Datalek bij Britse payroll-dienstverlener Sage trof tot driehonderd bedrijven

Sage Software, een Britse payroll-dienstverlener, kampte met een datalek. Het bedrijf stelde voor het weekend rond de tweehonderd van zijn Britse afnemers van het lek op de hoogte, maar het getroffen aantal bedrijven zou kunnen oplopen tot driehonderd, volgens een bron.

Onder andere The Antisocial Engineer maakt melding van het datalek. Het bedrijf doet aan payroll-dienstverlening, wat betekent dat het niet alleen de persoonsgegevens van de werknemers van cliënten hanteert, maar ook de betaalgegevens. Welke gegevens er specifiek mogelijk op straat liggen, maakt het bedrijf op dit moment niet bekend.

Een anonieme bron die onder andere met The Financial Times sprak, zegt dat de inloggegevens van een werknemer gebruikt waren om toegang te krijgen tot de gevoelige informatie, wat betekent dat het lek mogelijk het resultaat is van interne sabotage. Sage bevestigde dit later ook. Het bedrijf heeft de Londense politie op de hoogte gesteld.

Sage Software is onderdeel van Sage Group, een multinational dat kantoren heeft in 24 verschillende landen, waaronder Nederland. De payroll-software van Sage is ook in gebruik in Nederland en België, maar het datalek zou desalniettemin beperkt zijn gebleven tot de Britse bedrijven die van de Sage-diensten gebruikmaken.

IT-banen

Reacties (14)

Sandor_Clegane 15 augustus 2016 13:44

Het nadeel van dit soort diensten, en cloud dienstverleners in het algemeen, eerst moest je als hacker 80 bedrijven hacken om deze gegevens te krijgen. Nu hack je 1 cloud provider of dienstverlener en je hebt gegevens van 80 bedrijven.

Lekker alles bij elkaar.

Zelfs als deze bedrijven het beter doen dan de eigen IT afdeling, tegen een zero day doe je niet zoveel en deze gegevens zijn een hoop geld waard. Een investering in een zero day van een paar duizend dollar is dan zeker de moeite waard.

locke960 @Sandor_Clegane • 15 augustus 2016 17:05

Het maakt niet uit of die bedrijven het beter of slechter doen. Vanuit een databeveiligings optiek staan die gegevens nu bij 2 bedrijven in minimaal 2 systemen. Want het wordt dan wel uitbesteed, maar het bedrijf zelf heeft ook nog steeds systemen waar deze informatie instaat. Het is dus altijd onveiliger.

Sandor_Clegane @locke960 • 15 augustus 2016 22:14

Om eerlijk te zijn heb ik dat erbij gezet als disclaimer, vaak krijg je als eerste reactie: "Maar dat is niet het bedrijf zijn corebusiness, dat kan een dienstverlener veel beter" yadda yadda.

Point taken en helemaal mee eens hoor

Zerotorescue 15 augustus 2016 11:51

Het bedrijf doet aan payroll-dienstverlening, wat betekent dat het niet alleen de persoonsgegevens van de werknemers van cliënten hanteert, maar ook de betaalgegevens. Welke gegevens er specifiek mogelijk op straat liggen, maakt het bedrijf op dit moment niet bekend.

Bij payroll bedrijven zijn de betaalgegevens lang niet de gevoeligste gegevens die worden opgeslagen en kunnen lekken. Er worden namelijk vaak identiteitsbewijzen zoals paspoorten, id kaarten of rijbewijzen opgeslagen omdat dit bij wet en/of certificering soms verplicht is. Als iemand deze weet te bemachtigen is er kans op identiteitsfraude wat veel verdergaande consequenties kan hebben voor de personen in kwestie.

ronaldo.biertje @Zerotorescue • 15 augustus 2016 12:48

Dit, in combinatie met de betreffende betaalgegevens, maakt financiële- en identiteitsfraude zelfs "eenvoudig".

SuperDre 15 augustus 2016 14:04

tja, en werkende in de salarissoftware industrie, kan ik zeggen dat het probleem alleen maar erger gaat worden met al die online salarispakketten, de meeste leveranciers hebben al of zijn bezig met een online variant van hun offline software. En als werknemer kun je daar dus weinig tegen doen, immers ben je verplicht je gegevens af te geven aan je werkgever en die moet op basis van deze gegevens dus jouw verloning doen en aangiftes doen richting de Belastingdienst, Pensioenfondsen, verzekeraars en Arbodiensten, en natuurlijk doen ze de betalingen ook digitaal richting de bank.
Nadeel dus van al die online diensten is dat er nu nog maar 1 centraal punt is die gehackt hoeft te worden, tegenover al die losse eigen servers/computers waarop lokale versies staan..

locke960 @SuperDre • 15 augustus 2016 17:09

Wij hebben de keuze gekregen, digitaal via een of ander portaal, of gewoon het ouderwetse salarisstrookje. Ik zie voor mij geen voordeel in een portaal. Weer een wachtwoord te onthouden, en weer een potentieel risico op een datalek met mijn gegevens, dus doe mij het papiertje maar.
Ik heb echter het knagende gevoel dat mijn gegevens toch in dat systeem staan, ik zie het alleen niet...

R4gnax

Datalek

@locke960 • 15 augustus 2016 19:58

Ik heb echter het knagende gevoel dat mijn gegevens toch in dat systeem staan, ik zie het alleen niet...

Waarschijnlijk is dat gevoel idd terecht. Dikke kans dat jouw salarisstrookje uitgeprint en gepost wordt via hetzelfde centrale systeem, waarvan de administratie interfaces uiteraard -- want het heeft toch al een web portaal voor klanten -- ook via het web bereikbaar zijn.

Je mag al mazzel hebben als überhaupt de login gegevens voor die systemen gescheiden bewaard worden en niet gewoon in dezelfde database getiefd worden met de spreekwoordelijke 'isadmin' vlag.

Het is een verschuiving die al langer plaats vindt in de gehele dienstverlenende sector en langzaam aan gaan we dan ook richting een 'slikken of stikken'-model.

Ik zie hetzelfde ge-eikel nu bijv. ook met de OV-chipkaart. Tot op een half jaar geleden was het nog mogelijk om enkel op basis van het kaartnummer een bestaande persoonlijke kaart te verlengen. Nu nog? Nee; nu mag je lekker een account aanmaken; je bestaande kaart en gegevens daaraan koppelen op basis van kaartnummer; en via die account een andere kaart aanvragen met mogelijkheid om reisproducten over te zetten en restantsaldo terug te boeken. En als je dat niet bevalt; dan neem je maar lekker een anonieme kaart zonder mogelijkheid om kortingsproducten er op te zetten en kun je naar je restantsaldo fluiten.

Fijn; weer een plek waar je volledige NAW-gegevens met naam en toenaam bij elkaar online staan. Compleet met bankgegevens; want als je gaat verlengen vragen ze ook nog los; al voor de betalingsprocedure, om je IBAN in te vullen. (Da's natuurlijk handiger dan achteraf moeite moeten doen om de transactiegegevens voor de betaling te controleren en naar dat rekeningnummer terug te boeken.)

Alles ter meerdere ere en glorie van de kosten-reducering, en dat alles onder het mom van het 'lekker makkelijk maken voor de klant'.

[Reactie gewijzigd door R4gnax op 26 juli 2024 22:25]

SuperDre @locke960 • 15 augustus 2016 21:57

Dat knagende gevoel klopt dus gewoon.. Je hebt misschien wel de keuze tussen je loonstrookje digitaal te ontvangen of niet, maar het packet dat ze gebruiken is mogelijk dus wel gewoon complete online.. Nu zal het nog niet overall zo zijn, maar zoals ik al zei, de meeste salarissoftwareleveranciers zijn online only pakketten aan het bouwen of hebben ze al, en hun lokale versies zullen uitgefaseerd worden.. En bij bijna al die pakketten is het dus dat ze allemaal moeten inloggen op de servers van de softwareleverancier, dus alle data van iedereen die er mee werkt staat er in..

En ook je bankrekening staat er dus in, want sinds 1 januari 2016 is elke werkgever verplicht om minimaal het bedrag ter hoogte van het minimumloon over te maken naar je bankrekening en mag dus niet meer in de zogenaamde envelop gegeven worden.

[Reactie gewijzigd door SuperDre op 26 juli 2024 22:25]

Hellrespawn 15 augustus 2016 11:20

Ik ben niet de enige die Dalek las ipv van Datalek, toch?

wica @Hellrespawn • 15 augustus 2016 11:27

/offtopic
nu wel, bedankt er voor

/ontopic
Wat een schat aan info is er mogelijk buitgemaakt.
- persoonsgegevens, naam, straat burgelijke staat, bankrekening etc etc.
- Salaris
- Werkgever..

Denk genoeg informatie om wat financiele producten te kunnen aanschaffen op iemand anders zijn/haar naam.

Mee_ @Hellrespawn • 15 augustus 2016 11:32

Ik las dat ook eerst!
I was confused...

hackerhater @Hellrespawn • 15 augustus 2016 13:48

Exterminate

SuperDre @Hellrespawn • 15 augustus 2016 14:00

LOL..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (14)

Sorteer op:

Weergave: