PWNED Welcome once again to PWNED, the column where security flubs are held up to the harsh, piercing red light of the vulture signal. This week’s sad story concerns a municipality that failed to perform basic account housekeeping and paid for it dearly. Have a story about someone leaving a gaping hole in their network? Share it with us at pwned@sitpub.com. Anonymity is available upon request. Our tale of tech missteps comes courtesy of Nicole Beckwith, who serves as the senior director for security engineering and operations at Cribl, an AI platform for telemetry. She used to work as a consultant, and at one point was hired to investigate breaches in an American city’s network. A threat actor took a “leisurely tour” of the city’s online resources and had started messing around with conference room projectors and other relatively harmless endpoints. Then they realized that they could change settings with the water utility where they switched many controls off, potentially endangering the water supply. When Beckwith investigated, she found that all of the mischief was performed by an account that belonged to “Greg from Auditing.” There was just one problem. Greg hadn’t worked for the city for many years. Unfortunately, even though Greg was no longer around, his account was, and it retained extensive privileges, including domain admin rights, SCADA (Supervisory Control and Data Acquisition) operator access, and even the ability to perform help desk functions. It’s unclear if someone from auditing ever needed this level of access, but a former employee definitely did not. It wasn't Greg himself who hacked the network. But he had used his work email address to sign up for various online accounts, some of which may have been exposed in previous data leaks. She speculates the hackers saw an email address with a .gov in it and decided to try their luck with the leaked password that went along with it, and that Greg likely used the same password for work that he did for these outside services. We have a few takeaways here. First, the people who ran IT security for the city should have both deleted Greg’s account when he left and done periodic audits to see who had access and whether they should still have it. Second, Greg should have kept his work credentials separate from third-party services like shopping and social media sites. And he should not have used the same password in multiple places. “The lesson, beyond the obvious 'please, for the love of all that is holy, audit your dormant accounts,' is that every forgotten user is an easy ticket to being on the 5 o’clock news,” Beckwith told The Register. “Quarterly access reviews should be mandatory because everyone seems to think when a user leaves, that is the end of it and someone surely terminated access, deprovisioned accounts, removed access to tools, mobile communications, email and other business critical systems, but sadly I’ve responded to way too many incidents like this one because of this simple control which is often overlooked." ®

LONDEN (ANP/RTR) - Britse kinderen zijn op TikTok en YouTube nog niet genoeg beschermd tegen schadelijke content, volgens de Britse mediatoezichthouder Ofcom. De waakhond stelt dat de platforms geen significante, nieuwe toezeggingen hebben gedaan om de feeds met aanbevolen filmpjes veiliger te maken.

Overheden wereldwijd proberen de onlineveiligheid van kinderen te verbeteren. De Britse premier Keir Starmer dringt er bij socialemediabedrijven op aan meer verantwoordelijkheid te nemen. Het land overweegt strengere beperkingen, waaronder een mogelijk socialemediaverbod voor jongeren onder de 16 jaar.

Volgens onderzoek van Ofcom werd bijna driekwart van de Britse kinderen tussen de 11 en 17 jaar recent blootgesteld aan schadelijke content, met name via gepersonaliseerde feeds. Dat gebeurde vooral op TikTok, YouTube, Instagram en Snapchat.

Snapchat-moederbedrijf Snap, Meta en Roblox hebben volgens Ofcom wel toegezegd strengere maatregelen te nemen om kinderen online te beschermen.

HEERENVEEN (ANP) - Schaatser Patrick Roest verlengt zijn aflopende contract bij Team Reggeborgh met een jaar. De zevenvoudig wereldkampioen heeft enkele teleurstellende seizoenen achter de rug en kiest nu, in overleg met de trainersstaf, voor een nieuwe aanpak. Dat meldt Reggeborgh.

Roest behaalde bij de Olympische Spelen van 2022 in Beijing op zowel de 5 als de 10 kilometer zilver. Vanaf het seizoen 2024/2025 ging het minder met de nu 30-jarige Lekkerkerker, die onder meer kampte met een ontstoken verstandskies en een trainingsachterstand opliep. Afgelopen seizoen kwam hij niet in de buurt van deelname aan de Spelen in Milaan.

"Na afgelopen seizoen hebben we met de staf geconcludeerd dat een andere aanpak in de voorbereiding mij beter past. Dit betekent dat ik ook vaker individueel zal trainen, wat me ook de mogelijkheid geeft meer tijd op de boerderij met familie door te brengen. Ik voel me goed, de trainingen gaan lekker en ik kijk ernaar uit om in oktober weer fit aan het nieuwe seizoen te beginnen", aldus Roest in een persbericht van Reggeborgh.

Trainer Derks gaat ervan uit dat een individueler programma goed werkt voor Roest. "Ik denk dat het een goede keuze is voor Patrick om buiten de gebaande paden te gaan", meldt hij. "Het is goed dat hij het na twee moeilijke seizoenen nu op deze manier aanvliegt. Ik heb bewondering voor zijn mentaliteit en doorzettingsvermogen en hopelijk zien we straks de oude Roest weer terug op het ijs. Dat gun ik heel schaatsminnend Nederland, maar vooral Patrick zelf."

LONDEN (ANP) - EasyJet merkt dat de oorlog in het Midden-Oosten voor onzekerheid zorgt bij reizigers. De boekingen voor de zomerperiode bij de budgetmaatschappij lopen achter in vergelijking met vorig jaar, meldt het bedrijf bij zijn halfjaarcijfers. Door hogere brandstofkosten liep het verlies bij het Britse bedrijf op, zoals easyJet in een update in april al aankondigde.

Volgens easyJet zorgt de onzekerheid rond de gevolgen van de Iran-oorlog er vooral voor dat mensen later hun vakantie boeken. Voor de rest van het gebroken boekjaar, dat loopt tot eind september, is 58 procent van de tickets verkocht. Vorig jaar rond deze tijd was dat 60 procent. Maar volgens het bedrijf blijven de boekingen korter voor vertrek "sterk".

Door de sluiting van de Straat van Hormuz spelen in de luchtvaartbranche niet alleen zorgen over hogere kerosinekosten, maar ook over tekorten. EasyJet-topman Kenton Jarvis voorziet vooralsnog geen verstoring van de brandstoftoevoer en stelt dat klanten "met gerust hart kunnen boeken".

TER APEL (ANP) - Bij het aanmeldcentrum in Ter Apel zijn donderdagochtend weer tientallen mannen aangekomen, na een nacht in een haastig opgezette noodopvang in buurgemeente Stadskanaal. Een verslaggever van het ANP ziet dat het in elk geval deels om dezelfde mensen gaat die woensdagavond laat in een bus stapten. De asielzoekers konden toen niet in de opvang bij het aanmeldcentrum blijven slapen, omdat die helemaal vol zat.

Om te voorkomen dat mensen buiten zouden moeten slapen, bood Stadskanaal laat in de avond hulp aan. In de vroege ochtend is de groep die in de noodopvang werd ondergebracht dus weer teruggebracht om verder te gaan met de aanmeldingsprocedure.

Je pensioen wordt in het nieuwe stelsel waarschijnlijk vaker verhoogd dan nu, maar het gaat óók vaker omlaag en extra koopkracht komt nooit zonder prijskaartje.

De belofte van meer koopkracht

Een van de centrale beloftes van het nieuwe pensioenstelsel is een “koopkrachtiger pensioen”: uitkeringen kunnen sneller meestijgen met de inflatie en met beurswinsten dan in het oude stelsel. Minister Vijlbrief wijst er echter expliciet op dat extra koopkrachtinstrumenten in het nieuwe stelsel altijd kosten met zich meebrengen en dat er “geen free lunch” bestaat.

Van vaste uitkering naar meebewegend pensioen

In het nieuwe stelsel ligt niet langer de uitkering centraal, maar de premie: iedereen bouwt een persoonlijk pensioenvermogen (“eigen potje”) op dat belegd wordt op de financiële markten. Daardoor gaan pensioenuitkeringen nadrukkelijker meebewegen met rendementen en inflatie: in goede jaren kan het pensioen harder omhoog, maar in slechte jaren kan het ook dalen.

Waarom je pensioen straks ook kan dalen

DNB laat in een analyse zien dat betere bescherming tegen inflatie binnen het nieuwe stelsel alleen kan door meer risico te nemen, een lager startpensioen te accepteren, of door vermogen en risico’s anders over de tijd of tussen generaties te verdelen. Als fondsen bijvoorbeeld meer beleggingsrisico nemen voor ouderen om reserves op te bouwen, betekent dat dat uitkeringen in tegenvallende jaren harder kunnen worden geraakt of dat jongeren meer risico dragen.

Instrumenten om koopkracht op te krikken

Pensioenfondsen krijgen verschillende knoppen om aan te draaien: ze kunnen rendementen anders over de jaren verdelen, een solidariteits- of risicodelingsreserve inzetten, of een vaste veiligheidsmarge hanteren bij het verwachte rendement. Ideeën die nu worden onderzocht zijn onder meer: een bewuste lagere startuitkering zodat er later meer ruimte is om mee te groeien met de prijzen, het apart zetten van vermogen in goede jaren en speciale beschermingsrendementen tegen onverwacht hoge inflatie.

Wie betaalt de rekening?

Uit de verkenningen van het ministerie en DNB blijkt dat extra inflatiebescherming altijd betaald wordt door iemand: door een lagere uitkering nu, door meer beleggingsrisico, of door een overdracht van vermogen tussen generaties. Ministers Van Hijum en Vijlbrief benadrukken daarom dat elke variant zorgvuldig moet worden getoetst op uitvoerbaarheid, uitlegbaarheid én de verdeling van voor- en nadelen tussen jong en oud.

Waarom het toch aantrekkelijk lijkt

De eerste fondsen die al zijn overgestapt, konden hun pensioenen gemiddeld met rond de 14 procent verhogen, mede doordat in het nieuwe stelsel minder grote buffers nodig zijn en een groter deel van elke euro direct naar de uitkering kan. De regering en veel fondsen benadrukken dat in dit stelsel de kans op verhógingen op de lange termijn groter is dan de kans op verlagingen, al blijven die verlagingen wél nadrukkelijk tot de mogelijkheden behoren.

Wat jij als deelnemer vooral moet onthouden

Voor deelnemers betekent dit dat hun pensioen transparanter en persoonlijker wordt: je ziet beter wat er in jouw potje zit, maar je voelt ook directer de bewegingen van de markt. De prijs van meer perspectief op koopkracht is dus meer zichtbare onzekerheid: je pensioen zal niet alleen kunnen stijgen, maar soms ook dalen – en dat is geen fout in het systeem, maar een bewuste keuze in het nieuwe ontwerp.

SYDNEY (ANP/RTR) - Berichtendienst X heeft tegenover een rechtbank in Australië toegegeven de regels voor de bestrijding van onlinekindermisbruik te hebben geschonden. Daarmee is een einde gekomen aan een slepende juridische zaak en moet het bedrijf van Elon Musk een boete van 650.000 Australische dollar (ongeveer 400.000 euro) betalen.

De Australische toezichthouder voor onlineveiligheid legde X die boete in oktober 2023 al op. Het bedrijf, voorheen bekend als Twitter, schoot volgens de waakhond tekort in antwoorden op vragen over de bestrijding van uitbuiting van kinderen. Nu heeft X toegegeven de regels te hebben overtreden.

De advocaat voor X in de Australische zaak zei dat die neerkomt op een kwestie uit het verleden "over de tijdigheid van het verstrekken van informatie". X kreeg de boete na een periode waarin Musk als nieuwe eigenaar van het platform massaal personeel had ontslagen, onder wie veel moderators die toezien op het naleven van de regels. De rechter beval X naast de boete ook 100.000 Australische dollar te betalen voor de extra proceskosten.

MINSK (ANP/RTR) - Het Russische ministerie van Defensie heeft de levering gemeld van nucleaire munitie aan een opslagfaciliteit in Belarus. Deze stap maakt volgens een verklaring deel uit van grote militaire oefeningen met nucleair arsenaal.

Rusland en Belarus begonnen dinsdag met de driedaagse oefeningen, die in beide landen worden gehouden. Rusland meldt dat de raketeenheid in Belarus oefent met de ontvangst van speciale munitie voor de Iskander-M. Dit mobiele raketsysteem kan raketten met zowel conventionele als nucleaire koppen lanceren.

Rusland meldde in 2023 voor het eerst kernwapens in het buurland op te slaan. Het was voor het eerst sinds de ineenstorting van de Sovjet-Unie dat Rusland kernwapens buiten de grenzen plaatste. President Vladimir Poetin zei toen dat alleen zijn land de controle over de tactische wapens zou hebben.

AUSTIN (ANP) - Het ruimtevaartbedrijf SpaceX, dat techmiljardair Elon Musk binnenkort naar de beurs wil brengen, heeft in het afgelopen kwartaal een miljardenverlies geleden. Dat staat in een melding die is gedaan bij de Amerikaanse beurstoezichthouder SEC.

Het nettoverlies liep op tot 4,3 miljard dollar, omgerekend 3,7 miljard euro. In het eerste kwartaal van vorig jaar eindigde SpaceX onder de streep met een nettoverlies van 528 miljoen dollar. De omzet bedroeg afgelopen kwartaal 4,7 miljard dollar, vergeleken met ongeveer 4 miljard dollar in dezelfde periode vorig jaar.

SpaceX is uitgegroeid tot een van de meest invloedrijke bedrijven in de ruimtevaartindustrie met miljarden dollars aan overheidscontracten. Het raket-, satelliet- en kunstmatige-intelligentiebedrijf streeft ernaar om 75 miljard dollar op te halen met de beursgang en mikt op een beurswaarde van naar verluidt meer dan 2 biljoen dollar. De beursgang van SpaceX op Wall Street wordt daarmee de grootste ooit.

Cannes film festival: Swann Arlaud is excellent as Henri Marre, the director’s great-grandfather, as he finagles his way into a job at the Vichy ministry of labour

This, oddly, is the second film in the Cannes competition about the Nazi occupation of France, and it is more interesting than László Nemes’s rather mainstream drama Moulin – a complex, ambiguous study of national humiliation from writer-director Emmanuel Marre. He has created an absorbingly intimate, novelistically detailed procedural about the day-to-day, moment-by-moment lives of the Vichy administrators after the fall of France, mostly shot conventionally, sometimes jolting into an anachronistic dreamlike scenario on video.

It is centred on the director’s own great-grandfather Henri Marre, who held a minor but important post in the Vichy ministry of labour. The film is in fact unsparing of this conceited, petty, but weirdly sensitive and vulnerable man: Swann Arlaud plays him as a sociopathic mixture of haughty idealist, salon intellectual and conman predator, a man who doesn’t really believe in anything but his own survival and has only the vaguest idea about what such survival could mean.

Continue reading...

Two Researchers Are Rebuilding Mathematics From the Ground Up - "I think it's fair to compare Peter to Grothendieck in this sense. He is reinventing everything somehow."[0]

• How Alexander Grothendieck Revolutionized 20th-Century Mathematics - "Grothendieck is revered in the world of math; outside of it, he's known for his unusual life, if he's known at all. But what were his actual mathematical contributions?"[1,2,3]
• Alexander Grothendieck and the Architecture of a New Mathematics [ungated] - "In 1958, Grothendieck was appointed a research professor at the newly founded Institut des Hautes Études Scientifiques (IHÉS), located in Bures-sur-Yvette, outside Paris. What followed — the twelve years from 1958 to 1970 — is simply one of the most extraordinary sustained eruptions of mathematical creativity on record."

Then, in 1970, it ended. Grothendieck discovered that the IHÉS was receiving a portion of its funding from French military sources. To many people, this might have registered as an inconvenient administrative footnote — the kind of institutional compromise one quietly accepts and moves past. Not to Grothendieck. His father had been gassed at Auschwitz. He had spent part of his childhood hiding in the woods to avoid being handed over to the same machinery of state violence. His pacifism was not a political position he had arrived at through argument; it was something closer to scar tissue. He resigned from the IHÉS immediately. He never returned to a permanent mathematical position of that kind. The mathematical community, for its part, never fully recovered his attention — and given what he had produced in those twelve years, that loss is worth sitting with for a moment.

also btw! A ranked list of fields of math, in order of difficulty to master and understand :P

Thomas Hawk posted a photo:

Thomas Hawk posted a photo:

Delilah works in a Python shop. Despite Python's "batteries included" design, that doesn't stop people from trying to make their own batteries from potatoes. For example, her co-worker wrote this function:

def key_exists(element, key):
    if isinstance(element, dict):
        try:
            element = element[key]
        except KeyError:
            return False
        return True

Python, of course, has an in operator. key in dictionary is an extremely common idiom. There's no reason to implement your own. Certainly, there's no reason to re-implement it by catching and throwing exceptions.

This is ugly, stupid, and bad. It gets worse, though, when you see how it gets used.

for key in old_yaml_data:
    if key in new_yaml_data:
        if old_yaml_data[key] != new_yaml_data[key]:
            temp = new_yaml_data[key]
            new_yaml_data[key] = merge(new_yaml_data[key], old_yaml_data[key])

            if key_exists(new_yaml_data[key], 'image') and key_exists(old_yaml_data[key], 'image'):
                new_yaml_data[key]['image'] = temp['image']
            elif key == "databases":
                revert_db_tags(new_yaml_data[key], temp)

This code is attempting to upgrade "old" YAML data with "new" data. So it's basically merging dictionaries, which is a great case for the in operator.

And they use the correct idiom on the second line there! This was written by one developer! They do the standard key in new_yaml_data check. And they also use key_exists. I can only assume that they had a stroke between starting and finishing this script, which I'll note is, in total, 48 lines long.

Here's the whole short script, which is just generally a mess. Slapped together Python code that's trying to be a "smarter" shell script, but is definitely written with the elegance of hacked-together-bash.

import sys
import yaml
from jsonmerge import merge

appHomePath = sys.argv[1]
oldValuesYAML = appHomePath + "values.yaml"
newValuesYAML = appHomePath + "/upgrade_version/values.yaml"
with open(newValuesYAML, 'r') as f:
    new_yaml_data = yaml.load(f, Loader=yaml.loader.FullLoader)
with open(oldValuesYAML, 'r') as f:
    old_yaml_data = yaml.load(f, Loader=yaml.loader.FullLoader)
def key_exists(element, key):
    if isinstance(element, dict):
        try:
            element = element[key]
        except KeyError:
            return False
        return True

def revert_db_tags(old_yaml_data, new_yaml_data):
    dbList = ["mongoDB", "postgresDB"]
    mongoDbTagsToRevert = ["mongoRestore"]
    mongodbKeysToDelete = []
    postgresDbTagsToRevert = []


    for db in dbList:
        old_yaml_data[db]['image'] = new_yaml_data[db]['image']
    for mongoDbTag in mongoDbTagsToRevert:
        old_yaml_data['mongoDB'][mongoDbTag]['image'] = new_yaml_data['mongoDB'][mongoDbTag]['image']
    for mongoDbTag in mongoKeysToDelete:
        del old_yaml_data['mongoDB'][mongoDbTag]

    for postgresDbTag in postgresDbTagsToRevert:
        old_yaml_data['postgresDB'][postgresDbTag]['image'] = new_yaml_data['postgresDB'][postgresDbTag]['image']

for key in old_yaml_data:
    if key in new_yaml_data:
        if old_yaml_data[key] != new_yaml_data[key]:
            temp = new_yaml_data[key]
            new_yaml_data[key] = merge(new_yaml_data[key], old_yaml_data[key])

            if key_exists(new_yaml_data[key], 'image') and key_exists(old_yaml_data[key], 'image'):
                new_yaml_data[key]['image'] = temp['image']
            elif key == "databases":
                revert_db_tags(new_yaml_data[key], temp)

with open(newValuesYAML, 'w') as f:
    data = yaml.dump(new_yaml_data, f, sort_keys=False)

Werknemers krijgen meer inzicht in de loonverschillen tussen mannen en vrouwen op hun eigen werkvloer. Ook moeten werkgevers straks een objectief systeem hebben voor het waarderen en indelen van de functies in hun organisatie. En er komt een verbod om in gesprekken over arbeidsvoorwaarden te vragen naar het laatstverdiende salaris. Minister Hans Vijlbrief van Sociale Zaken en Werkgelegenheid dient vandaag een wetsvoorstel in bij de Tweede Kamer dat dit regelt. Het is de bedoeling dat het wetsvoorstel op 1 januari 2027 in werking treedt.

niggyl :) has added a photo to the pool:

Somewhere in the Mersey River rainforest. North of Du Cane Hut and at around 900m.

So quiet here, just the sound of distant waterfalls along the river.

Best on a big screen I guess.

Ricoh GRiii, 18.3mm f/2.8 GR lens, 130th sec at f/10, ISO 400

Een lezer vroeg me:

Een leerling op de school van mijn zoon heeft de centrale printer van hun school gehackt. Volgens hen was het nauwelijks hacken omdat de beveiliging minimaal was. Uiteraard vind de school het schandalig, maar voor mij als security auditor en moeder redenen om me af te vragen: is de rest van de school dan ook zo belabberd beveiligd. Kan ik daar inzage in krijgen, mag ik maatregelen eisen?

Het ‘hacken’ van ict-apparatuur op school is voor leerlingen leuk en interessant, maar inderdaad reageren scholen daar scherp op. De tijd dat je dan een stage bij een securitybedrijf kreeg (of de IT-persoon van school mocht worden) is al lang voorbij: ik ken zo tien gevallen van mensen tegen wie aangifte werd gedaan in zo’n situatie.

Uiteraard is dat vrij kansloos als de security minimaal tot afwezig is, en er natuurlijk geen echte schade is aangericht. En ik snap wel dat je bij afwezige schade als ouder denkt: is dit representatief voor hoe de school ict-security implementeert. Dat zou goed kunnen, hoewel net zo goed mogelijk is dat de printers door een andere partij worden beheerd dan het leerlingvolgsysteem of de financiële administratie.

Inzage in het beveiligingsbeleid van een organisatie is algemeen eigenlijk niet mogelijk. Ook bij beveiligingsbeleid rond persoonsgegevens is daarvoor geen bevoegdheid: de informatieplichten (artikel 13 en 14 AVG) verwijzen niet naar het beveiligingsbeleid. En bij het recht van inzage (artikel 15) kan geen inzage in genomen beveiligingsmaatregelen worden geëist.

Wel heeft de AVG het algemene beginsel van transparantie (artikel 5 lid 1 onder a), waaruit je kunt afleiden dat transparant zijn over de beveiliging van gegevensverwerking er desondanks bij hoort. Hierover is geen jurisprudentie, en in de richtsnoeren van de EDPB of Autoriteit Persoonsgegevens zie je hier niets over terug. Wel beschrijven veel partijen in algemene zin hun beveiligingsmaatregelen in de privacyverklaring, maar dat gaat zelden verder dan mooie beloften of opmerkingen dat ergens een ISO 27001 certificering voor afgegeven is.

In maart deed de Autoriteit Persoonsgegevens een oproep aan scholen en leveranciers van digitale leermiddelen op om goede afspraken te maken en open te zijn over het verwerken van persoonsgegevens van leerlingen. Hierbij noemt men expliciet dat duidelijkheid gegeven zou moeten worden over “[h]oe deze gegevens worden beveiligd, hoe lang de gegevens worden bewaard en in welke systemen”. Je zou met een beroep op deze oproep het gesprek aan kunnen gaan.

Arnoud De printer op de foto komt niet voor in het artikel.

Het bericht Mag ik van de school van mijn kind inzage in het beveiligingsbeleid vorderen? (Nadat mijn zoon de printer gehackt had) verscheen eerst op Ius Mentis.