×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ANWB waarschuwt 95.000 klanten voor datalek

Door , 95 reacties, submitter: geenstijl

De reis- en verkeersorganisatie ANWB heeft een deel van zijn leden gewaarschuwd voor een datalek in zijn webwinkel. Daarbij waren gegevens van 95.000 klanten toegankelijk. Daarbij ging het bij 87.500 mensen om e-mailadressen, betaalvoorkeuren, adressen, telefoonnummers en namen.

Volgens een ANWB-woordvoerder was er een kleinere groep, waarvan alleen het e-mailadres publiekelijk beschikbaar was. De twee groepen zijn met verschillende e-mails op de hoogte gesteld van het incident. De woordvoerder legt uit dat er een filter door een menselijke fout van een it-leverancier verkeerd was ingesteld, waardoor de gegevens via Google te vinden waren. Doordat de ANWB eerst de resultaten uit de zoekmachine wilde verwijderen, duurde het tot dinsdag om mensen op de hoogte te stellen. De ANWB ontdekte het lek bijna twee weken geleden, op 21 september.

Data als inloggegevens en bank- en creditcardgegevens waren volgens de organisatie niet in te zien. De organisatie heeft het datalek gemeld aan de Autoriteit Persoonsgegevens. In de mail die de ANWB naar zijn klanten verstuurde, waarschuwt de organisatie dat de gegevens voor phishing gebruikt kunnen worden en roept de getroffen leden dan ook op om waakzaam te zijn. De organisatie verwijst klanten naar een pagina over phishing op zijn website, waar ze meer informatie kunnen vinden. "We balen hier ontzettend van", aldus de woordvoerder.

Door Sander van Voorst

Nieuwsredacteur

03-10-2017 • 13:46

95 Linkedin Google+

Submitter: geenstijl

Reacties (95)

Wijzig sortering
De woordvoerder legt uit dat er een filter door een menselijke fout van een it-leverancier verkeerd was ingesteld, waardoor de gegevens via Google te vinden waren. Doordat de ANWB eerst de resultaten uit de zoekmachine wilde verwijderen, duurde het tot dinsdag om mensen op de hoogte te stellen.
Goolge is niet de enige...

Ook DuckDuckGo is gewoon nog vol met mailadressen :P :
https://tweakers.net/ext/f/bcm8uhmR7WTG1Tog0S2ng6Fp/full.png
Geldt ook voor Yahoo.

Had eerst de zoekterm niet geblurred, maar die is toch wel vrij makkelijk te bedenken. :+

[Reactie gewijzigd door T.Kreeftmeijer op 3 oktober 2017 20:08]

Dus ANWB heeft persoonsdata onversleuteld op hun servers staan, waardoor deze dus ook door een configuratie foutje kunnen lekken.
Laten we hopen dat ze door dit lek, geleerd hebben en nu hun systemen zo gaan aanpassen dat een foutje van een medewerker niet kán leiden tot een datalek.

[Reactie gewijzigd door djwice op 3 oktober 2017 22:37]

Dat is het probleem met log bestanden en daarom beperk je die zoveel mogelijk op productie.

Maar zonder die identificeerbare data heb je er niet zoveel aan je logs.

In dit geval gaat het ook nog eens om een log van een email marketing koppeling van een derde partij, lekker zo'n situatie waar veel fout kan gaan.
Slordig dat die PHP dumps gewoon in de webroot staan én nginx geen deny all regel heeft voor log bestanden. Dat is toch wel één van de eeste dingen die je doet op een productie webserver. 8)7
En elke andere zoekmachine in de wereld die er geindexeerd heeft
Tekst van de mail:
Met deze e-mail informeren wij u over een datalek dat wij kortgeleden in de webwinkel van de ANWB hebben geconstateerd. Van een datalek is sprake als onbevoegden toegang hebben tot persoonsgegevens. Hoewel wij hebben vastgesteld dat slechts een klein deel van de gelekte gegevens mogelijk gezien is door derden, willen wij alle klanten van wie de gegevens toegankelijk zijn geweest, uit voorzorg op de hoogte brengen.

Door een fout van een van onze IT leveranciers is een bestand met verkoopgegevens van de ANWB Webwinkel onbeschermd op het internet terechtgekomen. Het betreft hier gegevens over aankopen in de ANWB Webwinkel waarin namen, adressen, telefoonnummers, betaalvoorkeuren en e-mailadressen van klanten voorkomen. Ook uw gegevens zitten daarbij. NB: Bankgegevens, creditcardgegevens en inloggegevens zijn niet toegankelijk geweest.

Na het ontdekken van het datalek heeft de ANWB onmiddellijk maatregelen getroffen. Wij hebben de betreffende persoonsgegevens van onze klanten direct afgeschermd en ontoegankelijk gemaakt.

De gegevens die zichtbaar zijn geworden, kunnen door cybercriminelen worden gebruikt voor het versturen van spam en zgn. “phishing” mails. Phishing is een vorm van internetfraude. U ontvangt dan een valse e-mail, die u naar een nagebootste website probeert te lokken. Wij adviseren u de komende tijd extra alert te zijn op dit soort verdachte e-mails en deze meteen te verwijderen. Hoe u een valse e-mail kunt herkennen, leest u in het blauwe kader.

Let op: klik nooit op links in een phishing e-mail! Open geen bijlagen en verstrek ook nooit zomaar uw bankgegevens, creditcardgegevens of inloggegevens. De ANWB zal u daar nooit per e-mail om vragen.

De ANWB hanteert uiterst strenge richtlijnen voor de beveiliging van klantgegevens. Ook onze leveranciers moeten aan strenge eisen voldoen. Helaas hebben we ondanks alle zorgvuldigheid die wij betrachten, dit datalek niet kunnen voorkomen. Wij bieden hiervoor onze excuses aan en hebben aanvullende maatregelen getroffen waardoor deze fout niet meer kan worden gemaakt.

Meer informatie vindt u op anwb.nl/phishing. Uiteraard kunt u ook telefonisch contact met ons opnemen via 088-2692255; onze helpdesk is op werkdagen bereikbaar van 8.30 uur-18.00 uur en op zaterdag van 10.00 uur tot 16.00 uur.

Met vriendelijke groet,
In het 1e kwartaal van 2017 zijn er bijna 2,5x meer datalekken gemeld dan in het 1e kwartaal van 2016. Laten we hopen dat deze trend ergens tegen 2019 minder gaat worden, je zou bijna geen gegevens meer willen overleggen aan derden |:(

Citaat van website Autoriteit Persoonsgegevens:"De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%)."
Laten we hopen dat deze trend ergens tegen 2019 minder gaat worden, je zou bijna geen gegevens meer willen overleggen aan derden |:(
Correct! Dat is momenteel de enige werkbare strategie. Onze IT is niet veilig en het gaat nog decennia duren voor alle problemen zijn opgelost. Voorlopig kun je er maar beter van uitgaan dat alles wat je deelt zal uitlekken. Ik geef dus zo min mogelijk informatie.

Aan de andere kant van de tafel is het ook verstandig om zo min mogelijk te vragen. Het lijkt heel handig om zoveel mogelijk informatie over je klanten te verzamelen, zelfs als je er nu niks mee kan dan kun je alvast verzamelen voor de toekomst. Harde schijven zijn goedkoop, denkt men, maar het bewaren van data is veel duurder en complexer dan alleen de hardware. Hoe meer data je hebt, hoe moeilijker het wordt om er goed op te passen. Vraag dus niet meer dan het noodzakelijke.
Moet je eens kijken wat de overheid scholen verplicht om vast te leggen van hun studenten. Scholen werden verplicht om een kopie ID op te slaan ondanks dat de scholen daar helemaal niet om staan te springen. Nadat diverse scholen zich jaren lang hier tegen uitgesproken hebben hoeven we nu alleen nog maar de identiteit vast te stellen. Daarna gaat er een getekend document in de administratie (zonder kopie ID) dat de identiteit correct is vastgesteld en door wie dit is gedaan. Als het aan de overheid had gelegen hadden we nog steeds een kopie ID moeten bewaren.

En zo zijn er onder andere in onderwijs land nog wel meer voorbeelden waarbij de overheid of overheidsinstanties situaties creëren die je als IT-er liever niet meer ziet.
Ach, jouw ISP moet bij de overheid iedere 24 uur het CIOT aanvullen met meer informatie dan je lief is: telefoonnummers, naw-gegevens, emailadressen, accountnamen, serienummers van randapparatuur maar ook jouw IP-adres. Dat moet iedere 24 uur bijgewerkt worden, ongeacht of deze gegevens nou wel of niet noodzakelijk zijn, 'in principe' gaan ze er niks mee doen.

Je verwacht alleen dat een AIVD, MIVD, recherche en wat bijzondere diensten hier toegang toe hebben. Maar ook de gewone politie, openbaar ministerie (die leidt het onderzoek alleen maar doet zelf niks als het goed is) en zelfs het ministerie van VROM (volkshuisvesting, ruimtelijke ordening en milieu) heeft hier toegang toe. Dus enorm veel potentiele datalekken, dat nu je emailadres uitgelekt is valt nog mee. Als men ooit die database van het CIOT weet te pakken te krijgen, dán zijn de rapen pas gaar. En meer info hier: https://www.rijksoverheid...2010/07/01/factsheet-ciot
Volgens mij zijn de email adressen en serienummers waar je het over hebt respectievelijk de email adressen die de telecomprovider en de serienummers van de modem die je hebt van je isp. NAW heeft de overheid sowieso al en accountnaam is alleen van je isp, niet van Facebook o.i.d. ik snap je paniek niet zo goed. Kun je opheldering geven?
aub, koppie/pasta:
Telecommunicatieaanbieders
- Naam, adres, postcode, woonplaats
- De telecommunicatiedienst die de
gebruiker afneemt (vast, mobiel,
abonnement, prepaid, etc.)
- Telefoonnummer(s) van de gebruiker
- Naam van de telecommunicatieaanbieder
--------------
Internetaanbieders
- Naam, adres, postcode, woonplaats
- De internetdienst die de gebruiker
afneemt (inbellen, kabel, ADSL,
e-mail, account, etc.)
- Identificatienummers van
randapparaten van de gebruiker,
IP-nummers, e-mailadres(sen) van
de gebruiker, gebruikersnaam of
inlognaam
- Naam van de internetaanbieder
("-" en "---------" toegevoegd, komt uit pdf, anders onleesbaar)

Maar @Nox, klik anders de link ook even aan. Betreffende .pdf file is een whopping 4 pagina's ;-) Kost je 5 mins...
Ik had de pdf al gelezen. Ik snap nog steeds de paniek niet vwb CIOT..?
Het probleem is, naar mijn mening, dat de ISP's continu alle persoonsgegevens die ze hebben aan de overheid moeten afdragen en dat er te weinig toezicht is op gegevens waar te veel diensten van gebruik mogen maken. Neem mijn NAW-gegevens, ja die zijn bekend bij de overheid. Die staan ook in een telefoonboek, niks mis mee zou je zeggen (en er is een opt-out). Nu verzamelt de overheid nog wel meer dingen en met name in combinatie. Dat is het gevaar, jouw emailadres, accountnaam, naw-gegevens, IP-adres, serienummer van je modem (allicht terug te zien in het SSID) etc. in 1 database. Helemaal mooi natuurlijk, alleen is het niet dat de gegevens opgevraagd worden op het moment dat ze nodig zijn, ISP's moeten deze continu pushen naar de overheid ongeacht of het wel of niet noodzakelijk is. De overheid wil altijd weten op welk IP-adres je te bereiken bent en alle andere emailaccounts die je hebt. Ze willen meer weten dan nodig. Ziggo lijkt erop mijn privacy te respecteren, maar doet de overheid dat? Straks kan BREIN bij de overheid aankloppen en die is allicht anders van mening. Ziggo zal altijd weigeren tenzij een gerechtelijk bevel en als ze daar over twijfelen weigeren ze ook. Die gegevens worden niet zomaar gedeeld. Het feit dat de overheid _alles_ wil weten en _continu_ wil weten is een probleem. Dat ze niet om kunnen gaan met die informatie en dat die ooit een keer op straat komt te liggen is ook te verwachten, die kans is niet nul. (idem voor de ISP's maar die houden allicht de data beter gescheiden en hebben een lagere impact bij een lek omdat de database niet heel Nederland omvat).
Het is niet alleen het email. Het jammere is dat er emails met telefoon nummers zijn en je naam. 3 x info waar je bij veel support afdelingen genoeg aan hebt om je email te veranderen omdat ze zo aardig zijn en je de juiste gegevens hebt, en je bent erin met beetje social engineering. En grotere corporaties of bij wie het dan ook de moeite is om een sim te clonen zoals ze bij die youtubers doen, is het handig om te weten wat iemand zijn officiele naam is, en welk nummer enzo.

Deze data is voor sommige mensen meer waard, ondanks mijn eventuele slechte voorbeelden die ik maar noem om een punt te maken.
Als je een bouwerij wil betreden, wordt het al verplicht! kopie id, vingerafdruk, kopie vca,bsn-nummer,enzo! Bij een Bouwbedrijf.
Bij het bezoek aan een defensie locatie wordt je zelfs verplicht je ID/Paspoort achter te laten bij de beveiliging. Je krijgt dan een badge mee waarmee iedereen kan zien dat je een bezoeker bent. Ondertussen heb je dus geen zicht meer op je ID/Paspoort. Je moet er dus maar vanuit gaan dat de KMAR op de juiste wijze met je documenten om gaat.

Verder moest ik voor mijn screening destijds documenten via de HR afdeling van defensie opsturen met al mijn gegevens van de afgelopen 15 jaar inclusief alle gegevens van je vrienden. De HR afdeling was destijds die papier kwijt en of ik ze even opnieuw op wou sturen. Na het dreigen met er een veiligheidsincident van te maken waren de papieren in nog geen 30 minuten al weer boven water. En dat is dan een overheidsinstantie waarvan je zou moeten kunnen verwachten dat ze veilig en zorgvuldig met je gegevens om gaan.
Er zijn maar weinig instanties die in specifieke situaties legaal een kopie van een identiteitsbewijs mogen maken (zie o.a. hier). Ik weiger het pertinent, soms tot ergenis van mijn vriendin. Zelfs een hotel in Belgie wilde me geen kamer verhuren maar ik stond erop dat er een tekst over de kopie werd gezet met de naam van het hotel. De hoogste manager moest erbij komen en gaf uiteindelijk toe dat dit mocht. Ik heb slechts één keer meegemaakt dat een autoverhuurbedrijf het zelf voorstelde om hun naam over de kopie te schrijven. Die snappen het tenminste.
Laten we hopen dat deze trend ergens tegen 2019 minder gaat worden,
Dat gaat vanzelf als de prutsende bedrijven boetes moeten gaan betalen van meerdere procenten van hun jaaromzet. NU maar hopen dat de APG straks ook daadwerkelijk z'n tanden gaat laten zien, en niet zo suf en mak blijft reageren als met de grove schendingen van die camera's in reclamezuilen.
Ik dacht : 'huh, wat heeft APG (financiële instelling) hier nou weer mee te maken? Ik snap het niet'. Toen kwam ik er pas achter dat je niets anders kon bedoelen dan Autoriteit Persoonsgegevens (AP).
Klein foutje, heel verwarrend :)
Organisaties zitten nog volop in de bewustwording sinds de meldplicht datalekken, dus meer gemelde lekken zegt mij nu nog niet zoveel. Sterker nog, ik denk dat het leeuwendeel er allang was, maar dat hoefde nooit gemeld te worden. Nu hangen er sinds vorig jaar ineens mogelijke consequenties aan het niet melden en gaat men er actiever naar op zoek, et voilà: meer meldingen.

