Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 120 reacties
Submitter: ITsEZ

Webwinkel Typhone.nl heeft een datalek ontdekt en gedicht. Gedurende naar schatting een jaar waren de persoonsgegevens van klanten van Typhone en zakenpartners Media Markt, gsmeasy.nl en Phone House in principe van buiten toegankelijk.

De gegevens in kwestie zijn naw-gegevens, bankrekeningnummers en, in een beperkt aantal gevallen,  documentnummers van id-kaarten. Het bedrijf maakte vrijdag, in overeenstemming met de nieuwe wettelijke meldplicht voor datalekken, het nieuws bekend op zijn website. Typhone werd in het jaar 2000 opgericht en heeft inmiddels een klantenbestand van 201.000 mensen groot. Volgens een woordvoerster van Phone House vallen daar ook de klanten van de zakenpartners onder. Typhone verzorgt de 'e-fulfillment' voor die drie bedrijven en heeft zodoende ook gevens van klanten van die drie in huis. Vandaar dat klanten die nooit zaken hebben gedaan met Typhone toch een communicatie van het bedrijf ontvingen.

Het lek werd ontdekt tijdens een systeemmigratie naar aanleiding van de overname van het bedrijf door Relevant Holdings. Er is nog geen misbruik van het datalek aan het licht gekomen bij het bedrijf, maar een woordvoerder meldt ook dat het op dit moment 'geen idee heeft hoe groot de kans op misbruik is'. Dat het lek langer dan een jaar aanwezig was, lijkt volgens Typhone 'uitgesloten'.

De gegevens op de servers van Typhone waren wel versleuteld, maar het bedrijf treedt niet in detail over hoe sterk de encryptie is. De woordvoerder benadrukt dat er 'meerdere stappen genomen moesten worden om bij de data te komen'. Typhone verzekert Tweakers dat het zijn verantwoordelijkheid zal nemen in het geval van geleden schade door het datalek. Daarnaast raadt het bedrijf aan om alert te blijven op verdachte communicaties, zoals een afwijzing voor een lening die de gebruiker niet zelf aan heeft gevraagd. Bij eventuele identiteitsfraude is het zeer raadzaam om aangifte daarvan te doen bij de politie.

Typhone werkt niet met gebruikersaccounts, maar geeft per bestelling een ordernummer af waarmee gebruikers de orderstatus kunnen bekijken. Er is dus ook geen sprake van wachtwoorden en de opslag en het mogelijke lekken daarvan. Klanten van Typhone hoeven in dit geval dus ook geen wachtwoorden aan te passen.

Update, 13:11: Typhone meldt in zijn bericht al dat gegevens van klanten bij zakenpartners Media Markt, gsmeasy.nl en Phone House ook onder dit lek vallen. Typhone is zakenpartner van deze bedrijven en klanten kunnen via Typhone een overeenkomst met ze sluiten. Echter, Tweakers Donstil, fm77 en dennistd geven te kennen dat ze de waarschuwing over het datalek ook hebben ontvangen per e-mail, maar dat ze helemaal nooit klant zijn geweest bij Typhone. Hoe het precies kan dat hun gegevens alsnog blootgesteld waren, is op dit moment niet bekend. Om hoeveel klanten van de partnerbedrijven het gaat, is op dit moment ook niet bekend. Tweakers heeft Typhone gevraagd om verdere opheldering.
 
Update, vrijdag 26/08: twee nieuwsfeiten toegevoegd naar aanleiding van verdere opheldering door Phone House. Dat zijn: het feit dat de onder de 201.000 getroffen klanten ook de klanten van de zakenpartners zitten en een opheldering over waarom consumenten die nooit zaken hebben gedaan met Typhone maar bijvoorbeeld wel met Phone House toch een bericht van het lek kregen. Het ziet er dus naar uit dat Typhone, in zijn verlangen om het datalek tijdig bekend te maken, de verwarring die bijvoorbeeld bij Donstil, fm77 en dennistd ontstond simpelweg niet goed heeft weten te ondervangen.
 
Typhone, gsmeasy.nl en Media Markt hebben aan deze en andere vervolgvragen geen gehoor gegeven.

Gerelateerde content

Alle gerelateerde content (20)
Moderatie-faq Wijzig weergave

Reacties (120)

Naar aanleiding van de update met vragen hoe het kan dat je zonder klant bij typhone te zijn toch een bericht ontvangt: Heeft niemand bij de redactie dit Tweakersbericht uit 2013 ooit gelezen?
nieuws: Phone House wordt verantwoordelijk voor telecom bij Media Markt en Sa...

[edit: typo]

[Reactie gewijzigd door kodak op 18 juli 2016 03:26]

Heeft niemand bij de redactie dit Tweakersbericht uit 2013 ooit gelezen?
Zeker wel. Ten tijde van de publicatie van dat artikel zullen meerdere redacteuren het gelezen hebben. Maar het is (was) weekend. Al die redacteuren hadden twee vrije dagen. Alleen ik was aan het werk, en ik had hem niet gezien. Ik heb me in mijn zoektocht naar een verklaring voor het verband gericht op Google searches en LinkedIn. Ik had niet gedacht dat een dergelijk detail op Tweakers zou staan.

En dat klopt eigenlijk ook. De relevante zin in dat artikel is:
Phone House biedt in Nederland daarnaast zijn producten en diensten aan via de websites Typhone.nl en Gsmeasy.nl
Dat verklaart nog steeds niet hoe een klant van GSMeasy slachtoffer wordt van een datalek bij Typhone. Waarschijk hebben ze een gedeelde infrastructuur, maar dat zou ik graag bevestigd zien van Typhone. Ook zou ik graag horen hoeveel klanten van die bedrijven dan blootgesteld zijn in aanvulling op de 201.000 van Typhone.

Maar dank je wel voor de link. Het biedt toch weer wat meer context.

[Reactie gewijzigd door Mark_88 op 18 juli 2016 11:44]

Is er ondertussen wel verdere opheldering geweest?

Ik ben zelf nu ook redelijk verward omdat ik meermaals in het verleden via The Phone House en ongetwijfeld (nu ontdekkende dat deze ook een zakenpartner is) de MediaMarkt ook mijn gegevens aan Typhone zal hebben verstrekt (ontvang ook nog steeds hun nieuwsbrieven...) maar geen e-mail heb mogen vinden die mij van dit lek op de hoogte stelt...
Moet ik er dan vanuit gaan dat mijn gegevens niet getroffen zijn?

Doordat ik zelf verward ben vraag ik mij ook af; Zou het vreemd zijn om bij zo'n lek voor de zekerheid ook de nieuwsbrieflezers op de hoogte te stellen? Doordat ik wel (zonder direct via typhone te vragen) hun nieuwsbrief ontvang is voor mij (m.i.) niet meer na te gaan ůf en vooral wťlke gegevens zij wel of niet hebben...
Vandaag geen reactie op mijn mails gehad. Ik zal er mogen nog een telefoontje aan wagen.

Aangezien anders Tweakers aan hebben gegeven dat ze de mail hebben ontvangen ondanks dat ze nooit met Typhone te maken hebben gehad, zou ik er voor de zekerheid op dit moment van uit gaan dat je gegevens in dat jaar 'in principe van buiten toegankelijk waren'.
Typhone en Gsmeasy delen een postbusnummer:
https://www.google.nl/?cl...tbusnummer+7917+eindhoven

En een rekeningnummer (Online Telecom Services):
https://www.google.nl/?cl...elecom+Services&gfe_rd=cr
Interessant. Thanks! Deze vier partijen delen wel een hele hoop. Moeilijk te volgen, af en toe. De woordvoerder was vergeten op mijn op zondag gemailde vervolgvragen te reageren. Alles is nogmaals netjes op een rijtje gezet en gemaild, dus we gaan het zien.

Ik vermoed dat er naast de 201.000 Typhone-klanten ook nog weet-ik-veel-hoeveel klanten van de overige drie getroffen zijn, die nog niet benoemd en becijferd zijn. Ik ben benieuwd.
Dag Mark,
Ik vroeg me af of er al antwoord is op je vragen, zelf ben ik ook de dupe via GSMEasy.nl (zonder klant geweest te zijn bij Typhone).
Kan ik nog iets ondernemen richting GSMEasy/Typhone?
Of zijn er andere acties die ik het beste kan doen n.a.v. evt. identiteitsfraude?
Thanks!
Vervolgvragen naar Typhone gemaild. Geen antwoord op gekregen ('nieuws is nu oud, dus niet meer van belang'). Zelfs niet na er achteraan bellen. Ik ga nog contact opnemen met MM, GSMeasy en Phone House met dezelfde vragen. Wel in mijn eigen tijd - dus geef me even de tijd!

Edit: om antwoord te geven op je vragen: er is weinig dat je momenteel kunt doen. Als er sprake is van een wachtwoord bij GSMeasy, zou ik die veranderen. Eventuele duplicaten van dat ww bij andere accounts ook. Verder goed correspondentie in de gaten houden. Bevestigingen/afwijzingen van leningen die je zelf niet hebt aangevraagd, bijvoorbeeld. Doe vooral ook aangifte van eventuele identiteitsfraude en ga voor een schadevergoeding bij Typhone. Ze hebben al toegezegd dat ze eventuele schade compenseren.

[Reactie gewijzigd door Mark_88 op 27 juli 2016 20:40]

Hi Stoomboot, ik heb een update naar wat gebruikers gestuurd via PB, maar volgens het systeem kan je geen PB's ontvangen. Als je dit kan fixen in je profiel, dan stuur ik je de update. Laat maar weten!
Ah, gewijzigd! Thanks.
Uiteraard hadden we dit graag anders gezien, maar op dit moment is ons geen misbruik bekend.
Bron: http://www.typhone.nl/persbericht
Altijd mooi zo'n uitspraak. Hiermee klinkt het vrij positief, maar eigenlijk zeg je gewoon:
Het kan best al een jaar misbruikt zijn, maar aanwijzingen hebben wij nog niet gevonden. Misschien gaan we die ook niet vinden.
Wat moeten ze dan zeggen?

"Het is misbruikt, want we weten niet wat er mee is gedaan?" Ze kunnen dit gewoon niet goed brengen. Ik ben al blij dat een bedrijf een keer het lef heeft toe te geven dat ze gehacked zijn, zonder dat er eerst genoeg druk van buitenaf moet komen.

Ik denk dat daar ook wel een probleem zit. Bedrijf wordt gehacked.

Optie A: Zeg niks, is fout (logisch)
Optie B: Geef toe dat het zo is, en geef aan wat je wel/niet weet? Het wordt gelijk aan alle kanten aangevallen en afgekraakt.

Ik snap dat bedrijven dan voorzichtiger worden met naar het publiek komen dat zoiets heeft plaatsgevonden. Je ziet steeds meer bedrijven (ook uit mijn omgeving), die het alleen richting het management/aandeelhouders melden, richting de betrokken partijen en voor de rest niks.
Want wat ze ook zeggen, het zal nooit goed gevonden worden.
Mee eens. Op optie B heerst een taboe. Het zou simpelweg een verplichting moeten worden om het publiekelijk te melden zodat het taboe afneemt en er uiteindelijk geen meer is. Beter openheid geven dan met hetzelfde probleem kampen en optie A kiezen.
Dat is toch verplicht inmiddels. Dat de meeste bedrijven zich daar waarschijnlijk niet aan houden ligt eraan dat de boetes gewoon een lachertje zijn.
Een lachertje?.. Heb je daar een bron van? Ik vind onderstaande niet bepaald een lachertje.
De Wet Meldplicht Datalekken is in werking getreden op 1 januari 2016. Bij een datalek is er sprake van overtreding van de Wbp. Dan kan een bestuurlijke boete worden opgelegd met een maximum van 500.000 EURO. In bijzondere gevallen kan de privacytoezichthouder een nog hogere boete opleggen: tot 820.000 EURO of, als dat niet passend is 10% van de netto jaaromzet van de onderneming.

[Reactie gewijzigd door etienno op 17 juli 2016 11:18]

In de praktijk is er nog nooit naar buiten gekomen of er zo'n boete daadwerkelijk is toegekend. Dergelijke maximum boetes worden eigenlijk al helemaal niet toegekend, zeker niet aan dusdanig "kleine" bedrijven. Deze boetes zijn eerder van toepassing als een groot bedrijf, denk aan Google/Microsoft, die door ernstige nalatigheid (je zou verwachten dat dit soort bedrijven bepaalde expertise hebben) een datalek constateren.
De boetes mogen pas sinds deze januari gegeven worden, en de verwachting is eigenlijk dat er een hoge boete gaat vallen, waarmee AP haar tanden laat zien.
500k of desnoods 820k is natuurlijk gewoon een lachertje, en er zou minimaal het 10voudige opgelegd moeten kunnen worden,

als je weet dat deze bedrijven jaarlijks tienduizenden abonnementen afsluiten en daar kopieŽn van id-kaarten bij verlangen dan gaat het dus om tienduizenden zo niet honderduizenden gedupeerden: wat zou het kosten om al deze mensen een nieuw bsn-nummer te geven? of om alle bkr-registraties terug te draaien, de schade voor deze mensen individueel zou met wat pech wel eens duizenden tot tienduizenden euro's kunnen gaan bedragen, dan is die 500.000 die zo'n bedrijf mag lappen, (als er al geen 'verzachtende omstandigheden waren) gewoon een schijntje.
500k of desnoods 820k is natuurlijk gewoon een lachertje
Natuurlijk joh. Waarom eis je niet meteen het faillissement van een bedrijf? :?

Er zijn volop kleinere bedrijven die de know how niet hebben om het allemaal goed te regelen. Dus die huren het in, waarbij ze dus afhankelijk zijn van de expertise van derden.
Niet ieder bedrijf dat persoonsgegevens opslaat heeft een miljoenen-omzet, laat staan winst!
En ja, er bestaat de mogelijkheid voor grotere boets: 10% van de jaaromzet is bepaald niet weinig!
Als je verder leest dan de eerste regel zie je toch dat hij het over deze grote bedrijven heeft en niet over volop kleinere bedrijven? :P

Of 820k een lachtertje is voor typhone laten we maar even in het midden.
De MM is ook al jaren niet gezond meer, is ook wachten totdat die eruit klappen, boetes als 820k worden die echt niet vrolijk van.

[Reactie gewijzigd door LopendeVogel op 17 juli 2016 20:20]

Waar ik op reageer is het gemak waar "even" geroepen wordt dat de boetes nergens op slaan en veel te laag zijn.
Alleen het feit dat er tot 10% van de jaaromzet gevorderd kan worden toont al aan dat de boetes echt niet lachwekkend zijn, nog los van de vele juridische kosten die bedrijven kwijt zijn als ze zo'n boete opgelegd krijgen.
Of 820k een lachtertje is voor typhone laten we maar even in het midden.
Bij ieder bedrijf (zelfs de grootste in de wereld) bereiken boetes van dit niveau de boardroom. Je ziet het misschien niet direct in de jaarcijfers terug, maar er is geen bedrijf waar dit soort boetes zonder interne consequenties zomaar worden betaald.
Er is geen verplichting dit publiekelijk te melden. Wel bij de AP en in bepaalde gevallen bij de mensen om wie het gaat zelf.

Zoals etienno al aangeeft zijjn de boetes geen lachertjes.

Echter heeft de AP vooraf bekendgemaakt tot 1 juli 2016 een 'coulance periode' te hanteren waarin in principe geen boetes worden uitgedeeld.

Daarna zal er zoveel mogelijk met bindende aanwijzingen worden gewerkt als dwangmiddel om een bedrijf problemen op te laten lossen.

Is een bedrijf echt over de schreef gegaan dan zullen er wel degelijk bestuurlijke boetes worden opgelegd.

Daarnaast zou het mij niet verbazen dat er ook een strafrechtelijke vervolging gaat komen bij bewuste nalatigheid met ernstige gevolgen voor betrokken personen.
Sinds januari 2016 is het keihard verplicht.
In de aangescherpte wet bescherming persoonsgegevens zoals van kracht sinds 1 januari 2016 is geen verplichting opgenomen om publiek te melden.

Desalniettemin zijn er ook omstandigheden waarbij het wenselijk, wellicht zelfs noodzakelijk, is om publiekelijk melding te maken van een incident, al dan niet een datalek.
Ow, dacht van wel.. dan mag de wet scherper omdat alleen een publieke melding een ding is waar bedrijven denken van 'Ik kijk wel uit'.
Nja wat betekent de eerste zin dan?
Het bedrijf maakt vrijdag, in overeenstemming met de nieuwe wettelijke meldplicht voor datalekken, het nieuws bekend op zijn website.
Die zin is een on-zin. ;-)

De meldingsplicht geldt voor de verantwoordelijke naar de AP en in bepaalde gevallen direct naar de betrokkene. Dat je het zelf op de website zet heeft met 'damage control' te maken om eventuele imago schade in te perken.
Ze kunnen dit gewoon niet goed brengen. Ik ben al blij dat een bedrijf een keer het lef heeft toe te geven dat ze gehacked zijn, zonder dat er eerst genoeg druk van buitenaf moet komen.

Ze geven dus niet toe dat ze gehackt zijn. Ze weten het niet. Het enige wat het bericht zegt is dat ze niet weten of ze gehackt zijn. Wat ze wel zeggen is dat de gegevens toegankelijk waren.
Gegevens waren van buitenaf bereikbaar dus hacken was niet eens nodig. Ik vermoed dat het om een bestand met gegevens ging die van buitenaf bereikbaar was, dus www.typhone.nl/gegevens.xml oid.
Dan hoef je niet te hacken dan is het een kwestie van de juiste url weten.
Het is dus logisch dat ze het woord hacken niet in het bericht opnemen of als zodanig bestempelen.

[Reactie gewijzigd door Vexxon op 17 juli 2016 11:14]

In dat geval zou het netjes in de accesslogs te zien moeten zijn.
Klopt, mits ze die hebben.
Het doen van een "educated guess" naar de juiste naam van dat bestand, valt wel degelijk onder hacken. Bovendien waren er volgens het bericht meerdere stappen nodig. Dus stap 1 goed gegokt en stap 2 misgekleund leverde misschien niet eens zekerheid op welke stap goed was. Dat valt absoluut binnen zowel de lekendefinitie als de vakdefinitie van hacken.

De enige reden dat er geen hacken staat, is dat niet bekend is of het lek daadwerkelijk misbruikt is.

[Reactie gewijzigd door mae-t.net op 18 juli 2016 03:47]

Het kan ook altijd nog zijn dat een medewerker de boel op een extern te bereiken locatie heeft gezet. Zal niet de eerste keer zijn dat de boel van binnenuit is leeggehaald.
Joh.. ze moeten wel.. als de nieuwe autoriteit persoonsgegevens er zelf achter komt, kan dit een riante boete opleveren + bad PR campagne.
Ik ben al blij dat een bedrijf een keer het lef heeft toe te geven dat ze gehacked zijn, zonder dat er eerst genoeg druk van buitenaf moet komen.
Dat lees ik toch niet. Een datalek is niet hetzelfde als een hack.
Want wat ze ook zeggen, het zal nooit goed gevonden worden.
Even een stapje terug. Klachten ontvang je als bedrijf nu eenmaal en in de huidige maatschappij met o.a. social media hou je klachten niet geheim. Als je dan de klachten ook nog eens zelf veroorzaakt kan je verwachten dat er meer op je af komt.

Het punt is dat het in het bedrijfsleven nogal gewoon was om alleen de voordelen van ondernemersschap met andermans gegevens te willen nemen maar geen verantwoordelijkheid. Dat soort bedrijven loopt niet alleen een risico dat het een keer goed mis gaat, maar ook het risico dat het dubbel zo hard op hun dak komt als ze niet eerlijk en open zijn over de foute beslissingen. Je komt als bedrijf waarschijnlijk een stuk beter weg als je ondanks de tegenslag kan aangeven dat je vooraf moeite hebt gedaan om de gegevens van klanten te beschermen. Maar in veel berichten ontbreekt dat en dat is opvallend als je bedenkt dat PR de kunst is om het positieve te versterken en het negatieve om te buigen in het eigen voordeel. Maar ja, als je die maatregelen niet neemt kan je er ook niet mee schermen.
Ik ben al blij dat een bedrijf een keer het lef heeft toe te geven dat ze gehacked zijn, zonder dat er eerst genoeg druk van buitenaf moet komen.
Ze zijn wettelijk verplicht. Uit artikel: "Het bedrijf maakt vrijdag, in overeenstemming met de nieuwe wettelijke meldplicht voor datalekken, het nieuws bekend op zijn website."
Ik ben niet voor al teveel regelgeving, maar het wordt nu wel eens tijd dat de gegevensbescherming echt serieus wordt genomen. Een meldplicht achteraf is een pleister op een gapende wond. Het kwaad is al geschied. Leg nu eens eindelijk vast welke gegevens opgeslagen mogen worden (need to know), hoe lang en stel een periodieke controle van de beveiliging door een gecertificeerd persoon (die dus ook op de hoogte is van de nieuwste technieken en alle technieken die zijn gehackt).
Ook moet er een regeling komen waarmee de gegevens van klanten van failliete bedrijven niet zomaar overgenomen kunnen worden. Als ik zie dat ik bij een webwinkel waar ik zelf nooit iets heb gekocht toch een account blijk te hebben (met naw gegevens) omdat men ooit de database van een failliet bedrijf heeft overgenomen vraag ik me toch af hoe de privacy in Nederland gewaarborgd is.
Er is al wettelijk vastgelegd welke gegevens onder welke omstandigheden voor welk doeleinde mogen worden verwerkt. Control & audit zijn hier aanpalend mee vastgelegd, echter wordt niet expliciet verteld 'je moet techniek x toepassen in geval y'.

Ik merk alleen dat veel bedrijven, als ze al enigszins bewust zijn van betreffende wetgeving, het nog steeds een te grote kostenpost vinden om de juiste kennis te vergaren.

Daarnaast merk ik ook dat de maatschappelijke druk, meldplicht, boeteverzwaring en de hoofdelijke aansprakelijkheid langzaamaan bedrijven hun inzichten op dit vlak laat bijstellen.

Die meldplicht is inderdaad achteraf, maar helpt wel bij de bewustwording zo lijkt het. En dat vind ik in ieder geval een goede zaak.
Best erg eigenlijk he.
Een beetje hacker loopt gewoon naar binnen zonder dat iemand dat door heeft.
Dat feit tegenspreken doen alleen mensen die niet snappen waar ze het over hebben.
Mensen die iets te verbergen hebben willen ook graag ontkennen dat echte veiligheid
op netwerken niet bestaat.

Ik heb laatst bv automatisch afschrijven aangevraagd bij CZ.
Op de website van CZ waar ik inlog met digid notabene.
Er werd 1 cent gestort op mijn rekening etc. Leek allemaal goed te zijn gegaan.

De volgende dag kreeg ik een phishing mailtje met een soort van activatielink
voor het automatisch overschrijven..(was niet eerder vermeld)

Twee dagen later krijg ik een bericht van CZ dat er 'iets' misgegaan is en dat ik
maar beter het meegezonden formulier moet uitprinten, invullen en opsturen..

CZ weet van niks dus het bestaat niet..
documentnummers van id-kaarten
Ik vraag me echt af in welk geval je zo'n nummer moet opgeven. (gaat het hier om rijbewijs of paspoort nummers?)

Edit:
Het betreft niet alleen de gegevens van klanten die bij Typhone een mobiel abonnement hebben afgesloten, maar ook gegevens van klanten bij zakenpartners phonehouse.nl, mediamarkt.nl en gsmeasy.nl. Het datalek is onmiddellijk gemeld aan de Autoriteit Persoonsgegevens. Klanten zijn vandaag ingelicht.
Okay, die documentnummers zijn wellicht nodig om een gsm abbo af te sluiten.

Wat betreft de zakenpartners... hoe moet ik dat zien? Zakelijke klanten die via mediamarkt iets kopen/afnemen en dat wordt geregeld via Typhone? Of MM accounts die ook opgeslagen zijn bij Typhone?

[Reactie gewijzigd door segil op 17 juli 2016 10:26]

Wat betreft de zakenpartners... hoe moet ik dat zien? Zakelijke klanten die via mediamarkt iets kopen/afnemen en dat wordt geregeld via Typhone? Of MM accounts die ook opgeslagen zijn bij Typhone?
Via Typhone kan je abonnementen afsluiten bij deze bedrijven. Je wordt dan klant van dat bedrijf, maar je gegevens zijn bekend bij Typhone omdat zij het afgehandeld hebben, en dus ook onderhevig aan dit datalek.

Ik heb dit niet genoemd, omdat het niet gaat om sec klanten van bvb Media Markt. Bij Media Markt is geen lek. Het gaat om klanten van Media Markt die via Typhone een overeenkomst hebben afgesloten. Dat valt wmb onder de noemer Typhone-gebruiker en daarom heb ik ze niet meegenomen in het bericht. Zo blijft het helderder.

[Reactie gewijzigd door Mark_88 op 17 juli 2016 10:31]

Ik heb dit niet genoemd, omdat het niet gaat om sec klanten van bvb Media Markt.
Als je bij 3e (bv MM) een betrokken product of dienst aanschaft, is de verkoper dan van Typhone en sluit je de overeenkomst direct met Typhone? Zo niet dan zal de 3e (bv MM) de verantwoordelijke zijn en moet deze de klanten inlichten.
Typhone, PhoneHouse, GSM winkels in de MediaMarkt worden allemaal via de zelfde holding en achtergrond systemen afgehandeld, ik vermoed dus dat je op een bepaalde manier gewoonweg data uit die backend kon opvragen
Het gaat bewust niet om je BSN, in ieder geval. Het is een apart nummer op je ID/rijbewijs.
Ja, je paspoort of rijbewijs nummer. Het nummer van het document. Inderdaad niet je BSN numnmer.
Alsof die zo geheim is? Van elke ZZP'er ligt die open en bloot op straat omdat het door de handige harries van de Belastingdienst tevens als je openbare btw-nummer wordt gebruikt.
Het probleem dat je noemt is inderdaad een oud en bekend probleem. Neemt natuurlijk niet weg dat je de schade alsnog wilt beperken; dat nummer ligt alleen van eigenaren van eenmanszaken op straat dus niet van iedereen.

P.S. Het nummer DAT, dus niet het nummer die.
Ik vraag me echt af in welk geval je zo'n nummer moet opgeven. (gaat het hier om rijbewijs of paspoort nummers?
Kan beide zijn. Zijn nodig voor een legitimatiezending zodat de bezorger kan controleren of hij de juiste voor zich heeft bij het afleveren en niet iemand met toevallig dezelfde naam.
Zijn nodig voor een legitimatiezending zodat de bezorger kan controleren of hij de juiste voor zich heeft bij het afleveren en niet iemand met toevallig dezelfde naam.
In principe heeft Typhone de originele gegevens niet nodig, in een vorm wat een datalek kan opleveren, voor het door jou genoemde proces.

Ik kan mij voorstellen dat e.e.a. nodig is voor afhandeling door 3-en bijvoorbeeld telco.

Het lijkt mij dat er weinig redenen zijn om dergelijke originele gegevens voor een langere periode te bewaren (en in dit geval dus te lekken).
Hoelang is een website als deze verplicht om id en bank gegevens te bewaren na afsluiten van een abonnement?
Belastingtechnisch moet je je administratie 7 jaar bewaren, en als je een klein bedrijf bent kun je het na overleg verkorten naar 5 jaar en zelfs in simpelere vorm, geen kassabonnetjes dus.

Belastingtechnisch is er dus geen enkele reden om zoiets zo lang aan te houden.

Jouw ID mogen ze sowieso niet hebben. Als het een beetje koosjer bedrijf is, dan hebben ze er voor gezorgd dat ze alle info die ze hebben gekregen in ieder geval juist is bewerkt in zoverre dat niet is gebeurt.
Dus oa sofi-nummer weggewerkt en heel duidelijk kopie op gezet, etc.
https://www.rijksoverheid...-van-uw-identiteitsbewijs
Zo gauw de check is afgewerkt zou je de kopie zelfs moeten verwijderen. Heb je niets aan.
Zo gauw de check is afgewerkt zou je de kopie zelfs moeten verwijderen. Heb je niets aan.
Je zou zelfs kunnen stellen dat zodra de doelbinding beŽindigd is je deze gegevens op juridische gronden moet wissen.
Niet dus,
daar is te weinig wetgeving voor.

https://autoriteitpersoonsgegevens.nl/nl/abonnementen
Uitspraken doen is relatief makkelijk vanuit mijn positie, alleen ik weet dus niet welke gegevens allemaal bekend zijn.
In casu zouden alle gegevens van abonnees na twee jaar beŽindigen automatisch moeten worden verwijderd, alleen kan het weer goed zijn dat het voor marketing-doeleinden wordt gebruikt en dat je daar netjes een vinkje hebt gezet.


Dat apg iets moet doen lijkt me evident,
typhone.nl geeft zelf aan om attent te zijn voor oa afwijzing leningen. Ze hebben daar dus waarschijnlijk meer info in huis dan nodig, en apg is de instantie die daar toezicht op moet houden. Zijn maken vervolgens de keus om onderzoek in stellen en te vervolgen of niet.
Alleen kan die instantie veel te weinig en doen ze ook veel te weinig.
Ik schreef express 'kunnen stellen'; de wetgeving is er, jurisprudentie zal nog komen door recente wijzigingen (1 januari 2016).

Het artikel van de AP waar je aan refereert gaat over de vrijstelling van melding van verwerking persoonsgegevens aan het AP; geen vrijstelling van overige wettelijke verplichtingen.

In het specifieke geval van Typhone gaat het over de doelbinding; mijn inziens is het opslaan van de originele identiteitsnummers niet nodig voor het proces van uitgifte product/dienst en communicatie naar 3e zoals telco.

Daarnaast zijn deze gegevens hoogstwaarschijnlijk Łberhaupt niet meer relevant na uitgifte van een abonnement en vervalt zodoende de doelbinding.

Ik stel dus dat deze gegevens, al dan niet de originelen, op dat moment moeten worden vernietigd.
ID is alleen voor bevestiging van je identiteit bij aannemen abonnement. ID kaart gegevens komen bij de provider zelf terrrecht en mag typhone helemaal niet bewaren.
Of beter; hoe lang mogen ze dergelijke gegevens bewaren? Zit daar een maximum op?
Wat ik nou een beetje mis in de tekst zijn de andere webshops.
Het betreft niet alleen de gegevens van klanten die bij Typhone een mobiel abonnement hebben afgesloten, maar ook gegevens van klanten bij zakenpartners phonehouse.nl, mediamarkt.nl en gsmeasy.nl. Het datalek is onmiddellijk gemeld aan de Autoriteit Persoonsgegevens. Klanten zijn vandaag ingelicht.
Ik kreeg namelijk vrijdag een mailtje terwijl ik nooit iets bij Typhone gekocht heb maar wel ooit eens bij GSMeasy.

Verder bevat het mailtje ook geen excuses, er staat wel "we vinden het erg vervelend" maar er worden geen excuses aangeboden.
Geachte heer ...,

Zeer recent hebben wij een datalek in ons computersysteem geconstateerd. De beveiliging van onze systemen is meteen aangepast en het lek is aan de Autoriteit Persoonsgegevens gemeld. Dit beveiligingsrisico kwam aan het licht tijdens het migreren van de oude IT-systemen van het bedrijf Typhone, een dienstverlener van GSMEasy. Wij hadden natuurlijk graag gezien dat dit beveiligingsrisico er nooit was geweest. Ook vinden wij het erg vervelend dat derden mogelijk bij uw klantgegevens konden.

Voor zover wij nu weten, is er geen misbruik gemaakt van die gegevens. Zekerheidshalve vragen we u toch alert te zijn. Mocht u toch verdenkingen hebben dat uw persoonlijke gegevens door onbevoegden gebruikt zijn, neem dan contact op met uw telecomprovider, bank of andere betrokken instanties.

Voor meer informatie verwijzen wij u naar www.typhone.nl/persbericht.

Voor vragen zijn wij bereikbaar via klantreacties@typhone.nl en via telefoonnummer 040 235 30 35.

Met vriendelijke groet,
Ik kreeg namelijk vrijdag een mailtje terwijl ik nooit iets bij Typhone gekocht heb maar wel ooit eens bij GSMeasy.
Serieus? Ik ga Typhone hiervoor om opheldering vragen, want dat is raar.
Ja vreemd idd, ik kan me niet herinneren dat ik ooit iets bij TyPhone gekocht heb en in de mailbox waar ze dit mailtje aan sturen zie ik in de afgelopen 7,5 jaar (Ben in begin 2009 met deze box begonnen) geen enkele Typhone vermelding.

Edit: Van GSMeasy heb ik trouwens niets vernomen.

[Reactie gewijzigd door Donstil op 17 juli 2016 11:55]

Same here...
Ik had zelfs nog nooit van dit bedrijf gehoord... Daarom vind ik het ook vreemd dat zij over mijn persoonlijke gegevens beschikken.
Ik kan ook nergens op de GSMeasy site vinden dat zij samenwerken met Tyfone.
Ik kan ook nergens op de GSMeasy site vinden dat zij samenwerken met Tyfone.
De betaalgegevens voor beide zijn hetzelfde, op naam van Online Telecom Services.
https://www.gsmeasy.nl/over-ons/ (onder aan de pagina)
http://www.typhone.nl/ser...aalgegevens-van-typhonenl
Ik heb een edit gedaan. Dank voor de info. Ook dank aan Dontstil en dennistd.
Eigenlijk zou GSMeasy als verantwoordelijke dan de communicatie naar Donstil als betrokkene hebben moeten versturen in plaats van Typhone.
Sterker nog, wellicht mag Typhone helemaal geen e-mail direct versturen aangezien er geen sprake van een directe relatie is.

Als er sprake is van verplichte melding naar betrokkene dan zou GSMeasy (en andere afnemende partijen) nu zelfs in gebreke blijven; communicatie vanuit de verantwoordelijke zou dan verre van 'onverwijld' zijn.

Leuke vragen voor verdere opheldering.
Dit wordt wellicht nog werk dat zich maandag voortzet. En dan ben ik niet eens ingeroosterd!

Ik ga het uitzoeken, maar zoals het er nu voor staat, is het behoorlijk verwarrend. Net een edit gedaan met de nieuwste info.
Dit staat in de mail die ik ontvangen heb:
Dit beveiligingsrisico kwam aan het licht tijdens het migreren van de oude IT-systemen van het bedrijf Typhone, een dienstverlener van GSMEasy.
Ook voor mij geldt dat ik wel een abonnement heb aangeschaft via GSMEasy (in 2014), maar nooit iets via Typhone gekocht heb.

[Reactie gewijzigd door dennistd op 17 juli 2016 12:26]

Meerdere stappen nemen om bij de data te komen? Ai, dat zal inderdaad de meeste hackers wel afschrikken 8)7
Dat het lek langer dan een jaar aanwezig was, lijkt volgens Typhone 'uitgesloten'
Oftewel: ze hebben geen flauw idee hoe lang het lek er in heeft gezet. En dat er nog geen gevallen van misbruik aan het licht gekomen zijn, lijkt me ook logisch. Als je niks monitort, zie je ook niks. Fijn gevoel... Ignorance is bliss.

Dit geeft maar weer eens aan dat ICT zo makkelijk nog niet is en vaak wordt onderschat. "Oh ja, we hebben ook nog een website nodig waar klanten zich kunnen registreren. Ik heb nog wel een neef die handig is met computers...."
Tuurlijk dat monitor jij even gezien jij alleen maar enterprise oplossingen wegzet en ze zelf ook monitort.

Dit is de zoveelste stuurman staat aan de zijlijn opmerking van iemand die ook gewoon als neefje begonnen is die handig was met computers en wellicht nog steeds niet veel meer extra's doet.

Het is gewoon de plicht om te melden, klaar. Denk nu niet dat jouw documenten-la in je huis veiliger is dan dergelijke systemen, NOT.
Het is niet heel raar om de access-logs van een website ook gewoon te backuppen naar een backup-server. Doen wij ook. Ik kan de logs van ugh-jaar geleden gewoon opvragen. Juist voor dit soort dingen. Dit is geen actieve monitoring, maar je kunt achteraf wel zien of er iets onguurs heeft plaatsgevonden.

En zoals sys64738 al aangeeft wordt ICT vaak onderschat. Zeker een website. Even een PrestaShop, X-Cart, of weet ik wat voor een meuk online zetten kan iedereen. Vervolgens uiteraard de goedkoopste hostingprovider zoeken en je hebt een webshop. En als er dan een hack plaatsvindt, dan heb je de poppen aan het dansen. Ik wil hier zeker niet zeggen dat Typhone.nl ook van dat kaliber is, maar wel dat het ICT-niveau van de kleinere webshop-houder ver beneden peil is.

[Reactie gewijzigd door Bas_f op 17 juli 2016 11:54]

maar wel dat het ICT-niveau van de kleinere webshop-houder ver beneden peil is.
En dat is voornamelijk een gebrek van de ICT dienstverleners. Veel kleinere bedrijven huren ICT kennis in, en die blijkt niet te voldoen.
[...]

En dat is voornamelijk een gebrek van de ICT dienstverleners. Veel kleinere bedrijven huren ICT kennis in, en die blijkt niet te voldoen.
Veel kleinere bedrijven zijn niet bereid te betalen voor degelijke dienstverleners. Ze kiezen liever de goedkoopste partij, die logischerwijs veel minder professionaliteit biedt; want mensen met meer kennis van zaken zijn niet bereid te werken voor de hongerloontjes die ze daar bieden.

[Reactie gewijzigd door R4gnax op 17 juli 2016 19:43]

Ja dus en ? Je beredenering slaat dus totaal niet op dit artikel.
Sinds wanneer zegt een professioneel dienst verband iets over de kwaliteit van de IT-er?
Ik ken genoeg IT-ers die als professioneel bestempeld worden maar toch echt weinig verstand van zaken hebben of die alleen binnen de box kunnen denken..

Bovendien maken mensen fouten, dus zelfs de "beste" IT-ers zullen wel eens een foutje maken.
Daarom zijn goede audits ook zo belangrijk, als extra controle. Helaas zijn goede audits gewoon erg duur en wordt het daarom alleen door de grote bedrijven gedaan.
Alle goede ICT-ers zitten de hele dag op deze site.... ;-)
Volgens mij kan je geen account aanmaken op typhone? Wat is handig om te doen in dit geval?
Gelijk heb je. Ik heb de laatste alinea ge-edit. Dan kunnen gebruikers in dit geval niets doen behalve waakzaam blijven op identiteitsfraude.
Uit het persbericht:
De nieuwe IT-≠-systemen voldoen aan de nieuwste veiligheidsstandaarden”.
Toch wel schokkend om te vernemen dat de ict voor de overname niet voldeed aan de nieuwste veiligheidsstandaarden. Geen audits?
Welke veiligheidsstandaarden?
De standaarden worden (gelukkig) steeds hoger gelegd, als je een maand achter zou lopen dan voldoet je systeem niet. Als we niet weet wat hun vorige standaard was, is het lastig vast te stellen hoe oud de systemen waren. Ik ben overigens niet op de hoogte wat de voorwaarden zijn om te voldoen aan de nieuwste veiligheidsstandaarden.
Een jaar of 2 geleden heb ik iets gekocht bij Typhone en ik ontvang ook de nieuwsbrief, maar een bericht over het lek heb ik niet ontvangen (of ik moet er overheen kijken).
Ik krijg ook de nieuwsbrief en spaar voor korting, dus ik moet toch in hun systemen staan.

Tot op heden geen mailtje gehad over dit datalek.
Vijf jaar geleden iets gekocht bij Typhone. Tot op heden heb ik ook niets vernoemen inzake een datalek.
Ik word hier helemaal gek van, al die bedrijven die data lekken. Gisteren kreeg ik ook een mail dat mijn account bij een andere service onbruikbaar was gemaakt omdat alle persoonsgegevens en een encrypted wachtwoord zijn gestolen. Ondertussen liggen alle persoonlijke gegevens zo voor het oprapen en het is niet je eigen fout.

Ondanks dat het niet helemaal de fout is van de web-service moeten hier zulke zware straffen op staan. Dat het beveiligen ervan goedkoper is dan de boete. Een webshop lijkt misschien goedkoop, maar die heeft net zo goed als een winkelpand beveiliging nodig.
Dat lijkt mij een bijzonder slecht idee... Natuurlijk moeten er boetes uitgedeeld worden als door falen van een bedrijf persoonsgegevens lekken. Echter, we zijn nou eindelijk zo ver dat er een meldplicht voor datalekken bestaat. Door te hoge straffen uit te delen ontmoedig je juist dat bedrijven naar buiten treden met datalekken.
Bedrijven zoals bovengenoemde moeten gewoon goed uitgeruste veiligheidsmaatregelingen nemen om dit soort dingen te voorkomen.
We praten immers over persoonlijke informatie die klanten verstrekken aan een bedrijf. Hier moet natuurlijk zuinig mee worden omgegaan.

Hun willen statistieke en informatie bijhouden van klanten en verdienen hier aan.
Nu ligt een deel op straat dus zware straffen zijn dan ook meer dan gepast.

een simpele foei en niet meer doen is niet genoeg.

edit: Natuurlijk moet er wel worden uitgezocht hoeveel data er in handen is gekomen en wat de ernst van de lek is.

[Reactie gewijzigd door L-royke op 17 juli 2016 14:03]

Ik heb dan ook geen beeld van het totaal plaatje maar ik hoop (nadruk op "Ik") dat hier wel heel serieus naar wordt gekeken door overheidsinstanties.

en ik geef je ook gelijk waar mensen werken worden inderdaad fouten gemaakt. Maar dan nog is het een uitdaging om dit soort fouten te voorkomen.

Ik ben benieuwd of we hier meer over gaan horen.

:)
Nee, er wordt niet serieus naar gekeken. De Autoriteit Persoonsgegevens is een onderbemande organisatie die dus wel tanden heeft maar niet erg veel. Volgens mij is dat bewust zo gedaan door de overheid (in theorie voldoen; maar praktisch niet handhaven).
Ik ben het daar helemaal mee eens.
Het is een illusie dat iets 100% waterdicht te maken is. Je moet er nog wel bijkunnen. En zolang dat mogelijk is bestaat er altijd een kans dat het gehackt kan worden. Als jij een manier weet om dat te voorkomen moet je nu direct je PC afsluiten en je diensten voor veel geld gaan verkopen aan bedrijven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True