Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Database met gegevens van dertig miljoen Zuid-Afrikanen lekt uit'

Beveiligingsonderzoeker Troy Hunt heeft een database toegezonden gekregen met gegevens van in ieder geval dertig miljoen Zuid-Afrikanen. De database bevat onder meer het dertiencijferige id-nummer, de burgerlijke staat, het inkomen, werk en huiseigendom van burgers.

Hunt, die de website HaveIBeenPwned beheert, noemt het lek 'een van de ergste die hij tot nu toe heeft gezien'. Hij deelde zijn bevindingen met de site iAfrikan en zei dat het om een database van in totaal 27GB gaat. Hunt verwees bovendien naar een bestand op Pastebin waarin de headers van de database te zien zijn. Volgens een nieuwer bericht van de site staan de gegevens nog steeds online.

De onderzoeker begon de database te importeren en stopte toen hij weg moest. Op dat moment had hij unieke gegevens van dertig miljoen personen geïmporteerd. IAfrikan schrijft dat de database ook gegevens van overleden personen bevat en daarom waarschijnlijk nog groter is. De auteur van het nieuwsbericht zocht zijn eigen gegevens in de database op en trof gegevens aan over een stage die hij in 1998 had gelopen.

Verder zou de database ongeveer 2,2 miljoen e-mailadressen bevatten. IAfrikan vermoedt dat de gegevens afkomstig zijn van een kredietregistratiebureau of een andere dataverzamelingsdienst. De site zegt aanwijzingen te hebben gevonden dat het om databedrijf Dracore gaat.

Door

Nieuwsredacteur

51 Linkedin Google+

Reacties (51)

Wijzig sortering
En ondanks dit soort lekken vinden we het blijkbaar met zijn allen nog steeds handig dat we al onze gegevens bij instanties stallen die vervolgens ook nog eens direct aan het internet hangen.

Dat we database hebben waar van alles in staat, prima, en in veel sommige gevallen pure noodzaak.
Maar als die nu eens gewoon NIET via internet toegankelijk zouden zijn, dan waren we al een stuk veiliger. Dan zou een hacker in elk geval local-acces moeten zien te krijgen.
Dit is er weer eentje in de categorie Equifax, zo klinkt het. Daar hoor je na een paar weken ook niks meer over. En de mensen die getroffen zijn kunnen, als ze pech hebben, de rest van hun leven dealen met identiteitsfraude en de bijbehorende financiŽle ellende.

Zo fijn dat overheden toestemming geven aan (commerciŽle) partijen om alles over hun bevolking te minen en op te slaan zonder toestemming, waar je als inwoner ook geen opt-out kan kiezen. Straffen na dit soort incidenten zijn vaak ook een aanfluiting, Šls er Łberhaupt al iemand wordt gestraft. Maar zodra je je webcam op straat richt struikelen ze ineens met zijn allen over privacy. :r
Helaas hebben we weinig keus. Huis kopen of huren? Laat je BKR maar even zien. De BKR, de gemeente, de regering hebben je belangrijkste gegevens, en wij hebben geen inzicht in, of inlvoed over, waar ze de data neerzetten of welke partijen er toegang toe hebben.
Ik kan me niet direct voorstellen dat dit een optie zou zijn. Iedere keer als er een klant data nodig heeft, deze opvragen en versturen via een USB-stick?

Neen, gewoon meer eisen van bedrijven dat de security op orde is, en dit ook handhaven met boetes en uitsluitingen. Is er na bepaalde tijd nog steeds iets niet in orde? Dan mag je niet meer meespelen als databedrijf...
Hier is een idee: Stel we hebben ieder onze unieke, eigen, burgerlijke USB stick. Of w/e we het willen noemen. Een soort ID kaart met een lees puntje eraan, zoals de ouderwetse bankpas. Niks draadloos, gewoon een chip ding. De overheid heeft een hash van alle gegevens van jou, niks direct of duidelijk en dus gibberish voor iedereen, zelfs computers. Als iemand wat wil doen hebben ze een ID kaart nodig om te laten zien dat jij het echt bent. Waarom laten we dan niet de burger zelf al deze gegevens bewaren?

Als de belasting dienst een nieuwe rekening wil openen dan hebben ze je burgerservicenummer, adres, naam, mugshot en handtekening nodig. Je kan mij niet vertellen dat een beetje hacker dit niet zelf kan. En aangezien alles helemaal gibberish is weet je niet (zonder te checken op de burger pas zelf) welke hash welke persoon is. Nog kun je data uit de hash halen (Het is tenslotte maar een soort "checksum".). Dus elk(e) gemeente/overheidsgebouw heeft zo'n kastje staan, de pas vraagt om verificatie van de persoon die de burgerlijke USB geeft, waarbij men een vingerafdruk laat scannen/pincode intoetst (Als alles lokaal gebeurd dan zou ik een vingerafdruk niet eens zo erg vinden, alleen je pas weet je vingerafdrukken.). Dan stuurt en vraagt de pas om een hash van het apparaat dat aangesloten is op Big Brother via een veilig en bewaakt kanaal, en Big Brother stuurt een matchende hash naar de pas, als die niet bestaat of het klopt niet, dan is er wat mis en zul je naar de politie moeten of ergens waar ze je dan kunnen helpen. Als alles klopt dan wordt alles lokaal weergeven op het apparaat waar enkel een monitor op aan kan worden gesloten. Wijzigingen/Troubleshooting kunnen/kan dan enkel bij geverifieerde gebouwen waar men dus de veiligheid scherp in het oog heeft, misschien worden dit wel of niet gemeente gebouwen of alleen bij de politie, wie weet verzinnen we daar een nieuw gebouw voor. Zolang ik maar baas over mijn gegevens blijf en bepaal waar ze wel en niet komen.

Op het moment, enkel op dat moment, waarop ik baas ben over mijn eigen vingerafdrukken en waar deze wel en niet worden opgeslagen, dan zal ik instemmen met de vraag of mijn vingerafdrukken genomen mogen worden.

Ik geef toe dat er nogal wat gesleuteld moet worden aan dit idee, want hoe gaat men je dan post sturen als ze alleen een hash hebben? Heeft het post-kantoor jouw hash en dus weet ie waar je woont? Of automatische incasso's? Hoe gaan die betalingen iedere maand vragen als ze alleen een hash van je hebben? Etc. Maar als we in ieder geval kunnen zorgen dat ALS ze data willen hebben van de burger dit niet op publieke databases komt met alleen een wachtwoordje voor het entree scherm, en ondertussen alle data d.m.v. URL manipulation te vinden is, of elke keer een internet connectie nodig heeft.

Jezelf veilig voelen (over je gegevens)... 'T zou toch maar een droom zijn?
Leuk idee, maar waar wordt de backup van een dergelijke kaart dan bewaard? Een pas (of whatever je wil gebruiken) kan tenslotte ook kapot gaan.
Ik zou aannemen dat dat ergens op papier staat bij desbetreffende burger? Of misschien in een groot archief dat geen digitale connectie heeft buiten die speciale pas connectie?

Maar zoals ik al zei: Het idee heeft werk nodig wil je dit gaan laten werken. Alsnog, als ik de mogelijkheid krijg om de veiligheid en directie van mijn gegevens te bepalen door middel van ze zelf te waarborgen op en legitieme manier, zou ik dat al meer op prijs stellen vergeleken met gammele databases of het uitdelen als freebies aan jan alleman zonder te vragen aan de eigenaar. Daar moet iets op verzonnen worden. Misschien is dit pas idee wel helemaal shit en gaat dit never nooit niet werken, maar er moet iets gebeuren. EU Commissie wil iedereen z'n gegevens delen met 2200 andere bedrijven. Free of charge! Databases worden links en rechts gehackt of gelekt met gegevens die gewoon de straat op gaan.
Er zijn meer opties dan dat, zonder een systeem direct aan het internet te hangen.
Voillla, stel je voor dat dit soort dingen gebeuren met onze gegevens als die nieuwe sleepwet is ingegaan. Feest!!
En ook het meldplicht datalekken staat los van wat hij zegt. Het meldplicht datalekken voorkomt niet dat je gegevens op straat komen te liggen (alhoewel bedrijven er wel wat secuurder in worden). Met het sleepnet kunnen grote hoeveelheden data worden verzameld van Jan en alleman, en als dat dus op straat komt te liggen... Dat is waar Driftkikkertje op doelde.
En om je reactie nog wat aan te vullen, bij deze ;)
Wat houdt de meldplicht datalekken in ?...
Sinds 1 januari 2016 geldt de meldplicht datalekken. Op basis van deze meldplicht is de verantwoordelijke verplicht ‘datalekken’, zoals omschreven in de Wbp, te melden aan de Autoriteit Persoonsgegevens en in sommige gevallen aan betrokkenen (de personen over wie de gelekte persoonsgegevens informatie bevatten).

Bron = Nederland ICT

Edit: bron nog even bijgevoegd

[Reactie gewijzigd door SSDtje op 18 oktober 2017 14:08]

Alleen dicht een meldplicht geen enkel lek... En zodra de data op straat ligt, kan het lange tijd worden misbruikt. Kortom, een flinke lijst met mogelijke slachtoffers.
Dat niet, maar het zorgt wel voor imagoschade voor het bedrijf. Als er door een lek van een bedrijf bijvoorbeeld identiteitsdiefstal plaats vind, zou dat bedrijf ervoor verantwoordelijk gehouden kunnen worden. En ze kunnen het niet in de doofpot stoppen natuurlijk.
Hoe meer data er verzameld wordt, hoe meer er kan lekken bij een breach.
Ik zal het zo duidelijk mogelijk voor je proberen op te schrijven: hoe meer data er op een plek wordt verzameld, hoe meer data er kan lekken tijdens een enkele breach. In jouw analogie: als je meer personen in een auto stopt zullen er waarschijnlijk ook meer gewonden vallen als die auto een ongelukt krijgt.
Dus mocht jij ooit data gaan verzamelen ga jij dit op verschillende servers zetten? Als er dan een breach is, is niet alles overgenomen of kwijt (volgens jou). Lekker efficient en zal je niet vrolijk van worden als je data gaat combineren.
Nee, dat bedoel ik niet. Hoe meer data een bedrijf verzamelt op een plek, hoe meer er kan lekken bij een data breach. Daarom zouden bedrijven niet zomaar data mogen verzamelen zonder dat ze daarvoor een duidelijk doel voor ogen hebben. Gelukkig denkt de EU daar ook zo over en is dat een van key points in de AVG/GDPR die volgend jaar mei van kracht wordt.
En dat is toch ook zo?
Als je geen tweede huis nodig hebt, waarom dan daarvoor betalen ;)
Als je geen sleepnet nodig hebt, waarom dan iedereen in gevaar brengen door dergelijke info te verzamelen en te bewaren?
Dat is een goede, Nederlandse overhead die een overheidsorgaan gaat beboeten.
In before "hier gebeuren zulke dingen niet".
die wet is voor een groot deel al ingegaan hoor...
"Who Was Hacked?":
At first glance, it is tempting to think that the data was leaked from a South African government department or government-related entity like SARS (South African Revenue Services). A closer look at the columns in the dataset eliminates that, especially the fact that the DECEASED_STATUS column doesn't contain a deceased date but an "alive" or "deceased" option, and narrows it down to three possible types of organizations:
  • A credit bureau
  • A data aggregation company
  • A digital ID/FICA repository company/startup
Bron: https://www.iafrikan.com/...-personal-records-leaked/

[Reactie gewijzigd door AnonymousWP op 18 oktober 2017 11:14]

waarschijnlijk deze site: http://www.deeds.gov.za/ITSODeedsWebB/deedsweb/welcome.jsp (doe eens view source en je snapt waarom zoiets gehackt kan worden ... TABLE layout? wtf?)

schijnt van hier te komen: http://www.dracore.co.za/

[Reactie gewijzigd door cracking cloud op 18 oktober 2017 11:30]

Klopt inderdaad. Dat wat op de frontpage staat mogen ze ook wel weghalen, wat een ironie:
South Africa's Quality Data Bureau
For comprehensive data you can trust!
:+
Ze doen een uitspraak over de betrouwbaarheid van de data ... Data you can trust....
Dat wil helemaal niets zeggen hoe er met die data omgegaan wordt.
Dus de frontpage liegt niet, maar er ontbreekt mogelijk een stukje over dat de data ook voor iedereen beschikbaar gesteld wordt.
In het gelinkte PDF'je hieronder kun je lezen hoe Nederland & gemeenten met onze gegevens horen om te gaan, en welke gegevens er nu exact van ons worden opgeslagen, en waar deze gegevens nu eigenlijk precies voor gebruikt worden.
Als dit ook altijd zo gebeurd, is natuurlijk maar de vraag.
Aangezien het vaak niet mogelijk is om ze daarover even te bellen, en ze het te vragen.
Wat ook wel enigszins te begrijpen is natuurlijk, maar toch.
Maar wat hier in het artikel wordt gemeld is toch wel erg zeldzaam lijkt mij.
Ook al is elke keer dat zoiets gebeurt er al ťťn teveel natuurlijk.
30 miljoen persoonsgegevens gelekt/niet goed beveiligd opgeslagen, dat hoor/lees je nu niet elke dag zeg, deamn :/

Klik = Voor de autoriteiten en voor jou, de gemeentelijke & persoonlijke Records Database (In het Engels)
En dan is deze er nog = Handleiding voor verwerkers van persoonsgegevens, deze is ook een stuk uitgebreider en in het Nederlands.
Wel interessant om eens gelezen te hebben kan ik melden, al is dat persoonlijk natuurlijk, maar goed.