Neemt uiteraard niet weg dat ieder datalek betreurenswaardig is, maar de toename in het aantal meldingen geeft m.i. een vertekend beeld van de werkelijkheid.
Dat komt mede omdat de plicht tot melden aangescherpt is. Maar ook omdat de autoriteit persoonsgegevens het al heel snel als een data lek ziet, ook wanneer het aannemelijk is dat de gegevens niet uitgelekt zijn.

Wij hebben een docent gehad welke door middel van een geïnfecteerd document van een student en crypto locker op zijn systeem kreeg. De redenatie van de APG is dat de gegevens gelezen worden tijdens het encrypten en dus is het een data lek. Ook al kun je aantonen met diverse logging dat de besmetting alleen op dat systeem is geweest, het niet via het netwerk verstuurd kon worden, de crypto locker niet bekend staat om gegevens te versturen, de firewall na de besmetting geen netwerk verkeer van het betreffende systeem heeft gehad enz. Ook dan is nog steeds een melding omtrent data lek verplicht.

Ik sta volledig achter de meldplicht omtrent data lekken maar de APG schiet hier en daar echt wat te ver door.

Volgend jaar wordt de wetgeving nog wet verder aangescherpt voor het verwerken van persoonsgegevens, dus dan zal het aantal meldingen al helemaal gaan stijgen ;)
Dat er meer meldingen zijn wil uiteraard niet zeggen dat er meer lekken zijn. Het kan zijn dat er meer ontdekt worden of het kan ook zijn dat er een grotere bewustwording is rondom de verplichting om ze te melden.

De sectoren met de meeste meldingen zijn trouwens ook die sectoren die dat net enorm veel gevoelige informatie verwerken. Dus het mag niet verbazen dat vanuit die hoek meer meldingen komen dan vanuit bijvoorbeeld sportclubs.
En dan is het nog de vraag of alle sportclubs al volledig op de hoogte zijn van de laatste regelgeving op dit gebied. Het zijn immers vnl. goedwillende amateurs die daar de administratie beheren.
http://webwinkel.anwb.nl/webwinkel/ ook zonder ssl, dus er zijn wel meer dingen die niet deugen
Het valt mee. (I stand corrected, zie hieronder) Zodra je naar een pagina gaat waarop je gegevens moet invoeren, zoals de inlogpagina van Mijn ANWB of de pagina "bestelling afronden" wordt je doorgestuurd naar een https pagina. Feitelijk is er dus weinig aan de hand, maar ik ben het met je eens dat anno 2017 een site van een organisatie als de ANWB toch wel volledig https zou mogen zijn.

[Reactie gewijzigd door rbr320 op 3 oktober 2017 14:26]

Dat valt helaas helemaal niet mee, het probleem is namelijk dat de voorliggende pagina kan worden aangepast door een aanvaller en zij dus heel eenvoudig met een man in the middle attack een andere pagina kunnen serveren die NIET naar https doorschakelt. Het risico voor een targeted mitm attack is dus niet afgenomen omdat zij via die weg alle overige pagina's van de site kunnen onderscheppen en deze beveiligingen kunnen ontnemen.

Een goede webshop heeft nou eenmaal op hun domein HSTS geactiveerd staan waardoor het niet mogelijk is om een downgrade attack naar http uit te voeren. Mijn eigen domein staat bijvoorbeeld hardcoded in de moderne webbrowsers (In iedergeval firefox en chrome en waarschijnlijk ook edge al heb ik dat niet getest) zodat deze NIET zonder https kunnen worden geladen onder geen enkele situatie. Mocht je willen testen zal dus blijken dat tenzij jij een rogue root certificaat vertrouwd het je dus niet lukt om een MITM aanval uit te voeren.

Voor de gene die dit wensen voor hun webshop of website zullen HSTS moeten activeren aan de zeiden van de webserver en kunnen zich vervolgens opgeven via https://hstspreload.org. Let dus op dat dit NIET ongedaan gemaakt kan worden en je dus permanent op het hele domein (Inclusief subdomeinen als je hier voor hebt gekozen zoals ik) vast zit aan https. Uit ervaring weet ik dat dit het beheer van de site lastig maakt tijdens migraties van webhosts als je niet het oude certificaat kunt overnemen zoals bijvoorbeeld bij lets encrypt het geval kan zijn. Daar in tegen ben je dus wel verzekerd dat de gegevens van jouw bezoekers ten alle tijden versleuteld worden verzonden en kun je dus garanderen dat jouw website niet door een publiek netwerk kan worden aangepast.
Voor de gene die dit wensen voor hun webshop of website zullen HSTS moeten activeren aan de zeiden van de webserver en kunnen zich vervolgens opgeven via https://hstspreload.org.
Je kan voor HSTS ook gewoon een HTTP header gebruiken. Het eerste bezoek via HTTP is dan onveilig, maar daarna blijft het veilig als je de site binnen de gestelde tijd opnieuw bezoekt omdat de browser zelf een redirect zal doen naar HTTPS. Die tijd wordt vaak op een jaar of langer gezet. Het aanvalsoppervlak is hierdoor minimaal, want de timer wordt bij elke bezoek opnieuw gestart. Een bonus is dat je site niet op een publiek beschikbare lijst wordt gezet. Soms is dat ongewenst.

Een voorbeeld van een dergelijke header:
Strict-Transport-Security: max-age=31536000; includeSubDomains

[Reactie gewijzigd door The Zep Man op 3 oktober 2017 14:33]

Dat klopt, wellicht heb ik dat niet helemaal duidelijk in mijn verhaal verwoord. Ik doende in dat stuk op het hardcoded opnemen van jouw site in de moderne browsers zodat er nooit gebruik kan worden gemaakt van een mitm aanval. Dit kan gewenst zijn zeker bij gevoelige gegevens erg gewenst zijn.
Kies je niet voor de preload optie is jouw text van toepassing en kun je ook kiezen om dit niet voor de subdomeinen op te nemen of slechts in korte periodes te laten cachen door de browsers. Bij het verwijderen van de website voorkeuren worden in dat geval de restricties in de browser ongedaan gemaakt waar bij een preload het onmogelijk is voor de eindgebruiker om dit aan te passen zonder de browser zonder deze lijst te compileren. Wel bleek het nodig toen ik nog gebruik maakte van HSTS zonder preload om zelf te zorgen voor een https redirect omdat HSTS pas in werking trad bij het openen van de website via het https protocol.

[Reactie gewijzigd door henk717 op 3 oktober 2017 14:38]

Een (ietwat) nieuwe parameter die we toevallig vorige week hebben toegevoegd is "always", dat ook 40x error pagina's als HTTPS getoond worden. Aanrader!
HSTS preloading kan wel degelijk ongedaan gemaakt worden. Er gaat alleen enorm veel tijd overheen en wanneer gebruikers een versie van de browser gebruiken waarin je site nog wel is opgenomen dan krijgen zij alsnog een foutmelding te zien natuurlijk. Het kan wel, maar is alles behalve aan te raden.
Als je naar de inlogpagina gaat is de site wel voorzien van SSL
Maakt niet uit. Als je een historie hebt vóór het inloggen, is het een peuleschilletje om dat met een SSL-sessie te correleren door een kwaadwillende.
De checkout page waar je je gegevens invult is wel HTTPS
suc6 met je injection preventie zeg ik dan maar..
Dat is gewoon vragen om moeilijkheden. Waarom is anwb.nl wel SSL, maar de webwinkel niet?
Eeeen weer eentje.
We kunnen onderhand wel al onze gegevens gewoon op een a4'tje verspreiden. Maakt allemaal niks meer uit nu want ergens is er wel een lekke database met jouw naam erop.
Hoezo A4? Dat is waar we visitekaartjes voor hebben!
Ook legaal hoor. Je kunt als je wilt gewoon met data handelaren handelen. Over flinke hoeveelheden data waar ook wel iets over jou instaat.

Alles gaat tegenwoordig digitaal. Privacy bestaat al niet meer als realiteit voor de know how people.

[Reactie gewijzigd door AndromedaM31 op 3 oktober 2017 14:02]

Wat zijn 'know how people'? Mensen die weten hoe het moet?
https://www.bof.nl/2015/1...eer-over-je-dan-je-denkt/

https://zembla.bnnvara.nl/nieuws/data-het-nieuwe-goud

Ik bedoel mensen die in dit wereld(je) zitten.
Maaike dook die wereld ook in, maar dan in Nederland. Uit haar onderzoek blijkt dat er ook in Nederland veel datahandelaren zijn. Zo rond de 200. Er wordt duidelijk dat deze bedrijven veel informatie over ons hebben, maar dat ze vaag blijven over hoe ze daadwerkelijk aan die informatie komen.
Het zou zelfs uit datalekken kunnen komen imho. Wie zegt dat er voldoende toezicht is?

[Reactie gewijzigd door AndromedaM31 op 3 oktober 2017 17:04]

Als je whatsapp overal rechten op hebt gegeven op je smartphone dan vind ik dat "erger" dan een datalek waar mijn adres op straat komt.
Tuurlijk niet, want bij whatsapp geef je er zelf toestemming voor en bij de ANWB heb je geen toestemming gegeven en dat is een wezelijk verschil..
Daar heb je inderdaad een punt. al is 90% onwetend en/of wil gewoon gebruik maken van de app, no matter what.
Wat is de waarde van je privacy? Hetgeen wat hier geschonden wordt.

Als een bedrijf een belofte maakt over het waarborgen van je privacy, maar je kan er geen waarde aan vaststellen, dan boeid het ook niet of het op straat komt te liggen?

Zijn er uberhaupt consequenties voor bedrijven die dit op straat gooien?

Kan je uren gaan declareren om nieuwe email accounten,tel nummer te regelen.

Of wil je nu je naam verranderen en word dat volledig vergoedt?

Volgensmij wordt het makkelijk afgewimpeld
De waarde van je privacy, wordt met elke lek steeds minder.

Zoals ik hier al eens eerder gevraagt heb, wanneer bereiken wij het kantel punt, dat je gewoon vanuit kan gaan dat je GEEN privacy hebt.
... , waardoor de gegevens via Google te vinden waren. Doordat de ANWB eerst de resultaten uit de zoekmachine wilde verwijderen, duurde het tot dinsdag om mensen op de hoogte te stellen. De ANWB ontdekte het lek bijna twee weken geleden, op 21 september.
En andere zoekmachines?

Overigens is deze lange tijd voor verwijdering uit een zoekmachine dan nog wel een punt voor verbetering.
Kan iemand mij uitleggen hoe zoiets gebeurt/ontstaat? Ik snap aardig wat van IT, maar vind het soms lastig te begrijpen hoe dit wordt ontdekt. Staan deze gegevens op een (ongeveiligde) database of zo die ineens buiten de omgeving toegankelijk is.

[Reactie gewijzigd door Schumpeter op 3 oktober 2017 14:55]

Volgens mij heeft de ANWB het dan op architectuur niveau al goed fout zitten, dat door een verkeerd ingesteld "filter", je opeens toegang hebt tot vertrouwelijke data.

Als je blijkbaar voor beheer doeleinden pagina's hebt met vertrouwelijke data, zorg er dan voor dat deze goed geschieden zijn van het publieke internet.
In de mail die de ANWB naar zijn klanten verstuurde, waarschuwt de organisatie dat de gegevens voor phishing gebruikt kunnen worden en roept de getroffen leden dan ook op om waakzaam te zijn. De organisatie verwijst klanten naar een pagina over phishing op zijn website, waar ze meer informatie kunnen vinden. "We balen hier ontzettend van", aldus de woordvoerder.
Fraai verhaal: zij falen episch en ze leggen het probleem bij de klant neer. Ik zeg naar de rechter brengen die kneuzen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*