Instituut stuurt cd-roms met medische info miljoenen Denen naar verkeerd bedrijf

Het Deense Statens Serum Institut heeft per ongeluk twee cd's met daarop medische info van vrijwel alle inwoners van Denemarken laten bezorgen bij een Chinees bedrijf in Kopenhagen. Het pakketje was bedoeld voor een statistiekenbureau.

Het pakketje bleek geopend, maar of medewerkers van het Chinese bedrijf de data hebben ingezien en eraf hebben gehaald, is onbekend. Er zijn geen gevallen bekend van misbruik van de gegevens, zegt de Deense privacyautoriteit Datatilsynet.

Het Chinese bedrijf zegt dat een medewerkster per ongeluk het pakketje had geopend, maar het direct weer heeft gesloten en heeft doorgestuurd naar het juiste adres, schrijft de Deense krant TheLocal. Het Chinese bedrijf in kwestie helpt mensen bij het aanvragen van een visum voor reizen naar China.

De cd-roms bevatten onversleutelde data met de 'burgerservicenummers' en bijbehorende medische informatie van meer dan vijf miljoen inwoners van het in totaal 5,5 miljoen inwoners tellende Denemarken. Er stonden geen namen en adressen bij. Het gaat om mensen die tussen 2010 en 2012 in Denemarken woonden. De privacyautoriteit vindt het kwalijk dat het instituut de data onversleuteld heeft verstuurd.

Lees meer

IT-banen

Reacties (167)

Autriv 21 juli 2016 14:27

Flinke Blunder dit.

1. Onversleutelde Data.
2. (Onversleutelde Data) versturen met de post.
3. Naar het verkeerde adres gestuurd.
4. Burgerservicenummer bij de desbetreffende data.
5. Dit flikken bij een gigantisch aantal inwoners (~90% van de inwoners nota bene)

Uitermate kansloos, ik zou het nalatig omgaan met persoonsgegevens noemen.
Wie dit idee heeft uitgeperst zou voor mijn part ontslagen mogen worden.

Verwijderd @Autriv • 21 juli 2016 15:55

Ontslaan is nog te mild, dat hele bedrijf moet ervoor op de schandpaal, tuurlijk kun je een keer een foutje maken enzo, maar effe alle persoonsgegevens van (bijna) het hele land (onversleuteld) naar een Chinees bedrijf sturen (en iedereen hoort wel de vele verhalen over spionage vanuit China) dan ben je wel goed stom bezig.

Als ik er iets over te zeggen had gehad was het bedrijf in kwestie (al dan niet via de rechtzaal) opgedoekt.

Arokh @Verwijderd • 21 juli 2016 16:01

Ze wisten waarschijnlijk niet dat het per ongeluk naar chinees bedrijf ging, foutje maken kan inderdaad gebeuren. Daar is de kous bijna mee af eat mij betreft.

Bijna. Want ik vind het op dit moment (weet de reden niet) onvergeeflijk dat er BSN nummers bij stonden. Waarom stonden die erbij?

Voor statistiek heb je genoeg aan de aandoeningen, leeftijd, geslacht, gedrag etc. Eventueel postcode tot op zekere hoogte (in NL zonder huisnummer). En dan natuurlijk versleutelen.

Verwijderd @Arokh • 21 juli 2016 16:06

Het punt is dat een partij die zulke gegevens gebruikt daar (als het goed is) ook contracten voor tekent met de aanleveraar van de gegevens (de overheid) waar in staat dat 'een foutje' echt niet door de beugel kan

Arokh @Verwijderd • 21 juli 2016 16:19

Klopt, maar was hier niet de verzender (overheid?) fout? Niet de ontvanger in ieder geval.

Verwijderd @Arokh • 21 juli 2016 16:22

Het Deense Statens Serum Institut heeft per ongeluk twee cd's met daarop medische info van vrijwel alle inwoners van Denemarken per ongeluk laten bezorgen bij een Chinees bedrijf in Kopenhagen.

De 2 belangrijkste woorden gemarkeerd, het bedrijf in kwestie heeft dus letterlijk de post naar een verkeerd adres gestuurd, de verzender (de verzekeringsmaatschappij(?) die van de overheid de persoonsgegevens heeft) is hier fout

sharkwouter @Verwijderd • 21 juli 2016 16:48

De bedenken van dit hele idee is niet helemaal goed ofzo. Hoe haal je het in je hoofd om dit soort gegevens per post te versturen?

Arokh @sharkwouter • 21 juli 2016 17:27

Soms mag het eenvoudig weg niet anders. Althans, niet digitaal. Maar als er goede versleuteling was toegepast is er niets mis mee om het per post te doen hoor.

ThijssjihT @Arokh • 21 juli 2016 19:58

Een medewerker op pad sturen met versleutelde data, dat is de gewenste methode.

RGAT @Arokh • 21 juli 2016 17:16

Wat de grootste fout is, is om die info bij elkaar te proppen op 2 CD's zonder encryptie, dat is niet een foutje en ook nauwelijks meer grove nalatigheid, dat kan je gewoon niet per ongeluk doen...

Arokh @RGAT • 21 juli 2016 17:28

Daarmee zeg je uiteraard dat hey expres is gegaan. Dat vind ik wel ver gaan. Ik vind het op basis van deze informatie heel dom en slecht van ze, maar expres vind ik iets dat je ook moet aan kunnen tonen.

RGAT @Arokh • 21 juli 2016 18:30

Ik zeg dat je dit niet per ongeluk kan doen zonder zo ongelooflijk dom bezig te zijn, ik kan mij niet voorstellen dat mensen die met dit soort informatie werken zo nalatig aan het prutsen kunnen zijn.

latka @Arokh • 21 juli 2016 18:46

Wellicht niet expres door de medewerker, maar de leidingevende heeft wel iemand in dienst genomen die niet gekwalificeerd is om dit werk te doen blijkbaar. En die ook weer door zijn leidinggevende. Te vaak maak ik mee dat ze onderin de fout zoeken/schuld geven, terwijl het gewoon het logische gevolg is van verkeerd beleid (bedrijfsbeleid en personeelbeleid) en dus eigenlijk de CEO ontslagen en aangeklaagd moet worden.

Arokh @latka • 22 juli 2016 12:46

Dat ben ik helemaal met je eens. Dat zag je eigenlijk ook (al was dat bewezen expres) bij Volkswagen waar de schuld bij de onderste laag geduwd werd.

Budha @Arokh • 22 juli 2016 10:53

Ik vind dat het onderscheid er niet toe doet.

Als ik door rood rijd boeit het ook niet of dat het per ongeluk ging of niet.

Verwijderd @Arokh • 22 juli 2016 10:36

Het is totaal niet anoniem als je postcode, leeftijd en geslacht geeft. Bijna iedereen is op basis van die paar gegevens wel te identificeren.

Op het misdadige af dit trouwens. Een patiënt geeft zijn gegevens in vertrouwen. Een arts deelt die gegevens, in vertrouwen. Als verderop in de keten dat vertrouwen geschonden wordt, zijn zowel patiënt als arts bedonderd. Belachelijk, en voor de beleidsmakers die nog steeds geloven dat ICT niets meer dan een ongevaarlijke kostenpost is, moeten nog eens goed nadenken.

Arokh @Verwijderd • 22 juli 2016 13:00

Klopt. Goed onderzoek is ook in het belang van patient natuurlijk. Het is een compromis zoeken.

Neemt niet weg dat je altijd alles wat binnen de mogelijkheden ligt moet doen om gegevens te beschermen en vertrouwelijk te behandelen.

Verwijderd @Verwijderd • 21 juli 2016 16:26

Als ik er iets over te zeggen had gehad was het bedrijf in kwestie (al dan niet via de rechtzaal) opgedoekt.

Zou je daar ook zo stellig over zijn als het jouw eigen werkgever betreft? Overal kunnen dit soort fouten worden gemaakt.

Verwijderd @Verwijderd • 21 juli 2016 16:32

Fouten maken is menselijk enzo, maar als je met dit soort data werkt dan weet je zelf ook heel goed dat fouten maken niet kan, dus check even wat er de deur uit gaat, lijkt me niet heel gek.

Stel dat ik bij dat bedrijf had gezeten, dan ja, had ik nog steeds dezelfde mening gehad.

Yoshi @Verwijderd • 21 juli 2016 19:05

ja want statistici hebben een IT opleiding gehad... Hier gaat vooral de afdeling preventie, bazen en opleiding in de fout.

latka @Verwijderd • 21 juli 2016 18:48

Nee hoor. Niet als je snapt wat je doet. Je brand niet per ongelukt 2 CDs vol met publieke data die je dan per ongeluk op de post doet. 30 jaar geleden had je ook niet 5 dozen papier volgeprint en die dan in enveloppen staan stoppen om te versturen. De techniek is veranderd, maar het natuurlijke gevoel van "dat is een stom idee" is niet meegegroeid bij de meeste mensen. Gevolg: slimme mensen doen ineens dingen die eigenlijk heel dom zijn.

shredder @Autriv • 21 juli 2016 15:08

6. CD's gebruiken.

Voorlopig geen visum voor China voor zieke Denen

H0lyGra1l @shredder • 21 juli 2016 15:33

7. Geen aangetekend pakket

Ikke_Niels @H0lyGra1l • 21 juli 2016 17:08

Als de aangetekende post net zo slecht is in China als hier in Nederland zou ik zeker voor een prive koerier kiezen zeker bij dit soort data.

[Offtopic]
(Ik heb al vaak genoeg gehad dat mijn aangetekende pakketje ergens anders bezorgd werd, of vice-verse, elke keer uiteraard wel een klacht ingediend bij de postnl danwel DHL, maar het haalt het aangetekende effect een beetje weg los van de verzekeringswaarde....)
[/Offtopic[

rmca @Ikke_Niels • 21 juli 2016 18:05

Gaat om de Deense post.

Verwijderd @H0lyGra1l • 22 juli 2016 10:39

Goed punt, maar ik neem totaal geen genoegen met het idee dat aangetekende post dergelijke massale privacy zou moeten waarborgen.

MenN @shredder • 21 juli 2016 18:22

CD's zijn nog niet eens zo'n slecht idee, een USB stick is veel makkelijker te besmetten met malware. Een cloud oplossing is ook niet eens veel veiliger. Zoiets mag je bijvoorbeeld absoluut niet op een dropbox/icloud/one drive zetten.

Het is niet voor niets dat bijv. tijdens de snowden publicaties die journalisten cd's gebruikten om te communiceren met hun airgapped machine.

Cyb @Autriv • 21 juli 2016 15:00

Ontslaan? Dan kom je er goed mee weg. Voor hetzeflde geldt, heeft een medewerker het expres gedaan met een deal met het Chinese bedrijf, en vangt de medewerker er vervolgens 500.000 euro voor.
Ik zou eerder denken aan een grote boete en eventueel strafrechtelijke vervolging van het Deense instituut.

Autriv @Cyb • 21 juli 2016 15:48

Het was een vakantiekracht zullen we maar zeggen

^{ik ben zelf op dit moment ook een vakantiekracht in de IT/ICT , 19 jaar oud. Dit is mijn eerste "echte baan", Ik ben nog niet klaar met mijn opleiding. Zelfs ik heb nog nooit überhaupt de gedachte te gehad persoonsgegevens zo te "versturen" dit is wel echt een gigantische faal..}

Of het was inderdaad gepland, we zullen het niet weten tot na een onderzoek.

[Reactie gewijzigd door Autriv op 24 juli 2024 19:38]

Verwijderd @Autriv • 21 juli 2016 15:56

Ik roep al langer dat de overheid ons allerlei beperkingen oplegt wat betreft het gebruik van gevoelige data maar er zelf gewoon met de pet naar gooit.

Ontslag op staande voet voor de mensen die dit soort gevoelige data onversleuteld versturen en tevens geen sterk wachtwoord gebruiken.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 19:38]

RGAT @Verwijderd • 21 juli 2016 17:19

Ontslag + mogelijk strafrechtelijke vervolging als na onderzoek dat nodig blijkt.
Zouden hiervoor een strafblad moeten hebben om nooit meer met gevoelige informatie te mogen werken bij welk bedrijf dan ook.

Edit: als iemand het hier niet mee eens is kan je dat ook gewoon zeggen ipv het moderatie systeem te misbruiken he...

[Reactie gewijzigd door RGAT op 24 juli 2024 19:38]

SmokingCookie @Verwijderd • 21 juli 2016 16:30

(...)
Opslag op staande voet voor de mensen die dit soort gevoelige data onversleuteld versturen en tevens geen sterk wachtwoord gebruiken.

Opslag... in de bak?

majetta @Autriv • 21 juli 2016 16:20

echt kansloos, hoe was het verkeerd geadresseerd als de ontvanger het wel naar de juiste adres heeft gestuurd ?

necessaryevil @Autriv • 21 juli 2016 16:35

Ik zou dit niet betrekken op één persoon binnen de organisatie, de fout is groot genoeg om te zeggen dat er structureel iets niet goed zit.

WillySis

Privacy

@Autriv • 21 juli 2016 17:07

Er staat "Laten bezorgen" Dat is niet synoniem met "de post" Het kan een koeriersdienst zijn of zelfs iemand van het eigen personeel. Je weet ook niet hoe snel het pakketje is geopend, weer gesloten en hoe het weer is doorgestuurd.

Als men in Denemarken de privacy een beetje hoog in het vaandel heeft staan, dan zijn hier wel veel fouten gemaakt, wat duidt op een zeer lakse omgang met privacy gevoelige gegevens. Daar mag best een hele fikse boete (10% vd omzet) tegenover staan.

In Nederland worden dergelijke gegevens ook verstuurd (geen idee hoe), maar dan zonder bsn, maar met postcode. Zonder het huisnummer, maar met wel met de letters. Daar heb ik ook al mijn bedenkingen bij. Per combinatie postcode met letters horen max. 20 adressen, zeg maar max 100 mensen. Heel anoniem vindt ik dat niet, maar de minister is zo dom geweest om de gegevens zo gewoon weg te geven. Ik kon mijzelf en een aantal bekenden zo terugvinden....

Verwijderd @Autriv • 21 juli 2016 19:58

Niemand die zich afvraagt waarom dit toegegeven is?
Ik bedoel dan met name dat de BSN's daar op stonden en de data onversleuteld was. Verkeerd afgeleverd kan het Chinese bedrijf kenbaar gemaakt hebben, maar de rest hadden ze toch makkelijk kunnen verzwijgen?

mkools24 @Autriv • 22 juli 2016 02:51

Wie verstuurt er ook nog cd's over de post. 2 cd's is 1.4 gb....

ShadowLord

@Autriv • 22 juli 2016 12:01

1. Dit is de allergrootste fout, dit mag gewoon niet (wettelijk niet in NL, maar neem aan dat dit in Denemarken vergelijkbaar is)

2. Data versturen met de post is iets wat vaak gewoon nodig is. Over internet is het net zo (on)veilig. Een van de partijen zal dan namelijk een 'file server' moeten hebben die open is naar het internet en die mogelijk hackbaar is met alle (grotere) gevolgen daarvan. Zolang je encrypt (zie 1

) loop je geen risico als het postpakketje kwijt raakt/verkeerd aan komt.

3. Erg dom, maar kan gebeuren (ook al geef je het juiste adres op, dan kan de postbode het alsnog verkeerd afleveren). Punt 1 zou dit moeten afdekken

4. In Nederland zou dit niet mogen (wettelijk niet) aangezien het BSN absoluut niet nodig is hiervoor (een random UID had ook volstaan). Het gebruik van BSN's is in Nederland aan vrij strikte regels gebonden. Ik verwacht dat dit in Denemarken ongeveer hetzelfde is, maar omdat het hier lijkt te gaan om semi-overheid zullen die wel onder andere regels vallen.

5. Blijkbaar was het wel nodig data over deze 90% te versturen dus hier is niet echt iets fout mee.

Autriv @ShadowLord • 22 juli 2016 12:10

Erg nuttige aanvulling!

Naar mijn idee zou dit vele malen beter kunnen, maar het niet encrypten van de data blijft de grootste blunder inderdaad. Ervoor kiezen om dit onversleuteld te versturen is en blijft gewoon een kop-in-kont beslissing en valt niet goed te praten.

Over het bijvoegen van de BSN weet ik dat het inderdaad wettelijk verboden is in Nederland, maar ik heb geen onderzoek gedaan naar wat de wetgeving hierover is in Denemarken.

RoofTurkey 21 juli 2016 14:10

Toch wel gek dat een statistiekenbureau BSNs plus bijbehorende medische informatie krijgt, niet echt geanonimiseerd wat mij betreft. Hopelijk heeft men de bevolking hier goed over ingelicht en is het in Nederland beter geregeld (waarschijnlijk niet, maar hopen mag altijd).

eL_Jay @RoofTurkey • 21 juli 2016 14:28

Ik kreeg bij het wisselen van huisarts een DVD met daarop mijn eigen dossier via de post toegestuurd. (konden de data overdracht niet anders regelen) Dus nee hier is het helaas niet beter geregeld.

Gelukkig kreeg ik hem niet via mail

[Reactie gewijzigd door eL_Jay op 24 juli 2024 19:38]

Ceased2Be @eL_Jay • 21 juli 2016 14:49

ik kon kiezen; of via de reguliere post (niet aangetekend) of zelf even op komen halen

eL_Jay @Verwijderd • 21 juli 2016 14:36

Ik kreeg hem thuis gestuurd en mocht hem zelf naar de nieuwe huisarts brengen.

Verwijderd @eL_Jay • 21 juli 2016 15:56

Precies, ik ben een paar jaar geleden ook van huisarts gewisseld, was inderdaad ook zo schokkend slecht geregeld.

MenN @Verwijderd • 21 juli 2016 18:23

Ik weet niet of dat nu zo slecht is. Een magisch huisartsen systeem dat ergens op servers draait die even je dossier doorstuurt heb je veel minder vat op.

Autriv @RoofTurkey • 21 juli 2016 16:01

Als ik denk aan anoniem denk ik eigenlijk gewoon aan:

- Enkel de onderzoeksdata

_{Dat was het. Stop met die "Anonieme" niet-anonieme onzin. Je moet niet eens meer data dan dat willen toevoegen aan je "Anonieme Onderzoek"}

dyrc

@RoofTurkey • 22 juli 2016 07:40

het CBS ontvangt medische data inclusief BSN, aanlevering wettelijk verplicht.

JVos90 21 juli 2016 14:19

Dit is zeer kwalijk.

Het CPR nummer, de Deense naamgeving van Nederlands id-nr, is vrijwel openbaar doordat het nummer als volgt is opgebouwd:

DDMMYY-XXXX

Waarbij eerste 6 getallen geboorte datum zijn.
De 1e X de eeuw en de laatste X het geslacht man (oneven) en vrouw (even).

Hierdoor is het eenvoudig de persoon te herleiden zonder naam of andere gegevens. Dit is nog makkelijker met de extra medische gegevens.

[Reactie gewijzigd door JVos90 op 24 juli 2024 19:38]

marteo @JVos90 • 21 juli 2016 14:30

Aangezien de precieze waarde van XXXX bij mij niet helemaal duidelijk was, even een aanvulling.

It is a ten-digit number with the format DDMMYY-SSSS, where DDMMYY is the date of birth and SSSS is a sequence number. The first digit of the sequence number encodes the century of birth (so that centenarians are distinguished from infants), and the last digit of the sequence number is odd for males and even for females.

Bron: https://en.wikipedia.org/...fication_number_(Denmark)

Een soort oplopend nummer dus, met specifieke invulling van het eerste en laatste getal.

geekeep @marteo • 21 juli 2016 15:33

Wat een ondoordachte manier om een ID-nummer op te stellen. Niet alleen omdat iedereen makkelijk te achterhalen is, maar er kunnen blijkbaar ook niet meer dan 100 Denen van hetzelfde geslacht op dezelfde dag geboren worden. Als de populatie groot genoeg wordt, hebben ze een probleem.

Edit: wat dus blijkbaar al gebeurd is.
https://en.wikipedia.org/...fication_number_(Denmark)

However, in 2007 the available sequence numbers under this system for males born on 1 January 1965 ran out, and since October 2007 personal identification numbers do not always validate using the check digit. This had been predicted and announced several years in advance. Thus, most IT systems are presumed updated to accept numbers that fail the check-digit validation.

Om maar even terug te komen op het nieuwsbericht. Buiten het gebrek aan versleuteling is het ongelooflijk dat data bestemd voor een statistiekbureau niet geanonimiseerd is. Het doel van statistiek is juist iets zeggen over (grote) populaties. Individueel achterhalen is dus nutteloos en gevaarlijk in de verkeerde handen.

Arokh @geekeep • 21 juli 2016 16:12

Tja. Je wilt misschien ook luchtkwaliteit en aandoeningen op straatniveau (aanringweg?) analyseren. Dus geboortejaar, (zelfs maand en dag kan belangrijk zijn) postcode (misschien zonder huisnummer, maar bij vreemde straten nog steeds van belang) en meer is bijzonder nuttig...

Met alleen een lijst aandoeningen analyseer ik niet zo veel.
(werk in onderzoek en statistiek)

[Reactie gewijzigd door Arokh op 24 juli 2024 19:38]

Verwijderd @Arokh • 22 juli 2016 10:48

Tja. Je wilt misschien ook luchtkwaliteit en aandoeningen op straatniveau (aanringweg?) analyseren. Dus geboortejaar, (zelfs maand en dag kan belangrijk zijn) postcode (misschien zonder huisnummer, maar bij vreemde straten nog steeds van belang) en meer is bijzonder nuttig...

Met alleen een lijst aandoeningen analyseer ik niet zo veel.
(werk in onderzoek en statistiek)

Vind je het heel erg als ik voor al jouw onderzoeken graag uitgesloten wordt als deelnemer? Totaal niet anoniem, en dat is een essentiële voorwaarde waarom ik überhaupt mijn gegevens zou willen delen.

Er zijn constructies te bedenken om het voorbeeld dat je noemt uit te kunnen zoeken zonder privacy schendingen. Maar zo te lezen ben jij van het type 'meer = beter', nogal eng.

Arokh @Verwijderd • 22 juli 2016 13:10

Dat zeg ik toch helemaal niet? Ik zeg dat het bijzonder nuttig is. Niet dat ik vind dat iedereen mee moet doen. Nogal eng als je zo mensen in een kwaad daglicht probeert te stellen..

Maar tip: Bij de gemeente kun je je (dat zal voor meer instanties gelden) vaak wel afmelden voor elk type onderzoek. Er is een datahokje dat aangevinkt kan worden dat je nooit mee wilt doen.

Het zou natuurlijk mooi zijn als we onderzoek kunnen doen zonder enige data, maar dat gaat ook niet.

Ik krijg ook vaak commentaar van mensen dat 'de gemeente' beslissingen neemt zonder onderzoek te doen, en ik krijg commentaar dat 'de gemeente' privacy schendt door onderzoek te doen.

Het is zoeken naar een balans en je kunt niemand echt blij maken. Dat hoort er bij :-) maar ja, het is natuurlijk wel heel erg fijn als er goede nieuwe medische inzichten komen waardoor je mensen echt verder kunt helpen. Het zou ook wel jammer zijn als al dit soort onderzoek (we weten natuurlijk niet wat de organisatie met de data van plan was) stil kwam te liggen.

Ik vind het nog steeds erg dat er een BSN gekoppeld werd, ik wil zelf ook niet dat de overheid op de hoogte is van mijn gezondheid. Een goed kundig onderzoeksbureau/universiteit: Blij dat ze er zijn.

Jeroenneman 21 juli 2016 14:08

De cd-roms bevatten onversleutelde data met de 'burgerservicenummers' en bijbehorende medische informatie van meer dan vijf miljoen inwoners van het in totaal 5,5 miljoen inwoners tellende Denemarken.

What the fuck.

Gewoon onvoorstelbaar dit. Hoe haal je het in je hoofd om die data er onversleuteld op te zetten?!

mashell @Jeroenneman • 21 juli 2016 14:18

Hoe haal je het in je hoofd om die data er onversleuteld op te zetten?!

Ik snap eigenlijk niet dat men ophef maakt over het onversleuteld versturen op CD maar niet dat er met het geanonimiseerde data met burgerservicenummer werd geleverd. Op die manier is het wel eenduidig naar een persoon terug te leiden. Dat nummer had er gewoon niet bij mogen zitten, daar zit het probleem. Zonder dat was het gewoon onschuldige anonieme medische data.

84hannes @mashell • 21 juli 2016 14:44

Ik weet niet of het in Denemarken exact hetzelfde is als in Zweden, maar ga er maar vanuit dat ze minder moeilijk over privacy doen dan wij denken. Het achterhalen van adressen aan de hand van een persoonsnummer is niet mogelijk, het is kinderspel.

Wat het versleutelen betreft: twee jaar geleden was het belastingaangiftesoftwarepakket niet via een beveiligde verbinding te downloaden en niet via een checksum te verifieren. En niemand die er naar maalde. Dus blijkbaar vinden we dit soort dingen pas een probleem nadat het mis gaat.

[Reactie gewijzigd door 84hannes op 24 juli 2024 19:38]

Bux666 @84hannes • 21 juli 2016 15:15

Het achterhalen van adressen aan de hand van een persoonsnummer is niet mogelijk, het is kinderspel.

Wat bedoel je nou? Niet moeilijk of niet mogelijk...dat scheelt nogal en geeft een totaal andere context aan je verhaal.

84hannes @Bux666 • 21 juli 2016 15:23

Ik bedoel te benadrukken dat mogelijk klinkt alsof het moeilijk is/kan zijn. Het is mogelijk dat een onbekende entiteit toegang heeft tot de lanceercodes van Amerikaanse kernwapens. Het is mogelijk om een versleutelde USB-stick leesbaar te maken. het is mogelijk de opgeslagen wachtwoorden van Chrome te achterhalen. Alleen dat laatste is veel makkelijker dan de andere zaken. Anders gezegd: als ik een kluis koop en de verkoper zegt dat het mogelijk is dat iemand de juiste code raakt, dan koop ik de kluis alsnog. Als dan blijkt dat de code bij elk model hetzelfde is en niet te wijzigen, dan voel ik mezelf behoorlijk voorgelogen door de keuze van het woord mogelijk.

[Reactie gewijzigd door 84hannes op 24 juli 2024 19:38]

ignitem @Bux666 • 21 juli 2016 20:25

In Zweden staat iedereen in een openbare database met persoonsnummer, adres en geboortedatum.

https://www.ratsit.se/

cracking cloud @84hannes • 21 juli 2016 15:36

In scandinavië doen ze inderdaad niet zo moeilijk over privacy.
Je kon in noorwegen altijd op de site van de belastingdienst zien hoeveel je buurman verdient. Weet niet of het nog zo is.

Arokh @cracking cloud • 21 juli 2016 16:06

Dat kan bij ons bij het kadaster ook

Budha @Arokh • 22 juli 2016 10:32

Het kadaster beheert helemaal geen inkomensdata. Wat je kunt opvragen is voor welk bedrag een woning is verkocht.

Arokh @Budha • 22 juli 2016 12:58

Volgens mij heb je gelijk. Ik dacht dat het inkomen waarop de hypotheek gebaseerd is er ook bij stond. Maar kan dat niet terugvinden.

PcDealer @Arokh • 22 juli 2016 09:40

Dat betreft dan alleen kopers en niet huurders.

fverhoef @mashell • 21 juli 2016 14:44

Precies. De originele geadresseerde van de cd-rom, het statistiekenbureau, had ook die burgerservicenummers niet mogen ontvangen.
Zonder het Burgerservicenummer (en andere identificerende gegevens, zoals adresgegevens) is het gewoon een lijst van medische aandoeningen.

Want stel dat die cd-roms wel versleuteld waren, dan is het nog steeds een kwestie van tijd voordat zo'n versleuteling wordt gekraakt.

In het kort, nooit een BSN versturen, tenzij er een goede reden voor is (zeker ook in Nederland).

Verwijderd @fverhoef • 21 juli 2016 15:48

In het kort, nooit een BSN versturen, tenzij er een goede reden voor is (zeker ook in Nederland).

Dat werkt dus niet. Als je een eenmanszaak hebt dan is je BTW nummer gelijk aan de BSN (met een kleine toevoeging). Tenzij je dit een goede reden vindt..

Arokh @Verwijderd • 21 juli 2016 16:05

Klopt, en dat zijn er steeds meer.

Bij ons in de gemeente zijn bijna 5000 bedrijven waarvan ruim 3800 hooguit 2 medewerkers hebben. En dat voor een gemeente met 19000 huishoudens...

Armin @Arokh • 21 juli 2016 20:03

Nuis op zich een BSN geen privacy gevoelig iets. Immers het is in feite niet meer dan een naam, en die zou publiek mogen zijn.

Het probleem is meer dat - zoals hier - met het koppelt aan data die wél privacy gevoelig is.

Of zoals in Nederland soms, dat het BSN gebruikt wordt als authenticatie ('wachtwoord') ipv identificatie ('gebruikersnaam')

Maar het wordt inderdaad tijd dat alle BTW nummers een nieuwe uniek nummer worden. Er is geen inhoudelijke reden waarom dat gekoppeld zou moeten zijn.

Blokker_1999

Privacy

@Jeroenneman • 21 juli 2016 15:53

Dat is toch zeer eenvoudig. Mensen die dat doen hebben geen verstand van IT en zien niet in wat de gevaren zijn. Ze doen gewoon wat hun gevraagd is op de enige manier die ze kennen.

copy->paste->burn->post.

Jeroenneman @Blokker_1999 • 21 juli 2016 15:56

Maar dan moet er toch iemand zijn in de keten die ingrijpt?

Als dat niet het geval is, dan moet men misschien onder ogen zien dat het personeel gewoon niet adequaat functioneert. Ik weiger te geloven dat er anno 2016 niet iemand aan de bel trekt bij een leidinggevende, als een collega een CD met daarop gevoelige gegevens doorstuurt via de post.

Dat kán gewoon niet.

cc12 @Jeroenneman • 23 juli 2016 13:28

Denk je dat alle informatie langs een 'quality department' gaat, die dat gaat controleren?

Jeroenneman @cc12 • 23 juli 2016 15:39

Bij sommige bedrijven wel.

Verwijderd @Blokker_1999 • 22 juli 2016 10:54

Het is gewoon eng dat er mensen toegang tot de data hebben die er niks van snappen. De toegang zou zeeeer beperkt moeten zijn. Een paar mensen met toegang volstaan voor alle analyses die je maar wilt.

Data als dit moet je behandelen als eieren: zeer voorzichtig. En voor kopiëren lijkt me ook bijna nooit een goede reden te zijn, want daarmee verlies je alle controle. Bizar dat dit kan, maar net zo bizar dat er data aan dit soort organisaties gegeven wordt, in blind vertrouwen. Totaal geen harde waarborgen.

cc12 @Verwijderd • 23 juli 2016 13:25

Wat betreft eigen 'data' zijn veel mensen al laks als je kijkt wat ze op facebook, twitter, google etc publiceren. Pas als ze de negatieve kanten ervaren realiseert men hoe belangrijk privacy ook al weer is.

Helaas is dat vaak pas achteraf dat men dat realiseert.

DYX @Jeroenneman • 21 juli 2016 14:10

^^ Dit en het feit dat dit waarschijnlijk zonder enige consequenties zal blijven. Bedrijf zegt 'oops' en dat is het. In dit soort gevallen hoort daar toch gewoon een boete tegenover te staan, ook al was het 'per ongeluk'.

Jeroenneman @DYX • 21 juli 2016 14:15

Volgens mij moet je dit in NL melden aan de autoriteit persoonsgegevens zodra je constateert dat je een lek hebt (anders een boete), en krijg je daarna nog een boete voor het overtreden van de Wbp.

Imho moet de verantwoordelijke voor deze blunder ook gewoon een flinke reprimande tegemoet zien. Kun je je voorstellen wat een shitstorm er zou onstaan als een werknemer van een Shell of een Bayer dit zou overkomen? Die zou binnen 24u op straat staan.

Tweekzor @Jeroenneman • 21 juli 2016 14:45

Volgens mij moet je dit in NL melden aan de autoriteit persoonsgegevens zodra je constateert dat je een lek hebt (anders een boete), en krijg je daarna nog een boete voor het overtreden van de Wbp.

Klopt, je moet dit inderdaad binnen 3 werkdagen na ontdekken van het lek melden. Indien je dit verzuimd krijg je een boete voor het niet melden.
Indien je wel meldt wordt er een onderzoek gestart naar de oorzaak en of er voldoende is gedaan om dit lek te voorkomen. Denk hierbij aan zowel technische als beleidsmaatregelen. Voldoen jouw getroffen maatregelen aan een voor jouw bedrijf te relativeren beveiligingsniveau dan krijg je geen boete hiervoor. Het is dus niet zo dat je per definitie een boete krijgt bij een dergelijk lek.

Verwijderd @Jeroenneman • 21 juli 2016 15:01

Wat nou als het de postbode was? Ik krijg ook weleens post voor de buren, en in het verleden zelfs post van mensen in een totaal andere straat.

Jeroenneman @Verwijderd • 21 juli 2016 15:20

De postbode kan het verkeerd bezorgen, maar heeft niks te maken met versleuteling of de manier waarop je als bedrijf gegevens opstuurt.

Verwijderd @Jeroenneman • 21 juli 2016 15:32

Aye, maar iedereen maakt fouten, en niet iedereen heeft alle benodigde kennis in huis.

Straffen is mijns inziens in dit geval ook totaal contra productief. Beter is om uit te zoeken wat er is mis gegaan, en vervolgens mensen opleiden. Mocht er sprake zijn van doelbewust handelen, dan kun je nog over straf nadenken.

Met deze aanpak voorkom je dat mensen dichtklappen en fouten verzwijgen. Door ze te helpen betere werknemers te worden, zullen ze in het vervolg ook eerder geneigd zijn fouten toe te geven. Zo kan iedereen leren, ipv dat je een cultuur van angst zaait.

Jeroenneman @Verwijderd • 21 juli 2016 15:40

Niet straffen promoot juist laksheid.

Ik heb wel bij meerdere bedrijven in de keuken gekeken, van amateuristische powerpoints over privacy, tot bedrijven waarbij je iedere maand een online cursus moest voltooien over privacy en jouw verantwoordelijkheden (en als je de cursus niet haalde, dan moest je toch even met de manager spreken).

Maar als niemand ooit verantwoordelijk wordt gesteld, waarom zou je dan die cursussen doornemen? Waarom zou je je druk maken over gevoelige gegevens, als er in het geval van een lek toch geen gevolg is?

Ik kan me bijna niet voorstellen dat dit instituut in Denemarken niet ook de werknemers inlicht over de gevaren van privacy leaks. De man die hiervoor verantwoordelijk is, die moet op zijn minst gestraft worden voor een compleet gebrek aan boerenverstand.

Verwijderd @Jeroenneman • 22 juli 2016 03:57

Het promoot helemaal geen laksheid. Google heeft een intern onderzoek gedaan onder 200 teams om te zien wat een team effecient en productief maakt. Wat blijkt, de teams waar mensen zich veilig voelen, presteren het beste. Dat zijn de teams waar je fouten mag maken, en waar die ook besproken worden om ervan te leren. Als individu en als team.

Verwijderd @Jeroenneman • 25 juli 2016 11:52

Even de bron opgezocht (kan mijn post niet meer wijzigen):

http://freakonomics.com/podcast/how-to-be-more-productive/

Tijd: 23:30 en verder.

BruT@LysT @Jeroenneman • 21 juli 2016 15:51

Ik vind het ook nogal waanzin dat dit opgestuurd moet worden, alsof dat veiliger zou zijn? Wat een farce... Je kunt deze data toch gewoon via het internet versturen, is veilig genoeg als je weet wat je doet en de boel ligt niet LETTERLIJK op straat.
Zeer vreemde gang van zaken dit, daarom denk ik ook eerder dat er opzet in het spel is.

Arokh @BruT@LysT • 21 juli 2016 16:08

Het gaat wel vaker zo. Wij moeten ook wel eens zulk soort gegevens zo versturen (wel versleutelt) omdat het verboden is via internet....

cc12 @BruT@LysT • 23 juli 2016 13:41

Als het internet zo veilig is dan vraag ik me af waarom bijvoorbeeld de NAVO cyberwar als een echte oorlog ziet, waarom het leger zich ook steeds meer gaat richten cyberaanvallen (ook voor spionage) en er problemen zijn met stux, en waterkeringen in het verleden zo makkelijk te misbruiken waren? Omdat haast iedereen bijna overal ter wereld van een afstand het kan proberen. Dat heb je met fysieke mogelijkheden een stuk minder last van.

RGAT @Jeroenneman • 21 juli 2016 17:24

Hoe halen ze het in hun hoofd om een anoniem onderzoek te mengen met zat persoonsgegevens, wat de f... doen bijvoorbeeld burgerservicenummers daar? Waarom zijn die nodig in een statistiekenbureau...
Dan nog zonder versleuteling.........
Naar het verkeerde bedrijf.................
Met de post........
Was een koerier voor dit soort info onmogelijk?
Degene(n) die dit heeft gedaan ontslaan, op strafblad zetten dat die persoon nooit meer in de buurt van de informatie van ook maar 1 persoon mag komen en als er opzet in het spel blijkt (kan me niet voorstellen dat iemand dit per ongeluk zo veel verprutst, dat kan gewoon niet) dan ook een flinke boete en eventueel (voorwaardelijke?) celstraf...
Waarom kunnen mensen zonder enige (nuttige) screening met dit soort informatie werken, degene die dit deed (of meerdere) zijn of niet goed opgeleid en dus niet gescreened of deden het expres en zijn dus ook niet goed gescreened, hele bedrijf opdoeken.

Auredium 21 juli 2016 14:10

Optische media, onversleuteld en per post. Ik kan niet benadrukken hoe extreem fout dit is op verschillende manieren. De Cd's kan ik op zich nog wel vergeven. Per pakketpost begint al wat dubieuzer te worden, kon er niemand van het bedrijf eventjes rijden zodat er geen 'onbekende proxy' tussen zat? Onversleuteld is gewoon fout.

flnhst @Auredium • 21 juli 2016 14:22

Wat maakt het uit dat op CD is? De drager maakt niks uit, zolang de gegevens maar beveiligd zijn.

En inderdaad moest iemand van het instituut het zelf bezorgen.

swampy @Auredium • 21 juli 2016 14:40

CD's worden zeker gebruikt tussen bedrijven. Het blijft een relatief betrouwbaar medium.

Post? Tja het liefst via een eigen koerier maar dat kan nog.

Maar geef je volledig gelijk kwa de versleuteling. Hoe moeilijk is het om de data te versleutelen voordat je het brand, de cd met een koerier te sturen en via email naar het andere bedrijf de toegangscode.

Hell, waarom niet assymetrisch en gebruik software met assym sleutels. Op die manier kan maar een persoon het openen, het bedrijf/diegenen met de private sleutel.

biglia 21 juli 2016 14:34

Het pakketje bleek geopend, maar of medewerkers van het Chinese bedrijf de data hebben ingezien en eraf hebben gehaald, is onbekend.

Tja, hoe komt dit in het nieuws? Als dat Chinees bedrijf gewoon de CD-roms had terugbezorgd aan het bedrijf dan weet niemand de inhoud van die CD-roms behalve de afzender. Het kon dan even goed nutteloze CD-roms met publicatiemateriaal geweest zijn. Dus iemand heeft de werkelijke inhoud aan de pers meegedeeld. Je verwacht toch dat de afzender hun fout stil wil houden.

TIGER79 @biglia • 21 juli 2016 14:41

Het Chinese bedrijf zegt dat een medewerkster per ongeluk het pakketje had geopend, maar het direct weer heeft gesloten en heeft doorgestuurd naar het juiste adres

Hahaha, per ongeluk geopend

Per ongeluk ook ingekeken, en waarschijnlijk per ongeluk kopietje van gemaakt en doorgestuurd naar China, immers Chinezen en informatie en/of (bedrijfs)spionage gaan hand in hand...
Nee, als dit in the USA was gebeurt had je nu een class action om U tegen te zeggen...

RJG-223 @TIGER79 • 21 juli 2016 15:00

Ja, want als jij voor het bedrijf waar jij werkt in de VS bent, of elders, en je krijgt een CD-ROM met alle gegevens van alle inwoners op je bureau, dan maak je gelijk een kopietje dat je doorstuurt naar de AIVD. Ze zien je aankomen...

De meeste chinezen spioneren net zo min voor de chinese overheid als dat de nederlanders voor de nederlandse overheid spioneren. Het is natuurlijk niet uitgesloten, maar wel onwaarschijnlijk dat een willekeurige chinese medewerker (en wás het inderdaad een chinese medewerker, of was het een deen, die bij dat bedrijf werkt ?) dit doet.

TIGER79 @RJG-223 • 21 juli 2016 16:44

Ten eerste moet je het niet vergelijken met wat ik zou doen als de gemiddelde Nederlander die niet echt patriottisch te noemen is. Dus ja ik denk dat vanuit mentaliteit en cultuur een Chinees (of een Rus, of een Amerikaan) anders zouden handelen dan ons.
Ten tweede ik zeg zeker niet dat elke Chinees een spion is of niet te vertrouwen is maar zoals jij zelf aankaart is dat ook nooit helemaal uit te sluiten, immers spionage is er gewoon en heeft niets, zoals Wulfklaue insinueert, met films te maken. Anders zou je alles wat niet open en bloot gebeurd gewoon kunnen wegwuiven....

Wulfklaue @TIGER79 • 21 juli 2016 16:37

Je krijgt een brief per post. Kijk je iedere brief na dat het correct aankomt? Vaak doe je brieven open de ene na de andere en dan zie je *oeps* ... die was niet voor ons.

Heb hetzelfde meegemaakt met ons appartement waarbij een bankkaart toekwam op ons adres van de vorige huurder. Niet gekeken naar de naam, doe brief open, sta je effen voor paar seconden van "wat is dat"? En dan zie je dat het voor andere persoon was.

Daarom dat ze dat noemen: "per ongeluk geopend".

Alsof een bedrijf dat zich niet bezighoud met spionage per ongeluk gegevens in hun handen krijgt en direct vlug vlug de Chinese staatsveiligheid gaat contacteren.

Je hebt een beetje te veel films gezien!

Tussen haakjes, men vrouw is Chinese. Is ze met mij getrouwd voor mijn fortuin ( dat er niet is ), wacht wacht ... voor mijn kennis ( als programmeur *bwahahaha* ), nee wacht ... ze is een "sleeper cell", ja, dat is het. *lol*.

We moeten nu ook niet met alles gaan sensatie opzoeken. De media doet het al genoeg.

Verwijderd @biglia • 21 juli 2016 20:03

Dat was mijn reactie dus ook. Erg vaag dat dit later wordr toegegeven...

flippy 21 juli 2016 14:07

geen geld voor een usb stick met een wachtwoord?

MrFax @flippy • 21 juli 2016 14:08

CD's kunnen niet geïnfecteerd door virussen raken, USB's wel.

Edit: hiervan ga ik dus niet uit dat het origineel geïnfecteerd was, als dat al zo was dan zouden de problemen veel groter zijn(Dan zouden hackers dus al toegang kunnen hebben van het origineel). Ik heb het over dat tijdens verzending er niks mee kan gebeuren. Ook is het (permanent) verwijderen van data op een CD een stuk makkelijker en goedkoper dan een USB stick.

[Reactie gewijzigd door MrFax op 24 juli 2024 19:38]

ATS @MrFax • 21 juli 2016 14:11

Niet als je de USB read only maakt na het schrijven, dan is het precies zo kwetsbaar als een CD. Maar kom op: onversleuteld? Echt waar?

RJG-223 @ATS • 21 juli 2016 14:54

Waar heb jij een échte read-only USB-stick gezien ? Zoiets bestaat volgens mij niet, en als het bestaat, heeft bijna niemand ze, en is het dus even nutteloos.

Het enige wat normaal een USB-stick read-only maakt, is een enkel bitje, ergens opgeslagen op de usb-stick zelf, danwel in NVRAM, ook in de USB-stick. Als je de firmware vervangt, al dan niet mbv een kwetsbaarheid in die firmware, is hij ineens niet meer read-only.

Een CD-ROM is fysiek read-only. Géén firmware, géén bugs, geen backdoors. het kán gewoon niet.

Interlace84 @RJG-223 • 21 juli 2016 15:19

Er bestaan meer dan zat usb-sticks (ook goedkope) met een schakelaartje om ze "fysiek" read-only te maken. Had ooit een 256mb stick van school uit 2003 en later een VROM-stick van 2GB die dit beiden hadden. Daarnaast heeft o.a. Kingston voor dit soort gevallen hun DataLocker-sticks die alleen na opgeven wachtwoord of anders een volledige wipe toegankelijk zijn. Die slaan ook meteen alles encrypted op zonder tussenkomst OS.

[Reactie gewijzigd door Interlace84 op 24 juli 2024 19:38]

RJG-223 @Interlace84 • 21 juli 2016 21:13

om ze "fysiek" read-only te maken

Dat is ook alleen een bitje, maar dan een hardware-bitje: in de vorm van een schakelaar. De schakelaar is het enige fysieke eraan. 'Read-only' USB sticks bestaan alleen bij gratie van de firmware, die besluit om geen schrijfacties toe te laten. Vervang de firmware, en de flash is gewoon beschrijfbaar. Als je echt read-only USB wilt, dan moeten de flash chips daar speciaal voor ontworpen zijn, zodat de chips zelf echt niet te beschrijven zijn zonder een soort schakelaar, eentje die niet door de firmware bediend kan worden. Of een in de flash chip ingebakken schakelaar die slechts één keer omgezet kan worden naar read-only, waarna de chip fysiek nooit meer geschreven kan worden. Flash chips van beide soorten bestaan niet. Niemand vindt dat belangrijk genoeg om voor de extra complexiteit te betalen. Of je moet PROM chips gebruiken. Dat lijkt nog het meest op CD-ROM, maar die bestaan niet in USB-stick verpakking. Die wil al helemaal niemand hebben.

The Zep Man

Privacy

@MrFax • 21 juli 2016 14:12

CD's kunnen niet geïnfecteerd door virussen raken, USB's wel.

Malware op de computer waarop de CD's gebrand worden zou stilletjes een autorun.inf of het aan te roepen bestand kunnen wijzigen voordat het gebrand wordt.

Het kan dus wel, maar wordt gewoon niet gedaan omdat CD's niet populair zijn. Dit, in combinatie met het niet gebruiken van encryptiemiddelen, geeft aan dat het genoemde instituut gelooft in security by obscurity.

Over het nieuwsbericht:
Gekeken naar wat het Chinese bedrijf heeft gedaan denk ik niet dat er misbruik van is gemaakt. Het probleem is echter dat er misbruik van had kunnen worden gemaakt, wat een veel kwalijkere zaak is. Waarom worden op deze manier gegevens uitgewisseld? Zelfs als het verantwoord is om zo'n grote bulk gegevens te versturen naar een andere partij, dan nog is het niet nodig om zoiets zonder encryptie te doen. Ook hechten ze er niet voldoende waarde aan. Anders hadden ze wel een koeriersdienst gebruikt die alleen aflevert aan een specifiek persoon (met identiteitsbewijs).

De privacy-autoriteit vindt het kwalijk dat het instituut de data onversleuteld heeft verstuurd.

Kwalijk is één ding. Waar blijft het onderzoek dat inzicht geeft hoe lang deze praktijken al gaande zijn, en de mogelijk daaropvolgende gerechtelijke gevolgen?

[Reactie gewijzigd door The Zep Man op 24 juli 2024 19:38]

sebastienbo @The Zep Man • 21 juli 2016 14:22

Je hoeft zelf de autorun niet te wijzigen, als je executables op de cd besmet zijn, dan zullen ze vroeg of laat ook wel ge-execute worden.
Met andere woorden de cd bied geen garantie dat ze niet geinfecteerd is , het beschermt enkel tegen nieuwe infecties (maar dat kan een read-only usb stick optie ook)

[Reactie gewijzigd door sebastienbo op 24 juli 2024 19:38]

The Zep Man

Privacy

@sebastienbo • 21 juli 2016 14:43

Je hoeft zelf de autorun niet te wijzigen, als je executables op de cd besmet zijn, dan zullen ze vroeg of laat ook wel ge-execute worden.

Dat is wat ik schreef...

Malware op de computer waarop de CD's gebrand worden zou stilletjes een autorun.inf of het aan te roepen bestand kunnen wijzigen voordat het gebrand wordt.

Met andere woorden de cd bied geen garantie dat ze niet geinfecteerd is , het beschermt enkel tegen nieuwe infecties (maar dat kan een read-only usb stick optie ook)

Een read-only USB stick bevat elektronica waarvan de controllerchip geïnfecteerd kan worden om zo bijvoorbeeld een kerneldriver te exploiteren. Dus zelfs met een hardwareschakelaar die schrijfacties naar het geheugen blokkeert zijn ze nog steeds een groter risico op dit gebied dan CD's.

Niet dat ik daarmee wil aangeven dat CD's beter zijn. De kans dat je via goed beheerde USB sticks een infectie zou krijgen is klein. Echter, als je goed beheer zou hebben dan zou de informatie sowieso niet verstuurd zijn zoals in het artikel wordt omschreven.

Verwijderd @MrFax • 21 juli 2016 14:14

Ligt eraan of een CD wel of niet is afgesloten. Zo liet ik ze vroeger vaak open, om op een later stadium er nog zaken bij te plaatsen.

Maar dat was dan ook nog uit de tijd dat de cdtjes duur waren.

Armin @MrFax • 21 juli 2016 19:26

CD's kunnen niet geïnfecteerd door virussen raken, USB's wel

CD's (en DVD's - want serieus CD's?

$_/-\o_$ ) kunnen ook moeiteloos geinfecteerde data bevatten. Immesr ze worden gemaakt door dezelfde mensen die de USB stick volgooien. De mens is de besmettingsbron, en niet het medium.

Maar goed, waarom dan niet encrypted data op de CDROM. Hét punt lijkt mij gebrek aan encryptie en niet het medium.

sebastienbo @MrFax • 21 juli 2016 14:20

CD's kunnen niet geïnfecteerd door virussen raken, USB's wel.

Dat is zever, je kan op cdroms en dvd's WEL virussen hebben!
Je kan gewoon geen nieuwe infecties krijgen, maar als jij op je pc een virus of malware hebt, die je executables geinfecteerd hebben, en het dan schrijft naar de cd, dan heeft de cd of DVD ook die virussen of malware...met andere woorden je cd is ook geinfecteerd met die malware/virus

Er bestaan trouwens ook usb sticks die je write protected kan maken, daar kan dus ook nieuwe besmettingen vermijden, maar net zoals bij cd/DVD kan je niets doen aan virussen die je zelf al gekopieerd hebt naar het medium

[Reactie gewijzigd door sebastienbo op 24 juli 2024 19:38]

MrFax @sebastienbo • 21 juli 2016 14:21

Heb mijn bericht aangepast om het wat duidelijker te maken

sebastienbo @MrFax • 21 juli 2016 14:30

PS: Je edit zegt dat een cd-rom goedkoper is om te verzenden, maar dat zou ik ook niet durven te beweren, de aankoop van de cd tegenover de stick zal wel goedkoper zijn, maar een cd is veel fragieler, dus zal je extra bescherming nodig hebben voor de cd te beschermen, daardoor word het verzenden van het postpak heel duur (omdat het geen genormaliseerde zending meer zal zijn en omdat je de cd-rom bescherming moeten kopen hebt)

De stick is dus duurder in aankoop maar gemakelijker te beschermen, kleiner en goedkoper te verzenden en vooral het kan veeeeeeeel meer data bevatten
Een 64gb stick kost 20 euro en kan 100 cd's bevatten aan data (het schrijft en leest bovendien veel gemakelijker en sneller

Dus al bij al, ik zou geen cd of dvd meer gebruiken, maar een usb stick , zoals deze (het is kleiner dan mijn pink)
pricewatch: Sandisk Cruzer Ultra Fit 64GB Zwart
Voor 5 euro meer (25 euro) heb je zelf de 128GB versie van die stick (allé stick kan je het ook niet meer noemen, het is zo klein dat het bijna helemaal verdwijnt in je usb slot) :-)
pricewatch: Sandisk Cruzer Ultra Fit 128GB Zwart
Dus dan kan je al 200cd's kwijt :-)

Vergelijk maar eens de prijs van 200 cd's + 200 beschermdoosjes + de verzending daarvan tegenover deze usb stick en die verzending kost :-)

[Reactie gewijzigd door sebastienbo op 24 juli 2024 19:38]

MrFax @sebastienbo • 21 juli 2016 15:25

Ik he nooit gezegd dat het goedkoper is om te verzenden. Met een USB stick kan de data tijdens verzenden aangepast worden, met gesloten CD's kan dit niet. Dit was mijn enige punt en ik snap niet waarom mensen dit niet kunnen begrijpen

sebastienbo @MrFax • 21 juli 2016 15:39

Wel dat is waarom encryptie uitgevonden is, je kan de data niet aanpassen zonder het wachtwoord te kennen

Trouens de ontvanger weet toch niet wat voor cd-rom hij ging ontvangen?
Waarom zou een kwaadwillige niet gewoon de data overkopieren naar een nieuwe cd met zijn wijzigingen?

Dat kan je niet doen als je het ge-encrypteerd of ge-zipt hebt met een wachtwoord

Maar ik had je punt inderdaad niet door, dat jij het had over man-in-the middle attack voor fyische medium's

Zer0 @sebastienbo • 21 juli 2016 15:34

dus zal je extra bescherming nodig hebben voor de cd te beschermen, daardoor word het verzenden van het postpak heel duur (omdat het geen genormaliseerde zending meer zal zijn en omdat je de cd-rom bescherming moeten kopen hebt)

Het verzenden van een enkele CD in een standaard CD doosje is echt niet (veel) duurder dan het verzenden van een USB stick. De afmeting zijn niet zo relevant als het in een standaard bubbeltjes envelop past, en dat doen beide. Ook het gewicht zal elkaar niet veel ontlopen.

Vergelijk maar eens de prijs van 200 cd's + 200 beschermdoosjes + de verzending daarvan tegenover deze usb stick en die verzending kost :-)

Die 200 cd's kun je wel naar 200 verschillende ontvangers sturen, of 1 origineel en 199 updates naar dezelfde ontvanger, een enkele USB stick niet, die stuur je een keer op en zie je nooit meer terug. Leuk dat er meer data op kan dan een CD, maar als je maar een beperkte hoeveelheid hebt te verzenden dan is dat irrelevant.

sebastienbo @Zer0 • 21 juli 2016 15:44

Eigenlijk zijn we allemaal aan het spreken over iets dat niet meer nodig is
Namelijk medium's.

Encrypted files kan je gewoon ook sharen op één van je servers, dan moet iedereen het gewoon ophalen en je bent zeker dat de data niet door iemand aangepast kan worden (want dan klopt het passwoord niet meer)

Zelf pc's zonder internet moeten niet meer op die manier hun gegevens krijgen, want je kan het even downloaden via een andere computer en dan zelf op een stick zetten.

Het hele verhaal veranderd als je Terabytes wil doorgeven (dat doe je niet via internet, dat gaat sneller via harde schrijven sturen per taxipost ofzo, maar om in lijn te blijven met deze topic, dan zal je ook geen CD's gebruiken.

Dus ik begrijp ik niet waarom ze zo iets gedaan hebben

Zer0 @sebastienbo • 21 juli 2016 16:10

Sharing via internet heeft ook de nodige nadelen. Zo is het voor veel meer mensen bereikbaar, en dus gevoeliger voor hacks.

je bent zeker dat de data niet door iemand aangepast kan worden (want dan klopt het passwoord niet meer)

Leuk dat je weet dat de data niet aangepast is, maar wat ook belangrijk is, is om te weten of de data niet inzichtelijk is voor anderen.
Een op internet gehost bestand kan gedownload worden, en men kan dan lekker aan de gang met poging om de files te decrypten. De data kan dus zomaar een jaar later alsnog op straat liggen.

sebastienbo @Zer0 • 21 juli 2016 17:21

Je kan het proberen decrypten, ja, dat argument geld altijd

Maar nu stond het plain op een cd rom, dus iedereen, inclusief de postbode kon het gewoon raadplegen en verkopen
Het nadeel is dat je het niet eens zou weten wie de cd's in handen gehad heeft, bij een digitaal bestand, zie je heel goed welke ip adressen het gedownload hebben (zonder te denken aan proxy's)

Decrypten is trouwens niet voor iedereen weggelegd en je meot er ook al echt zin in hebben, want de data kan misschien voor jou niets waard zijn, dan heb je er niet veel aan gehad om een maand iets zitten te decrypten

Terrestrial @MrFax • 21 juli 2016 14:10

ja nou en, neem je toch een truecrypt container.. die kun je zowel op cd als usb stick zetten.

CAPSLOCK2000

Privacy

@MrFax • 21 juli 2016 14:58

Ik weet niet of het realistisch is maar er zijn multi-sessie CDs die niet in één keer worden geschreven maar in stukjes.

vinkjb 21 juli 2016 14:09

Uitermate kwalijk dit, 1: dat men alle Denen op cdrom heeft staan 2: met alle gegevens erbij, 3: medisch gegevens....
Zeeeeeeer kwalijk dit, wat zou men er mee gaan doe of wat doet de instantie ermee waar het heen zou moeten gaan