Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update

Ruim 117.000 cv's zijn onrechtmatig gedownload van het netwerk van het UWV. Dat gebeurde via een gehackt account van een werkgever, meldt het UWV op zijn website. De instantie heeft inmiddels aangifte gedaan en slachtoffers gewaarschuwd.

De cv's werden gedownload via een werkgeversaccount vanaf werk.nl, de portal voor werkzoekenden van het UWV. Volgens de instantie wisten aanvallers toegang te krijgen tot het account van een werkgever die op het platform actief is. Werkgevers kunnen op het platform een account aanmaken om zo cv's van werkzoekenden in te zien. Eén van dergelijke accounts is gehackt, zegt het UWV, waardoor de aanvallers toegang kregen tot cv's. Daarvan zijn er 117.000 gedownload. Of er ook andere gegevens zijn gestolen is niet bekend. Het account is direct geblokkeerd.

De slachtoffers hebben bericht gekregen van het UWV. In een e-mail schrijft de instantie dat de slachtoffers de komende tijd goed moeten opletten op spam- en phishingmails. "Staan er contactgegevens in uw cv? Wees de komende tijd dan extra alert en voorkom dat u slachtoffer wordt van internetcriminaliteit", staat in een brief die een lezer van Tweakers toegestuurd kreeg. Het UWV zegt ook aangifte te hebben gedaan bij de politie, en melding te hebben gemaakt bij zowel het Nationaal Cyber Security Centrum als de Autoriteit Persoonsgegevens. Dat laatste is verplicht wanneer er een datalek plaatsvindt.

Het UWV betreurt het lek. "Misbruik van een werkgeversaccount is schadelijk voor het vertrouwen in een platform als werk.nl. Dat betreuren wij en daarom nemen we deze zaak hoog op", schrijft de Raad van Bestuur in een reactie.

Update 18.36: In een brief van de Minister van Sociale Zaken aan de Tweede Kamer staat dat de criminelen van 16 tot 30 april in het netwerk zaten. Op die datum is ook het account geblokkeerd. De aangifte werd volgens het UWV op 1 mei gedaan.

Door Tijs Hofmans

Redacteur

03-05-2019 • 18:06

239 Linkedin Google+

Submitter: HoeZoWie

Reacties (239)

Wijzig sortering
Tussen 16 april en 30 april zijn er 117.000 CV's gedownload op werk.nl via een enkele account. Pas na 14 dagen had het UWV dit door en blokkeerde de account. De eigenaar van de account in kwestie (werkgever) heeft al die tijd niets opgemerkt. Bron.

Hier blijkt ook dat een werk.nl account enkel een e-mailadres en wachtwoord vereist. Aangezien grootste deel van Nederland niet met unieke wachtwoorden werkt is het voor een 'hacker' niet moeilijk om tientallen accounts te achterhalen en hier CV's mee te downloaden. Ook vandaag niet.

UWV heeft zijn zaakjes ook lekker op orde. Zowel zij als de geautoriseerde gebruiker van de account worden op geen enkele manier hiervan automatisch op de hoogte gesteld/dan wel in gelimiteerd. Enorm knullig weer. De Data Privacy Impact Assessment achter werk.nl is waarschijnlijk van een ondermaats niveau geweest en de AP doet er goed aan deze zo spoedig mogelijk te gaan bestuderen.

Edit: Op 14 november 2017 concludeerde de AP al publiekelijk (Tweakers.net nieuwsbericht) dat het UWV met Werk.nl haar zaakjes niet op orde heeft (en zelfs in overtreding met de wet is), omdat er geen 2FA afgedwongen wordt. Op 30 oktober 2018 concludeerde het AP dat het UWV nog geen enkele actie ondernemen heeft, en heeft daarom het UWV met een last onder dwangsom een jaar extra (tot 31 oktober 2019) de tijd gegeven.

Oftewel, gewoon een verwijtbare fout. Hier een mooi en toepasselijk artikel over '13 jaar IT-ellende rondom Werk.nl". Voor die investering van €100 miljoen in de website had de Nederlandse burger meer verdiend op het gebied van veiligheid.

[Reactie gewijzigd door Malarky op 3 mei 2019 18:54]

Vanaf 15 mei is 2-Factor verplicht op de UWV sites - althans voor gebruikers. Dat geven ze al een aantal weken aan.

Ik ben ook slachtoffer. Kreeg vanmiddag een mail van het UWV met als tekst
"UWV vindt het belangrijk dat uw gegevens in goede handen zijn. Onlangs zijn er via werk.nl meerdere CV’s gedownload, zo ook uw CV. De CV’s zijn gedownload op een manier die afwijkt van andere werkgeversaccounts. Het gaat in deze situatie om een ongebruikelijk hoog aantal CV’s die op geautomatiseerde wijze zijn gedownload. Het kan daarom voorkomen dat uw gegevens bijvoorbeeld gebruikt worden voor spam en/of phishingmails. Staan er contactgegevens in uw CV? Wees de komende tijd dan extra alert en voorkom dat u slachtoffer wordt van internetcriminaliteit."

Mijn eerste reactie: "meerdere CVs gedownload" - tja, dat kan gebeuren. "ongebruikelijk hoog aantal", O, dat is iets meer als meerdere, maar dan zullen het er wel 50 of 100 geweest zijn.

Nu lees ik in de nieuwsberichten dat het om 117.000 gaat: ruim 8000 per dag op 1 account over een periode van 2 weken. Sorry, maar dan sla je als UWV in je berichtgeving naar degene van wie je de gegevens hebt opgeeist (want zo is het eigenlijk: zonder CV geen uitkering en het UWV eist persoonsgegevens in je CV) de plank echt volledig mis.

[Aanvulling 20:50u]

Ik zit de mail nog eens door te lezen. Eigenlijk word ik er alleen nog maar bozer van.

Allereerst is het onderwerp van de mail "Wees alert op spam en phishingmail". Dat is zo'n algemeen onderwerp dat het net lijkt alsof het UWV even meedenkt en je op wil gaan voeden. Bijna had ik de mail weggeklikt onder het mom "alert ben ik toch al".

Dan het kleinmakende stuk wat ik hierboven al gezet heb, maar verder geen excuses of dat het vervelend is of wat dan ook.

Ik krijg heel sterk het idee dat ze bij het UWV totaal niet in de gaten hebben wat de impact is. Dat terwijl juist zij heel goed zouden moeten beseffen dat dit een serieus probleem is voor een groot deel van de betrokkenen. Mensen die heel zuinig met hun telefoonnummer en mailadres omgaan maar het van het UWV in het CV hebben moeten vermelden bijvoorbeeld.

Verder: hoe vaak wordt er niet als bevestiging van identiteit aan bijv. de telefoon postcode/huisnummer of geboortedatum gevraagd? Ben ook al controlevragen voor wachtwoordresets tegengekomen in de trant van "wat was je eerste baan?".

[Reactie gewijzigd door Calypso op 3 mei 2019 21:06]

Ik heb nooit met het UWV te maken gehad. Maar staan hier ook kopien van paspoorten in? Zo ja dan hoop ik zonden bepaalde gegevens. Anders verwacht ik ook een hoop identiteitsfraude.
Eigenlijk zou iets wat in je CV staat niet tot identiteitsfraude mogen kunnen leiden. Phishing daarentegen is iets wat wel mogelijk is. Ik zie deze lijst vooral doorverkocht worden aan mensen die geld uit data halen zoals duistere advertentie bedrijfjes, spammers, phishers etc. Als er identiteitsfraude met deze gegevens mogelijk is bij bepaalde instanties zijn de instanties hier in fout.
Eigenlijk zou iets wat in je CV staat niet tot identiteitsfraude mogen kunnen leiden.
Helaas zijn mensen zich er niet altijd van bewust dat je absoluut niet je BSN in je CV moet zetten. Ik heb een paar jaar geleden nog een preek gehouden tegen iemand om die ervan te overtuigen dat ECHT niet te doen. En dat was een intelligent iemand met geen idee over internet veiligheid.
Wat kun je volgens jou doen met een BSN-nummer, wat met een random getal met hetzelfde aantal cijfers niet kan? Aangezien je erover hebt gepreekt zul je het weten...
Identiteitsfraude. Vooral een kopie van het paspoort kan tot nare dingen leiden:
https://www.rtlnieuws.nl/...an-identiteitsfraude-heel
Samen met een CV denk ik dat je best wat streken kunt uithalen met zo'n nummer. Je hebt dan een telefoonnummer, email adres, geboortedatum, enz enz.
Als je je wil voordoen als iemand anders heb je een vervalsing van, of een onrechtmatig verkregen identiteitsdocument van diegene nodig. Dat daar het BSN-nummer ook op staat, sja... Maar dat wil nog niet zeggen dat er aan het tonen van dat nummer los van de rest van je identiteit een aanwijsbaar risico zit. Dat zou zo zijn als instanties dat nummer als soort van sleutel gaan beschouwen die iemand bepaalde privileges verschaft zonder volledige identificatie. Ze doen soms domme dingen, maar dat denk ik nog niet, zelfs niet in combinatie met naam, adres, geboortedatum of rekeningnummer.
Nee daar heb je gelijk in, als alleen het BSN nummer op straat ligt is er (nog) geen groot probleem. Zo hebben ZZPers nu van de belastingdienst een BTW nummer gekregen waarin het BSN verwerkt zit. Dat is men nu wel aan het veranderen.
. Ze doen soms domme dingen, maar dat denk ik nog niet, zelfs niet in combinatie met naam, adres, geboortedatum of rekeningnummer.
Helaas is dat wat ze nu wel doen. Het is het gemak dat als de administratie maar kloppend en je het probleem bij een ander kan leggen de ambtenaar verwerker geen probleem heeft en ook geen druk heeft om het op te lossen. Daar bij de verwerker zie de eis van goede controle, dar faalt BZK/RIVG jammerlijk.
"random getal"?

Het is een uniek persoonsnummer wat persoonsgebonden is en wanneer men aandringt op een nieuwe krijgt die zelfs allemaal verweer dat dat niet zomaar kan; misschien dan toch niet zo random als je even voor het gemakt aanneemt...

Véél bedrijven willen het als dubbelcontrole gebruiken vanuitgaande dat alleen degene van wie het BSN het is het hoort te weten; echter is dat laatste tegenwoordig niet zondermeer waar, al helemaal met dit soort situaties meegerekend.
Het unieke zit er in dat het bedacht is om persoonsverwisselingen te voorkomen.
In database terminologie, het is de primary key om de juiste gegevens te kunnen vinden.

Nu zijn er kennelijk wat ambtenaren geweest die het lastig vonden om een veilig user-password systeem te verzinnen. Mwah de primary key is uniek, laten wie die als bewijs gebruiken ipv van een apart wachtwoord systeem. Een ontwerper in de ICT zou uitgelachen worden.

Nu is het de ambtenaar die en die oplossing en die verwerking zo doet. Vervolgens reageert niemand dat die oplossing fout is maar dat het aan de gebruiker ligt. Begin nu eens met de vraag:
- Wat kan je met een willekeurige 9 cijferig nummer?
Voorwaarde gedegen controle op juiste persoon-identiteit.
Je omzeilt mijn vraag...
Er staat zat in een gemiddelde CV om bijvoorbeeld even te bellen met instanties die vragen naar je adres postcode en huisnummer of geboortedatum bijvoorbeeld. Veel banken vragen bij een telefonisch gesprek naar je geboortedatum ter verificatie.
Geboortedatum mag niet in een cv staan.
Vermijden van leeftijdsdiscriminatie
Ik blijf het maar roepen. EEN GEBOORTEDATUM IS GEEN UNIEK IDENTIFICATIEMIDDEL!!!
Het is publieke kennis, waardoor ik mij met wat basiskennis van iemand zo allerlei zaken kan regelen.
Sterker nog, dat heb ik wel eens gedaan voor een bekende van mij.
Unieke toegekende nummers die niet iedereen weet, zoals klantnummers of patiëntennummers, zijn veel betere methodes om mensen uniek! te verifiëren. Misschien ook niet feilloos, maar in ieder geval beter dan iets algemeens bekends als een geboortedatum.
BSN komt wel bij het arbeidscontract tekenen. Dan is dat vroeg genoeg.
Nee, UWV maakt geen kopieën van paspoorten, ook niet voor hun eigen systeem.
UWV maakt wel degelijk kopieën van paspoorten. Steeds als je uitgenodigd wordt op kantoor doen ze dat omdat je je aan de balie moet melden en je daar 'moet legitimeren'. Alsof tonen niet voldoende zou zijn... Hoop dat die niet aan dit systeem gekoppeld zijn...
En dan zie je daadwerkelijk dat er elke keer een kopie van je legitimatiebewijs wordt gemaakt?
Apart, ik weet toch zeker dat ik in mijn dagelijkse werk bij het UWV geen kopieën van legitimatiebewijzen maak, want dat is namelijk niet toegestaan.
Heb ik ook al een paar keer meegemaakt. kreeg een verwaande kop terug toen ik er wat over zei.
Niet op werk.nl - daar staan in principe de CVs. En wat jij in je CV zet is dus beschikbaar geweest voor de creatieve gast.
Tsjah, ik gelukkig ook niet. De partner wel. En ik kan je verzekeren; over de hele linie is dat het niveau niet al te hoog.
Als ze zonder blikken of blozen met een 'baan' aankomen voor 4 uur in de week (nadat je bijna fulltime tijdelijk contract, na een periode van 3 jaar, een hoop beloftes en verlengingen toch opeens geen vast contract krijgt) , ook vervolgens niet snappen dat dit niet echt een alternatief is voor een volle werkweek. En dat niet 1 met maar meerdere keren. Dat overheid en ict en ongelukkige combi is, is ook geen goed bewaard geheim dus verbaast het mij ook niet echt dat dit niet beter op de rit is. Volgens mij is in het verleden ook meermaals berichtgeving geweest over de beschikbaarheid van werk.nl. Of met eigenlijk, het hoge onbeschikbaarheids gehalte van de site.
Is het UWV wettelijk niet verplicht zorgvuldig met je gegevens om te gaan? Zelfs al zou het niet (zo goed als) verplicht zijn ze te verstrekken.
Volgens mij is het UWV hierin zeer nalatig geweest. Daarom zou er door de benadeelden, naar mijn mening ook aangifte tegen het UWV gedaan moeten worden. Want het UWV is niet enkel slachtoffer, maar ook schuldig.

Maar .. wáár kan je in dit geval aangifte doen? Dit lijkt me niet iets waarvoor je naar de politie gaat..
Als iemand hier het antwoord (of website) op weet, dan hoor ik het graag!
Niet alleen moeten ze er verplicht zorgvuldig mee omgaan: ze zijn ook al enkele malen op de vingers getikt.

Waar "we" terecht moeten? Geen idee. "Gelukkig" zijn het nu 117.000 mensen waarvan er hopelijk een aantal zijn die dit blijven aankaarten (ik ben er in elk geval 1 van). En ik hoop dat een aantal politici dat ook gaan doen.

En de politiek zich maar zorgen maken over Facebook en Google terwijl hun eigen organisaties een beveiliging hebben van papier.

[Reactie gewijzigd door Calypso op 3 mei 2019 20:32]

Papier is beduidend beter beveiligd. Het valt namelijk wel direct op als er iemand met 117000 papieren CV's naar buiten probeert te rijden, denk je niet ? Stel een gemiddeld CV is 6 pagina's, dan is dat bij dubbelzijdige bedrukking dus 117.000 * 3 / 2500 = 141 dozen papier, en daar elke doos ongeveer 12 kilo weegt heb je het dus over 1692 kilogram aan papier. Ik mag toch hopen dat je op je schouder wordt getikt nog voordat je klaar bent met het inladen van je vrachtwagen.
Stel een gemiddeld CV is 6 pagina's
Holy f*ck 6 pagina's? Ik weet uit de mond van de recruiters op m'n werk zelf dat er zelden wat doorkomt als het niet op 1 dubbelzijdige afdruk kan....
Zelf zou ik in zo'n geval als interviewer ook al iets hebben van "Gast/Meid, serieuuuus?!" in de zin van dat het interview waarschijnlijk minder lang gaat duren dan de tijd die ik zou nodig hebben om de CV helemaal door te lezen.

Wat staat er dan meer in een CV dan een profiel, contactgegevens, (relevante) jobhistorie en (relevante) opleiding?

[Reactie gewijzigd door Tokkes op 4 mei 2019 12:41]

Lol, mijn ingekorte CV is al 6 kantjes A4 :D
verder inkorten is mijn advies.
dat betekent schrappen en minder over jezelf vertellen.

Ook bij mijn werkgever worden cv’s langer dan 2 pagna’s vooral als ijdeltuiterij beschouwd.
Ik zelf werk al 16 jaar op uitzendbasis dus dan zeg je dat ik meer dan de helft van mijn vorige werkgevers moet weg laten op mijn CV? :/
Waarschijnlijk wel, wat je 15 jaar geleden deed zal niet meer zo interessant zijn. Je het CV ook tweaken op de vacature, zet erop wat relevant is voor de vacature.
Heb zelf in de detachering gewerkt en heb ook veel verschillende bedrijven gewerkt. Je moet een paar recente opdrachten die relevant zijn opschrijven en de rest meld je : heb via uitzendbureau bij bedrijf a, bedrijf b, enz.. gewerkt. Zo ongeveer heb ik het gedaan. Kan ik mij herinneren.
Laatste x jaren is relevant, alles ouder heeft vaak geen toegevoegde waarde
Indien recent of relevant voor deze specifieke vacature eruit lichten.
De rest groeperen.
ben zelf recruiter en kan beamen dat alles dat uit meer dan 2 a4 beslaat niet serieus genomen,
en afgewezen wordt.
Is dat nog leeftijdsafhankelijk? Ik kan me voorstellen dat iemand met veel werkervaring een langere CV heeft dan een schoolverlater.
Daarom hebben we ook een 1 pagina variant. Maar blijkbaar klopt het niet helemaal wat je zegt, want 25 jaar detachering en 0 uur leegloop met opdrachtgevers in de rij
Ik zou ook graag weten of ik het UWV aansprakelijk kan stellen voor eventuele schade die hieruit voortvloeit en waar ik dat doen kan. Wellicht rechtsbijstand inschakelen?

[Reactie gewijzigd door Ina_ op 3 mei 2019 22:14]

Civiele rechtspraak voor een schadevergoeding.
Na 10000 gedownloade cvs door één enkel account zou er op zich best een alert mogen afgaan.
Dat moet in de server-logs duidelijk zichtbaar zijn, en ook dat het geen persoon is die de handelingen handmatig verricht. Erg vreemd, je zou bijna gaan conspiracy-denken en het idee krijgen dat het harken van persoonlijke data door de vingers wordt gezien.
Zoiets moet toch bij de eerste grove testfases van een dergelijke server al aanbod komen, waar de security-onderdelen het verkeer analyseren op verdachte activiteit? De vraag "wat kunnen we allemaal zien?" is behoorlijk relevant, daarbij.

[Reactie gewijzigd door blorf op 3 mei 2019 23:01]

Je gaat er van uit dat er server- en applicatielogs zijn, en tevens dat die bekeken worden.
Dat zijn een boel aannames voor een ICT-organisatie waarvan al langer bekend is dat deze rammelt.
Nee, dat doen ze alleen bij de belastingdienst. :+
Dat was ook mijn eerste gedachte.
Belachelijk dat er geen alarmbel afgaat bij zulke aantallen.
Mijn eerste reactie na het lezen van het bericht:
UWV vindt het belangrijk dat uw gegevens in goede handen zijn.
Bullshit. Als ze het zo belangrijk vonden, dan was dit niet op deze schaal voorgekomen.

Het UWV is een overheidsinstelling. Had werk.nl niet een aansluiting kunnen vinden met DigID, in plaats van het wiel opnieuw uit te vinden over een periode van jaren? Niet dat DigID/multi-factor authenticatie alle problemen opgelost zou hebben, maar het is in ieder geval meer dan wat het nu is.

[Reactie gewijzigd door The Zep Man op 3 mei 2019 20:10]

Het UWV gebruikt voor gebruikers (werklozen) in elk geval DigiD, alleen nog niet 2-Factor (pas vanaf 15 mei verplicht)
Wat natuurlijk ook verschrikkelijk is als gebruiker. Ze zouden gewoon browser based 2FA moeten gebruiken. Al een keer ingelogd op de browser? Dan kan je gewoon door
Al een keer ingelogd met je scriptje? dan ga je gewoon door met 117000 CVs downloaden.
Het is PRECIES dit soort geprupts waardoor deze situatie heeft kunnen ontstaan.
Tuurlijk niet, de 2FA zorgt er juist voor dat je script er geheel niet inkomt!

Als je namelijk al een keer kan inloggen met je script, dan kan dat uiteraard een tweede en derde keer op dezelfde manier.
Browser vertrouwen werkt juist prima in de meeste gevallen. Niet voor alle sites geschikt, maar het is daarna nog steeds 2FA, iets wat je weet (wachtwoord) en iets wat je hebt (die computer met die browser).
Je mobiel bankieren app op je telefoon is niet anders. Nadat je die eenmaal gekoppeld hebt aan je rekening, kun je ook enkel met een vijfcijferige pincode inloggen. Dat is nog steeds 2FA: iets wat je weet (pincode) en iets wat je hebt (die telefoon).
Zelfs pinnen in de winkel met je pasje is gewoon zo beveiligd
Maar wat nou als het script jouw browser kan besturen, via bijvoorbeeld een cliënt side attack zoals xss. Dan is wat je hebt ineens ook wat het script heeft.
Daar kan toch geen enkele authenticate tegen beschermen?
Dat is hetzelfde als iemand met een mes op je keel je dwingt te pinnen.
Als je al je inlogcodes doorgeeft aan een malafide persoon, dan is het einde oefening.
Hoewel ik vermoed dat het stelen van de inlogcookie niet voldoende is om een andere browser opeens vertrouwd te maken.
Tuurlijk wel, escallatie na X gebruik in Y periode.
Jawel, maar dat is geen authenticatie meer, dat is detectie van oneigenlijk gebruik.
Niet per se.
Ik zou me kunnen voorstellen dat je voor de eerste 10 je eenmalig authenticeert met methode A, en voor de volgende 100 met stekere methode B, etc.
2FA levert ook gewoon een cookie dat voorlopig alles weer even open maakt.
Dus na 2FA het cookie aan script geven is het een kwestie van plukken.....
(als je al toegang had tot in bron voor de 2nd Factor).

Mobiel bankieren app op telefoon is gewoon 1FA...
Zodra je de telefoon in handen hebt is alleen de PIN code van belang....
En als je al op de telefoon zit (andere APP), is een screen saving programma oid (of een ander tool dat het scherm transparant overneemt) voldoende om alle input op te vangen (en natuurlijk door te geven).
Dat zou ook zomaar de swipe/pin/password voor aanloggen kunnen zijn.
Die kan daarna natuurlijk weer gevoed worden.
(Hier werkt alleen een continue variabel toestenbord tegen).

Dus bank applicaties zijn UITSLUITEND 2FA als je op een PC moet aanloggen, met iets dat uitsluitend via JOUW telefoon gedaan zou kunnen worden. + ww.
Dan heeft een password steel app op de telefoon minder/geen zin.
Mobiel bankieren app op telefoon is gewoon 1FA...
Zodra je de telefoon in handen hebt is alleen de PIN code van belang....
Dit is een leuke.
Je noemt nu alles 1FA, omdat het eigenlijk wel 2FA is maar als je 1 factor hebt, het nog maar 1FA authenticatie is.
Twee factor is iets wat je weet en iets wat je hebt. Je hebt die telefoon en je weet de pincode. Idem met een bankpas.

Zo had ik ook een vijfdeursauto, maar dat was eigenlijk ook maar een eendeurs want toen ik vier deuren eruit had, was er nog maar eentje over.

[Reactie gewijzigd door vrow op 5 mei 2019 20:50]

Nee 2FA zijn 2 ONAFHANKELIJKE factoren.
Dus SMS op telefoon ontvangen en dan invoeren op een ander apparaat is 2FA als een extra code vereist is voor ontsluiting.

Telefoon die zelf de code ontvangt is alleen maar gevoelig voor misbruik door andere applicaties
De telefoon ontvangt de code niet per SMS, die moet je zelf onthouden.
Dus het is equivalent aan een password op de telefoon.
Ik geloof niet dat ik deze discussie van je ga winnen, dus ik geef het op :-)

Oke, nog een keer dan:
iets wat je hebt (=DIE telefoon, niet een willekeurige andere) en iets wat je weet (=een vijfcijferige pincode).
Dat zijn twee factoren, net als een pinpas. Je kan ook niet met andermans pinpas geld van je eigen rekening halen door je eigen pincode in te voeren.
nog een keer het antwoord:...

Je Applicatie + username (kan ook telefoon met vastgelegde username zijn, ipv username kan er ook een token gebruikt worden...) + een wachtwoord (kan ook PIN code zijn) is nog steeds 1FA.
Jij gaat er van uit dat Usernaam ook een afactor is bij 2FA... dat is het niet.

2e FA van moet buiten deze twee aangeleverd worden.
bv. een bank calculator, SMS, TAN code, ...
bij 2FA moet je Twee autorisaties invoeren niet 1.
Ja, ik begrijp wel wat je bedoelt.
Maar je kunt niet een willekeurige andere telefoon pakken en daarop je username invullen en dan inloggen met die vijfcijferige pincode. Er staat inderdaad een token op je telefoon. En om dat token erop te krijgen, moet je echt veel stappen en controles doorlopen. Hoewel het nu wel makkelijker is om een tweede telefoon toe te voegen, dat kan door een QR-code te scannen met een reeds bekend toestel.

Zullen we het dan maar 1,5FA noemen? :-)
kwaadwillende APP op je telefoon kan je code afkijken (kwestie van in de input chain kruipen, screensaveapp, blauwlicht app etc. etc.) en vervolgens ook je bankapp geheel zelfstandig besturen.
Je zou werkelijk iets veranderlijks nodig hebben van buiten je toestel, of wat ik al eerder zei: een dynamisch aanpasbaar toetsenbord... elke keer random anders... Dan heeft het scherm aflezen geen zin. [ Dat zou zo wie zo standaaard moeten zijn voor alle Pin panelen ].
A 1 C 9
6 5 D 4
0 2 F 8
7 3 E B
De keer ena:
A C 8 9
7 5 1 4
0 2 F C
6 3 E B
etc. Dan heeft het patroon proberen te herkennen ook minder zin. En ja wat extra tekens kan ook geen kwaad. Een gewoon toetsenboard moet ook een random layout krijgen.., lastig in het bedienen, het zij zo.
Over veranderende toetsenborden gesproken...
Was eens in Belgie bij een geldautomaat om dus contant geld op te nemen.
Dat apparaat had een volledig toetsenbord, want je kon er ook geld op storten en dergelijke.
MAAR het numerieke deel was wel ingedeeld zoals op een rekenmachine of pinpad, dus met 123 bovenaan.
Een computertoetsenbord heeft 789 bovenaan.
Mijn hersenen schoten direct in toetsenbordstand, waardoor ik dus twee keer mijn pincode invoerde zoals ik dat op een computertoetsenbord zou doen... De derde keer maar even echt naar de knoppen gekeken en zag toen dat de volgorde eigenlijk niet klopt :-)
Als je even goed had gelezen is dit op een werkgevers account gebeurd. Digid is voor burgers niet voor bedrijven.

Werknemers van een bedrijf kunnen en mogen nooit met hun persoonlijke digid inloggen voor de baas.

EHerkenning is hier wel voor bedacht maar dit heeft niet iedere groenteboer om de hoek welke we juist nodig hebben om de 117.000 mensen aan het werk te krijgen
Helemaal eens met Calypso. De email getuigt totaal niet van een ter kennis geving van een hack. Ze doen het voorkomen als een voorlichting: 'Wees alert op spam en phishingmailen', 'UWV vindt het belangrijk dat uw gegevens in goede handen zijn.' En oh ja, er zijn een wat ongewoon aantal CV's gedownload.

Als je wordt gehacked en er zijn persoonlijke gegevens buit gemaakt moet je er niet omheen draaien. Deze toon van de email help niet, ik wordt er ook steeds bozer van. Ik vraag me dan ook af of er ook andere gegevens uit die portal gestolen zijn zoals bewijs van inschrijving waar je BSN met adres gegevens en naam vermeld staan of je inschrijvings gegevens waar ook je emails adres, geb. datum, etc etc staan vermeld.
Incompetent is nog een understatement. Crimineel komt eerder in de richting, dit laakbare gedrag van het UWV. Maar een nog interessantere vraag is wat de AP nu eens gaat doen. Zij zijn in Nederland de autoriteit op het handhaven van de privacy wetgeving, en kunnen daarom ook boetes opleggen, en zelfs vervolging instellen. De hamvraag is of men dat nu ook eens gaat doen?
Want een waakhond die niet blaft, en al helemaal niet bijt, is een bedrijfspoedel. Leg UWV maar eens een flinke boete op, en stel vervolging in van de CIO en CISO. Stel bestuurders maar eens hoofdelijk aansprakelijk, met een fikse boete en gevangenisstraf in het vooruitzicht. Dan bestaat er nog eens een kans dat men zich iets aantrekt van dit wangedrag.
Als dit ook weer afgedaan wordt met een glas, plas, was dan weet de burger in ieder geval dat overheid zijn eigen wetgeving totaal niet serieus neemt, en de privacy van de burger nog minder.
Ik ben benieuwd in hoeverre bedrijven deze functie niet ook misbruikt hebben. Kan me best voorstellen dat er genoeg bedrijven zijn die brood zien in deze data, die ogenschijnlijk ongelimiteerd binnengehaald kan worden. Desnoods haal je "maar" 50 CV's per dag binnen om je collectie aan te vullen zonder op te vallen.
Dat mijn CV eventueel bij een recruiter ligt waar ik minder blij mee ben, of bij een uitzendbureau die mij ineens belt met "we hebben een droombaan voor je" vind ik minder erg. Daarvoor heb je een CV, kan ergens op een stapel komen.

