Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Submitter: nickurt

Het datalek bij de gemeente Almelo dat twee weken geleden aan het licht kwam, heeft gezorgd voor het lekken van gegevens van ten minste 282 mensen. De data zouden zijn ontvreemd via een 'plug-in' die tussen 2 en 9 september op de computer van een medewerker actief was.

Om wat voor plug-in het gaat, kon een woordvoerder van de gemeente nog niet zeggen. In de brief, die aan de betrokken 282 personen is verzonden, staat dat het gaat om een 'invoegtoepassing'. Uit het nog lopende onderzoek is verder gebleken dat onder de gelekte gegevens in ieder geval burgerservicenummers vallen, al dan niet in combinatie met naam, geboortedatum en het kenteken van een auto, schrijft Tubantia.

De betrokken 282 personen vroegen in de periode waarin de gegevens zijn ontvreemd een bijstandsuitkering aan of ontvingen deze al. In het geval van de ontvangers liep er een onderzoek naar het recht op een bijstandsuitkering.

De data zijn afkomstig uit de netwerkomgeving van Werkplein Twente waarin ook inwoners van de gemeenten Tubbergen, Dinkelland en Wierden zitten binnen een samenwerkingsverband tussen UWV en gemeenten. In totaal lekte er 20GB aan gegevens.

Moderatie-faq Wijzig weergave

Reacties (59)

ontzettend vervelend natuurlijk, maar hoe kan ik wakker liggen van dit bijna nietszeggende aantal?
Je zal maar bij die 282 horen. En bij de overheid hoort de data veilig te zijn. Punt. Geen uitzonderingen.
En niet 16 miljoen nederlanders minus 282 die even pech hebben gehad.
Natuurlijk. Het is ook zaak dat overheden - net alle andere organisaties die omgaan met vertrouwelijke informatie - de informatie goed beveiligen. Zowel technisch als organisatorisch.

Maar we verwachten ook van overheden dat ze snel werken, 24/7, via verschillende kanalen bereikbaar maar waarbij ieder kanaal alles moet weten en kunnen doen, ook selfservice, niet te veel bureaucratische rompslomp maar wel iedereen gelijk behandelen, en graag i.c.m. belastingverlaging ipv. -verhoging.

100% veiligheid bestaat niet. Punt. Laat staan als er ook nog eens voldoende goede en voldoende goedkope dienstverlening tegenover moet staan.
Opzich heb je wel een punt over 100% veligheid, het is dan alleen wel jammer dat het eerste wat ik mij persoonlijk direct herinerde een artikel was dat een aantal gemeentes wachtwoorden over een onbeveiligde verbinding gooien en opslaan in plain text.
ik hoop dat er een keer een echt groot lek bij de overheid komt. Een lek waarbij van een meerderheid van de Nederlanders Naam, geboortedatum, geboorteplaats en BSN op straat komen te liggen. Dat zal even vervelend zijn maar daarna is men wel gedwongen af te stappen van het principe dat als je die zaken weet je voor allerlei instantie die persoon bent.
En hoe had je de verdere identificatie dan gedacht? Een tatoeage op je kont?
Serieus, hopen op een groot datalek is als hopen op een groot ongeluk in een Belgische kerncentrale zodat de Belgische overheid eindelijk eens leert dat het belangrijk is die zaken goed op orde te hebben. De lasten zijn dan veel groter dan de lusten, laten we daar dus maar niet op hopen?
Je hoort al maandenlang nieuws over miljoenen accounts en persoonsgegevens die ontvreemd worden, en dan nu data van 282 mensen... ontzettend vervelend natuurlijk, maar hoe kan ik wakker liggen van dit bijna nietszeggende aantal?

Trouwens.. hoe kan het dat een medewerker van de gemeente zelf een plugin installeren? Al die systemen zijn toch dicht getimmerd via domain policies en draaien toch nog op bejaarde versies van Internet Explorer?

[Reactie gewijzigd door cappie op 23 september 2016 11:53]

Wellicht omdat het hier gaat om wel wat meer gegevens dan een wachtwoord, email-adres, en eventueel wat andere data. Bij de gemeentelijke data, zoals vermeld, staat onder andere je BSN, je volledige NAW gegevens - en zo te zien dat het ging om mensen die een bijstandsuitkering hadden of hebben aangevraagd kan ik al bijna garanderen dat daar dus ook werkgeschiedenis, financiŽle informatie zoals vorig loon, eventueel banksaldi etc. allemaal bij zit. Wel een hele slag meer gevoelige data dan een wachtwoord en email-adres van een website.

Begrijp me niet verkeerd, het is zeker vervelend als een andere website gelekt heeft - maar bij dit soort gegevens is het al te veel als het 1 gebruiker is.

Ik ben het wel met je eens dat het bijzonder apart is dat een gebruiker een niet geautoriseerde applicatie danwel plugin heeft weten te draaien. Wel meegenomen dat gebruikers vaak inventief kunnen zijn, en sommige applicaties geen installatie of administrator rechten nodig hebben. En dat bejaarde versies van Internet Explorer kan nog wel eens tegen vallen. Niet iedere instantie heeft nog IE6 of 8 nodig; en als dat al zo is zie je al steeds vaker dat het een vApp of App-V installatie heeft van die versie en de lokale IE gewoon is ge-update.
Omdat een email adres dat uitlekt niet hetzelfde is als de veel gevoeliger gegevens die omgaan bij een gemeente. Dan heb je het over BSN, uitkeringssituatie, woonadres en wellicht nog veel meer. Genoeg om identiteitsfraude mee te plegen bijvoorbeeld.
Dan doe je wel de aanname dat voor deze mensen al deze data is uitgelekt.. ze hebben niet gezegd over welke gegevens er op straat liggen...
Dat is gebaseerd op een eerder artikel en de context waarin de diefstal plaats gevonden heeft (gemeentelijke afdeling die gaat over bijstandsuitkeringen waarin dus veel met persoonsgegevens gewerkt wordt). Dat is geen rare aanname in dit verband lijkt me.
"De gelekte gegevens bestaan uit het burgerservicenummer (BSN) van de betrokkenen, al dan niet in combinatie met naam en/of de geboortedatum en/of het kenteken van hun auto". Lees nog even goed over welke data het gaat.

"Je hoort al maandenlang nieuws over persoonsgegevens", ooohhh naja dan maakt het ook niet uit. Als het elders gebeurdt waarom zouden gemeentes dan moeite hoeven te doen, maak het gewoon lekker transparent.


Echt vreselijk dat dit zomaar op straat kan komen te liggen. We moeten behoedzaam zijn voor identiteitsfraude.

[Reactie gewijzigd door carbonspeed op 23 september 2016 12:15]

Vaak zijn er binnen een organisaties wel medewerkers die dit soort rechten hebben, zelfs al is het voor anderen dichtgetimmerd. Het kan natuurlijk ook gewoon een systeembeheerder zijn geweest, ook dat is een medewerker.
We wachten nog op een antwoord, als dat nu al gegeven kan worden. 282 mensen is misschien niet zo veel, maar het is een vervolg op de 20GB gestolen data van twee weken terug.
282 mensen, 20gb aan gegevens, ongeveer 70 mb aan data per persoon; ik denk dat er nog wel een stuk meer gegevens zijn gelekt, het zal vast niet 70mb aan text zijn, maar toch, zelfs met een paar fotos kom je nog uit op iets van 20-30mb aan text? (oftewel een behoorlijk uitgebreid persoonlijk profiel?)
Er staat niet per se dat die 20GB daadwerkelijk allemaal persoonsgegevens bevat, dat is mij in ieder geval er niet uit duidelijk geworden. Misschien zit er ook wel een deel van de windows-map van het lokale systeem bij.

[Reactie gewijzigd door ACM op 23 september 2016 12:16]

Mijn ervaring met gemeenten is dat veel documenten op papier binnen komen of geprint worden en vervolgens door door de scanner worden gehaald.
Als deze er bij het inscannen ziet als een plaatje in plaats van tekst, dan lopen de MB's aardig op. Uitkeringsdossiers van 100 MB zijn dan niet bijzonder.
Voor het aanvragen/behandelen van een uitkering zijn nu eenmaal veel gegevens nodig, denk aan huurovereenkomsten, bankafschriften, loonstroken, uitkeringsspecificaties, identiteitsbewijs.
Hmm, dat zijn ook niet de gegevens die je zomaar op straat wil laten liggen. Maar inderdaad een goed punt.
Ah, dat zou het kunnen verklaren ja.

Ik hoop gewoon van harte dat er geen medische dossiers ofzo bij zaten (waar ik me nog wel van kan voorstellen dat dat zo in de 20-30mb loopt)
Je kan eigenlijk onmogelijk 20-30mb puur aan tekst hebben per persoon. Als ik kijk naar mijn e-reader, dan zit je op zo'n 1kB per pagina. Granted dat zijn kleinere pagina's dan een A4'tje, maar dan nog denk ik niet dat ze een 10000 pagina's aan tekst hebben over een persoon. Dat zal ze misschien over Bin Laden zijn gelukt, maar ik vermoed niet in het profiel van een uitkeringsgerechtigde.
Of ze volgen netjes de regels en hebben alles in PDF? Met op iedere pagina een footer/header met logo van Binnenlandse Zaken, of iets dergelijks. Dan is 70mb veel data, maar niet ongewoon veel.
Een goed gevormde PDF met weinig afbeeldingen kan op 70MB gerust enkele duizenden bladzijden bevatten.
Ja, maar dit zijn PDF'jes ingescanned door debielen. Dus dit zijn eigenlijk gewoon .BMP's met een PDF extensie. :Y)
Oh dat schiet zeker op. En dan nog zoveel mogelijk verschillende fonts includen in het bestand kan ook lekker voor grote bestanden zorgen.

Echter dat valt voor mij allemaal buiten de definitie van 20-30mb aan tekst. Anders zegt het natuurlijk nog niks als je bestanden gaat gebruiken met enorme overhead. Ik heb even gekeken, en een docx bestand van 8 woorden met drie random lettertypes die ik erbij liet opslaan was 1.5MB. Dus ja als je dat doet en je hebt 10 verschillende bestanden met nauwelijks informatie per bestand, dan ga je al richting de 20MB. Maar goed, dat vind ik dus niet onder 20MB aan tekst vallen, dat is 20MB aan fonts.
Er staat nog een vraag uit bij de gemeente, maar men heeft op dit moment zelf nog niet veel meer informatie. Deze informatie is naar buiten gekomen omdat de 282 betrokkenen tijdig geÔnformeerd moesten worden, althans daar ga ik vanuit. De rest van het onderzoek loopt nog (en ik wacht nog op antwoord op de vraag wat voor plug-in hiermee gemoeid is).
(en ik wacht nog op antwoord op de vraag wat voor plug-in hiermee gemoeid is).
IE ActiveX installaties zullen vermoedelijk wel afschermd zijn via een domain policy. Als ik zou moeten gokken, zou ik zeggen dat het een Chrome plugin gaat zijn. We hebben de laatste tijd al meer Chrome plugins gezien die via geinfecteerde advertentie SDKs gegevens doorstuurden naar China
Een paar slecht ingeschande PDF'jes en het gaat hard.
Je zit een factor 10 te laag:
20GB/282 ~ 700mb
je moet is leren lezen, hij zegt toch ook dat er nog meer data dan die van die 282 is buitgemaakt
Iemand een idee hoe de gemeente vast heeft weten te stellen dat deze 282 mensen slachtoffer zijn geworden van een datalek? Als er slechts gegevens van deze 282 slachtoffers op de computer lokaal waren opgeslagen vraag ik me af waarom er wordt gesproken over 'ten minste'.

Hoe kunnen ze slechts bij een deel van de persoonsgegevens vaststellen dat deze zijn ontvreemd en bij de rest niet? Ik zou denken je kunt wel of niet auditen, en niet deels.
Gokje: de logs doorgespit op van welke/hoe veel (potentieel) uitkeringsgerechtigden gegevens zijn opgevraagd of gewijzigd op de getroffen machine.
Is het eigenlijk mogelijk om een 'nieuw' BSN te krijgen in dit soort gevallen? Vraag is dan wel of je er niet meer problemen mee creŽrt dan oplost...
Wat is daar zo erg aan? Vroeg ik me af. Waarschijnlijk ben ik niet de enige.

Vooral de combinatie van BSN, naam en geboortedatum is "gevaarlijk".

Quote
"Je BSN kan, zeker in combinatie met je geboortegegevens, misbruikt worden. Er kunnen bijvoorbeeld met vervalste documenten leningen worden afgesloten, telefoonabonnementen genomen of rekeningen geopend. Als daar dan wat mee gebeurd komen ze bij jou aan kloppen. "
Ik heb toevallig gisteren ook een lek gevonden in een website van een gemeente waarbij ik gewoon in een dag alle persoonsgegevens kan scrapen. Was 10 minuten werk om een scriptje te schrijven die het doet. Ik heb ze erover gemaild maar nog geen reactie :)

edit: Heb inmiddels reactie, de site is offline en ik mag maandag langskomen

[Reactie gewijzigd door Gamebuster op 23 september 2016 18:51]

Het lek was trouwens van 2 mei t/m 9 september. Dat is iets langer dan een paar dagen....
Nice.

Leuke typo in het artikel dan.
Oh ? Bron ? dat is inderdaad al een tijdje langer dan het artikel zegt. Met de bronvermelding kan mogelijk het artikel even correct geupdate worden.
Ik woon in Almelo, is er enige manier om te checken of mijn gegevens tussen die 282 gevallen zitten?

edit: niemand die antwoord heeft?

[Reactie gewijzigd door Lefty_BlueHand op 23 september 2016 17:27]

was je bezig met of heb je ren bijstandsuitkering? nee dan zit je er niet bij

ja? dan de post checken denk ik. de 282 betrokkenen zijn geinformeerd. denk per post.
Nee, waarschijnlijk in een email. Met alle betrokken in de CC.

Het is wel een gemeente, hť.


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True