Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties
Submitter: himlims_

Sage Software, een Britse payroll-dienstverlener, kampte met een datalek. Het bedrijf stelde voor het weekend rond de tweehonderd van zijn Britse afnemers van het lek op de hoogte, maar het getroffen aantal bedrijven zou kunnen oplopen tot driehonderd, volgens een bron.

Onder andere The Antisocial Engineer maakt melding van het datalek. Het bedrijf doet aan payroll-dienstverlening, wat betekent dat het niet alleen de persoonsgegevens van de werknemers van cliënten hanteert, maar ook de betaalgegevens. Welke gegevens er specifiek mogelijk op straat liggen, maakt het bedrijf op dit moment niet bekend.

Een anonieme bron die onder andere met The Financial Times sprak, zegt dat de inloggegevens van een werknemer gebruikt waren om toegang te krijgen tot de gevoelige informatie, wat betekent dat het lek mogelijk het resultaat is van interne sabotage. Sage bevestigde dit later ook. Het bedrijf heeft de Londense politie op de hoogte gesteld.

Sage Software is onderdeel van Sage Group, een multinational dat kantoren heeft in 24 verschillende landen, waaronder Nederland. De payroll-software van Sage is ook in gebruik in Nederland en België, maar het datalek zou desalniettemin beperkt zijn gebleven tot de Britse bedrijven die van de Sage-diensten gebruikmaken.

Moderatie-faq Wijzig weergave

Reacties (14)

Het nadeel van dit soort diensten, en cloud dienstverleners in het algemeen, eerst moest je als hacker 80 bedrijven hacken om deze gegevens te krijgen. Nu hack je 1 cloud provider of dienstverlener en je hebt gegevens van 80 bedrijven.

Lekker alles bij elkaar. :) Zelfs als deze bedrijven het beter doen dan de eigen IT afdeling, tegen een zero day doe je niet zoveel en deze gegevens zijn een hoop geld waard. Een investering in een zero day van een paar duizend dollar is dan zeker de moeite waard.
Het maakt niet uit of die bedrijven het beter of slechter doen. Vanuit een databeveiligings optiek staan die gegevens nu bij 2 bedrijven in minimaal 2 systemen. Want het wordt dan wel uitbesteed, maar het bedrijf zelf heeft ook nog steeds systemen waar deze informatie instaat. Het is dus altijd onveiliger.
Om eerlijk te zijn heb ik dat erbij gezet als disclaimer, vaak krijg je als eerste reactie: "Maar dat is niet het bedrijf zijn corebusiness, dat kan een dienstverlener veel beter" yadda yadda.

Point taken en helemaal mee eens hoor :)
Het bedrijf doet aan payroll-dienstverlening, wat betekent dat het niet alleen de persoonsgegevens van de werknemers van cliŽnten hanteert, maar ook de betaalgegevens. Welke gegevens er specifiek mogelijk op straat liggen, maakt het bedrijf op dit moment niet bekend.
Bij payroll bedrijven zijn de betaalgegevens lang niet de gevoeligste gegevens die worden opgeslagen en kunnen lekken. Er worden namelijk vaak identiteitsbewijzen zoals paspoorten, id kaarten of rijbewijzen opgeslagen omdat dit bij wet en/of certificering soms verplicht is. Als iemand deze weet te bemachtigen is er kans op identiteitsfraude wat veel verdergaande consequenties kan hebben voor de personen in kwestie.
Dit, in combinatie met de betreffende betaalgegevens, maakt financiŽle- en identiteitsfraude zelfs "eenvoudig".
tja, en werkende in de salarissoftware industrie, kan ik zeggen dat het probleem alleen maar erger gaat worden met al die online salarispakketten, de meeste leveranciers hebben al of zijn bezig met een online variant van hun offline software. En als werknemer kun je daar dus weinig tegen doen, immers ben je verplicht je gegevens af te geven aan je werkgever en die moet op basis van deze gegevens dus jouw verloning doen en aangiftes doen richting de Belastingdienst, Pensioenfondsen, verzekeraars en Arbodiensten, en natuurlijk doen ze de betalingen ook digitaal richting de bank.
Nadeel dus van al die online diensten is dat er nu nog maar 1 centraal punt is die gehackt hoeft te worden, tegenover al die losse eigen servers/computers waarop lokale versies staan..
Wij hebben de keuze gekregen, digitaal via een of ander portaal, of gewoon het ouderwetse salarisstrookje. Ik zie voor mij geen voordeel in een portaal. Weer een wachtwoord te onthouden, en weer een potentieel risico op een datalek met mijn gegevens, dus doe mij het papiertje maar.
Ik heb echter het knagende gevoel dat mijn gegevens toch in dat systeem staan, ik zie het alleen niet...
Ik heb echter het knagende gevoel dat mijn gegevens toch in dat systeem staan, ik zie het alleen niet...
Waarschijnlijk is dat gevoel idd terecht. Dikke kans dat jouw salarisstrookje uitgeprint en gepost wordt via hetzelfde centrale systeem, waarvan de administratie interfaces uiteraard -- want het heeft toch al een web portaal voor klanten -- ook via het web bereikbaar zijn.

Je mag al mazzel hebben als Łberhaupt de login gegevens voor die systemen gescheiden bewaard worden en niet gewoon in dezelfde database getiefd worden met de spreekwoordelijke 'isadmin' vlag.


Het is een verschuiving die al langer plaats vindt in de gehele dienstverlenende sector en langzaam aan gaan we dan ook richting een 'slikken of stikken'-model.

Ik zie hetzelfde ge-eikel nu bijv. ook met de OV-chipkaart. Tot op een half jaar geleden was het nog mogelijk om enkel op basis van het kaartnummer een bestaande persoonlijke kaart te verlengen. Nu nog? Nee; nu mag je lekker een account aanmaken; je bestaande kaart en gegevens daaraan koppelen op basis van kaartnummer; en via die account een andere kaart aanvragen met mogelijkheid om reisproducten over te zetten en restantsaldo terug te boeken. En als je dat niet bevalt; dan neem je maar lekker een anonieme kaart zonder mogelijkheid om kortingsproducten er op te zetten en kun je naar je restantsaldo fluiten.

Fijn; weer een plek waar je volledige NAW-gegevens met naam en toenaam bij elkaar online staan. Compleet met bankgegevens; want als je gaat verlengen vragen ze ook nog los; al voor de betalingsprocedure, om je IBAN in te vullen. (Da's natuurlijk handiger dan achteraf moeite moeten doen om de transactiegegevens voor de betaling te controleren en naar dat rekeningnummer terug te boeken.)

Alles ter meerdere ere en glorie van de kosten-reducering, en dat alles onder het mom van het 'lekker makkelijk maken voor de klant'.

[Reactie gewijzigd door R4gnax op 15 augustus 2016 20:35]

Dat knagende gevoel klopt dus gewoon.. Je hebt misschien wel de keuze tussen je loonstrookje digitaal te ontvangen of niet, maar het packet dat ze gebruiken is mogelijk dus wel gewoon complete online.. Nu zal het nog niet overall zo zijn, maar zoals ik al zei, de meeste salarissoftwareleveranciers zijn online only pakketten aan het bouwen of hebben ze al, en hun lokale versies zullen uitgefaseerd worden.. En bij bijna al die pakketten is het dus dat ze allemaal moeten inloggen op de servers van de softwareleverancier, dus alle data van iedereen die er mee werkt staat er in..

En ook je bankrekening staat er dus in, want sinds 1 januari 2016 is elke werkgever verplicht om minimaal het bedrag ter hoogte van het minimumloon over te maken naar je bankrekening en mag dus niet meer in de zogenaamde envelop gegeven worden.

[Reactie gewijzigd door SuperDre op 15 augustus 2016 21:59]

Ik ben niet de enige die Dalek las ipv van Datalek, toch?
/offtopic
nu wel, bedankt er voor :)

/ontopic
Wat een schat aan info is er mogelijk buitgemaakt.
- persoonsgegevens, naam, straat burgelijke staat, bankrekening etc etc.
- Salaris
- Werkgever..

Denk genoeg informatie om wat financiele producten te kunnen aanschaffen op iemand anders zijn/haar naam.
Ik las dat ook eerst!
I was confused... :+

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True