Bedrijven en hun medewerkers blijven te loslippig
Dan gaat het om gegevens zoals het gebruikte besturingssysteem en de versie daarvan, de antivirussoftware, PDF-software, mailsysteem en de gebruikte versies van die software. Als doelwit werden 10 grote Amerikaanse bedrijven gekozen: Apple, Boeing,Chevron, Exxon, General Dynamics, General Electric, GM, Home Depot, Johnson&Johnson en Walt Disney.
Relatief snel werken
De 20 deelnemers kregen twee weken de tijd om gegevens te verzamelen over één van de bedrijven onder de strikte voorwaarde dat ze geen direct contact mochten zoeken met het bedrijf. Vervolgens kregen ze tijdens de Def Con 21-conferentie in Las Vegas nog 25 minuten de tijd om te proberen telefonisch gegevens los te peuteren. Daarbij was het verboden om penetratietesten uit te voeren of gevoelige gegevens zoals wachtwoorden of creditcardinformatie vast te leggen – om ervoor te zorgen dat de deelnemers binnen de grenzen van de wet bleven. Desondanks slaagde één deelnemer er al tijdens de gegevensverzamelingsfase uit openbare bronnen in om een portal te vinden die alleen bedoeld was voor medewerkers, en een helpdocument met inloggegevens.
Meer informatie boven tafel dan vorig jaar
Los van die onthutsende vondst constateerde Social-Engineer.org dat bedrijven kennelijk nog steeds niet bedacht zijn op de risico’s van het laten slingeren van informatie op internet en loslippigheid van het eigen personeel. Terwijl de deelnemers dit jaar gemiddeld beduidend minder ervaren waren dan vorig jaar, wisten ze veel meer informatie boven tafel te halen. Met name het internet bleek dit jaar een rijke bron van potentieel te misbruiken gegevens. Ongeveer 80 procent van de 'nuttige' informatie werd verzameld tijdens het afstruinen van openbaar toegankelijke informatiebronnen.
Van de bedrijven scoorde Apple het allerslechtst; de twee deelnemers die zich op Apple richten verzamelden 1200 punten. GM en Home Depot volgden, met scores net boven de 800.
Het verslag van de 2013-editie van de Capture The Flag-wedstrijd is te vinden op de website van Social-Engineer.org.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee