• 0

Meldplicht en voorkoming datalekken Website security: Google Dork

Zoals jullie allicht weten zijn ondernemers, organisaties en bedrijven sinds 1 januari 2016 verplicht eigen ernstige datalekken te melden bij de Autoriteit Persoonsgegevens.

 

Ik vernam dat er nog nergens op HL is gesproken over de mogelijkheid of en hoe je gericht kun controleren of er gevoelige data van je eigen website is geïndexeerd door Google.

 

Om gelijk maar antwoord te geven op deze vraag; dit is mogelijk via Google Dork :)

 

Voor degene die bovenstaande al kennen; Wat is jullie ervaring hiermee? Heeft het jullie geholpen om kwetsbaarheden in b.v. je (Wordpress) website of server omgeving te ondervangen?

 

[verandering: titel]

 

Hartelijke groet,

 

Werner

Een logo ontwerpen of website maken kun je anno 2022 als ondernemer / ZZP'er zelf!

Link naar reactie

Aanbevolen berichten

8 antwoorden op deze vraag

  • 0

Ik vraag me af hoeveel ondernemers daadwerkelijk bekend zijn met de meldplicht datalekken (ondanks de aandacht in de media) of de moeite doen om persoonsgegevens veilig te houden.

 

Ik zie voldoende tools, scans en diensten voorbijkomen die ondernemers kunnen gebruiken, maar volgens mij willen ondernemers niet investeren wanneer het geen voordeel oplevert.

 

 

Link naar reactie
  • 1

Zo'n database heeft maar een erg beperkt nut. Je moet zorgvuldig met je data omgaan, dus zorg je dat je software up-to-date is. Om vervolgens te testen of bekende fouten nog aanwezig zijn is niet erg logisch (uitzondering zijn fouten die nog niet opgelost zijn natuurlijk, maar in de regel worden die niet gepubliceerd)

 

Voor maatwerk en het vinden van nieuwe beveiligingsgaten zijn tools als skipfish interessant. Niet geschikt voor de gemiddelde ondernemer ;) Andere site met handige tools http://tools.kali.org/tools-listing

Link naar reactie
  • 0

Voor maatwerk en het vinden van nieuwe beveiligingsgaten zijn tools als skipfish interessant. Niet geschikt voor de gemiddelde ondernemer ;) Andere site met handige tools http://tools.kali.org/tools-listing

 

Ziet er idd indrukwekkend uit (voor iemand met gematigd verstand van zaken op dit vlak :-[ Dank voor je tip anyway, ga er eens induiken..

 

 

Hartelijke groet,

 

Werner

Een logo ontwerpen of website maken kun je anno 2022 als ondernemer / ZZP'er zelf!

Link naar reactie
  • 0

In feite is een zoekmachine om te zien of er accountgegevens bij je gehackt zijn, nogal een achteraf maatregel om te controleren of de beveiliging van je website wel in orde was. Overigens is deze site beter: https://haveibeenpwned.com/

 

Om terug te komen op de meldplicht datalekken. Ja, die moet je serieus nemen (want je neemt immers de privacy van je klanten serieus), echter vrijwel niemand weet nog hoe men oordeelt over een bepaald datalek. De AP heeft nu geloof ik zelf aangegeven dat ze hun pijlen gericht hebben op 'cloud' gebaseerde opslag van medische data. Als je dus in die branche zit dan ben je gewaarschuwd, maar eerlijk gezegd zou je in die branche ook beter moeten weten en de nodige maatregelen al jaren terug hebben ingebouwd.

 

Het beveiligen van je 'website' raakt eigenlijk heel veel dingen. Als eerste heb je een stukje netwerk security. Dat wil zeggen dat je op op een webserver alleen de daarvoor benodigde poorten openzet naar de buitenwereld en verder geen services draait. Dat kun je doen op een server of met een firewall. Verder doe je er goed aan om de CMS database nooit via internet te ontsluiten (wat overigens 95% van al die 20 in een dozijn webhosters wel doen), maar via een DMZ af te schermen van het internet.

 

Dan heb je de webserver software zelf. Die kun je vaak 'hardenen', dat wil zeggen de software dusdanig instellen dat deze bestendig is tegen hackpogingen en andere aanvallen. Onder Apache kun je bijvoorbeeld denken aan het uitschakelen van ongebruikte modules. Ook TLS beveiliging ('SSL' certificaat voor je website) valt hier bijvoorbeeld onder. De webserver zelf moet je laten draaien op een service account met lage privileges, zodat als de webserver software gehacht zou worden deze nooit direct volledige toegang geeft tot het systeem.

 

Dan heb je nog het onderliggende OS van de webserver en database server. Ook die kun je hardenen. Updates van alle software zijn natuurlijk een must. Denk bijvoorbeeld ook aan PHP, die evengoed gepatched moet blijven omdat daar vaak security lekken in gevonden worden (en laat PHP nu vaak een schakel zijn tussen je webserver en je serversysteem, dus potentieel erg gevaarlijk als het misgaat).

 

Goed, dat is de basis voor een veilig platform, maar dan moet je website natuurlijk er nog op. Veelal een CMS gebaseerd op PHP met een database op een MySQL server. Persoonlijk hou ik niet van zelfbouwprojectjes, omdat de kans op cruciale programmeerfouten (die zorgen voor een beveiligingsprobleem) toch groter is dan bij de geijkte pakketten die door talloze programmeurs wereldwijd in elkaar wordt gezet en wordt onderhouden. Aan de andere kant, als voor die laatste groep een security patch wordt uitgebracht, wees dan bereidt om deze zeer snel uit te rollen op je server, want vaak beginnen na een release van een nieuwe versie al de eerste hackergroups de patch uit elkaar te trekken om te zien waar de fout zat, en vervolgens exploitcode te ontwikkelen om kwetsbare webapplicaties aan te vallen. Overigens zie je dat veel security problemen in de geijkte CMSen niet komen uit het CMS zelf, maar uit gare plug-ins en andere zut die als add-on wordt geïnstalleerd op zo'n server. Wees ook daar dus zeer terughoudend in.

 

Verder is het natuurlijk aan te bevelen de 'admin pagina's' niet via het internet te ontsluiten, maar alleen via een andere route toegankelijk te maken. Gebruik geen default usernames, en dat het wachtwoord lang moet zijn en regelmatig gewijzigd lijkt me vanzelfsprekend advies. Naast het genoemde Skipfish kun je ook eens kijken naar Burp Suite om eventuele fouten in webapplicaties te ontdekken, alhoewel net als bij SF dit wel gespecialiseerd werk is.

 

Nou, als je dat dus 'even' doet, heb je het mijn inziens redelijk voor elkaar en zou je behoorlijk bestand moeten zijn tegen hackpogingen.

 

Link naar reactie
  • 0

Goede tip, had er nog nooit van gehoord.

Wat ook een goede tool is is een PCI compliance scan uit te voeren door een goedgekeurde PCI scanning vendor. Dit neemt ook de hele server onder de loep en geeft vaak tientallen pijnpunten weer.

Een goede website voor een PCI scan is Qualys.

Webbased formulier management tool voor mensen zonder technische kennis. http://www.cloudformz.com | Formulier maken

Tip: food truck festival in o.a. Rotterdam (oktober)

Link naar reactie
Gast
Dit topic is nu gesloten voor nieuwe reacties.
Hide Sidebar
  • Wil je onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

  • Wie is er online?
    0 leden, 81 Gasten

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 75.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.