Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 104 reacties

De beveiligingsonderzoeker Sijmen Ruwhof heeft vastgesteld dat de inloggegevens van de dealerportals van Nederlandse telecombedrijven eenvoudig te bemachtigen waren. Hiermee zou toegang mogelijk zijn geweest tot de gegevens van elke Nederlander met een mobiele telefoon.

Hij beschrijft zijn bevindingen in een blogpost. Ruwhof was in september op zoek naar een nieuwe telefoon in de Utrechtse vestiging van de Media Markt. In deze winkel bevindt zich een vestiging van The Phone House, waar hij een medewerker sprak. Tijdens dit gesprek opende de medewerker een Excel-document met inloggegevens van de dealerportal van een provider om klantgegevens in te kunnen zien. Het bestand was opgeslagen in een Google Drive-map. Na deze opvallende ontdekking keerde Ruwhof op een later tijdstip terug naar dezelfde winkel en het lukte hem om de inloggegevens op foto en video vast te leggen.

Vervolgens vond hij na een korte zoektocht via Google een pagina van een vestiging van The Phone House in Joure waarop links naar alle dealerportals te vinden waren. Een groot deel van deze portals waren via internet te benaderen en boden de mogelijkheid om in te loggen met de bemachtigde gegevens. Ruwhof schat dat The Phone House via deze weg toegang had tot de gegevens van elke Nederlander met een mobiel abonnement, naar eigen schatting tussen de 10 en 14 miljoen.

Een woordvoerder van Relevant Holdings, het moederbedrijf van The Phone House, laat aan Tweakers weten dat er met de wachtwoorden in kwestie geen toegang mogelijk was tot klantgegevens. De gegevens zouden alleen aanmelding van een klant mogelijk maken. Volgens Ruwhof is deze bewering onjuist, omdat wel degelijk toegang tot naw-gegevens en mogelijke andere gegevens kon worden geboden, dit zou blijken uit contact tussen Ruwhof en een getroffen provider.

Media Markt en The Phone House reageerden volgens Ruwhof in eerste instantie niet nadat hij in oktober contact had gezocht. De woordvoerder van The Phone House stelt echter dat er geen poging tot contact is ondernomen door de onderzoeker. Dit zou pas tot stand zijn gekomen nadat The Phone House hiertoe het initiatief had genomen. Uiteindelijk zou er een positief gesprek zijn gevoerd.

Na enige tijd ontving Ruwhof een e-mail van een vestigingsmanager van de Media Markt waarin werd gedreigd met een juridische procedure wanneer hij zijn bevindingen publiek zou maken. Ook werd gesteld dat hij onmogelijk toegang kon hebben tot de dealerportals. De telecomproviders zelf waren een stuk ontvankelijker voor de informatie van Ruwhof. KPN verdient volgens hem een vermelding omdat de provider meteen actie ondernam.

Uiteindelijk lukte het Ruwhof om een ontmoeting met de vestigingsmanager van de Media Markt te regelen. Hierbij kwam naar voren dat zijn onthullingen in eerste instantie verkeerd waren geïnterpreteerd. De ontmoeting wierp haar vruchten af, omdat de Media Markt twee weken later de aanbevelingen van Ruwhof naar alle 50 Nederlandse vestigingen stuurde en schermfilters installeerde op de computers. Volgens The Phone House zijn ook alle wachtwoorden aangepast en worden zij tegenwoordig opgeslagen met behulp van KeePass.

Vanuit wettelijk oogpunt zijn bedrijven die persoonsgegevens verwerken volgens artikel 13 Wbp verplicht deze gegevens te beschermen 'met passende technische en organisatorische maatregelen'. Het CBP heeft hierover enkele richtsnoeren gepubliceerd. Incidenten zoals deze laten zien dat bedrijven niet altijd deze wettelijke verplichting nakomen. Ruwhof laat aan Tweakers weten dat hem tijdens het contact met de verschillende partijen opviel dat er een groot gebrek aan bewustzijn bestaat. Zo zijn er bij verschillende partijen geen gespecialiseerde securitymedewerkers aanwezig en ook onder de rest van het management en het personeel ontbreekt de nodige kennis en bewustzijn over beveiliging van gegevens.

phone house lekphone house lekphone house lek

Moderatie-faq Wijzig weergave

Reacties (104)

Echt klantdata inzien zit niet in dealerportalen(althans tot enkele jaren geleden), toen waren ze alleen voorzien van raadpleegfunctie na het zoeken van de klant(beperkt tot wel of niet verlengbaar en klant is wel of niet aanmeldbaar en opgegeven adresdata). Laatst in mediamarkt wel meegekregen dat er nu meer info inzit, maar of dat het phonehouseportaal was kon ik niet opvangen.

Maar vind het een goed verhaal, log is aanrader. Mooie mix tussen ervaring, probing en ook de ethische en juridische grenzen die in de gaten gehouden worden.
Klantdata inzien is redelijk eenvoudig werkt bij iedereen hetzelfde.
Zoek de huidige klant op: postcode of achternaam met plaats (wat vaak lastig is omtrent bakker nogal wat voorkomt)
dan zeg je verlengen en het eerste wat die vraagt "Kloppen adres gegevens nog..."
En je krijgt zo alles van de klant in beeld.
Heb zelf jaren mobiele abo's verkocht vanuit een 3rd party en het zal je verbazen hoeveel gegevens je kan opvragen.
Het artikel doet het alleen wat erger lijken, ja je hebt toegang tot miljoenen klanten maar je moet ze wel 1 voor 1 opvragen.
Het artikel doet het alleen wat erger lijken, ja je hebt toegang tot miljoenen klanten maar je moet ze wel 1 voor 1 opvragen.
Ik kan me voorstellen dat je een scriptje kan maken zodat je de gegevens van alle klanten achterelkaar geautomatiseerd binnen kunt halen.
Bij de telecom provider waar ik ooit werkte waren er meer dan 10 jaar geleden al maatregelen om bepaalde informatie af te schermen, dat ging om leden van het koninklijk huis. Technisch was dat prima mogelijk, dus ons staatshoofd heb ik nooit mobiel gebeld. :)

Ik had wel het Nederlands elftal kunnen bellen, je weet wel, om advies te geven voor de volgende wedstrijd, maar ik was niet echt een voetbal fan. Dus dat heb ik ook maar niet gedaan. O-)

Je vraagt je dus af waarom bedrijven gewoon niet die interne schotten hebben.
Je vraagt je dus af waarom bedrijven gewoon niet die interne schotten hebben.
*cue doedelzakgeluiden*
Net op tijd voor de aangescherpte WBP (meldplicht datalekken) die per 1 januari ingaat. Als Sijmen er in januari mee was gekomen dan hadden de gevolgen voor de mediamarkt en de phonehouse een stuk groter kunnen zijn De boetes kunnen hoog oplopen: variërend van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie.

edit:
: 6 X offtopic / irrelevante score, ik vind dat echt heel apart dat mensen dit aan mijn post geven. Kan de invloed van deze wetswijziging nauwelijks irrelevant vinden voor dit soort zaken.

[Reactie gewijzigd door Booz op 8 december 2015 14:23]

Net op tijd voor de aangescherpte WBP (meldplicht datalekken) die per 1 januari ingaat. Als Sijmen er in januari mee was gekomen dan hadden de gevolgen voor de mediamarkt en de phonehouse een stuk groter kunnen zijn De boetes kunnen hoog oplopen: variërend van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie.
Het zal op zit gebied geen gevolgen hebben voor de Mediamarkt.
Phone House is een partij de verantwoordelijk is voor deze fouten, de Mediamarkt niet.
nieuws: Phone House wordt verantwoordelijk voor telecom bij Media Markt en Saturn

Indirect zal het wel gevolgen hebben voor de Mediamarkt aangezien de klant het als een geheel ziet.
Wat ik erger vindt is dat phonehouse schijnbaar zo maar bij alle gegevens van providers kan komen. Als ik klant bij kpn ben heeft phone house niets te zoeken bij kpn als ze informatie over mij willen hebben.

Het komt er op neer dat 1 rotte medewerker die zijn login verliest er voor kan zorgen dat een hacker bij alle naw gegevens kan komen van alle providers. Lijkt me niet echt wenselijk.
Maar als jij als KPN-klant bij ThePhoneHouse binnenloopt om je abonnement aan te passen, zullen ze hier wel toegang toe moeten hebben om dit te kunnen doen.

Je kunt denken aan een systeem van toestemming of aanvullende authenticatie maar in de basis zie ik deze toegang als gerechtvaardigd. Het is immers een mogelijkheid (feature) die direct aansluit op de dienstverlening.
Het systeem waar ik bekend mee ben vereist dat de winkel medewerker de laatste cijfers van het rekeningnummer waarvan het abbonement wordt afgeschreven moet invullen, om bij de gegevens van die klant te kunnen.
Dit voorkomt dat willekeurige gegevens ingezien kunnen worden.
Waarom zou ik als KPN-klant in godsnaam bij The Phone House binnenlopen?!
Als ik iets aan mijn abonnement wil aanpassen doe ik dat via de website van KPN of bel ik KPN direct. Daar heeft geen enkele telecom winkel ook maar iets mee te maken...
Wat is dan nog het hele bestaansrecht van een dergelijke winkel? Losse toestellen kun je immers in elke elektronicawinkel kopen, abonnementen afsluiten kan direct bij elke provider. De combinatie van die twee met persoonlijk contact maakt dat mensen naar zulk soort winkels gaan.

Om die reden zal toegang tot alle providers nodig zijn om nieuwe contracten aan te maken. Wanneer jij een contract afsluit bij een dergelijke winkel is het ook niet ondenkbaar dat jij naar die winkel teruggaat. Want hoewel jij als persoon misschien naar kpn.nl gaat, zijn er ook legio mensen die met toestel en al naar de winkel toe lopen en graag persoonlijk advies willen hebben.
Maar niet iedereen koopt toch via ThePhoneHouse?
Is het dan leuk dat iemand anders die mijn telefoon nummer en geboortedatum heeft daar kan binnenstappen en een en ander regelen?

Ik begrijp dat dit makkelijk werkt, maar eigenlijk wil ik dit niet kunnen met mijn gegevens.
Dit laatste kan niet forssux. In theorie is er wel beperkt wat info opvraagbaar. Aanpassingen zijn niet mogelijk, dat gaat altijd door ID check + bankpas + ter controle ¤0,01 pinnen (dit laatste afhankelijk vd handelingen die worden verricht voor de klant).
Alsnog ben ik benieuwd waarom je met zoiets naar The phone house zou gaan en niet naar kpn zelf. Bovendien zouden die mensen niet meer dan het afgesloten abonnement moeten kunnen zien en wellicht het klantnummer. Alle andere gegevens zouden niet toegankelijk moeten zijn. Wil je dan je naw gegevens voor je abonnement wijzingen? Dan kunnen ze dat wel invoeren, maar niet het gehele systeem doorsnoepen. Dat The phone house (of welke normale kpn of andere winkel dan ook) hier gewoon toegang toe hebben is een afschuwelijke schending van de privacy van een grote meerderheid van de Nederlandse bevolking. Gegevens op deze manier te verwerken is absoluut niet nodig en het CBP zou er goed aan doen om dit soort praktijken te elimineren. Uiteraard is het goedkoper voor de providers op deze manier, maar het is absoluut onwenselijk voor de samenleving. Willekeurige medewerkers van telefoonwinkels hebben toegang tot meer informatie dan lokale/provinciale overheden. Belachelijk toch?
Super tegenstrijdig om wanneer het je uit komt te willen dat je goede service verleent wordt (als in: dat willen we tegenwoordig met zijn allen) maar te claimen dat het onwenselijk is dat ze dan in een (willekeurige) KPN winkel je gegevens zouden kunnen in zien...

Overigens; er bestaan natuurlijk strenge privacy eisen, code of conducts etc...
Laat jij nou niet de enige KPN-klant zijn en laat god er nou niks mee te maken hebben… Dus je bent niet jij, bidden helpt niet en je hebt bijvoorbeeld goede ervaring met face-to-face klantenservice of je snapt er geen drol van en wilt dat iemand je ergens mee helpt en/of het uitlegt. Goh, wat zou je dan toch liever doen? Oh ja!!! Naar de winkel! 8)7

Edit: en laat die KPN website nou soms kuren hebben, dan kun je niet zelf iets regelen en zul je wel naar de klantenservice moeten. En dan heb je sommige mensen die graag bellen en anderen die naar de winkel willen.

[Reactie gewijzigd door Blizz op 8 december 2015 15:05]

Maar als jij als KPN-klant bij ThePhoneHouse binnenloopt om je abonnement aan te passen, zullen ze hier wel toegang toe moeten hebben om dit te kunnen doen.
Natuurlijk is dat handig. (Het is ook handig als ik alle inloggegevens van Tweakers.net krijg. Dan kan ik de site eens flink opleuken ;).)
Waar het om gaat is of KPN gerechtigd is om die portal-inloggegevens aan de medewerkers van de ThePhoneHouse te geven. Me dunkt eigenlijk van niet. De kans op misbruik is gewoon te groot.
Het is niet zo dat je meteen alle klantgegevens hebt hoor. Je zult toch 06 nummer en geboortedatum/klantnummer/simnummer of iets anders moeten weten om de gegevens op te vragen. Dat hij de gegevens van 14 miljoen mensen in kon zien is dan ook onzin, ook zie je alleen NAW gegevens en type abonnement, rekeningnummers, facturen en dergelijke zijn niet in te zien.

Desalniettemin erg slordig om wachtwoorden zo op te slaan.
Ik lees dit in het artikel:

Volgens Ruwhof is deze bewering onjuist, omdat wel degelijk toegang tot naw-gegevens en mogelijke andere gegevens kon worden geboden, dit zou blijken uit contact tussen Ruwhof en een getroffen provider.

Lijkt me dus een kwalijke zaak.
Ja en dat is dus niet waar. Bij alle netwerken(behalve tele2 trouwens) moet je een combinatie van minimaal 2 items invullen om de klantgegevens te kunnen zien.
Bij een bepaald zakelijk dealerportaal van KPN staan gewoon de laatste 10 aanmeldingen o.i.d. zichtbaar in het systeem. Vrijwel elke winkel heeft ook een overzicht van alle aanvragen die ze hebben ingeschoten.
En dan? Dan zou het dus zo zijn dat pietje op die manier zou kunnen weten dat bedrijf A iets bij KPN geregeld heeft.

We gooien onze privacy op zoveel andere manieren te grabbel tegenwoordig, dan is dit niet echt iets om je direct zorgen over te maken. Nog los van dat medewerkers scherp zijn op privacy en dit ook verplicht zijn.
Naam,
Adresgegevens,
telefoonnummer
emailadres
Geboortedatum,
Bankrekeningnr (excl. laatste 3 cijfers)
vaak kopie id bewijs, afhankelijk van het bedrijf zonder bescherming van je sofi nummer.

Oftewel, zo ongeveer alles wat er nodig is om op rekening te bestellen.

Zijn niet echt bepaald gegevens die bij de meeste op facebook publiekelijk te vinden zijn.

[Reactie gewijzigd door Chrotenise op 9 december 2015 22:40]

Bij nader inzien:
wat probeer je nu te impliceren eigenlijk? Nog even los van dat het me zeer onaannemelijk lijkt dat BSN ergens opgeslagen wordt aangezien dat niet toegestaan is, zie ik niet zo goed wat je nu probeert over te brengen.
Dat je niet per se bij alle telecomsystem gegevens van de klant moet hebben om een leuk aantal persoonlijke gegevens buit te maken.

En mbt tot bsn: als jij een scan inlevert van je id en ze blocken je bsn niet, dan staat hij gewoon mooi op de attachment in het systeem. Aangezien een medewerker vaak actief gebruik moet maken van een of ander stencil om dit te doen, zitten er uiteindelijk meer aanvragen in je systeem waarbij je het wel kan zien dan niet.
Punt 1: eens
Punt 2: als de bsn met een privacy mal wordt afgeschermd, hoe zou die dan alsnog weer zichtbaar kunnen zijn? Dat klinkt tegenstrijdig. Enige 'risico' is verkeerd gebruik van een privacy mal, daar bestaan volgens mij dan juist in- en externe audits voor...

Voornaamste 'valkuil' is de gebruiker (medewerker) zelf, volgens mij geldt dat echter in andere bedrijfstakken meer.
Zie daar de kracht van lijsten die via marketing bureaus te koop zijn.
Je kan dan tel nummer postcode nemen en en hebt alle gegevens bij de hand.

2 items lijkt veel maar veel van die informatie is te achterhalen via andere bronnen en kan ook geautomatiseerd worden ingegeven.

Blijft natuurlijk wat heeft the phone te zoeken in de database van een provider. Zelfs al weten ze 2 items het blijft toegang geven aan 3den tot jou database.
Zie daar de kracht van lijsten die via marketing bureaus te koop zijn.
Je kan dan tel nummer postcode nemen en en hebt alle gegevens bij de hand.

2 items lijkt veel maar veel van die informatie is te achterhalen via andere bronnen en kan ook geautomatiseerd worden ingegeven.
Als je zo'n lijst hebt dan heb je al net zoveel gegevens als je dat je uit een systeem van de telco krijgt hoor. Weet niet waarom je denkt dat je hele leven in zo'n systeem staat. Bel gegevens en dergelijke zijn niet zichtbaar oftewel een ander systeem. Ook het automatiseren valt tegen, als je onredelijk veel opvragen doet, dan wordt je code gewoon geblokkeerd.

