ANWB waarschuwt 95.000 klanten voor datalek

De reis- en verkeersorganisatie ANWB heeft een deel van zijn leden gewaarschuwd voor een datalek in zijn webwinkel. Daarbij waren gegevens van 95.000 klanten toegankelijk. Daarbij ging het bij 87.500 mensen om e-mailadressen, betaalvoorkeuren, adressen, telefoonnummers en namen.

Volgens een ANWB-woordvoerder was er een kleinere groep, waarvan alleen het e-mailadres publiekelijk beschikbaar was. De twee groepen zijn met verschillende e-mails op de hoogte gesteld van het incident. De woordvoerder legt uit dat er een filter door een menselijke fout van een it-leverancier verkeerd was ingesteld, waardoor de gegevens via Google te vinden waren. Doordat de ANWB eerst de resultaten uit de zoekmachine wilde verwijderen, duurde het tot dinsdag om mensen op de hoogte te stellen. De ANWB ontdekte het lek bijna twee weken geleden, op 21 september.

Data als inloggegevens en bank- en creditcardgegevens waren volgens de organisatie niet in te zien. De organisatie heeft het datalek gemeld aan de Autoriteit Persoonsgegevens. In de mail die de ANWB naar zijn klanten verstuurde, waarschuwt de organisatie dat de gegevens voor phishing gebruikt kunnen worden en roept de getroffen leden dan ook op om waakzaam te zijn. De organisatie verwijst klanten naar een pagina over phishing op zijn website, waar ze meer informatie kunnen vinden. "We balen hier ontzettend van", aldus de woordvoerder.

IT-banen

Reacties (95)

Anoniem: 978349 3 oktober 2017 14:57

Emailadressen zijn nog wel zichtbaar in Bing

T.Kreeftmeijer @Anoniem: 978349 • 3 oktober 2017 18:09

De woordvoerder legt uit dat er een filter door een menselijke fout van een it-leverancier verkeerd was ingesteld, waardoor de gegevens via Google te vinden waren. Doordat de ANWB eerst de resultaten uit de zoekmachine wilde verwijderen, duurde het tot dinsdag om mensen op de hoogte te stellen.

Goolge is niet de enige...

Ook DuckDuckGo is gewoon nog vol met mailadressen

:
https://tweakers.net/ext/f/bcm8uhmR7WTG1Tog0S2ng6Fp/full.png
Geldt ook voor Yahoo.

Had eerst de zoekterm niet geblurred, maar die is toch wel vrij makkelijk te bedenken.

[Reactie gewijzigd door T.Kreeftmeijer op 23 juli 2024 02:01]

djwice

@Anoniem: 978349 • 3 oktober 2017 22:35

Dus ANWB heeft persoonsdata onversleuteld op hun servers staan, waardoor deze dus ook door een configuratie foutje kunnen lekken.
Laten we hopen dat ze door dit lek, geleerd hebben en nu hun systemen zo gaan aanpassen dat een foutje van een medewerker niet kán leiden tot een datalek.

[Reactie gewijzigd door djwice op 23 juli 2024 02:01]

Toettoetdaan @djwice • 4 oktober 2017 00:05

Dat is het probleem met log bestanden en daarom beperk je die zoveel mogelijk op productie.

Maar zonder die identificeerbare data heb je er niet zoveel aan je logs.

In dit geval gaat het ook nog eens om een log van een email marketing koppeling van een derde partij, lekker zo'n situatie waar veel fout kan gaan.

FvdM @Anoniem: 978349 • 3 oktober 2017 21:09

Slordig dat die PHP dumps gewoon in de webroot staan én nginx geen deny all regel heeft voor log bestanden. Dat is toch wel één van de eeste dingen die je doet op een productie webserver.

xiphoid @Anoniem: 978349 • 4 oktober 2017 05:40

En elke andere zoekmachine in de wereld die er geindexeerd heeft

vharten 3 oktober 2017 16:22

Tekst van de mail:
Met deze e-mail informeren wij u over een datalek dat wij kortgeleden in de webwinkel van de ANWB hebben geconstateerd. Van een datalek is sprake als onbevoegden toegang hebben tot persoonsgegevens. Hoewel wij hebben vastgesteld dat slechts een klein deel van de gelekte gegevens mogelijk gezien is door derden, willen wij alle klanten van wie de gegevens toegankelijk zijn geweest, uit voorzorg op de hoogte brengen.

Door een fout van een van onze IT leveranciers is een bestand met verkoopgegevens van de ANWB Webwinkel onbeschermd op het internet terechtgekomen. Het betreft hier gegevens over aankopen in de ANWB Webwinkel waarin namen, adressen, telefoonnummers, betaalvoorkeuren en e-mailadressen van klanten voorkomen. Ook uw gegevens zitten daarbij. NB: Bankgegevens, creditcardgegevens en inloggegevens zijn niet toegankelijk geweest.

Na het ontdekken van het datalek heeft de ANWB onmiddellijk maatregelen getroffen. Wij hebben de betreffende persoonsgegevens van onze klanten direct afgeschermd en ontoegankelijk gemaakt.

De gegevens die zichtbaar zijn geworden, kunnen door cybercriminelen worden gebruikt voor het versturen van spam en zgn. “phishing” mails. Phishing is een vorm van internetfraude. U ontvangt dan een valse e-mail, die u naar een nagebootste website probeert te lokken. Wij adviseren u de komende tijd extra alert te zijn op dit soort verdachte e-mails en deze meteen te verwijderen. Hoe u een valse e-mail kunt herkennen, leest u in het blauwe kader.

Let op: klik nooit op links in een phishing e-mail! Open geen bijlagen en verstrek ook nooit zomaar uw bankgegevens, creditcardgegevens of inloggegevens. De ANWB zal u daar nooit per e-mail om vragen.

De ANWB hanteert uiterst strenge richtlijnen voor de beveiliging van klantgegevens. Ook onze leveranciers moeten aan strenge eisen voldoen. Helaas hebben we ondanks alle zorgvuldigheid die wij betrachten, dit datalek niet kunnen voorkomen. Wij bieden hiervoor onze excuses aan en hebben aanvullende maatregelen getroffen waardoor deze fout niet meer kan worden gemaakt.

Meer informatie vindt u op anwb.nl/phishing. Uiteraard kunt u ook telefonisch contact met ons opnemen via 088-2692255; onze helpdesk is op werkdagen bereikbaar van 8.30 uur-18.00 uur en op zaterdag van 10.00 uur tot 16.00 uur.

Met vriendelijke groet,

ODF 3 oktober 2017 13:57

In het 1e kwartaal van 2017 zijn er bijna 2,5x meer datalekken gemeld dan in het 1e kwartaal van 2016. Laten we hopen dat deze trend ergens tegen 2019 minder gaat worden, je zou bijna geen gegevens meer willen overleggen aan derden

Citaat van website Autoriteit Persoonsgegevens:"De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%)."

CAPSLOCK2000

Security
Datalek
Netwerk en systeembeheer

@ODF • 3 oktober 2017 14:28

Laten we hopen dat deze trend ergens tegen 2019 minder gaat worden, je zou bijna geen gegevens meer willen overleggen aan derden

Correct! Dat is momenteel de enige werkbare strategie. Onze IT is niet veilig en het gaat nog decennia duren voor alle problemen zijn opgelost. Voorlopig kun je er maar beter van uitgaan dat alles wat je deelt zal uitlekken. Ik geef dus zo min mogelijk informatie.

Aan de andere kant van de tafel is het ook verstandig om zo min mogelijk te vragen. Het lijkt heel handig om zoveel mogelijk informatie over je klanten te verzamelen, zelfs als je er nu niks mee kan dan kun je alvast verzamelen voor de toekomst. Harde schijven zijn goedkoop, denkt men, maar het bewaren van data is veel duurder en complexer dan alleen de hardware. Hoe meer data je hebt, hoe moeilijker het wordt om er goed op te passen. Vraag dus niet meer dan het noodzakelijke.

daredevil__2000 @CAPSLOCK2000 • 3 oktober 2017 14:51

Moet je eens kijken wat de overheid scholen verplicht om vast te leggen van hun studenten. Scholen werden verplicht om een kopie ID op te slaan ondanks dat de scholen daar helemaal niet om staan te springen. Nadat diverse scholen zich jaren lang hier tegen uitgesproken hebben hoeven we nu alleen nog maar de identiteit vast te stellen. Daarna gaat er een getekend document in de administratie (zonder kopie ID) dat de identiteit correct is vastgesteld en door wie dit is gedaan. Als het aan de overheid had gelegen hadden we nog steeds een kopie ID moeten bewaren.

En zo zijn er onder andere in onderwijs land nog wel meer voorbeelden waarbij de overheid of overheidsinstanties situaties creëren die je als IT-er liever niet meer ziet.

Nox @daredevil__2000 • 3 oktober 2017 16:55

Ach, jouw ISP moet bij de overheid iedere 24 uur het CIOT aanvullen met meer informatie dan je lief is: telefoonnummers, naw-gegevens, emailadressen, accountnamen, serienummers van randapparatuur maar ook jouw IP-adres. Dat moet iedere 24 uur bijgewerkt worden, ongeacht of deze gegevens nou wel of niet noodzakelijk zijn, 'in principe' gaan ze er niks mee doen.

Je verwacht alleen dat een AIVD, MIVD, recherche en wat bijzondere diensten hier toegang toe hebben. Maar ook de gewone politie, openbaar ministerie (die leidt het onderzoek alleen maar doet zelf niks als het goed is) en zelfs het ministerie van VROM (volkshuisvesting, ruimtelijke ordening en milieu) heeft hier toegang toe. Dus enorm veel potentiele datalekken, dat nu je emailadres uitgelekt is valt nog mee. Als men ooit die database van het CIOT weet te pakken te krijgen, dán zijn de rapen pas gaar. En meer info hier: https://www.rijksoverheid...2010/07/01/factsheet-ciot

itcrowd @Nox • 3 oktober 2017 17:34

Volgens mij zijn de email adressen en serienummers waar je het over hebt respectievelijk de email adressen die de telecomprovider en de serienummers van de modem die je hebt van je isp. NAW heeft de overheid sowieso al en accountnaam is alleen van je isp, niet van Facebook o.i.d. ik snap je paniek niet zo goed. Kun je opheldering geven?

rkeet @itcrowd • 3 oktober 2017 22:35

aub, koppie/pasta:

Telecommunicatieaanbieders
- Naam, adres, postcode, woonplaats
- De telecommunicatiedienst die de
gebruiker afneemt (vast, mobiel,
abonnement, prepaid, etc.)
- Telefoonnummer(s) van de gebruiker
- Naam van de telecommunicatieaanbieder
--------------
Internetaanbieders
- Naam, adres, postcode, woonplaats
- De internetdienst die de gebruiker
afneemt (inbellen, kabel, ADSL,
e-mail, account, etc.)
- Identificatienummers van
randapparaten van de gebruiker,
IP-nummers, e-mailadres(sen) van
de gebruiker, gebruikersnaam of
inlognaam
- Naam van de internetaanbieder

("-" en "---------" toegevoegd, komt uit pdf, anders onleesbaar)

Maar @Nox, klik anders de link ook even aan. Betreffende .pdf file is een whopping 4 pagina's ;-) Kost je 5 mins...

itcrowd @rkeet • 4 oktober 2017 08:18

Ik had de pdf al gelezen. Ik snap nog steeds de paniek niet vwb CIOT..?

Nox @rkeet • 4 oktober 2017 11:07

Het probleem is, naar mijn mening, dat de ISP's continu alle persoonsgegevens die ze hebben aan de overheid moeten afdragen en dat er te weinig toezicht is op gegevens waar te veel diensten van gebruik mogen maken. Neem mijn NAW-gegevens, ja die zijn bekend bij de overheid. Die staan ook in een telefoonboek, niks mis mee zou je zeggen (en er is een opt-out). Nu verzamelt de overheid nog wel meer dingen en met name in combinatie. Dat is het gevaar, jouw emailadres, accountnaam, naw-gegevens, IP-adres, serienummer van je modem (allicht terug te zien in het SSID) etc. in 1 database. Helemaal mooi natuurlijk, alleen is het niet dat de gegevens opgevraagd worden op het moment dat ze nodig zijn, ISP's moeten deze continu pushen naar de overheid ongeacht of het wel of niet noodzakelijk is. De overheid wil altijd weten op welk IP-adres je te bereiken bent en alle andere emailaccounts die je hebt. Ze willen meer weten dan nodig. Ziggo lijkt erop mijn privacy te respecteren, maar doet de overheid dat? Straks kan BREIN bij de overheid aankloppen en die is allicht anders van mening. Ziggo zal altijd weigeren tenzij een gerechtelijk bevel en als ze daar over twijfelen weigeren ze ook. Die gegevens worden niet zomaar gedeeld. Het feit dat de overheid _alles_ wil weten en _continu_ wil weten is een probleem. Dat ze niet om kunnen gaan met die informatie en dat die ooit een keer op straat komt te liggen is ook te verwachten, die kans is niet nul. (idem voor de ISP's maar die houden allicht de data beter gescheiden en hebben een lagere impact bij een lek omdat de database niet heel Nederland omvat).

xiphoid @Nox • 4 oktober 2017 05:51

Het is niet alleen het email. Het jammere is dat er emails met telefoon nummers zijn en je naam. 3 x info waar je bij veel support afdelingen genoeg aan hebt om je email te veranderen omdat ze zo aardig zijn en je de juiste gegevens hebt, en je bent erin met beetje social engineering. En grotere corporaties of bij wie het dan ook de moeite is om een sim te clonen zoals ze bij die youtubers doen, is het handig om te weten wat iemand zijn officiele naam is, en welk nummer enzo.

Deze data is voor sommige mensen meer waard, ondanks mijn eventuele slechte voorbeelden die ik maar noem om een punt te maken.

Harry21 @daredevil__2000 • 3 oktober 2017 20:59

Als je een bouwerij wil betreden, wordt het al verplicht! kopie id, vingerafdruk, kopie vca,bsn-nummer,enzo! Bij een Bouwbedrijf.

daredevil__2000 @Harry21 • 4 oktober 2017 11:26

Bij het bezoek aan een defensie locatie wordt je zelfs verplicht je ID/Paspoort achter te laten bij de beveiliging. Je krijgt dan een badge mee waarmee iedereen kan zien dat je een bezoeker bent. Ondertussen heb je dus geen zicht meer op je ID/Paspoort. Je moet er dus maar vanuit gaan dat de KMAR op de juiste wijze met je documenten om gaat.

Verder moest ik voor mijn screening destijds documenten via de HR afdeling van defensie opsturen met al mijn gegevens van de afgelopen 15 jaar inclusief alle gegevens van je vrienden. De HR afdeling was destijds die papier kwijt en of ik ze even opnieuw op wou sturen. Na het dreigen met er een veiligheidsincident van te maken waren de papieren in nog geen 30 minuten al weer boven water. En dat is dan een overheidsinstantie waarvan je zou moeten kunnen verwachten dat ze veilig en zorgvuldig met je gegevens om gaan.

Milt @Harry21 • 4 oktober 2017 13:26

Er zijn maar weinig instanties die in specifieke situaties legaal een kopie van een identiteitsbewijs mogen maken (zie o.a. hier). Ik weiger het pertinent, soms tot ergenis van mijn vriendin. Zelfs een hotel in Belgie wilde me geen kamer verhuren maar ik stond erop dat er een tekst over de kopie werd gezet met de naam van het hotel. De hoogste manager moest erbij komen en gaf uiteindelijk toe dat dit mocht. Ik heb slechts één keer meegemaakt dat een autoverhuurbedrijf het zelf voorstelde om hun naam over de kopie te schrijven. Die snappen het tenminste.

anboni @ODF • 3 oktober 2017 14:03

Laten we hopen dat deze trend ergens tegen 2019 minder gaat worden,

Dat gaat vanzelf als de prutsende bedrijven boetes moeten gaan betalen van meerdere procenten van hun jaaromzet. NU maar hopen dat de APG straks ook daadwerkelijk z'n tanden gaat laten zien, en niet zo suf en mak blijft reageren als met de grove schendingen van die camera's in reclamezuilen.

w0nnapl4y @anboni • 3 oktober 2017 20:11

Ik dacht : 'huh, wat heeft APG (financiële instelling) hier nou weer mee te maken? Ik snap het niet'. Toen kwam ik er pas achter dat je niets anders kon bedoelen dan Autoriteit Persoonsgegevens (AP).
Klein foutje, heel verwarrend

Wouterkaas @ODF • 3 oktober 2017 14:11

Organisaties zitten nog volop in de bewustwording sinds de meldplicht datalekken, dus meer gemelde lekken zegt mij nu nog niet zoveel. Sterker nog, ik denk dat het leeuwendeel er allang was, maar dat hoefde nooit gemeld te worden. Nu hangen er sinds vorig jaar ineens mogelijke consequenties aan het niet melden en gaat men er actiever naar op zoek, et voilà: meer meldingen.

Neemt uiteraard niet weg dat ieder datalek betreurenswaardig is, maar de toename in het aantal meldingen geeft m.i. een vertekend beeld van de werkelijkheid.

daredevil__2000 @ODF • 3 oktober 2017 14:39

Dat komt mede omdat de plicht tot melden aangescherpt is. Maar ook omdat de autoriteit persoonsgegevens het al heel snel als een data lek ziet, ook wanneer het aannemelijk is dat de gegevens niet uitgelekt zijn.

Wij hebben een docent gehad welke door middel van een geïnfecteerd document van een student en crypto locker op zijn systeem kreeg. De redenatie van de APG is dat de gegevens gelezen worden tijdens het encrypten en dus is het een data lek. Ook al kun je aantonen met diverse logging dat de besmetting alleen op dat systeem is geweest, het niet via het netwerk verstuurd kon worden, de crypto locker niet bekend staat om gegevens te versturen, de firewall na de besmetting geen netwerk verkeer van het betreffende systeem heeft gehad enz. Ook dan is nog steeds een melding omtrent data lek verplicht.

Ik sta volledig achter de meldplicht omtrent data lekken maar de APG schiet hier en daar echt wat te ver door.

Volgend jaar wordt de wetgeving nog wet verder aangescherpt voor het verwerken van persoonsgegevens, dus dan zal het aantal meldingen al helemaal gaan stijgen

Blokker_1999

Datalek
Netwerk en systeembeheer
Security

@ODF • 3 oktober 2017 16:51

Dat er meer meldingen zijn wil uiteraard niet zeggen dat er meer lekken zijn. Het kan zijn dat er meer ontdekt worden of het kan ook zijn dat er een grotere bewustwording is rondom de verplichting om ze te melden.

De sectoren met de meeste meldingen zijn trouwens ook die sectoren die dat net enorm veel gevoelige informatie verwerken. Dus het mag niet verbazen dat vanuit die hoek meer meldingen komen dan vanuit bijvoorbeeld sportclubs.

Anoniem: 855731 @Blokker_1999 • 4 oktober 2017 10:33

En dan is het nog de vraag of alle sportclubs al volledig op de hoogte zijn van de laatste regelgeving op dit gebied. Het zijn immers vnl. goedwillende amateurs die daar de administratie beheren.

Sharkoon 3 oktober 2017 13:50

http://webwinkel.anwb.nl/webwinkel/ ook zonder ssl, dus er zijn wel meer dingen die niet deugen

rbr320 @Sharkoon • 3 oktober 2017 13:57

Het valt mee. (I stand corrected, zie hieronder) Zodra je naar een pagina gaat waarop je gegevens moet invoeren, zoals de inlogpagina van Mijn ANWB of de pagina "bestelling afronden" wordt je doorgestuurd naar een https pagina. Feitelijk is er dus weinig aan de hand, maar ik ben het met je eens dat anno 2017 een site van een organisatie als de ANWB toch wel volledig https zou mogen zijn.

[Reactie gewijzigd door rbr320 op 23 juli 2024 02:01]

henk717 @rbr320 • 3 oktober 2017 14:12

Dat valt helaas helemaal niet mee, het probleem is namelijk dat de voorliggende pagina kan worden aangepast door een aanvaller en zij dus heel eenvoudig met een man in the middle attack een andere pagina kunnen serveren die NIET naar https doorschakelt. Het risico voor een targeted mitm attack is dus niet afgenomen omdat zij via die weg alle overige pagina's van de site kunnen onderscheppen en deze beveiligingen kunnen ontnemen.

Een goede webshop heeft nou eenmaal op hun domein HSTS geactiveerd staan waardoor het niet mogelijk is om een downgrade attack naar http uit te voeren. Mijn eigen domein staat bijvoorbeeld hardcoded in de moderne webbrowsers (In iedergeval firefox en chrome en waarschijnlijk ook edge al heb ik dat niet getest) zodat deze NIET zonder https kunnen worden geladen onder geen enkele situatie. Mocht je willen testen zal dus blijken dat tenzij jij een rogue root certificaat vertrouwd het je dus niet lukt om een MITM aanval uit te voeren.

Voor de gene die dit wensen voor hun webshop of website zullen HSTS moeten activeren aan de zeiden van de webserver en kunnen zich vervolgens opgeven via https://hstspreload.org. Let dus op dat dit NIET ongedaan gemaakt kan worden en je dus permanent op het hele domein (Inclusief subdomeinen als je hier voor hebt gekozen zoals ik) vast zit aan https. Uit ervaring weet ik dat dit het beheer van de site lastig maakt tijdens migraties van webhosts als je niet het oude certificaat kunt overnemen zoals bijvoorbeeld bij lets encrypt het geval kan zijn. Daar in tegen ben je dus wel verzekerd dat de gegevens van jouw bezoekers ten alle tijden versleuteld worden verzonden en kun je dus garanderen dat jouw website niet door een publiek netwerk kan worden aangepast.

The Zep Man

Datalek
Netwerk en systeembeheer
Security

@henk717 • 3 oktober 2017 14:32

Voor de gene die dit wensen voor hun webshop of website zullen HSTS moeten activeren aan de zeiden van de webserver en kunnen zich vervolgens opgeven via https://hstspreload.org.

Je kan voor HSTS ook gewoon een HTTP header gebruiken. Het eerste bezoek via HTTP is dan onveilig, maar daarna blijft het veilig als je de site binnen de gestelde tijd opnieuw bezoekt omdat de browser zelf een redirect zal doen naar HTTPS. Die tijd wordt vaak op een jaar of langer gezet. Het aanvalsoppervlak is hierdoor minimaal, want de timer wordt bij elke bezoek opnieuw gestart. Een bonus is dat je site niet op een publiek beschikbare lijst wordt gezet. Soms is dat ongewenst.

Een voorbeeld van een dergelijke header:

Strict-Transport-Security: max-age=31536000; includeSubDomains

[Reactie gewijzigd door The Zep Man op 23 juli 2024 02:01]

henk717 @The Zep Man • 3 oktober 2017 14:36

Dat klopt, wellicht heb ik dat niet helemaal duidelijk in mijn verhaal verwoord. Ik doende in dat stuk op het hardcoded opnemen van jouw site in de moderne browsers zodat er nooit gebruik kan worden gemaakt van een mitm aanval. Dit kan gewenst zijn zeker bij gevoelige gegevens erg gewenst zijn.
Kies je niet voor de preload optie is jouw text van toepassing en kun je ook kiezen om dit niet voor de subdomeinen op te nemen of slechts in korte periodes te laten cachen door de browsers. Bij het verwijderen van de website voorkeuren worden in dat geval de restricties in de browser ongedaan gemaakt waar bij een preload het onmogelijk is voor de eindgebruiker om dit aan te passen zonder de browser zonder deze lijst te compileren. Wel bleek het nodig toen ik nog gebruik maakte van HSTS zonder preload om zelf te zorgen voor een https redirect omdat HSTS pas in werking trad bij het openen van de website via het https protocol.

[Reactie gewijzigd door henk717 op 23 juli 2024 02:01]

Zebby @The Zep Man • 3 oktober 2017 15:00

Een (ietwat) nieuwe parameter die we toevallig vorige week hebben toegevoegd is "always", dat ook 40x error pagina's als HTTPS getoond worden. Aanrader!

Blokker_1999

Datalek
Netwerk en systeembeheer
Security

@henk717 • 3 oktober 2017 16:55

HSTS preloading kan wel degelijk ongedaan gemaakt worden. Er gaat alleen enorm veel tijd overheen en wanneer gebruikers een versie van de browser gebruiken waarin je site nog wel is opgenomen dan krijgen zij alsnog een foutmelding te zien natuurlijk. Het kan wel, maar is alles behalve aan te raden.

DurQ @Sharkoon • 3 oktober 2017 13:52

Als je naar de inlogpagina gaat is de site wel voorzien van SSL

_Thanatos_ @DurQ • 3 oktober 2017 14:08

Maakt niet uit. Als je een historie hebt vóór het inloggen, is het een peuleschilletje om dat met een SSL-sessie te correleren door een kwaadwillende.

Bierkameel @Sharkoon • 3 oktober 2017 13:52

De checkout page waar je je gegevens invult is wel HTTPS

xiphoid @Bierkameel • 4 oktober 2017 05:47

suc6 met je injection preventie zeg ik dan maar..

Zidane007nl @Sharkoon • 3 oktober 2017 14:16

Dat is gewoon vragen om moeilijkheden. Waarom is anwb.nl wel SSL, maar de webwinkel niet?

h4ze 3 oktober 2017 13:49

Eeeen weer eentje.
We kunnen onderhand wel al onze gegevens gewoon op een a4'tje verspreiden. Maakt allemaal niks meer uit nu want ergens is er wel een lekke database met jouw naam erop.

DeTeraarist @h4ze • 3 oktober 2017 14:07

Hoezo A4? Dat is waar we visitekaartjes voor hebben!

AndromedaM31 @h4ze • 3 oktober 2017 14:00

Ook legaal hoor. Je kunt als je wilt gewoon met data handelaren handelen. Over flinke hoeveelheden data waar ook wel iets over jou instaat.

Alles gaat tegenwoordig digitaal. Privacy bestaat al niet meer als realiteit voor de know how people.

[Reactie gewijzigd door AndromedaM31 op 23 juli 2024 02:01]

Anoniem: 310408 @AndromedaM31 • 3 oktober 2017 14:22

Wat zijn 'know how people'? Mensen die weten hoe het moet?

AndromedaM31 @Anoniem: 310408 • 3 oktober 2017 16:57

https://www.bof.nl/2015/1...eer-over-je-dan-je-denkt/

https://zembla.bnnvara.nl/nieuws/data-het-nieuwe-goud

Ik bedoel mensen die in dit wereld(je) zitten.

Maaike dook die wereld ook in, maar dan in Nederland. Uit haar onderzoek blijkt dat er ook in Nederland veel datahandelaren zijn. Zo rond de 200. Er wordt duidelijk dat deze bedrijven veel informatie over ons hebben, maar dat ze vaag blijven over hoe ze daadwerkelijk aan die informatie komen.

Het zou zelfs uit datalekken kunnen komen imho. Wie zegt dat er voldoende toezicht is?

[Reactie gewijzigd door AndromedaM31 op 23 juli 2024 02:01]

Sniffels @h4ze • 3 oktober 2017 14:06

Als je whatsapp overal rechten op hebt gegeven op je smartphone dan vind ik dat "erger" dan een datalek waar mijn adres op straat komt.

Game_overrr @Sniffels • 3 oktober 2017 14:32

Tuurlijk niet, want bij whatsapp geef je er zelf toestemming voor en bij de ANWB heb je geen toestemming gegeven en dat is een wezelijk verschil..

Sniffels @Game_overrr • 3 oktober 2017 14:37

Daar heb je inderdaad een punt. al is 90% onwetend en/of wil gewoon gebruik maken van de app, no matter what.

DeeSung 3 oktober 2017 14:10

Wat is de waarde van je privacy? Hetgeen wat hier geschonden wordt.

Als een bedrijf een belofte maakt over het waarborgen van je privacy, maar je kan er geen waarde aan vaststellen, dan boeid het ook niet of het op straat komt te liggen?

Zijn er uberhaupt consequenties voor bedrijven die dit op straat gooien?

Kan je uren gaan declareren om nieuwe email accounten,tel nummer te regelen.

Of wil je nu je naam verranderen en word dat volledig vergoedt?

Volgensmij wordt het makkelijk afgewimpeld

wica @DeeSung • 3 oktober 2017 14:16

De waarde van je privacy, wordt met elke lek steeds minder.

Zoals ik hier al eens eerder gevraagt heb, wanneer bereiken wij het kantel punt, dat je gewoon vanuit kan gaan dat je GEEN privacy hebt.

Rudie_V 3 oktober 2017 14:05

... , waardoor de gegevens via Google te vinden waren. Doordat de ANWB eerst de resultaten uit de zoekmachine wilde verwijderen, duurde het tot dinsdag om mensen op de hoogte te stellen. De ANWB ontdekte het lek bijna twee weken geleden, op 21 september.

En andere zoekmachines?

Overigens is deze lange tijd voor verwijdering uit een zoekmachine dan nog wel een punt voor verbetering.

Schumpeter 3 oktober 2017 14:55

Kan iemand mij uitleggen hoe zoiets gebeurt/ontstaat? Ik snap aardig wat van IT, maar vind het soms lastig te begrijpen hoe dit wordt ontdekt. Staan deze gegevens op een (ongeveiligde) database of zo die ineens buiten de omgeving toegankelijk is.

[Reactie gewijzigd door Schumpeter op 23 juli 2024 02:01]

fverhoef 3 oktober 2017 15:07

Volgens mij heeft de ANWB het dan op architectuur niveau al goed fout zitten, dat door een verkeerd ingesteld "filter", je opeens toegang hebt tot vertrouwelijke data.

Als je blijkbaar voor beheer doeleinden pagina's hebt met vertrouwelijke data, zorg er dan voor dat deze goed geschieden zijn van het publieke internet.

TimMer 3 oktober 2017 15:18

In de mail die de ANWB naar zijn klanten verstuurde, waarschuwt de organisatie dat de gegevens voor phishing gebruikt kunnen worden en roept de getroffen leden dan ook op om waakzaam te zijn. De organisatie verwijst klanten naar een pagina over phishing op zijn website, waar ze meer informatie kunnen vinden. "We balen hier ontzettend van", aldus de woordvoerder.

Fraai verhaal: zij falen episch en ze leggen het probleem bij de klant neer. Ik zeg naar de rechter brengen die kneuzen.

Op dit item kan niet meer gereageerd worden.

ANWB waarschuwt 95.000 klanten voor datalek

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: