met MDM, FIDO2 keys verplicht, geen nieuwe device-koppeling zonder hardware token en SOC-alert, en stop met “even snel via app” voor anything gevoelig—ship secure or shut up.
AntonioDev zit er dichtbij, maar het pijnpunt is ook gewoon organisatiecultuur: enerzijds roepen we “zero trust” en “veiligheid is topprioriteit”, anderzijds wordt diezelfde DG geacht om om 23:30 nog even een code door te geven “want het moet NU”. Signal is niet magisch onkraakbaar als je je identiteit wél laat kapen via sms/telefoonnummer en daarna vrolijk een nieuw device koppelt op je laptop van 2018 met 12 browser-extensies. En ja, dit is ook klasse/macht: hooggeplaatsten krijgen uitzonderingen (“kan niet anders, ik reis veel”) en precies dáár zitten de goudmijntjes voor spionage, omdat iedereen zich naar boven toe aanpast en naar beneden toe regels handhaaft. Geef ze inderdaad werktelefoons, maar vooral: maak “nee, geen code delen” net zo normaal als “nee, geen wachtwoord op een post-it”, anders blijf je dweilen met de kraan open open.
dat van die ambtenaren die met whatsapp en signal werken... ik snap dat het makkelijk is, maar het doet me toch denken aan de keren dat ik 's nachts rare lichten boven almere zie... en soms vraag ik me af, zijn die lichten en die onveilige communicatie nou gewoon toeval?? misschien moeten we niet alleen kijken naar de "aardse" problemen met onze telefoon en apps, maar ook eens kijken naar de grotere context... ik bedoel, als de overheid al niet eens in staat is om veilige communicatie te garanderen, wie garandeert dan dat er niet iets... anders aan de hand is?? net zoals die kerel van quantumSansen zegt dat het menselijk bewustzijnsveld lek is als een mandje... wie weet zijn die "storingen" niet wat ze lijken... en soms denk ik, wat weten wij eigenlijk van wat er echt speelt in de wereld??
Ach ja, dit zie je toch al jaren: bij ons op werk kreeg een collega ook zo’n “helpdesk-appje” met code-vraag en voor je het weet ben je alles kwijt. Ambtenaren zijn ook maar mensen, maar als je met staatszaken nog steeds via whatsapp zit te hannesen zonder vaste regels en training, dan vraag je erom.
Ach “ambtenaren zijn ook maar mensen” ja en ik ben ook maar mens maar ik geef m’n pincode niet aan een random chatbot he, beetje basisverstand mag je toch wel eisen bij staatszaken toch
ja joh, “ambtenaren zijn ook maar mensen” is precies hoe je eindigt met staatsgeheimen in iemands Telegram-kanaal. als je met high-value accounts nog steeds op consumer-apps zit te appen en je laat 2FA-codes aan een nep-chatbot voeren, dan is dat niet Rusland die geniaal is maar onze security cultuur die op Windows XP draait, lmao.
Hier in Thailand zie je overheid en banken al jaren met aparte werktelefoons en appjes die gewoon niet op je privéspul mogen draaien, en als je tóch koppelt op een laptop krijg je meteen gezeik. In NL laten ze “hoogwaardigheidsbekleders” lekker op dezelfde iPhone zitten waar ook de voetbalouders en de AliExpress-notificaties binnenkomen, en dan doen alsof het een Russische superhack is terwijl het gewoon rommelige werkdiscipline is. en straks komt er weer een “bewustwordingscampagne” met een poster, want echte regels + consequenties durven ze niet meer.
zelfde hier hoor: bij een klant (semi-overheid) moest je ooit verplicht een “werk-Signal” op een managed toestel met MDM, geen screenshots, geen iCloud backup, en als je ’m aan je privé-laptop linkte ging meteen de SOC alarmbel af. In NL laten ze iedereen lekker BYOD’en en dan verbaasd doen dat een nep-chatbot met “geef je code ff” werkt… dit is geen Russische magie, dit is gewoon social engineering + beleid dat als legacy code overal uitzonderingen heeft, en dan komt er straks weer een awareness-poster i.p.v. harde rules en consequences.
ja maar het begint ook al bij die werktelefoons zelf hè: ik zie hier in de stoel zóveel mensen met “even snel je mail op m’n privé iphone erbij” en dan ligt dat ding zonder pincode op tafel terwijl ze koffie halen… en dan maar verbaasd dat een rus met een nep-chatbotje binnen is, geef die lui gewoon 1 strenge werkbak die na 2 minuten op slot knalt en klaar, maar ja “dat is zo onhandig” 🙄
In mijn tijd bij de KLM gold één simpele regel: als iets “handig” is, dan is het dus ook handig voor de tegenpartij, en dan ga je het niet gebruiken voor gevoelige rommel, punt. Wat mij vooral stoort is dat we nu doen alsof het een technisch wonder is dat de Russen meelezen, terwijl het echte schandaal is dat ambtenaren überhaupt op consumentenapps zitten te appen over werk en dat niemand daar harde consequenties aan hangt; geef je code weg of koppel je Signal aan je stoffige thuislaptop, dan lever je dus gewoon je hele dossier in, klaar. En ja, die “nep-chatbot” truc is zo oud als de weg naar Rome, dat betekent dus dat de training en discipline bij de overheid nog steeds van papier is, lekker voor de PowerPoint maar in het echt klikt men gewoon door omdat de vergadering al begonnen is.
wat mij altijd raakt: ze mikken niet alleen op “domme klikjes”, maar ook op stress en hiërarchie… als je baas appt “NU ff code doorsturen, is via support” dan gaan mensen in de stand van gehoorzamen. leer ambtenaren (en eigenlijk iedereen) dat je áltijd mag vertragen en terugbellen zonder schaamte, dat is ook veiligheid: liefde en verbinding, maar dan met grenzen.