Datalek bij Britse payroll-dienstverlener Sage trof tot driehonderd bedrijven

Sage Software, een Britse payroll-dienstverlener, kampte met een datalek. Het bedrijf stelde voor het weekend rond de tweehonderd van zijn Britse afnemers van het lek op de hoogte, maar het getroffen aantal bedrijven zou kunnen oplopen tot driehonderd, volgens een bron.

Onder andere The Antisocial Engineer maakt melding van het datalek. Het bedrijf doet aan payroll-dienstverlening, wat betekent dat het niet alleen de persoonsgegevens van de werknemers van cliënten hanteert, maar ook de betaalgegevens. Welke gegevens er specifiek mogelijk op straat liggen, maakt het bedrijf op dit moment niet bekend.

Een anonieme bron die onder andere met The Financial Times sprak, zegt dat de inloggegevens van een werknemer gebruikt waren om toegang te krijgen tot de gevoelige informatie, wat betekent dat het lek mogelijk het resultaat is van interne sabotage. Sage bevestigde dit later ook. Het bedrijf heeft de Londense politie op de hoogte gesteld.

Sage Software is onderdeel van Sage Group, een multinational dat kantoren heeft in 24 verschillende landen, waaronder Nederland. De payroll-software van Sage is ook in gebruik in Nederland en België, maar het datalek zou desalniettemin beperkt zijn gebleven tot de Britse bedrijven die van de Sage-diensten gebruikmaken.

Door Mark Hendrikman

Redacteur

Feedback • 15-08-2016 11:00
14 • submitter: himlims_

15-08-2016 • 11:00

14

Submitter: himlims_

Lees meer

Dienst voor beheer van verzuimgegevens dicht lek dat toegang gaf tot klantdata
Dienst voor beheer van verzuimgegevens dicht lek dat toegang gaf tot klantdata Nieuws van 29 september 2016
Fox Sports dicht lek in website dat inzage gaf in facturen van klanten
Fox Sports dicht lek in website dat inzage gaf in facturen van klanten Nieuws van 16 september 2016
Nederlandse aanbieder van spelcodes waarschuwt gebruikers voor datalek
Nederlandse aanbieder van spelcodes waarschuwt gebruikers voor datalek Nieuws van 14 september 2016
Datalek van 20GB bij gemeente Almelo bevat waarschijnlijk persoonsgegevens
Datalek van 20GB bij gemeente Almelo bevat waarschijnlijk persoonsgegevens Nieuws van 9 september 2016
Gegevens van bijna 800.000 accounts pornosite Brazzers verschijnen online
Gegevens van bijna 800.000 accounts pornosite Brazzers verschijnen online Nieuws van 5 september 2016
Details over onderzeeërs van Frans bedrijf komen vrij bij datalek
Details over onderzeeërs van Frans bedrijf komen vrij bij datalek Nieuws van 24 augustus 2016
Inloggegevens van 1,9 miljoen Dota 2-forumleden lekken uit
Inloggegevens van 1,9 miljoen Dota 2-forumleden lekken uit Nieuws van 10 augustus 2016
Hacker 'Peace' biedt 200 miljoen Yahoo-accounts aan
Hacker 'Peace' biedt 200 miljoen Yahoo-accounts aan Nieuws van 2 augustus 2016
Student achter UvA-HvA-datalek vindt opnieuw lekken in systeem HvA
Student achter UvA-HvA-datalek vindt opnieuw lekken in systeem HvA Nieuws van 1 augustus 2016
Facturen 19.000 T-Mobile-klanten waren toegankelijk op onbeveiligde server
Facturen 19.000 T-Mobile-klanten waren toegankelijk op onbeveiligde server Nieuws van 27 juli 2016
WikiLeaks lekt 19.252 e-mails Democratische partij VS inclusief info donateurs
WikiLeaks lekt 19.252 e-mails Democratische partij VS inclusief info donateurs Nieuws van 23 juli 2016
WikiLeaks maakt bijna 300.000 e-mails van Turkse AK-partij doorzoekbaar
WikiLeaks maakt bijna 300.000 e-mails van Turkse AK-partij doorzoekbaar Nieuws van 20 juli 2016
Klantgegevens Typhone, Media Markt, Phone House en gsmeasy mogelijk gelekt
Klantgegevens Typhone, Media Markt, Phone House en gsmeasy mogelijk gelekt Nieuws van 17 juli 2016
Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase
Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase Nieuws van 15 juli 2016
Amazon wijst claim over gehackte Kindle-database van de hand
Amazon wijst claim over gehackte Kindle-database van de hand Nieuws van 11 juli 2016
Oude forumserver Trillian is gehackt
Oude forumserver Trillian is gehackt Nieuws van 6 juli 2016
Meer producten en artikelen
Netwerk en systeembeheer Datalek

Reacties (14)

-Moderatie-faq
14
14
8
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
Sandor_Clegane 15 augustus 2016 13:44
Het nadeel van dit soort diensten, en cloud dienstverleners in het algemeen, eerst moest je als hacker 80 bedrijven hacken om deze gegevens te krijgen. Nu hack je 1 cloud provider of dienstverlener en je hebt gegevens van 80 bedrijven.

Lekker alles bij elkaar. :) Zelfs als deze bedrijven het beter doen dan de eigen IT afdeling, tegen een zero day doe je niet zoveel en deze gegevens zijn een hoop geld waard. Een investering in een zero day van een paar duizend dollar is dan zeker de moeite waard.
locke960 @Sandor_Clegane15 augustus 2016 17:05
Het maakt niet uit of die bedrijven het beter of slechter doen. Vanuit een databeveiligings optiek staan die gegevens nu bij 2 bedrijven in minimaal 2 systemen. Want het wordt dan wel uitbesteed, maar het bedrijf zelf heeft ook nog steeds systemen waar deze informatie instaat. Het is dus altijd onveiliger.
Sandor_Clegane @locke96015 augustus 2016 22:14
Om eerlijk te zijn heb ik dat erbij gezet als disclaimer, vaak krijg je als eerste reactie: "Maar dat is niet het bedrijf zijn corebusiness, dat kan een dienstverlener veel beter" yadda yadda.

Point taken en helemaal mee eens hoor :)
Zerotorescue 15 augustus 2016 11:51
Het bedrijf doet aan payroll-dienstverlening, wat betekent dat het niet alleen de persoonsgegevens van de werknemers van cliënten hanteert, maar ook de betaalgegevens. Welke gegevens er specifiek mogelijk op straat liggen, maakt het bedrijf op dit moment niet bekend.
Bij payroll bedrijven zijn de betaalgegevens lang niet de gevoeligste gegevens die worden opgeslagen en kunnen lekken. Er worden namelijk vaak identiteitsbewijzen zoals paspoorten, id kaarten of rijbewijzen opgeslagen omdat dit bij wet en/of certificering soms verplicht is. Als iemand deze weet te bemachtigen is er kans op identiteitsfraude wat veel verdergaande consequenties kan hebben voor de personen in kwestie.
ronaldo.biertje @Zerotorescue15 augustus 2016 12:48
Dit, in combinatie met de betreffende betaalgegevens, maakt financiële- en identiteitsfraude zelfs "eenvoudig".
SuperDre 15 augustus 2016 14:04
tja, en werkende in de salarissoftware industrie, kan ik zeggen dat het probleem alleen maar erger gaat worden met al die online salarispakketten, de meeste leveranciers hebben al of zijn bezig met een online variant van hun offline software. En als werknemer kun je daar dus weinig tegen doen, immers ben je verplicht je gegevens af te geven aan je werkgever en die moet op basis van deze gegevens dus jouw verloning doen en aangiftes doen richting de Belastingdienst, Pensioenfondsen, verzekeraars en Arbodiensten, en natuurlijk doen ze de betalingen ook digitaal richting de bank.
Nadeel dus van al die online diensten is dat er nu nog maar 1 centraal punt is die gehackt hoeft te worden, tegenover al die losse eigen servers/computers waarop lokale versies staan..
locke960 @SuperDre15 augustus 2016 17:09
Wij hebben de keuze gekregen, digitaal via een of ander portaal, of gewoon het ouderwetse salarisstrookje. Ik zie voor mij geen voordeel in een portaal. Weer een wachtwoord te onthouden, en weer een potentieel risico op een datalek met mijn gegevens, dus doe mij het papiertje maar.
Ik heb echter het knagende gevoel dat mijn gegevens toch in dat systeem staan, ik zie het alleen niet...
R4gnax
@locke96015 augustus 2016 19:58
Ik heb echter het knagende gevoel dat mijn gegevens toch in dat systeem staan, ik zie het alleen niet...
Waarschijnlijk is dat gevoel idd terecht. Dikke kans dat jouw salarisstrookje uitgeprint en gepost wordt via hetzelfde centrale systeem, waarvan de administratie interfaces uiteraard -- want het heeft toch al een web portaal voor klanten -- ook via het web bereikbaar zijn.

Je mag al mazzel hebben als überhaupt de login gegevens voor die systemen gescheiden bewaard worden en niet gewoon in dezelfde database getiefd worden met de spreekwoordelijke 'isadmin' vlag.


Het is een verschuiving die al langer plaats vindt in de gehele dienstverlenende sector en langzaam aan gaan we dan ook richting een 'slikken of stikken'-model.

Ik zie hetzelfde ge-eikel nu bijv. ook met de OV-chipkaart. Tot op een half jaar geleden was het nog mogelijk om enkel op basis van het kaartnummer een bestaande persoonlijke kaart te verlengen. Nu nog? Nee; nu mag je lekker een account aanmaken; je bestaande kaart en gegevens daaraan koppelen op basis van kaartnummer; en via die account een andere kaart aanvragen met mogelijkheid om reisproducten over te zetten en restantsaldo terug te boeken. En als je dat niet bevalt; dan neem je maar lekker een anonieme kaart zonder mogelijkheid om kortingsproducten er op te zetten en kun je naar je restantsaldo fluiten.

Fijn; weer een plek waar je volledige NAW-gegevens met naam en toenaam bij elkaar online staan. Compleet met bankgegevens; want als je gaat verlengen vragen ze ook nog los; al voor de betalingsprocedure, om je IBAN in te vullen. (Da's natuurlijk handiger dan achteraf moeite moeten doen om de transactiegegevens voor de betaling te controleren en naar dat rekeningnummer terug te boeken.)

Alles ter meerdere ere en glorie van de kosten-reducering, en dat alles onder het mom van het 'lekker makkelijk maken voor de klant'.

[Reactie gewijzigd door R4gnax op 26 juli 2024 22:25]

SuperDre @locke96015 augustus 2016 21:57
Dat knagende gevoel klopt dus gewoon.. Je hebt misschien wel de keuze tussen je loonstrookje digitaal te ontvangen of niet, maar het packet dat ze gebruiken is mogelijk dus wel gewoon complete online.. Nu zal het nog niet overall zo zijn, maar zoals ik al zei, de meeste salarissoftwareleveranciers zijn online only pakketten aan het bouwen of hebben ze al, en hun lokale versies zullen uitgefaseerd worden.. En bij bijna al die pakketten is het dus dat ze allemaal moeten inloggen op de servers van de softwareleverancier, dus alle data van iedereen die er mee werkt staat er in..

En ook je bankrekening staat er dus in, want sinds 1 januari 2016 is elke werkgever verplicht om minimaal het bedrag ter hoogte van het minimumloon over te maken naar je bankrekening en mag dus niet meer in de zogenaamde envelop gegeven worden.

[Reactie gewijzigd door SuperDre op 26 juli 2024 22:25]

Hellrespawn 15 augustus 2016 11:20
Ik ben niet de enige die Dalek las ipv van Datalek, toch?
wica @Hellrespawn15 augustus 2016 11:27
/offtopic
nu wel, bedankt er voor :)

/ontopic
Wat een schat aan info is er mogelijk buitgemaakt.
- persoonsgegevens, naam, straat burgelijke staat, bankrekening etc etc.
- Salaris
- Werkgever..

Denk genoeg informatie om wat financiele producten te kunnen aanschaffen op iemand anders zijn/haar naam.
Mee_ @Hellrespawn15 augustus 2016 11:32
Ik las dat ook eerst!
I was confused... :+
hackerhater @Hellrespawn15 augustus 2016 13:48
Exterminate :Y)
SuperDre @Hellrespawn15 augustus 2016 14:00
LOL..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq