Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

Het datalek van de Erasmus Universiteit, dat onlangs werd vastgesteld, blijkt medische en financiŽle gegevens van studenten te omvatten. In eerste instantie was er alleen sprake van adresgegevens die aanwezig waren in webformulieren.

ErasmusIn totaal gaat het om 270.000 webformulieren op een webserver, schrijft de NOS. Daarvan bevatten 4700 exemplaren informatie over de gezondheid van studenten, zo weet de onderwijsinstelling aan de site te melden. Bijvoorbeeld over de aanwezigheid van tentamenvrees, allergieën en dyslexie. Studenten vulden deze gegevens bijvoorbeeld in bij contact met de studentenpsycholoog.

De financiële gegevens betreffen bankrekening- en creditcardnummers zonder pin of beveiligingscode. Het staat niet vast dat de gegevens zijn uitgelekt, maar de universiteit kan dit niet uitsluiten, aldus een woordvoerder. Het datalek treft in totaal 17.000 personen. Bij 9900 personen was de nationaliteit vermeld en bij 5600 personen waren de financiële gegevens in te zien. In 3350 gevallen bleken de formulieren paspoortnummers en bsn's te bevatten.

Zoals eerder al was vermeld, waren er geen wachtwoorden toegankelijk. Er is nog geen duidelijkheid over hoe het datalek precies is ontstaan. De NOS schrijft op basis van informatie van de universiteit dat er 'op een van de webservers een achterdeurtje is aangetroffen, waarmee hackers gegevens van de server konden halen'.

Moderatie-faq Wijzig weergave

Reacties (45)

Voor de Erasmus studenten die hier meer over willen lezen, op https://www.eur.nl/security/ kun je meer over de hack vinden. Daarnaast heeft de EUR een Q&A opgesteld die constant geŁpdatet wordt: https://www.eur.nl/security/vragen_antwoorden/
- zie latere post

[Reactie gewijzigd door icratox op 18 november 2016 21:42]

Creditcardnummers mag je niet eens onversleuteld opslaan, volgens PCI DSS: https://en.wikipedia.org/...ity_Standard#Requirements
Niet verstandig inderdaad, maar de Erasmus Universiteit zit toch niet in de payment card industry? :P
Ze verwerken creditcards, dus...
"Vind het toch erg kwalijk dat er zulke gegevens buitgemaakt zijn",
Ter info: Er is -blijkens het artikel en de Q&A- nog niet bekend of er gegevens zijn buitgemaakt.
Nee, misschien niet, maar dat die info Łberhaupt al te bereiken was op deze manier is al erg genoeg. Het was dus wel degelijk mogelijk. Of er nog info daadwerkelijk buitgemaakt is moet idd nog blijken.

[Reactie gewijzigd door icratox op 18 november 2016 21:00]

(zinloze aanvulling verwijderd)

[Reactie gewijzigd door antisceptic op 18 november 2016 21:46]

Correct - heb het bij de latere post gelaten nu (originele 'verwijderd' :) )
Het artikel heeft het over een data-lek. Nu denk ik bij een lek altijd dat er ook echt iets uit moet lekken. Anders is het meer een "gat". Hier is er misschien gelekt, maar misschien ook niet. Zou het niet beter zijn om dit een "mogelijk data-lek" te noemen. Of misschien nog beter: "een hack", want dat weten we tenminste zeker. Is de kop zoals die nu is "Datalek Erasmus Universiteit omvatte medische en financiŽle gegevens" eigenlijk niet gewoon stemmingmakerij? Wat vinden jullie?
sterker: er is geen enkele indicatie dat er data is benaderd, maar 'niet uit kunnen sluiten' betekent sinds de introductie van de meldplicht datalekken in Nederland dat je de mogelijkheid aan alle betrokkenen moet melden.
Omdat dit nu ook tot in detail gebeurt levert het aardige nieuwsberichten op en dan doet "mogelijk datalek" het niet zo lekker.

Natuurlijk, 270.000 formulieren... daar had zeker het nodige voorkomen kunnen worden.
Ik ga er vanuit dat als je een lek meldt, er ook echt data gelekt is.
De melding dat het niet zeker is, lijkt me puur damage control.

Als het niet zeker is dat er data gelekt is, dan maak je geen melding. Dat kan in mijn ogen alleen maar negatief uitpakken.
Gezien de uitleg van lptp lijkt je veronderstelling onjuist; kennelijk moet je melden, ook al heb je geen idee of er werkelijk is gelekt. Wel bizar, "Agent: ik wil aangifte doen, mijn deur was 10 minuten niet op slot en er kan dus diefstal gepleegd zijn!"

Maar goed, het wetsvoorstel is wel te begrijpen gelet op de kans dat er gedupeerden zijn. En die beoogt de wet dan te beschermen.

[Reactie gewijzigd door antisceptic op 19 november 2016 01:01]

"Agent: ik wil aangifte doen, mijn deur was 10 minuten niet op slot en er kan dus diefstal gepleegd zijn!"
Hou alsjeblieft op met vergelijkingen die de plank compleet misslaan. In een huis rammelen inbrekers niet elke 5 minuten aan de voordeur omdat diegene daarvoor fysiek langs moet gaan, en het valt op als iemand massaal aan deuren rammelt. Als een botnet in china massaal bekende bugs probeert te misbruiken is dat allemaal niet het geval.
@antisceptic

Rare vergelijking, je spullen thuis zijn van jou en als jij de deur niet op slot doet, is dat jouw verantwoordelijkheid.

Als jij echter een alarmleverancier bent en je beveiligd de gegevens en de pincodes van je klanten niet, dan breng je je klanten in gevaar. Zij denken dat ze veilig zijn, immers ze hebben een alarm, maar als bendes die gegevens in handen konden krijgen, is de schade niet te overzien. Als je dan beroofd wordt, weet je niet of de overvallers gebruik gemaakt hebben van de onbeveiligde gegevens of dat ze op een andere manier je alarm hebben omzeilt.

Hier is dat met de Erasmus universiteit net zo. Als iemand creditcard geplunderd wordt weet het slachtoffer niet of het de schuld is van de universiteit of niet. Pas als de daders gepakt worden, weet je of ze die gegevens buit hebben gemaakt of niet.
Die vergelijking gaat helemaal mank. Het is eerder:
conciŽrge aan bewoner: "Ik heb gezien dat er 10 min lang iemand in je huis is geweest. Ik heb geen idee of er daadwerkelijk dingen gestolen zijn, maar ik heb wel alvast de politie gebeld."
maar zijn deze gegevens ook daadwerkelijk al verspreid ?
of gata het om een ondekte lek die hoogstwaarschijnlijk nog niet misbruikt is
Dat weet je niet. Je weet het pas nadat iemand slachtoffer wordt van bijvoorbeeld creditcard fraude en de dader gepakt wordt. Als die bekend en aangeeft de gestolen gegevens te hebben gebruikt, pas dan weet je het.

Dat er dagelijks gebruik gemaakt wordt van gestolen data voor financieel gewin, dat weten we wel zeker. Dat er veel slachtoffers gemaakt worden, dat weten we ook zeker. Maar welke gestolen data nou precies gebruikt is, dat weten we zelden zeker.
Zo zie je maar weer dat het geen technische universiteit is :+

Maargoed, ik zit zelf ook bij het Erasmus sinds kort en vind het vervelend dat ook mijn data dus gestolen is. Ik denk dat de gegevens verder niet echt relevant zijn in mijn geval, maar het idee is nooit fijn. Hopelijk worden dit soort problemen (of fouten?) voorkomen in de toekomst, zowel bij het Erasmus als alle andere universiteiten en scholen.

[Reactie gewijzigd door MartijnMassen op 18 november 2016 19:43]

Interesting. Ik vond juist dat Erasmus het heel goed deed wat awareness voor computerveiligheid betreft. Met fancy interne PR dingetjes als "Treat your passwords like your underwear - Change them often and don't share them". Dit terwijl ik wel vond dat bepaalde dingen op de EUR site toch net niet lekker werkten. Wat dat betreft doet de TU Delft het aanzienlijk beter ;)
@Henryht

Tja PR info is niet duur, dus advies geven kost ze weinig geld. Computernetwerk beveiliging is erg duur. Veel bedrijven en instellingen vinden dat zonde van hun geld en schromen niet om risico's te nemen, uiteindelijk zijn zij het slachtoffer niet als de gegevens misbruikt worden.

Vandaar wetgeving noodzakelijk is, instellingen die beveiliging niet serieus nemen dienen gewoon zwaar gestraft te worden zodat ze genoeg financiŽle prikkel hebben om hun beveiliging in orde te maken.
Ook ik zit op de Erasmus. Er staat echter toch nergens dat de data van alle studenten gestolen is? Of ben ik nu abuis? :)
Je hebt gelijk, mijn verontschuldigingen voor de slordige verwoording. Er zou moeten staan "dat ook mijn data gestolen zou kunnen zijn".
Afijn, dat ik achttien ben en dat ik in Rotterdam woon zou je zelfs op Tweakers wel kunnen vinden, dus wat ze met mijn gegevens zouden kunnen vraag ik me sterk af :).
mwjaa de adresgegevens is nog tot daaraan toe. Maar van een groep mensen zijn er ook rekeningnummers en creditcard gegevens mogelijk buitgemaakt. Dat is wat minder fijn :)
Dat zijn gegevens die ik inderdaad minder graag kwijt raak, maar het scheelt dat ik geen creditcard heb :p. Als ik een chinees geld van mijn rekening af zie halen zal ik ook zeker niet twijfelen en Rabobank eens even om uitleg vragen haha.
Lijkt me toch dat zo'n universiteit (zeker met die knappe koppen daar) goed beveiligd is?

Het zal jou maar gebeuren.
Hopelijk biet gelekt anders wens ik degenen met concentratie problemen en andere psychische kwaaltjes veel succes met solliciteren tijdens hun leven. Ik kan er uit vijf kiezen maar heb er ťťn nodig wiel valt er af...
En vergeet verzekeringen niet. Die mogen qua aannamebeleid en het vaststellen van de hoogte van de premie, en de uitsluitingen voor hen beschikbare informatie gebruiken. En reken maar dat er daarmee op het vage wettelijke randje wordt gespeeld.
En reken maar dat er daarmee op het vage wettelijke randje wordt gespeeld.
Bron? Wie beschuldigt, bewijst.
Sommige dingen zijn een principe, waar door het geheime karakter geen bron voor is behalve je eigen verstand. Als jij het omgekeerde vermoedt, zie ik daar graag een bron van.
*nodigt Erasmus universiteit uit voor commentaar op deze privacy kwestie*

Want zet de beste hacker met een computer/server neer en ieder bedrijf wordt gehackt. De vraag die bij mij opkomt is: Is dit een gevolg van transparantie van Erasmus of weer een mogelijkheid om het nieuws te halen met creditcardfraude die al 49 jaar zo lek is als een mandje.
Zou wel ironisch zijn als straks blijkt dat er fouten zijn gemaakt in de beveiliging en de eigen rechten-studenten de Universiteit aansprakelijk stellen.
Wat is daar ironisch aan?
Nou, de mensen "opleiden" tot jurist en dan door diezelfde toekomstige juristen aansprakelijk gesteld worden. Dat is toch best ironisch.
Mwah, dat is een van de mogelijkheden.
Een antivirus programma dat zichzelf "onschadelijk" maakt valt daar ook gewoon onder.

In deze context snap ik best dat hij dat ironisch vindt :)

Iemand die anderen leert stoppen met een drankverslaving maar zelf zo verslaafd is al een schotse whisky mug...

[Reactie gewijzigd door SB[NL] op 18 november 2016 22:41]

Dat is niet de definitie die ik ken, kun je een link geven naar een website die dat als definitie van ironie geeft?
Als ik Neerlandicus was, dan zou ik net als jij ook geen Google gebruiken :D

edit: Nee zoek zelf maar :D

[Reactie gewijzigd door SB[NL] op 19 november 2016 11:06]

Serieus, je definitie strookt niet met die uit het woordenboek en elke definitie op de eerste pagina van Google. Ik ga er maar van uit dat je aan het trollen

Hier zijn de bestaande vormen van ironie.

Ironie gebruikt verschillende uitingsvormen:

De omkering, de vorm waarbij precies het tegengestelde gezegd wordt van wat men bedoelt.
Dat is me een lieve jongen.
Nou, het is me wat moois.
De overdrijving, ook wel hyperbool genaamd, het met opzet vergroten van dingen waardoor het in het bespottelijke wordt gedreven.
Over dat klusje deed hij een eeuwigheid.
Het duurt jaren om dat op te lossen!
Het understatement, het tegenovergestelde van de overdrijving, het verzwakken van een mededeling. Echter, door de verzachting wordt de mededeling juist kracht bijgezet, dankzij de ironie.
Ik heb niet helemaal begrepen wat u zegt.
We komen maar een klein beetje geld tekort.
Niet-passend woordgebruik, het maken van een onverwachte verschuiving in het woordgebruik. Bijvoorbeeld ineens deftige woorden gebruiken, of juist platvloerse woorden.
Wij ontvingen daar een missive over.

[Reactie gewijzigd door SBTweaker op 19 november 2016 12:09]

Dit is mijn eerste link < 1sec zoektijd
https://nl.wikipedia.org/wiki/Ironie

Andere vormen van ironie[bewerken]

Behalve in de gesproken en geschreven taal, kunnen ook gebeurtenissen als ironisch worden bestempeld. Dit is met name van toepassing bij scherpe contrasten tussen het feitelijk gebeurde en de verwachting:
  • Een dokter die succesvol kanker geneest, maar zelf sterft aan diezelfde kanker.
  • Uitvinders die sterven door hun eigen uitvindingen.
  • Tijdens de Amerikaanse Burgeroorlog zei generaal John Sedgwick dat de Confederatie nog geen olifant zou kunnen neerschieten, meteen hierna werd hijzelf neergeschoten.
  • Brandweerkazerne afgebrand.
In de Engelse taal wordt deze vorm van irony, gekenmerkt door de spottende humoristische ondertoon, veel gebruikt bij satire.

Genoeg voorgekauwd wat mij betreft :D

edit: Lijstje ging niet goed :)

[Reactie gewijzigd door SB[NL] op 19 november 2016 12:48]

I stand corrected, ik dacht altijd dat dat onder fout gebruik viel, dat zeiden ze op school, de meeste definities (woordenboek etc) spreken ook niet over die situaties.
Nee dat snap ik ook wel maar ik bedoel "de universiteit" als geheel ;)


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True