Cisco Webex-cloudservice lekte metadata overheden en bedrijven

[Captain Kirk]

De cloudservice van Cisco Webex heeft maandenlang en mogelijk zelfs jarenlang metadata van meetings van overheden en bedrijven gelekt, waaronder die vanuit Nederland. Het ging onder andere om meetings van ministers en beursgenoteerde bedrijven. De titel van de meeting, host, starttijd, of het een normale meeting was en profielfoto's indien aangemaakt waren openlijk zichtbaar, aldus onderzoekers van het Duitse Netzbegrünung en het Duitse Zeit Online.

Wanneer iemand een videoconferentie via Webex aanmaakt wordt er een link gegenereerd. De onderzoekers stellen dat Cisco geen willekeurige nummers gebruikt voor de meeting-url's. "Gecombineerd met een verkeerd geconfigureerde view voor mobiele apparaten, was het daardoor mogelijk om via alleen een eenvoudige webbrowser toegang tot een gigantische hoeveelheid metadata te krijgen, en dit maandenlang en mogelijk zelfs jaren", aldus de onderzoekers.

Het Duitse Zeit Online stelt dat de meeting-url's opeenvolgend waren. Dit maakte het kinderspel om allerlei meetings en bijbehorende metadata te vinden. Zowel meetings die al hadden plaatsgevonden alsnog moesten plaatsvinden. Daarbij gaat het ook om meetings van Nederlandse bedrijven en autoriteiten, alsmede van allerlei andere landen. Zeit Online spreekt over duizenden videoconferenties van ministeries die het zo kon vinden. Cisco is met een vrij summiere advisory gekomen waarin het stelt dat het probleem is opgelost en getroffen klanten ingelicht.

Zeit Online meldt dat de getroffen klanten niet volledig zijn geïnformeerd over de werkelijke omvang van de mogelijk gelekte data. Zo zou een Duits ministerie van Cisco te horen hebben gekregen dat het niet getroffen was, terwijl dit volgens de Duitse krant wel het geval is. De Zeit Online laat verder weten dat het Nederlandse Nationaal Cyber Security Centrum (NCSC) via het onderzoek van de krant op de hoogte van het probleem kwam. "Er zijn ruim 10.000 links naar regeringsvergaderingen gevonden, met informatie en gegevens van verschillende ministers", gaat de krant verder.

De onderzoekers van Netzbegrünung merken op dat Cisco waarschijnlijk het nummersysteem niet heeft aangepast. Ze vroegen Cisco om opheldering of de getallen nu echt willekeurig zijn, maar kregen naar eigen zeggen geen reactie.

 

bron: https://www.security.nl