Is het een datalek om een domeinnaam te laten vervallen?

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker ziet nu miljoenen verzoeken vanaf Samsung-telefoons naar de domeinnaam. Is dat nu ook al een datalek?

Het is natuurlijk een blunder eerste klas. Een domeinnaam kost een paar euro, en een simpele “This service is not available anymore”-autoresponder moet ook geen bakken geld kosten. Maar zelfs de domeinnaam nergens heen laten wijzen had gekund, dan waren mensen ook wel snel gestopt met die app. En nu zou een kwaadwillende het protocol kunnen reverse engineeren en nepdata sturen, bijvoorbeeld suggesties voor phishing-apps die mensen dan klakkeloos installeren “want Samsung zegt dat deze compatibel is”.

Maar of het een datalek is? Daarvoor is vereist dat via dit domein persoonsgegevens lekken. Enkel dat een telefoon verbinding maakt met een app is denk ik niet genoeg daarvoor. (Tenzij je zegt dat headers zoals X-Asid persoonsgegevens zijn.)

Als de verbinding succesvol is en er wordt dan persoonlijke informatie opgestuurd door de app, dan komt die nu dus bij een ongeautoriseerd persoon terecht. Dus dan zou ik het wel een datalek noemen. Maar dat is wel een stevige als, en bovendien eentje die zich pas ruime tijd later kan voordoen.

Desondanks kan ik er niet bij dat Samsung dit heeft laten vallen.

Arnoud

29 reacties

  1. Is dat nu ook al een datalek?

    Even het stroomschema van de Autoriteit Persoonsgegevens volgen. Pagina 4 op Richtsnoer meldplicht datalekken

    Beveiligingslek

    Heeft zich een beveiligingsincident voorgedaan? Dan:
    Beveiligingsincident

    Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten? Dan:
    Datalek

    Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens? Dan:
    Melden aan de Autoriteit Persoonsgegevens

    Waren niet alle gelekte gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? Dan:
    Melden aan de betrokkene

    Het is een securityrisico die geëxploiteerd is. Een beveiligingsincident dus. Het lijkt gedaan door white-hat hackers, maar niet uit te sluiten is dat deze personen toch persoonlijke gegevens ontvangen hebben, en dat deze verspreid zijn. Daarmee is het een datalek. Of dit gemeld moet worden hangt af van het type gegevens dat deze applicaties verstuurden. Als het alleen gegevens over de telefoon en applicatie zijn, dan niet. Als het ook gebruikersnaam of emailadressen betreft, dan wel. Of het gemeld moet worden aan de gebruikers. Ik denk niet in het kader van de bescherming persoonsgegevens, maar in het kader van beveiliging van apparaten zou ik als Samsung toch maatregelen nemen om te zorgen dat gebruikers netjes geïnformeerd worden dat de dienst is afgelopen. Precies wat ze gewoon meteen al hadden moeten doen.

    1. Samsung zal zeggen: Ja, we hebben die dienst bewust gestopt en de domeinnaam laten vallen. Beveiligingslek? Wat ons betreft niet, dit is volledig verwacht en gepland.

      Melden aan de betrokkenen? Sorry, maar – ten eerste hebben wij ook de gegevens van de gebruiker verwijderd omdat de dienst was stopgezet, dus we kunnen het niet melden – ten tweede hebben wij het domein niet meer, dus wij hebben geen idee wie de betrokkenen zijn.

      Ja, het is uit PR standpunt niet ideaal.

      Maar Samsung kan er toch niets aan doen als iemand anders zich als Samsung voordoet?

      Als ik verhuis en de volgende bewoner van mijn huis doet zich voor als mij… Ben ik daar verantwoordelijk voor? Lijkt me niet.

      1. De nieuwe eigenaar hoeft alleen een webserver te installeren en die de IP adressen te laten verzamelen. Samsung Suggest haalt automatisch nieuwe suggesties op, zonder dat je er iets voor hoeft te doen. Voor zo’n soort “Call Home” functie, lijkt mij dat Samsung wel heeft te zorgen dat Home dan ook de juiste Home is.

        1. Ip-adressen verzamelen is (juridisch) toch nog geen probleem? Een ip adres kun je toch niet (zonder andere overtreding) aan een persoon koppelen en is op zichzelf toch nog geen persoonsgegeven? M.a.w. als de apps netjes aan (tls) server authenticatie zouden doen, zou er toch geen probleem zijn?

    2. Welnee. Driewerf nee.

      Dank voor de verwijzing naar de richtsnoer.

      Die vraagt eerst (p. 11): Is er sprake van verwerking van persoonsgegevens?

      Wat zijn die persoonsgegevens hier? Alleen dat een bepaalde smartphone op een bepaalde tijd over bepaalde apps iets vraagt? Dat wordt pas een persoonsgegeven als die smartphone aan een gebruiker te koppelen is. Er zijn wel instanties die dat kunnen doen (zoals Samsung en de telefoonprovider) maar degene die die domeinnaam heeft geregistreerd en die site in de lucht heeft gebracht is dat niet, of er zouden ook gebruikersnamen of iets dergelijks meegestuurd moeten worden. Dus zolang dat niet gebeurt en zo’n partij er niet bij betrokken is: nee. Dus geen datalek.

      Maar stel nou eens dat dat toch anders blijkt te liggen.

      Wat is die verwerking dan? Dat zou dan moeten zijn: wat de app en de fake-site ermee doen, want Samsung zelf doet juist niets meer.

      De volgende vraag is: Ben ik de verantwoordelijke voor de verwerking of diens vertegenwoordiger? p. 12:

      De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, sub d, Wbp). Het gaat hierbij om de vraag wie uiteindelijk bepaalt welke verwerking er plaatsvindt van welke persoonsgegevens en voor welk doel.

      Het lijkt me dat Samsung inderdaad verantwoordelijk is voor de gegevensverwerking van zijn app, inclusief het sturen van verzoeken naar een webserver. Deze app kwam met de smartphone mee, dus de gebruiker is ook nooit gevraagd of de app wel mag doen wat hij doet. Je kunt dus moeilijk de gebruiker verantwoordelijk stellen.

      De volgende vraag: Is de Wbp van toepassing op de verwerking?

      Volgens mij niet. Artikel 2 zegt: als de gegevens niet een bestand (met gegevens van meer dan 1 persoon) zitten of daarvoor bestemd zijn, en als de verwerking voor persoonlijke doeleinden is, is de wet niet van toepassing. Dat zal voor de gegevens in die app allebei gelden. Dat de aangesloten Samsung-website en nu de website van die onderzoeker de ontvangen gegevens best kan verzamelen in een bestand en voor heel andere dan persoonlijke doeleinden kan gebruiken verandert daar denk ik niks aan. Die website doet dan aan persoonsgegevensverwerking in de zin der wet, maar de app niet. Dus geen datalek in de zin van de wet.

      Maar stel nou eens dat dat toch anders blijkt te liggen.

      Dan kunnen we door naar het diagram op p. 19 van de richtlijn dat zegt wanneer er sprake is van een datalek.

      Dat stelt als eerste voorwaarde: De meldplicht datalekken uit de Wbp is van toepassing op de verwerking. (Volgens mij dus niet, als er überhaupt al persoonsgegevens verwerkt worden.)

      Dan vraagt het: Is er sprake van een inbreuk op de beveiliging? Er is hier helemaal geen sprake van beveiliging. Nee dus. Geen datalek.

  2. Het probleem is natuurlijk ook dan mensen niet kunnen stoppen met die app. Die zit standaard voorgeïnstalleerd met allerlei andere Samsung crapware, en die kan je niet van je telefoon verwijderen. (Althans, niet op een door Samsung goedgekeurde manier.)

    1. Dus Samsung stelt je verplicht die app elke dag te openen? Ik gebruik wel geen Samsung, maar volgens mij is het ook bij Samsungs zo dat je altijd nog zélf op het icoontje van de app moet drukken voordat je hem kan gebruiken… Oftewel: gewoon niet meer de app openen, probleem opgelost.

        1. Bij dat soort apps wel ja, maar daar gaat het hier wellicht niet om. Ik ben niet bekend met die S Suggest-app maar als ik zo lees wat het doet, dan lijkt het mij een app die alleen een overzicht geeft met suggesties van compatibele apps, dus niet iets wat op de achtergrond draait. Correct me if I’m wrong.

          1. Je weet het niet. De Bijenkorf app geeft of gaf je privégegevens op de achtergrond ook aan tientallen bedrijven door. Dimitri Tokmetzis vroeg zich af waarom een simpele winkelapp dat deed, en kwam erachter dat de app niet meer dan een frontje voor de Bijenkorf-website was.

            Een suggestieapp kan best op de achtergrond blijven kijken wat er relevant is. Dat kan ook op een marktplaats voor relevante suggesties waarbij persoonsgegevens worden doorgegeven.

      1. Uit het gelinkte artikel:

        Op Twitter meldt Gouveia dat na de registratie van de domeinnaam hij 7.000 “check-ins” per seconde van smartphones zag, waaronder uit Nederland.
        Dat duidt er op dat het automatische requests zullen zijn.

  3. Misschien hadden ze dan een update moeten maken die bekende security issues oplost en de app zou verwijderen. Nou is mijn ervaring met Samsung dat de kans dat je de loterij wint groter is dan dat je nog een software update krijgt als de telefoon eenmaal 6 maanden oud is…

  4. Het lijkt mij wel een lek, want IP adressen zijn toch ook persoonsgegevens? Dan is een simpel contact van de app, of dat nu is omdat de gebruiker er op klikt, of een update check, genoeg om jouw IP adress te lekken naar de nieuwe eigenaar. De nieuwe eigenaar kan dan, b.v. bij andere diensten die aan die IP adressen gelinked zijn, zorgen dat je gerichte reclame krijgt over een vergelijkbare dienst, of domweg je NAW gegevens daar opvragen.

  5. Uuhm. Samsung geeft bij de nieuwste toestellen support tot (tromgeroffel) januari 2019. Bovenstaand issue gaat ongetwijfeld om toestellen van meer dan een jaar oud dus “end of Life/support/profit”. Dus waarom zou je een dienst in de lucht houdt voor apparaten die je niet meer ondersteunt?

    1. En tot wanneer worden deze toestellen verkocht. Ik heb het niet over het moment dat Samsung ze op de markt brengt, maar het moment dat de consument ze koopt. Dat daar een periode tussen kan zitten klopt, maar dat weet Samsung ook. Op dit punt heeft Apple het naar mijn idee dan weer beter geregeld. Zodra er geen nieuwe toestellen van een bepaald model meer worden verkocht verstrekken ze nog wel enige tijd updates.

      1. Zolang het domein ongebruikt is, is er geen datalek; maar zodra iemand er een webserver met logging plaatst beginnen er IP-adressen te lekken. Met een klein beetje meer moeite kan hij de data uit het automatische verzoek op zijn server loggen. (Zitten daar ook locatiegegevens bij?)

        Ik weet niet hoe het “Samsung protocol” werkt, maar als de app (client) het voor de server mogelijk maakt om gegevens van de telefoon op te vragen, dan kan de verkrijger van het domein dat ook doen. Last but not least is het te hopen dat er geen veiligheidslek (bufferoverflow) in de app zit, want dan kan de verkrijger van het domein via dat lek malware op de telefoon installeren.

        Mijn conclusie: het verlopen domein op zich is geen datalek, maar het heeft de potentie van een 100% veiligheidslek.

        1. Uit het gelinkte artikel:

          In 24 uur ging het om 620 miljoen check-ins van 2,1 miljoen toestellen, aldus de onderzoeker tegenover Vice Magazine. Volgens onderzoeker Ben Actis kan de S Suggest-app andere apps installeren.
          Het is nú, zelfs als we uitgaan van de eerlijkheid van deze onderzoeker, ook een datalek, omdat persoonsgegevens terechtgekomen zijn bij iemand die daar niet bevoegd toe was. Dat het geen kwaadwillende is, doet er niet veel toe.

          En het zijn persoonsgegevens, omdat het (klein gokje hier) waarschijnlijk gaat om IP-adressen, Samsung-account, en toesteltype — mogelijk zelfs serienummers van toestellen.

              1. Nogmaals: er is wel sprake van lekkende data, maar niet van een datalek omdat er geen beveiliging wordt doorbroken.

                Bovendien: dit betekent dat wat er op de smartphone gebeurt blijkbaar beschouwd moet worden als onderdeel van de door Samsung aangeboden dienst. Functioneel is dat zeker zo; maar het heeft consequenties.

                Want de onderzoeker had ook (zelfs toen de dienst nog draaide), een Samsung-smartphone in een door hem gecontroleerd netwerkje kunnen hangen en door wat geschikte netwerkinstellingen de eigenlijk voor Samsung bestemde data af kunnen vangen. Dat is dan toch ook een datalek? Alleen op minder grote schaal.

                Als dat geen datalek is en dit wel, waarin zit dan het cruciale verschil?

                En als het wel een datalek is, is Samsung daar dan ook voor verantwoordelijk? Of mag je als smartphonesoftwaremaker er van uitgaan dat als de bezitter de smartphone daarvoor leent, die bezitter is voor het datalek aansprakelijk is? Dan moeten we dus voortaan allemaal een datalekmelding doen elke keer als we onbeveiligd Wifi doen.

                1. Een van de manieren waarop “phishers” gebruikersnamen en wachtwoorden verzamelen is mensen naar een website leiden die lijkt op die van de bank/ebay/paypal/… met de hoop dat ze hun logingegevens in het daar klaarstaande formulier intikken. Het verkeer van een “echte” banksite omleiden moet voor deze phishers een natte droom zijn.

                  Correcte DNS entries zijn onderdeel van de beveiliging van een website. Ik wil deze post op de website van Arnoud plaatsen en niet op een andere. Je bank- of digid login doe je ook graag op de correcte website.

                  Ik zie het verlopen van een actieve DNS-naam als een beveiligingsincident; de beveiliging mag hier dan niet zijn doorbroken, maar Samsung heeft wel een beveiliging laten vallen en nu heeft een willekeurige derde partij toegang tot telefoondata.

                2. Het is ook geen vereiste dat er beveiliging doorbroken moet zijn om van een datalek te kunnen spreken.

                  Als een leerkracht op de school van mijn kinderen een lijst (fysiek, papier) van hun namen, geboortedata, en BSN’s in de bus laat liggen, is dat ook een datalek, zonder dat er enige beveiliging is doorbroken.

                    1. Voor een datalek is echt vereist dat een beveiliging is doorbroken. Echter, bij invoering van de wet is expliciet gezegd dat het hebben van géén beveiliging wordt beschouwd als een triviaal doorbroken beveiliging, zeg maar. Anders haalt iedereen gewoon al zijn beveiliging eraf en zouden we nooit meer datalekken hebben. Dat kan niet waar zijn, een meldplicht datalekken die leidt tot afschaffen van beveiliging.

                      1. Misschien toch handig om de wetstekst in die zin aan te passen … maar ik ben wel blij met deze aanvulling, want anders zou het tot rare situaties leiden, vanwaar mijn opmerkingen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.