[Reactie gewijzigd door SSDtje op 18 oktober 2017 13:39]

Behoorlijk kwalijk dat het inkomen en het woonadres zo uitlekken, dit zal wel weer een inbraken golf veroorzaken...
Inderdaad, vooral in zuid afrika een probleem, echter zie je wel vaak aan de huizen en beveiliging daar hoeveel iemand verdient hoor.
Het zal eerder spearphishing in de hand werken op lange afstand...
Met zoveel info is er iets om heen te maken.
"I ran the import into MySQL and after several hours it was still not done importing and I had to stop it because I needed to leave," explained Hunt.
Uhmmm je start de batch en loopt weg. Voor de rest, voorspelbaar en op naar de volgende.
Je bent dat op je laptop aan het doen die je mee wil nemen...
Je wil je PC niet aan laten staan wanneer je weg bent...of welke andere reden dan ook.
Daarom hebben we servers, die gemaakt zijn om 24/7 aan te staan.
Gooi dat ding in een DMZ of gewoon niet verbonden en start de import, geeft dat ding zelf wel aan wanneer het klaar is...
Mooi genormaliseerde database ook ;(
`GENDER` varchar(20) DEFAULT NULL

Ben nou toch wel benieuwd naar de data. "PROBABLY_MALE_WE_THINK". Oh past niet. VARHCAR(22) dan maar :+
`DECEASED_STATUS` varchar(20) DEFAULT NULL
Walker
alle keuzevelden zijn `varchar(20)`, ofwel gewoon overal standaard doorgevoerd. Moet je dan precies per keuzeveld uitpluizen dat je niet 1 byte teveel toelaat?
Nee niet te veel maar wel te weinig ;)
`GENDER` kan gewoon een TINYINT(1) zijn,
NULL
0 = Male
1 = Female

Hetzelfde verhaal voor Deceased Status,
0 = Nee
1 = Ja
Dan heb je nog niet gender neutraal en onbevestigde overlijden.
Gender is tenminste: M(ale), F(emale), U(nknown), O(ther) en ik kan er nog wel meer bedenken ;)

[Reactie gewijzigd door Martijn033 op 19 oktober 2017 15:15]

Volgens mij kan je volgens de wet alleen man of vrouw zijn, dus de rest gaat niet op.
Het lijkt me dat een goed database-ontwerp ook rekening houdt met mogelijkheden, ook al staat de wet bepaalde categoriŽn wellicht niet toe. Los daarvan, ik weet niet of deze database volledig moest voldoen aan de (Zuid-Afrikaanse) wet.
Zo veel data verzamelen en het dan in een totaal chaotische verzameling van databases stoppen, dat doet alleen de Nederlandse overheid :+
Ik vraag me af of die collumns zoals EMPLOYER_[2|3] of EMAIL_[2|3] ook echt nog gebruikt worden of dat ze om legacy / "genoeg belangrijker technical debt" redenen nog bestaan.

[Reactie gewijzigd door RoestVrijStaal op 18 oktober 2017 11:43]

Data met privacy gevoelige gegevens is steeds meer een "toxic" asset.

Moeten de verzamelaars wel aangesproken worden natuurlijk.
Ik ben benieuwd wat hier allemaal in staat, heb zelf stage gelopen in Zuid Afrika in 2006. Zou dit breach nummer 15 op haveibeenpwned worden voor mij?
Toevallig heeft John Oliver hier in Amerika deze week aandacht aan besteedt bij zijn late night show. Hier is ook mooi te zien hoe laks zo een bedrijf met enorm gevoelige data opereert.
https://www.youtube.com/watch?v=mPjgRKW_Jmk

Ik geef liever mijn BSN aan Microsoft dan aan welke overheid of aan de overheid gelieerde instantie, de chaos en laksheid bij zulke bedrijven...
Inderdaad. Ik was geschokt hoe makkelijk en met hoe weinig gegevens je in de US een lening kan aanvragen of een huis kan kopen. Een complete identiteit met verblijfsvergunning kan je schijnbaar kant en klaar kopen als je weet waar je moet zijn.

Gelukkig kan je in de US, tegen betaling uiteraard, je krediet laten bevriezen. Kan je alleen zelf ook niks meer lenen.

Ik hoop dat het in ZA iets anders is geregeld, anders hebben weer 30 miljoen burgers de rest van hun leven ellende van fraudeurs en criminelen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*