Duik bij iemand in z'n prullenbak/kliko en je hebt al meer gegevens en data te pakken hoor. En minder risico.
Blijft natuurlijk wat heeft the phone te zoeken in de database van een provider. Zelfs al weten ze 2 items het blijft toegang geven aan 3den tot jou database.
Tja als ze dat niet doen, dan kunnen alle telefoonwinkels+webwinkels en al het andere wat abonnementen verkoopt wel opdoeken. Je zal toch bij die gegevens moeten als je een abo wilt verlengen.
Telefoonnummer, naam en geboortedatum zijn bij 50% van Nederland met wat zoeken op Facebook te vinden. Als je met behulp van een dergelijk systeem daar ook een adres aan kan knopen is het echt een ideale stalkerstool.
Dan is het volgens jou dus wel waar en is de 'getroffen provider' kennelijk Tele2. Hoe goed ken je alle andere providers om zeker te weten dat die uitspraak voor hen echt niet opgaat?
Zoveel verschil in mate van ernst is er niet tussen het lekken van NAW-gegevens en het lekken van rekeningnummers.
Het komt er op neer dat 1 rotte medewerker die zijn login verliest er voor kan zorgen dat een hacker bij alle naw gegevens kan komen van alle providers.
Erger nog, daar hoef je dus niet eens een hacker voor te zijn als deze gegevens uitlekken. Dit kan iedereen, je hoeft alleen maar in te loggen en geen SQL-injectie o.i.d. toe te passen. 8)7
De scheidslijn tussen 'onderzoeker' en 'hacker is natuurlijk ook vrij vaag..
In theorie is die scheidslijn totaal niet vaag, maar wetgeving en werkwijze zijn tot op de dag van vandaag nooit erg duidelijk vastgesteld waardoor het in de praktijk veelal wordt bepaald door interpretatie van de journalistiek e.d. Maar als je over de uitersten spreekt dan is het verschil uiteraard wel heel duidelijk. Op 'de persoon' genomen heeft het vaak met de achtergrond en de basis te maken waarop de 'onderzoeker' zijn werk doet.

Eigenlijk (imho) kan je pas echt over een onderzoeker spreken als je het hebt over iemand die ook wordt betaald/vergoed om het werk te doen, deze persoon (of organisatie) beschikt dan normaal gesproken over de juiste kwalificaties en geeft in zekere zin 'openheid van zaken' over werkwijze en bedrijfsvoering en doet het werk integer... met andere woorden 'een professional'. Eigenlijk alles wat daarbuiten valt, ook al is het met goede bedoelingen, mag een hacker worden genoemd. Zelfs al ben je ingehuurd door bijvoorbeeld een overheid om 'stiekem' onderzoek te doen val je wat mij betreft al binnen het credo 'hacker' omdat je ongevraagd/ongewenst werk verricht zonder openheid van zaken en/of ter verbetering van beveiliging.
Sterker nog, een degelijke onderzoeker kan ook zichzelf betalen of uit derdenfondsen putten (een student die een scriptie over computerveiligheid doet om maar een triviaal voorbeeld te noemen) en een goedbetaalde onderzoeker kan ook gewoon in hart en nieren een hacker zijn. Hopelijk wel, eigenlijk. Lijkt mij dat je de definities en criteria nog eens goed moet doorlopen en herschrijven.
Volgens mij valt jouw beschrijving over een student en een onderzoeker die 'in hart en nieren een hacker is' prima binnen mijn definitie, het gaat uiteindelijk zoals ik al heb beschreven om de intentie en de werkwijze. Buiten dat ik juist expres niet teveel op de inhoud ben ingegaan maar voornamelijk de omstandigheden beschrijf wanneer iemand zich een 'onderzoeker' zou mogen noemen.

En hoe zie jij het voor je dat iemand zichzelf betaald? 8)7 Lijkt mij eerder dat jij je manier van beredeneren nog eens goed moet doorlichten voordat je kritiek levert.
Over die student en het niet ingaan op de inhoud ben ik het wel met je eens. Ik vind alleen dat je een in mijn ogen heel curieus strak gedefinieerd beeld schetst van wat een onderzoeker zou moeten zijn.

Jezelf betalen, pro bono werken, op een houtje bijten, fondsen uit andere bronnen of algmene fondsen betrekken. Ik heb werkelijk geen idee waarom een onderzoeker alleen een onderzoeker mag heten als hij aan een hele resem aan eisen voldoet. Het is geen beschermde titel.

Bovendien is hacker niet zozeer een taakomschrijving of een baan maar ook een manier van werken. Iemand die aan de definitie van een onderzoeker voldoet kan dus bovendien een hacker zijn.

[Reactie gewijzigd door mae-t.net op 13 december 2015 16:09]

Ik schets geen strak beeld, ik zet een streep tussen waar je het verschil kan maken tussen een hacker en een onderzoeker... of misschien beter gezegd wanneer een hacker zich een onderzoeker zou mogen noemen. En die streep zet ik duidelijk bij de intentie, het doel en de werkwijze. Het jezelf een onderzoeker mogen noemen lijkt mij toch echt wel meer een beschermde titel, er hangt dan een bepaalde waarde/verwachtingen aan het werk wat je doet en hoe je het doet.

Om het te vertalen naar een ander beroep wat in dit geval tot de verbeelding spreekt... als ik deuren openbreek ben ik niet per definitie een inbreker, dat hangt er vanaf vanuit welke intentie/doel ik dat doe. Maar een inbreker met bijbehorende intenties blijft een inbreker... alleen het grote verschil is dat in dit geval de wetgeving daar heel duidelijk over is.

[Reactie gewijzigd door MicGlou op 13 december 2015 16:39]

Een beschermde titel is bijvoorbeeld Ingenieur of Architect. Hacker en onderzoeker zijn gewoon woordenboekdefinities waar niemand rechten aan kan ontlenen (onderzoeker -> iemand die onderzoekt, met name maar niet uitsluitend wetenschappelijk), vandaar dat we discussieren om ze duidelijk te krijgen.

Tegenwoordig lopen hacker en cracker wat meer doorelkaar, misschien dat daar ook wel een probleem met de afbakening ligt:

Voor mij overlappen juist de definities van hacker en onderzoeker voor een groot deel, terwijl een cracker meer iemand is die uit baldadigheid of gewin aan deuren gaat lopen voelen en er niet op uit is om serieus onderzoek te plegen.

[Reactie gewijzigd door mae-t.net op 14 december 2015 04:28]

Zeker slordig van the Phonehouse maar als gebruiker heb je ook een verantwoordelijkheid zorgvuldig om te gaan met wachtwoorden. Op een vrij simpele wijze wachtwoorden laten afkijken hoort daar niet bij!
Dat dit type databases ten alle tijde met tenminste een two factor authenticatie beveiligd zou moeten zijn lijkt me duidelijk. Maar ook dan moet men de reader of keygenerator niet zomaar rond laten slingeren.
.
Wat dacht je van.. een medewerkerspas met chip?

Weet je ook gelijk wie het lek is als het misgaat.
De boetes kunnen hoog oplopen: variërend van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie.
Risico = kans * impact

Als de impact zo hoog kan zijn als een boete van 810.000 EUR en de kans op dat een dergelijk lek gevonden wordt laag genoeg is, dan hebben grote bedrijven mogelijk geen behoefte om het te melden. Het kleine beetje winst t.o.v. je concurrenten (je komt minder vaak voor in de officiële database met lekken, dus mogelijk een betere concurrentiepositie) kan het de moeite waard maken om het stil te houden.

[Reactie gewijzigd door The Zep Man op 8 december 2015 13:30]

Met een max van 450.000 voor de telecomsector
Jouw offtopic vind ik het mooist, aangezien het stukje over WBP meer opgeblazen wordt dan het werkelijk van belang is voor er boetes gaan komen.
Want als ze ook maar in de notulen op een vergadering hebben staan of op de agenda om er mee aan de slag te gaan dan zullen ze geen boete krijgen.

Belang is dan alleen dat er melding gedaan wordt mocht er een datalek zijn. Meeste bedrijven zullen eerst een waarschuwing krijgen. WBP is meer om bedrijven bewust te maken. Helaas staat het dus alleen op de agenda en wordt er nog te weinig mee gedaan.
Dit is geen uitzondering, dit is de regel.
Dit is waarom ik zo zorgvuldig ben met mijn persoonlijke gegevens en regelmatig van aluhoedjesgedrag wordt beschuldigd als ik m'n gegevens niet wil afstaan. Dat heeft niks te maken met gebrek aan algemeen vertrouwen in een bepaalde persoon of een bepaald bedrijf. Als ik geen vertrouwen had dan deden we überhaupt geen zaken. Ik heb specifiek geen vertrouwen in hoe ze met IT omgaan. Ik kan het niet controleren dus ga ik er maar van uit dat het heel slecht is, zoals overal.

Zelfs als nu alles in orde is dan weet je nog niet wat er in de toekomst gebeurt. Je gegevens blijven altijd in zo'n database zitten. Als een bedrijf later een andere bedrijfsleider, IT-hoofd of eigenaar krijgt dan kan het snel gedaan zijn met de veiligheid. Ik ga er dus van uit dat alles was ik deel op straat komt te liggen. Ik deel dus zo min mogelijk en als ik iets moet opgeven dan lieg ik. Het gevaar is dan weer dat mijn absurde leugens later tegen me gebruikt worden ("U heeft nog geen recht op pensioen want volgens de database wordt u pas volgend jaar geboren").

Ik heb geen concrete zorgen dat ik een bepaald stukje informatie moet verbergen ofzo. Ik weet gewoon niet wat later belangrijk wordt. Misschien is het over 20 jaar oorlog en wil ik dan verborgen houden waar ik vandaan kom, wie ik ken, wat ik doe of hoe ik er uit zie. Misschien wil ik over 20 jaar president van Europa worden en is het onhandig als bekend wordt dat ik ooit ben vergeten om een rekening te betalen terwijl ik me daar nu niet voor schaam.

De toekomst voorspellen is moeilijk, maar dat er nog een hoop databanken gehackt gaan worden is duidelijk. Dat commercie en criminelen hun best zullen doen om zoveel mogelijk geld te verdienen aan hun data (al dan niet legaal verzameld) staat ook wel vast. Trek je eigen conclusies.

[Reactie gewijzigd door CAPSLOCK2000 op 8 december 2015 14:44]

Inderdaad geheel terecht dat je heel veel wantrouwen hebt, het grote probleem is onwetendheid en onkunde...

Het grote probleem is dat de normale man geen benul heeft van wat er daadwerkelijk gebeurt.

Ik wil een ieder aanraden deze uitzending van Zembla eens te bekijken: http://www.npo.nl/zembla/02-12-2015/VARA_101375750

En morgenavond om 20:28 is deel 2 op NPO2 te zien...

In een wereld waar het "Front Nationale" en een Wilders aan de winnende hand zijn moet je je denk ik eens afvragen hoe deze informatie ook gebruikt kan worden om bijvoorbeeld volkszuiveringen uit te voeren. En ja noem mij maar aluhoedje of gek maar we zijn echt te slordig met onze gegevens!
Inderdaad geheel terecht dat je heel veel wantrouwen hebt, het grote probleem is onwetendheid en onkunde...
Dat is niet het grote probleem. Het grote probleem is dat er geen interesse (en budget) is voor de juiste veiligheidsmaatregelen. Er is simpelweg geen financiële prikkel om 't goed te doen. Wordt je betrapt? 'Ach, en nu niet weer doen, he?'. Zo gaat 't altijd. Noem mij één zaak (in NL) waarbij een bedrijf een hoge boete heeft gehad voor 't slecht omgaan met persoonlijke gegevens van vele klanten? Dat er vele van zulke situaties geweest zijn (datalekken), lijkt me wel bekend.
[...]
Noem mij één zaak (in NL) waarbij een bedrijf een hoge boete heeft gehad voor 't slecht omgaan met persoonlijke gegevens van vele klanten? Dat er vele van zulke situaties geweest zijn (datalekken), lijkt me wel bekend.
Misschien onder de nieuwe wetgeving dat er wel wat gaat veranderen...
(Meldplicht datalekken)

En misschien moet de pleuris maar uitbreken, dan verdwijnt de desinteresse vanzelf.
Lullig voor de mensen die dan last gaan krijgen van de gevolgen.
Inderdaad geheel terecht dat je heel veel wantrouwen hebt, het grote probleem is onwetendheid en onkunde...
En ja noem mij maar aluhoedje of gek maar we zijn echt te slordig met onze gegevens!
Ook zonder die slordigheden staan we in het bevolkingsregister vermeld met allerlei gegevens. Zo las ik ergens, lezend over IS(IS) dat die het bevolkingsregister / gemeente register raadplegen om te achterhalen welke gezinnen mannen boven de 14 jaar kunnen leveren om verplicht mee te werken aan het ondertunnelen van Raqqa en de omgeving.
Dan is het kopen van een artikel in de MM ineens minder spannend.
Dit is voor veel organizaties een normale werkwijze. (helaas)

Het onbeheerd achterlaten van een geopend portal komt ook vrij vaak voor.

Daarnaast was het voor deze meneer wel degelijk mogelijk om bij zowel klant als uitgebreide product eigenschappen te komen en aan te passen.

[Reactie gewijzigd door Jonathan-458 op 8 december 2015 13:42]

Sijmen doet op zijn blog een aantal aanbevelingen. In mijn ogen zijn dit nog vrij generieke security aanbevelingen die het in de praktijk niet altijd zullen redden. Een ervan is het opleiden en trainen van personeel. Hoewel ik het er absoluut mee eens ben dat dit dit een positieve bijdrage levert, is het systeem zo ontworpen dat maar één mens een fout hoeft te maken om het probleem te veroorzaken. En we weten allemaal, fouten maken is menselijk.

Wat hier gebeurt, gebeurt op heel veel plekken. Hoe vaak hebben we al niet gezien op plekken als een dokter, apotheek of fysiotherapeut dat gegevens van andere patienten in één overzicht worden getoond. Het begint hier naar mijn mening al met het ontwerp van een bepaald systeem. Een systeem dat bestemd is om te staan in een afgesloten ruimte met uitsluitend toegang door medewerkers, moet aan andere eisen voldoet dan aan systemen die in een (semi-) openbare winkelruimte staan. Loop een willekeurige winkel in en ontdek hoe vaak je mee kunt kijken, zo niet fysiek een pc zou kunnen manipuleren (bv door het insteken van een USB-apparaat). Een applicatie die standaard geen gegevens toont (suggesties doet), of een pc die fysiek is afgeschermd is onderdeel van de architectuur.

Dan het algemene feit van wachtwoordbeheer. Je kunt een gebruiker niet kwalijk nemen dat hij/zij wachtwoorden opslaat in een Excel-sheet. Het is immers niet te onthouden, zeker niet als elk systeem zijn eigen conventies gebruikt. Er zijn anno nu tal van technische mogelijkheden om de gebruiker te ontlasten: denk aan single sign on, federation en tokenization. Ontwerp een systeem op zo'n manier dat de gebruiker vanzelfsprekend aan security doet en vraag hem/haar niet om er constant bij na te denken.
Loop een willekeurige winkel in en ontdek hoe vaak je mee kunt kijken, zo niet fysiek een pc zou kunnen manipuleren (bv door het insteken van een USB-apparaat).
Ander voorbeeld: ik zit bij een opticien, en er wordt mij om wat gegevens gevraagd (zodat ze kunnen opzoeken of ik al bij hun in de computer sta). Vervolgens kan ik gewoon meekijken op het scherm van de opticien naar de gegevens van andere klanten... :?
(Lijstvorm. Een aantal klanten onderelkaar. Maar ik ben niet 't type die dan geboeid gaat zitten staren om te kijken welke gegevens ik allemaal kan zien.)
Als men bijv. op achternaam zoekt, zal men een lijst op het scherm krijgen van anderen met dezelfde achternaam?
Of als men bijv. op straatnaam zoekt, zal men een lijst op het scherm krijgen van anderen die in dezelfde straat wonen?
I.i.g. klopt er iets niet helemaal.

[Reactie gewijzigd door kimborntobewild op 9 december 2015 05:11]

Die herken ik ook, laatst nog mijn ogen laten controleren en ik heb ook altijd zoiets van "wat een slecht afgeschermd systeem" als ze mij aan het opzoeken zijn, maar wat ik vooral denk (dit is bij Pearle overigens) is: hoe oud is dit systeem wel niet?? Want het programma heeft nog een DOS-opmaak en het lijkt me dus ook niet geheel onwaarschijnlijk dat dit daadwerkelijk nog een applicatie uit de jaren '90 is.

Oftewel: ik denk in dit geval dat het gaat om de wet van de remmende voorsprong. In de jaren '90 liep Pearle met deze applicatie ongetwijfeld voorop, de applicatie doet nu al jaren wat ie moet doen en dus wordt er niet eens aan gedacht om een nieuw systeem te gaan maken, want ja, deze doet het toch (nog)?? En een nieuwe kost bakken met geld.
Tja, vind je het gek. Bij elektronicazaken zoals de MediaMarkt is dat meer standaard dan uitzondering. Dat komt omdat er vooral mensen werken met een relatief beperkte kennis van ict. KeePass hebben zij echt nog nooit van gehoord gemiddeld gezien.

Wat is hun kennis? Word en Excel (of in dit geval google docs). Voornamelijk omdat alle omzetlijstjes, planningen e.d. per filiaal ook in excel gemaakt werden. Opzich is het dan vrij logisch dat men ook een excel lijstje maakt voor alle tientallen dealer portals die er zijn met hun wachtwoorden, want uit je hoofd leren is niet te doen.
klopt helaas.

De voorlighting van beveiling & risico is ook bijna 0
Ik kijk er niet van op. Wat ik zorgwekkender vind is dat er niet gerept wordt over het feit dat deze gegevens via een Google Drive zijn opgeslagen. Dus Google heeft op een presenteerblaadje alle NAW gegevens van zowat alle NL'rs gekregen.

Mooi spul dat techniek.
Dat je iets op google drive opslaat, wil nog niet zeggen dat google eigenaar is van alle gegevens waarvoor die toegangscodes gebruikt kunnen worden.

Trouwens, die NAW gegevens staan niet op zichzelf in die Google Drive, maar op de sites waarvan er logingegeves worden bewaard.
Eigenaar of niet, zolang het niet encrypted is, wie zegt dat er niemand bij Google gebruik maakt van die schat aan data? Ik geloof dat dit de core-business is van Google...
Mee eens.. Maar ja. "Google Drive = handig": zegt men dan maar vanuit het gemak, zonder de implicaties hiervan in te willen zien.
Dat kunnen ze dan ook hard aanpakken want dat mag ook niet volgens de wet.
Telco's zijn natuurlijk sterren in het delen van onze gegevens.

- Schijnbaar delen ze alle informatie al onderling met elkaar (wtf, waarom? mag dat?)
- Ze zijn altijd vrij coöperatief geweest met het verlenen van persoonlijke communicatie van hun klanten naar de overheid.
- Ze laten in de regel ook buitenlandse veiligheidsdiensten vrij spel hebben binnen hun netwerken.

Dat dit zo makkelijk gebeurd verbaast mij niets.
Telco's zijn natuurlijk sterren in het delen van onze gegevens.
Ja, en ze maken in hun winkels ook graag een fotokopie van je paspoort of ID kaart, waarop het BSN servicenummer zichtbaar is. Waarvoor geen wettelijke grondslag is en waarmee identiteitsfraude mogelijk is.
Er is zelfs niet alleen geen wettelijke grondslag, het is in wezen zinloos. Een kopie van een ID is alleen zinvol als degene die het originele ID controleert (de winkelmedewerker/-verkoper/telco-medewerker) niet kan worden vertrouwd (ofwel omdat er geen vertrouwen is in de capaciteit van de medewerker een echt van een onecht id-document te onderscheiden, ofwel omdat de medewerker zelf kwaadaardig kan zijn), maar dan is het eigenlijk al te laat. Het zou dus zaak zijn voor die bedrijven mensen in dienst te houden die ze durven te vertrouwen, of het toezicht te verbeteren (Voor de potentiele klant zou het kennelijke gebrek van vertrouwen van het bedrijf in de medewerksrs mij wel een goede reden lijken om zelf ook goed te overwegen of ermee in zee moet worden gegaan). Een kopie van een ID is in wezen onzin.

Verder is het nogal bizar dat die bedrijven zo makkelijk toegang geven tot de gegevens, ook al waren de logingegevens beter beveiligd geweest.

[Reactie gewijzigd door begintmeta op 8 december 2015 15:28]

In de KPN winkel deden ze dat anders heel netjes. Daar werd netjes een masker gebruikt tijdens het scannen om alleen de relevante gegevens zichtbaar te laten.
Dat is je reinste onzin. Jaren lang wordt de bsn al expliciet afgeschermd, tegenwoordig ook zelfs het portret. Daarnaast afhankelijk van het type winkel staat er op de digitaal opgeborgen, slechts voor een bepaalde periode opvraagbare, kopie expliciet het winkelnummer en/of doel vd kopie.

In hotels etc kopiëren ze wel vaak klakkeloos alles. Telecom valt veel op te zeiken, echter niet op dit punt.
Dit is wel op het randje hoor want hij doet met zijn telefoon is wettelijk niet toegestaan en crimineel wel slecht dat de providers dit op die manier faciliteren excel bestandje(google drive) met ww en dan links die via het inet te benaderen zijn.......
Maar zo blijkt is de ''awareness'' bij het gewone voetvolk heel laag en is security nog steeds bij heel veel mensen een onbekende.

[Reactie gewijzigd door nervwrecker op 8 december 2015 15:33]

Maar 't zijn niet de providers die dat op die manier doen. Het zijn de winkelverantwoordelijken die zo'n bestanden aanmaken en op die manier zorgen dat verkopers op de vloer toegang hebben tot een hele hoop dealer sites.

Beveiliging van gegevens is absoluut niet onbekend bij mensen op de vloer/voetvolk, maar de beveiliging die op dit moment standaard ontworpen wordt voor dit soort systemen, is misschien wel prima als je slechts tot één database toegang moet hebben, maar wordt al snel onpraktisch wanneer je met tientallen databases en systemen moet omgaan, zeker in het geval jezelf (zoals op de winkelvloer) een gebruiker bent, en geen ICT'er. Uiteindelijk moet je wel op lapmiddeltjes terugvallen om het allemaal werkbaar te houden. En in de meeste gevallen is er ook helemaal geen ICT'er in de buurt van de werkvloer om dit soort dingen op te volgen of werkbaar te maken. Tja, dan moet je terugvallen op mogelijkheden die een winkelverantwoordelijke biedt, en die heeft meestal andere prioriteiten dan jij blijkbaar.
Je mag er toch wel vanuit gaan dat bedrijven zoals de mediamarkt en the phone house een IT afdeling hebben en die over dit soort dingen nadenken (hopelijk) en anders wel managers die daar rondlopen?
Dan heb je het over een IT-afdeling en/of managers die tot honderden kilometers van de winkelvloer verwijderd zijn. En misschien lijkt het wel vanzelfsprekend dat men op dat niveau oplossingen bedenkt voor dit soort zaken, maar in de praktijk gebeurt dat maar amper. Als om 10u in de ochtend de deuren open gaan, moeten verkopers direct aan de slag kunnen. Die hebben echt geen tijd om over triviale zaken als paswoorden te moeten wachten op managers of IT-diensten, en in-house zijn die mensen er gewoon niet.

Natuurlijk zijn er manieren om dat op te lossen, maar in de praktijk gaat het dan ofwel over lapmiddelen (en die gebruikt men al) ofwel over dure investeringen. Maar zelfs met die zogenaamde dure investeringen loop je erg vaak tegen het probleem op dat die vaak zijn uitgewerkt door mensen zonder ervaring op de vloer, en loop je tegen hopen problemen op waarbij je klanten moet laten wachten.

Managers die tijd hebben om rond te lopen en dit soort problemen op te vangen, ik ben het nog nergens tegengekomen. Die hebben wel meer dingen om handen.
Precies dus blijft een ondergeschoven kindje en zul je dit soort dingen blijven zien.
KPN verdient volgens hem een speciale vermelding omdat meteen actie werd ondernomen.
Zullen we er maar een tweede speciale vermelding bovenop gooien voor geweldige wachtwoorden: "beginnen01" of nog beter: "m".

Niet dat anderen het beter doen met "Utrecht", "Welkom03" (zou het al 2x gelekt zijn? :P ) en in 2 gevallen "12345678".

Op zich ben ik niet verbaasd dat er zulke zwakke wachtwoorden tussen zitten, ik ben wel verbaasd dat het er zoveel zijn.
Het nadeel is dat veel bedrijven de eis stellen minimaal 8 karakters, 1 hoofdletter 1 kleine letter en 1 cijfer minimaal.
De winkel mag na het start wachtwoord zijn eigen watchwoord verzinnen en elke 2-3 maanden veranderen, dan krijg je dit soort onzin.
Heb zelf ook in een winkel gewerkt waar ze deze wachtwoorden met een briefje aan het scherm plakten...
Het nadeel is dat veel bedrijven de eis stellen minimaal 8 karakters, 1 hoofdletter 1 kleine letter en 1 cijfer minimaal.
De winkel mag na het start wachtwoord zijn eigen watchwoord verzinnen en elke 2-3 maanden veranderen, dan krijg je dit soort onzin.
Heb zelf ook in een winkel gewerkt waar ze deze wachtwoorden met een briefje aan het scherm plakten...
Ach ik heb en tijdje bij een beveiliger gewerkt, waar de surveillance geen schakelcodes had.
Als je een alarm moest (de)activeren moest je je inmelden, en werdt het "gecodeerd" verzonden.
Moest je de ontvangen cijfers met 1 ophogen .... :|
Via de mobilofoon, waar overdag het open kanaal OOK gebruikt werd door de afvalservicemedewerkers.

Elke surveillant had een boekje in zijn zak, met objectnummer + code ... maar de centrale wilde het niet aan ... 'te onveilig'
Ik heb ooit ergens gewerkt waar als je niet je systeem lockte als je er van weg liep er altijd één collega was die er dan even een 'leuke' achtergrond op je desktop zette.
Dus Windows toets+L zit sindsdien in mijn geheugen gebakken :-)
Dat werkt vaak wel het beste haha.
Ik heb ooit geweten dat er bij een niet gelockte PC naar alle collega's een informatief e-mailtje gestuurd werd dat er de dag daarna koffiekoeken werden meegebracht.

Als iemand dan nog even een reply deed op de mail die in naam van de collega was verstuurd, was desbetreffende meteen op de hoogte dat hij/zij koffiekoeken had beloofd aan iedereen :Y) .
Met een dergelijke werkwijze trek je uiteraard zelf ook een lange neus naar de beveiliging ook al is het ludiek bedoelt... bij mij werkgever is dat in het verleden ook gebeurd met als resultaat flink geïrriteerde slachtoffers en het gehoon van de rest. Maar sinds de regels in het algemeen maar dus ook daaromtrent zijn aangescherpt alweer een jaar of 5/6 geleden staan daar wel consequenties op. De persoon die de pc/laptop niet locked en dit wordt gezien dan krijg je een standje en niet meer, bij veelvuldige herhaling sowieso een flink minpunt op je beoordeling. Maar de persoon die er met een dergelijke wijze grappig mee denkt om te gaan mag sowieso een dagje onbetaald naar huis, mag op gesprek komen en standaard een slechte beoordeling... stond je er al niet zo best voor dan kan het zelfs betekenen dat je bij je eindbeoordeling wordt gevraagd om naar een andere baan te zoeken. Zal voor sommigen erg zwaar overkomen, maar we nemen dergelijke zaken simpelweg serieus... persoonlijk vind ik dat ook geheel terecht en dit zou dus duidelijk bij andere bedrijven ook ingevoerd mogen worden.

PS... wij gaan dus ook met veel NAW gegevens om, maar ook nog gevoeliger/persoonlijkere informatie van zo'n 1,5 tot 2 miljoen personen.
Dan zou er bij iedereen een knop op de desktop moeten staan met 'screensaver vergeten' zodat iedereen daar anoniem op kan klikken wanneer de computer onbeheerd is.

Dan neem je het helemaal serieus.
Ironisch genoeg was dat voor mij 1 van de telco's uit het verhaal en was ik de collega die het wel eens deed. Kleurschema aanpassen, beeld spiegelen etc.
Ruwhof schat dat The Phone House via deze weg toegang had tot de gegevens van elke Nederlander met een mobiele telefoon, naar eigen schatting tussen de 10 en 14 miljoen.
Nuance, met een mobiel abonnement.
Nog een goede reden om geen abonnement te nemen.
Ik heb een niet geregistreerde Prepaid SIM.
Een kwatsj-reden om geen mobiel abonnement te nemen lijkt me. Je gegevens zijn op 1000 en 1 plekken geregistreerd en inzichtelijk voor een hele hoop mensen.
Een kwatsj-reden om geen mobiel abonnement te nemen lijkt me. Je gegevens zijn op 1000 en 1 plekken geregistreerd en inzichtelijk voor een hele hoop mensen.
Dat is nog een reden, zoals ik aangaf! In veel gevallen is het goedkoper, flexibeler en misbruik is maximaal t.m. het opgewaardeerde bedrag.
Als jij blij bent met je mobile abonnement is dat aan jouw, ik hoef mobiel abonnement.

Dat jij er geen probleem mee hebt dat je gegevens op 1000 en 1 plekken geregistreerd worden en inzichtelijk zijn voor een hele hoop mensen is aan jouw.
Ik heb er wel problemen mee.

Als ik het kan voorkomen zal ik het doen.
Probeer die nog maar op te snorren tegenwoordig...
Tegenwoordig worden die vziw ook geregistreerd...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True