Transcript E-mailwisseling - ZEMBLA
Wednesday, November 30, 2016 at 10:40:03 PM Central European Standard Time Onderwerp: Datum: Van: Bijlagen:
(geen) woensdag 30 november 2016 22:37:30 Midden-Europese standaard>jd Nicolien Herblot image001.gif, image002.gif, image003.png, image004.gif, image005.gif, image006.png
Mail van Lenovo Van: xxx Datum:
woensdag 30 november 2016 12:11
Aan: xxx CC: xxx Onderwerp:
RE: zembla Beste, Vanochtend heb ik het ar>kel gezien ter aankondiging van de uitzending van Zembla vanavond inclusief een reac>e van mij als Lenovo-woordvoerder. Ik begrijp dat het een teaser is en dat jullie in het ar>kel niet alles uitgebreid behandelen. Wel wil ik benadrukken dat in alle informa>e dat ik jullie namens Lenovo gestuurd heb, we praten over een gedeelde verantwoordelijkheid rond databeveiliging. Ik heb het hieronder gehighlight. Het ar>kel dat jullie geplaatst hebben, doet vermoeden dat Lenovo van mening is dat de verantwoordelijkheid alleen bij de gebruiker ligt. Ik verzoek jullie dan ook om de informa>e die gestuurd is in acht te nemen bij al jullie berichtgeving.
Met vriendelijke groet,
Antwoord van Lenovo: From:
xxx
Page 1 of 7
From:
xxx
Sent:
Friday, November 25, 2016 10:32 AM
To:
xxx
Cc:
xxx
Subject:
RE: zembla Beste, Ondertussen hebben we de documenten die jullie bezorgd hebben bij ons op kantoor wat beter kunnen bekijken. We zijn nog vollop bezig met het volledige onderzoek maar ik kan al wel het volgende met jullie delen.
Naar aanleiding van de gegevens die Zembla 15 november bij Lenovo in Amsterdam heeU afgeleverd, kunnen we na ons onderzoek beves>gen dat de data niet-gevoelige klan>nforma>e bevat (waaronder NAW- en beperkte aanvullende gegevens). Dit is data die in het bezit is van een door ons aangestelde derde par>j en leverancier: xxx. De gegevens zijn gedownload naar een NAS-apparaat in privébezit van een xxx-werknemer.
Deze ac>e van de xxx-werknemer was niet geautoriseerd door zowel Lenovo als xxx. De lokale poli>e onderzoekt momenteel hoe toegang werd verkregen tot de informa>e. Lenovo werkt samen met xxx om te begrijpen hoe dit heeU kunnen gebeuren en hoe herhaling voorkomen kan worden. Ondanks dat we niet geloven dat de werknemer van xxx kwade bedoelingen had, heeU onze leverancier, de derde par>j, een contractuele verplich>ng en een zorgplicht om onze klantgegevens veilig te houden. We zijn bezig met een volledig en diepgaand onderzoek op beleid, procedures en privacy en zullen zo nodig na die beoordeling corrigerende maatregelen nemen. We hebben ook van de gelegenheid gebruikgemaakt om opnieuw onze klanten te herinneren aan de
best prac*ce
om een wachtwoord in te stellen op hun NAS-apparaten – zie hier de aanbevelingen .
Verder hadden jullie nog antwoorden van mij te goed:
1/ Wanneer ik kijk in de ‘version history’ van de iOmega/Lenovo IX2 firmware, zie ik dat er bij versie 4.1.102.29716 (Release date 07/15/2014) een update is uitgebracht met de beloofde fix. ‘NAS device is automa^cally secured during device setup’. Aangezien de uitzending in 2012 was, hee_ het dus bijna twee jaar geduurd. De vraag aan jullie is waarom dat zo lang geduurd hee_.
Vóór januari 2013 werden Iomega-producten verkocht door EMC en niet door Lenovo. Lenovo is in januari 2013 een joint venture (JV) aangegaan met EMC/Iomega. De bewering dat het de organisa>e Lenovo bijna twee jaar heeU gekost om de update uit te brengen, is dan ook niet correct. Ten >jde van onze JV met EMC was het gebruikelijk in de industrie om producten ‘ adreseren.
open by default
’ te leveren. Dit hebben we in januari 2014 veranderd gezien het s>jgende aantal dreigingen rich>ng consumenten en gebruikers van IT-producten.
Daarbij hebben we ook bewustzijn gecreëerd rond data security en onze eigen
best prac*ce
op het gebied van veiligheidsmaatregelen. Wij adviseren vragen met betreking tot de >jd vóór januari 2013 aan EMC te
2/ Wij hebben onlangs een gloednieuwe iOmega/Lenovo IX2 6TB gekocht bij Viking. Deze is voorzien van firmware versie 3.0.9 en het apparaat meldt: ‘firmware up to date’. Wat dus niet zo is.
Page 2 of 7
firmware versie 3.0.9 en het apparaat meldt: ‘firmware up to date’. Wat dus niet zo is.
Lenovo is niet verbonden aan Viking. Kijkende naar de genoemde firmwareversie, lijkt het te gaan om een zeer verouderd product van vóór de JV met EMC/Iomega die nog op voorraad was bij de derde par>j. Zonder het product in kwes>e gezien te hebben, kunnen we dit echter niet met zekerheid zeggen.
3/ Onze conclusie is dat iOmega/Lenovo gedurende 5 jaar (2009 - 2014) apparaten hee_ verkocht die allemaal onbeveiligd met het internet verbonden waren. Na 2014 hee_ slechts een deel van de apparaten een veiligheidsupdate gekregen. Anno 2016 worden er nog steeds apparaten verkocht met onveilige firmware.Gevolg is dat er nog steeds meer dan 1000 iOmega/Lenovo NAS-apparaten vindbaar zijn op internet, waarvan velen nog al^jd vrij toegankelijk. Wereldwijd gaat het om bijna 20.000 apparaten. We baseren ons op cijfers van de zoekmachine ‘Shodan’. Eigenaren van de apparaten, die wij benaderd hebben, zeggen dat hun nooit gevraagd is een password in te stellen, of ontvangen de melding dat hun firmware up to date is.
Lenovo is niet verantwoordelijk voor producten die vóór januari 2013 verkocht werden aangezien dit nog voor de JV met EMC was. Desondanks hebben we na de JV de verantwoordelijkheid genomen de firmware te upgraden en producten veiliger te maken omdat ze niet aan de verwach>ngen omtrent security van Lenovo voldeden. Dit werd gedaan middels een firmware upgrade die gebruikers erop agendeert een wachtwoord in te stellen. Dit hebben wij gecommuniceerd middels security advisories en onze verkoopkanalen. Dit gebeurde onder andere met de bijgevoegde
solu*on sheet
. Ons veiligheidsadvies hebben wij con>nu bijgewerkt, zoals ook te zien is in de zeer recente
security advisory
van november 2016 .
Wij delen de mening van het Na>onaal Cyber Security Centrum ( www.ncsc.nl
) dat dataveiligheid een gedeelde verantwoordelijkheid is van producenten van IT producten én eindgebruikers. Onze aanbeveling aan klanten is om met regelmaat de firmware naar de meest recente versie te updaten; het uitvoeren van de updates door de eindgebruiker zelf bepaalt uiteindelijk de veiligheid van de data. We herkenen desondanks dat de branche, samen met belanghebbenden zoals overheidsinstellingen en consumentenverenigingen, een gezamelijke plicht hebben om ervoor te zorgen dat klanten in de gehele technologiesector meer bewust worden van hun verantwoordelijkheid in het geheel.
Antwoord van Zembla: From:
xxx
Sent:
Tuesday, November 15, 2016 5:41 PM
To:
xxx
Cc:
xxx
Subject:
zembla Beste , Hartelijk dank voor uw antwoorden.
De vandaag achtergelaten documenten hebben wij gevonden op een Lenovo NAS apparaat van een medewerker van xxx uit xxx.
Page 3 of 7
medewerker van xxx uit xxx.
Wij kregen toegang tot dit Lenovo NAS apparaat omdat deze default onbeveiligd is, zoals zoveel van deze apparaten. Dit is een bekend probleem van deze apparaten, zoals wij u eerder hebben verteld en zoals de afgelopen 4 jaar al breed uitgemeten is in de pers (KRO reporter, Security.nl, een factsheet van de NCSC en Kamervragen (zie voor laatste 2 de bijlages).
Want zoals mijn collega u eerder heeU verteld, hebben niet alle apparaten een update gekregen en zijn er ook apparaten die niet eens geschikt zijn voor een update.
De naam van de medewerker openbaren we niet, omdat we de privacy van deze persoon respecteren, en diens belangen niet willen schaden. We hebben ook aan betreffende medewerker gemeld dat deze schijf open op het internet te vinden is.
in de hoop u hiermee voldoende geinformeerd te hebben, met vriendelijke groet, Programmamaker ZEMBLA www.zembla.tv
hgp://facebook.com/zembla.tv
| hgp://twiger.com/zembla
BNN-VARA
Wim T. Schippersplein 3 (Media Park) 1217 WD Hilversum |
088 6766666
Postadres: Postbus 175, 1200 AD Hilversum KvK: 58742638
antwoord van Lenovo: Van: xxx Datum:
dinsdag 15 november 2016 10:52
Aan: xxx CC: xxx Onderwerp:
RE: Lenovo informa>e over beveiliging NAS systemen
Page 4 of 7
Beste, Bijgaand zoals besproken de informa>e die ik aan het vergaren was. Zoals bij uw collega gemeld zou ik dit afgelopen vrijdag of begin deze week delen.
U zal begrijpen dat het ook intern wat onderzoek vergt. Mochten er verder vragen of mededelingen zijn zijn vraag ik jullie tot mij te wenden.
Wat betreU de vandaag achtergelaten documenten op kantoor van Lenovo, zou ik graag de informa>e willen ontvangen van jullie waar dit vandaan komt en hoe jullie toegang hebben gekregen zodat ik ook daarin kan duiken.
Lenovo kan pas voor het Iomega merk en haar producten verantwoordelijk worden gehouden vanaf de oprich>ng van de joint venture met EMC op 3 januari 2013. Wat betreU het ontbreken van een default geac>veerd wachtword bij instala>e, heeU Lenovo in januari 2014 een soUware update beschikbaar gesteld die ervoor zorgt dat bij installa>e de gebruiker een melding ontvangt om het wachtwoord in te stellen om zo de veiligheid en gebruikers ervaring te vergroten.
Lenovo is in juli 2015 gestopt met het produceren en verkopen van Iomega NAS produkten, waarvan op dat moment nog 33 stuks in totaal bij distributeurs op de schappen lagen in Nederland. Volgens onze gegevens is er nog maar één NAS systeem op voorraad bij onze lokale distributeur. Lenovo blijU de verantwoordelijk voor het vervullen van garan>e en service van bestaande NAS systemen alsook het voorzien van regelma>ge soUware updates, zelfs van producten die end of life zijn. In eerdere communica>e zijn de laatste updates van september 2016 reeds met u gedeeld. Als producent kunnen we naast de hardware gebruikers ook van regelma>ge soUware updates voorzien maar het gebruik en ac>va>e daarvan door de gebruiker zelf bepaalt de veiligheid van de data op hun systeem.
Met vriendelijke groet,
Vragen van Zembla: From: xxx Sent:
Thursday, November 3, 2016 8:02 PM
To:
xxx
Cc:
xxx
Subject:
Re: Lenovo informatie over beveiliging NAS systemen Beste,
Page 5 of 7
Beste, Hierbij mijn toelichting en vragen op de mail. In 2012 heb ik onderzoek gedaan naar de netwerkschijven van iOmega voor het tv-programma KRO Reporter. Die bleken destijds onbeveiligd aan internet te hangen, waardoor vertrouwelijke gegevens van duizenden bedrijven, instellingen en particulieren op straat lagen. Deze uitzending leidde onder meer tot kamervagen en een officiële waarschuwing door het Nationaal Cyber Security Centrum (NCSC). iOmega beloofde destijds een security update om het probleem te verhelpen. Ik werk inmiddels voor het tv-programma Zembla en heb in de afgelopen weken onderzocht wat er van die beloftes terecht is gekomen. Wanneer ik kijk in de ‘version history’ van de iOmega/Lenovo IX2 firmware, zie ik dat er bij versie 4.1.102.29716 (Release date 07/15/2014) een update is uitgebracht met de beloofde fix. ‘NAS device is automatically secured during device setup’.
Aangezien de uitzending in 2012 was, heeft het dus bijna twee jaar geduurd. De vraag aan jullie is waarom dat zo lang geduurd heeft.
Bovendien hebben niet alle apparaten deze update gekregen. In de version history lees ik ook: ‘Older ix2 devices with firmware versions below 3.3.2 cannot update to version 4.1.214.33935.’ Wij hebben onlangs een gloednieuwe iOmega/Lenovo IX2 6TB gekocht bij Viking. Deze is voorzien van firmware versie 3.0.9
en het apparaat meldt: ‘firmware up to date’. Wat dus niet zo is.
Onze conclusie is dat iOmega/Lenovo gedurende 5 jaar (2009 - 2014) apparaten heeft verkocht die allemaal onbeveiligd met het internet verbonden waren. Na 2014 heeft slechts een deel van de apparaten een veiligheidsupdate gekregen. Anno 2016 worden er nog steeds apparaten verkocht met onveilige firmware.
Gevolg is dat er nog steeds meer dan 1000 iOmega/Lenovo NAS-apparaten vindbaar zijn op internet, waarvan velen nog altijd vrij toegankelijk. Wereldwijd gaat het om bijna 20.000 apparaten. We baseren ons op cijfers van de zoekmachine ‘Shodan’. Eigenaren van de apparaten, die wij benaderd hebben, zeggen dat hun nooit gevraagd is een password in te stellen, of ontvangen de melding dat hun firmware up to date is. Wij hebben opnieuw veel vertrouwelijke en gevoelige informatie op deze apparaten gevonden. Waaronder data van verschillende beursgenoteerde bedrijven en overheidsinstellingen. Deze organisaties zijn buitengewoon geschrokken en ontstemd over de gebrekkige veiligheid van de Lenovo/iOmega netwerk storage producten.
In een uitzending van Zembla eind november zullen we daar aandacht aan besteden. Gezien de antwoorden in je mail, hechten wij er zeer aan dat Lenovo haar kijk en visie op deze problemen geeft in onze uitzending. Wij vinden het heel belangrijk dat jullie op camera reageren op deze bevindingen en conclusies, want zo zijn wij in staat een gebalanceerde uitzending te maken. Graag willen we daarom op camera een reactie van Lenovo/iOmega over dit probleem. Onze deadline voor opnames is 15 november.
Met vriendelijke groet,
Zembla
www.zembla.tv
BNN-VARA
Bezoekadres: Sumatralaan 49 Postadres: Postbus 175, 1200 AD Hilversum
Page 6 of 7
Postadres: Postbus 175, 1200 AD Hilversum
antwoord van Lenovo: Van:
xxx
Verzonden:
donderdag 3 november 2016 19:05:23
Aan:
xxx
Onderwerp:
Lenovo informa>e over beveiliging NAS systemen Beste, Bijgaand stuur ik je alvast de informa>e over de soUware update waar ik aan de telefoon gisteren naar refereerde.
De links in het dokument heb ik geupdate omdat er sinds April 2014 weer nieuwe updates zijn geweest.
In het kort
· Situa>e voor April 2014: By default was gebruiker zelf verantwoordelijk om een paswoord in te stellen op het systeem · Situa>e na April 2014: By default beveiligd Zodra ik informa>e van je mag ontvangen over het bij Viking gekochte systeem, kan ik daar ook verder onderzoek naar doen en wat er met dat specifieke systmeem/model aan de hand is .
Ik ben even morgen en maandag vrij dus ik zal bij ontvangst van de informa>e pas dinsdag daarmee aan de slag kunnen. Mijn excuses daarvoor alvast.
Met vriendelijke groet,
Page 7 of 7