Bedrijven en hun medewerkers blijven te loslippig
Social-Engineer.org bracht 10 mannen en 10 vrouwen in het strijdperk om zo veel mogelijk potentieel bruikbare informatie te verzamelen. De deelnemers konden punten verdienen door 37 vooraf gedefinieerde gegevens te achterhalen, variërend van informatie waarmee je je ongeoorloofd toegang kunt verschaffen – door je voor te doen als medewerkers van het ingehuurde schoonmaakbedrijf of de cateraar, bijvoorbeeld – tot technische informatie over IT-systemen.
Shutterstock
Shutterstock
Dan gaat het om gegevens zoals het gebruikte besturingssysteem en de versie daarvan, de antivirussoftware, PDF-software, mailsysteem en de gebruikte versies van die software. Als doelwit werden 10 grote Amerikaanse bedrijven gekozen: Apple, Boeing,Chevron, Exxon, General Dynamics, General Electric, GM, Home Depot, Johnson&Johnson en Walt Disney.
Relatief snel werken
De 20 deelnemers kregen twee weken de tijd om gegevens te verzamelen over één van de bedrijven onder de strikte voorwaarde dat ze geen direct contact mochten zoeken met het bedrijf. Vervolgens kregen ze tijdens de Def Con 21-conferentie in Las Vegas nog 25 minuten de tijd om te proberen telefonisch gegevens los te peuteren. Daarbij was het verboden om penetratietesten uit te voeren of gevoelige gegevens zoals wachtwoorden of creditcardinformatie vast te leggen – om ervoor te zorgen dat de deelnemers binnen de grenzen van de wet bleven. Desondanks slaagde één deelnemer er al tijdens de gegevensverzamelingsfase uit openbare bronnen in om een portal te vinden die alleen bedoeld was voor medewerkers, en een helpdocument met inloggegevens.
Meer informatie boven tafel dan vorig jaar
Los van die onthutsende vondst constateerde Social-Engineer.org dat bedrijven kennelijk nog steeds niet bedacht zijn op de risico’s van het laten slingeren van informatie op internet en loslippigheid van het eigen personeel. Terwijl de deelnemers dit jaar gemiddeld beduidend minder ervaren waren dan vorig jaar, wisten ze veel meer informatie boven tafel te halen. Met name het internet bleek dit jaar een rijke bron van potentieel te misbruiken gegevens. Ongeveer 80 procent van de 'nuttige' informatie werd verzameld tijdens het afstruinen van openbaar toegankelijke informatiebronnen.
Van de bedrijven scoorde Apple het allerslechtst; de twee deelnemers die zich op Apple richten verzamelden 1200 punten. GM en Home Depot volgden, met scores net boven de 800.
Het verslag van de 2013-editie van de Capture The Flag-wedstrijd is te vinden op de website van Social-Engineer.org.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee