Tweakers Podcast #316 - Datalekbrieven, E3-puppy's en dubbele afpersingen

Deze week praten Arnoud Wokke, Jurian Ubachs en Tijs Hofmans over datalekmeldingen, het maken van AI-video's voor in vergaderingen, de gamebeurs die een beetje terugkeert en de ontwikkelingen in de markt voor ransomware.

0:00 Intro
0:21 Opening
2:35 .post
27:37 Meer meldingen van datalekken, maar waarom?
40:20 Makkelijk video's maken voor je presentatie
51:20 De gamebeurs die weer een beetje terugkeert
59:39 Ransomware doet vaak aan dubbele afpersing
1:18:01 Sneakpeek

Shownote:
Video van voetbal vanuit oogpunt van voetballer

Door Arnoud Wokke

Redacteur Tweakers

11-04-2024 • 06:00

16

Reacties (16)

16
16
1
0
0
15
Wijzig sortering
Heren van de podcast,

Jullie hadden het over Dreams op de PS4 maar deze game was toch helemaal niet van Peter Molyneux?

De game komt uit de koker van Media Molecule (makers van LittleBigPlanet) met Mark Healey aan het roer als game director. Ja, die heeft vroeger samen met Peter Molyneux bij Bullfrog en Lionhead gewerkt maar Peter Molyneux heeft verder niets van doen met Dreams naar mijn weten.

Aan de andere kant snap ik de verwarring wel, want deze game had prima in het rijtje grote-belofte-grote-flop games van Peter Molyneux gepast ;)
Controversiële mening, maar heeft het überhaupt nog nut om te melden dat mensen betrokken zijn bij een datalek waar NAW gegevens bij zijn gestolen? Met de hoeveelheid datalekken en gestolen gegevens kan iedereen er beter vanuit gaan dat zijn of haar gegevens minimaal 1 maal buit zijn gemaakt.

Ik zeg niet dat we bedrijven nu maar een vrijbrief moeten geven om nooit meer iets te melden, maar ik denk dat we veel meer moeten focussen op voorlichting om phishing en andere cyber gevaren te herkennen. Ik werk zelf in de cyber security en zie dagelijks tientallen phishing pogingen bij bedrijven binnen komen, 9 vd 10 zijn extreem makkelijk te herkennen, maar uit ervaring weet ik dat mensen daar ook met open ogen intrappen. Ik weet niet of een extra melding van gestolen gegevens iets aan gaat veranderen.

Nogmaals, ik zeg niet dat we de AP moeten opdoeken, en bedrijven vrij spel moeten geven om nooit meer iets te melden, maar ik denk niet dat dit DE oplossing is.
Het maakt het probleem zichtbaar. Als jij vindt dat deze berichten te vaak worden verspreid zegt dat meer iets over hoe zorgvuldig er met gegevens worden omgegaan dan over de berichtgeving.
Het maakt het probleem zichtbaar, alleen er wordt niets mee gedaan. Ik hoor al 10+ jaar over grote datalekken, en het neemt alleen maar toe. Zoals in de podcast wordt gezegd, dat kan eraan liggen dat er meer wordt gemeld, maar ook aan het feit dat het steeds vaker voorkomt. Persoonlijk zie ik er bij bedrijven geen ontzettend stijgende lijn in het beveiligen van gegevens, en achteraf (na een incident) word het vaak afgedaan met een "ja sorry kan gebeuren" en verder niets.

Dan kun je heel leuk iedereen een mailtje sturen met de boodschap dat er gegevens zijn gelekt, maar ik vraag me serieus af of dat iets gaat veranderen aan het feit dat het zo vaak mis gaat. Nogmaals, ik zeg niet dat we bedrijven hun gang maar moeten laten gaan, maar de meldingsplicht is ook de oplossing niet.

Het lijkt mij dan ook praktisch om mensen meer voor te lichten over de gevaren van datalekken, hoe ze voorkomen dat ze slachtoffer worden van phishing of andere cybercriminaliteit dan ze alleen maar een mailtje te sturen en dat is het dan.

Neemt niet weg dat er ook vanuit het toezicht misschien harder opgetreden moet worden bij datalekken. Voer maar eens een onderzoek uit en achterhaal de oorzaak. Is het nalatigheid of slordigheid of iets wat te voorkomen was, gooi er maar een boete tegenaan. Al veel te lang lekt je data links en rechts weg, en ben je als eigenaar van die gegevens min of meer machteloos.
Persoonlijk zie ik er bij bedrijven geen ontzettend stijgende lijn in het beveiligen van gegevens, en achteraf (na een incident) word het vaak afgedaan met een "ja sorry kan gebeuren" en verder niets.
Is het niet gewoon dat bedrijven de 'pijn' niet voelen? Als ieder bedrijf €xx,- aan iedere klant moet betalen waarvan data gelekt is, dan wordt de keuze security verbeteren ook sneller gemaakt.
Wie de keuze voor het bedrag bepaald weet ik niet maar €5,- voor Bol.com voelen ze niet maar een eenmanszaak kan dan al failliet zijn

Ben wel bang voor dat bedrijven een lek meer onder de pet proberen te houden...
Denk dat je een goed punt hebt; mijn werkgever stuurt af en toe zelf een phishing mail rond als bewustwording. Een paar weken later krijgen we dan feedback op die mail, met daarbij hoe we het hadden moeten herkennen als een phishing mail. En ook hoeveel procent van de collega's er in getrapt is en hoeveel procent die mail heeft gerapporteerd bij de it-afdeling.

De laatste keer - een maand geleden - had ik hem wel herkend maar niet gerapporteerd. Toch ook voor mij dan weer een herinnering om dat wel te doen.
DREAMZzz
https://youtu.be/y9Y5ZvC-MHg
https://www.lego.com/nl-nl/themes/dreamzzz
is waar jullie het over hadden, natuurlijk ;) :+

[Reactie gewijzigd door djwice op 23 juli 2024 17:54]

Over het punt van welke redenen bedrijven moeten geven voor het verzamelen van persoonsgegevens, ik heb het idee dat je als bedrijf dat zo breed kunt trekken als je wil.

Case in point: ik wordt de laatste tijd gebeld door recruiters die mijn nummer hebben gevonden met behulp van een tool die https://www.lusha.com/ heet. Dat bedrijf scraped het internet om profielen aan te maken met telefoonnummers en die te koppelen aan linkedin, en vervolgens verkopen ze dus die toegang aan recruiters. Hoe dat allemaal is toegestaan onder de AVG snap ik niet zo goed, maar om je nummer uit hun systeem te krijgen moet je een emailadres invullen en opnieuw je nummer, wat toch een soort van omgekeerde wereld is.
Simpel: het is niet toegestaan onder de AVG, dit verboden in de EU. Dit bedrijf overtreedt dus de wet, evenals de recruiters en "kom je ook bij ons netwerk, 25 collega's gingen je al voor" die gebruik maken van deze dienst.
Want ook zij hebben niet eerst jou expliciete convent gekregen om jouw persoonsgegevens te gebruiken. Zeker niet meerdere malen.

Ik heb een vergelijkbaar bedrijf (zelfs naam lijkt er op) uit Australië een paar dagen geleden verzocht mijn gegevens en alle gegevens van EU inwoners waarvan ze geen expliciete toestemming hebben gekregen om de gegevens te gebruiken te verwijderen. Ik heb ook verwezen naar de GDPR.
Ik heb nog geen reactie, ondanks dat ik de daarvoor aangeboden contactmethode heb gebruikt.

In het geval van https://www.lusha.com/privacy-center/request-removal/ hebben ze zelf geen idee en nemen slechts een GDPR dienst af bij https://www.dp-dock.com/ om zo te claimen compliant te zijn, ondanks dat ze voor 21 miljoen Europeanen ongevraagd hun data vergaren en verkopen. En denken dat een opt-out wel voldoende is.

[Reactie gewijzigd door djwice op 23 juli 2024 17:54]

@Tweakjur
Net als bij dag lenzen: wegwerp sensoren due je 's ochtends tijdens het eten even inslikt en er vanzelf weer uit komen.

[Reactie gewijzigd door djwice op 23 juli 2024 17:54]

Klinkt goed, maar is het niet. Tenzij je recyclebare sensoren kan maken die netjes composteren, anders zit ons riool straks vol met sensoren. En ook al geeft dat vast ook wel weer nieuwe mogelijkheden om het rioolstelsel in de gaten te houden, voor het milieu lijkt me dat niet de beste oplossing
Zo'n ring lijkt mij wel een mooie toevoeging op een horloge o.i.d. bedenk ik mij nu. In mijn geval draag ik een Garmin Forerunner 255, op zich een heel fijn horloge, zeker tijdens het sporten. Alleen vind ik het niet een mooi horloge en zou ook wel eens wat willen dragen wat beter past bij mijn outfit in sommige gelegenheden. Als er dan ook een garmin ring is (tuurlijk moet die er ook een beetje knap uit zien) zou ik bij mijn outfit een normaal horloge kunnen dragen. Zo kunnen dan wel mijn statistieken in 1 eco systeem zitten en zou je in theorie nog je recovery bij moeten kunnen houden van het rondje hardlopen in de ochtend zonder het horloge om te houden.

Nu is er ook de Garmic Marc gen 2, maar dat geld (2200 euro) vind ik dan toch wel stevig.
@arnoudwokke volgens Wikipedia was de eerste spam op Usenet, door DEC (Digital). Ik moest even opzoeken wanneer dit was. 1978:
The earliest documented spam (although the term had not yet been coined[14]) was a message advertising the availability of a new model of Digital Equipment Corporation computers sent by Gary Thuerk to 393 recipients on ARPANET on May 3, 1978.[10] Rather than send a separate message to each person, which was the standard practice at the time, he had an assistant, Carl Gartley, write a single mass email. Reaction from the net community was fiercely negative, but the spam did generate some sales.[15][16]
Het betrof reclame voor de DECSYSTEM-20: een mainframe, familie van de PDP-11.

Dit artikel uit 2008 bijvoorbeeld ([10] hierboven) gaat over At 30, Spam Going Nowhere Soon. Dit is een leuk interview omdat het interviews met degenen die erbij betrokken waren betreft. Hier nog een artikel uit 2018 bij de NPO hierover: Deze Dag Toen: Het fenomeen spam is 40 jaar oud. En tenslotte het complete bericht is hier te lezen: https://www.themarysue.com/first-spam-email/ met de reacties erop hier https://www.templetons.com/brad/spamreact.html (komen nog bekenden voorbij zoals RMS).

Het heette toen geen spam, en het internet heette nog Arpanet, maar ik zie dit toch wel als de eerste keer 'online ongewenste reclame'.
Een artikel over coldstorage voor consumenten zou ik ook interessant vinden. Zelf doe ik dit, op twee locaties, met een grote externe hdd waarop ik slechts een paar keer jaar de backup vernieuw. (En bijna wekelijks op een oude pc op de tweede locatie)
Ik zie wel wat in die video app van Google. Maar niet als onderdeel van een presentatie maar als online alternatief om sneller een grote groep medewerkers te bereiken. Vooral voor instructies in een e-learning.
Wij gebruiken nu een e-learning met plaatjes en tekst. Voor een periodieke update maar ook als bijvoorbeeld onderdeel van een introductie voor nieuwe medewerkers. De overstap naar video lijkt mij weer een stap vooruit, de voorwaarde is wel dat het eenvoudig en vooral snel werkt.
Ik heb twee opmerkingen nav de podcast.

Enerzijds wil ik even reageren op de AI filmpjes. Ik werk zelf bij een techbedrijf waar we al erg veel gebruik maken van video ipv powerpoint. Denk voornamelijk aan trainingen. Korte trainingen van nieuwe oplossingen, functionaliteiten kunnen net even wat pakkender zijn dan powerpoint slides van UX schermen.
Ook successen vieren kan heel leuk met filmpjes. De korte filmpjes zijn een stuk pakkender dan een statische powerpoint slide.

Mijn tweede punt is eigenlijk meer een vraag. In de podcast wordt er -zeer interessant moet ik wel toegeven- gesproken over ransomware en hoe dit nu effectief in wordt gezet. Eigenlijk ben je een korte tutorual aan het geven voor eenieder die dit zou willen proberen. In mijn werk hou ik mij ook met fraudebestrijding bezig. Wij hebben de policy dat we methodes, cijfers etc niet verspreiden. De reden hierachter is dat we geen slapende honden wakker willen maken. Er zijn mensen die middelen hebben of mogelijkheden hebben, waar ze nog niet van op de hoogte zij.
Hoe staan jullie hier tegenover? Terugkijkend, zou je dan wat terughoudender zijn over de mini-college die je hebt gegeven over de huidige vorm van hacking en randomware die we nu zien? Of vinden jullie dit geen risico?

Op dit item kan niet meer gereageerd worden.