Dat mijn persoonsgegevens (NAW, prive telefoonnummer, prive mailadres, geboortedatum, opleidingen, werkevaring) samen met 117.000 anderen in handen zijn van criminelen die altijd wel de behoefte hebben aan een stapeltje identiteiten om fraude te plegen is van een andere orde. En daar wordt door de brief van het UWV helemaal aan voorbij gegaan: "Pas op, heel vervelend, maar u kunt misschien wat fishing mails krijgen".

[Reactie gewijzigd door Calypso op 3 mei 2019 20:08]

Een wasrschuwing, er is nog iets ergers dan phishing mail, ze hebben 1 ding nog niet, je identiteitsbewijs. Je kan worden gebeld naar aanleiding van je cv voor mogelijke baan. Van het uwv moet je inzet tonen dus hebt erop te reageren. Je komt op gesprek voor een nepvacature wordt aangenomen en maken een kopie van je paspoort. Hebbes!
Gewoon niet je paspoort afgeven.
Laten zien zou als erom gevraagd wordt voldoende moeten zijn.
Gewoon niet afgeven dus. De meeste organisaties/bedrijven mogen je paspoort niet eens kopiëren.
je moet je paspoort tonen als je in dienst gaat, bij elk uitzendbureau en elke andere werkgever. Werkgevers zijn namelijk verplicht de identiteit van de werknemers te controleren. Geen paspoort tonen is geen baan. Alleen waar ik nu bang voor ben is dat de buitgemaakte CV's via deze route worden misbruikt om je paspoortgegevens te ontfutselen voor identiteitsfraude. Ze hebben alles van je, naam telefoon email, adres. Dit zou heel makkelijk gebruikt kunnen worden om je te benaderen voor een nieuwe functie en daarbij hoort dat de identiteit van de sollicitant moet worden gecheckt.
Een identiteitscontrole is voor mij iets anders dan een kopie van je paspoort in een administratie achterhouden.

De identiteitscontrole zelf kan "at face value" gebeuren: ben jij degene op je getoonde paspoort. Als ze zo graag een kopie van het paspoort nodig hebben, dan maak ik die van te voren zelf wel, inclusief een overduidelijk watermerk eroverheen.
Paspoort met watermerk? Perfect. Alles staat erop en zo kan je op een ander zijn naam gratis spullen bestellen. Ja het verhaal is ernstiger dan je denkt. Eerlijk gezegd vind ik dat dit een punt wordt van de politiek worden, want er is hier een groot probleem 117k CV's. 117k mensen met gegevens op straat!!! allemaal werkzoekend, ondertussen risico op ernstige identiteitsfraude...

Ik zou niet weten hoe je dit moet oplossen...
Paspoort met watermerk? Perfect. Alles staat erop en zo kan je op een ander zijn naam gratis spullen bestellen.
Je kunt met de gegevens op de CV "en dus zonder paspoort" al spullen bestellen.

Vul bij "een-willekeurige-webwinkel" als factuuradres de gegevens in van de persoon op het CV, geef als aflever adres een totaal willekeurig adres op en je bent klaar. Hoe denk je dat er al jaren gefraudeerd wordt bij Wehkamp, Bol e.a. grote stores?

Er is totaal geen verificatie en het is gewoon een kwestie van een lijst met webwinkels afgaan die de mogelijkheid bieden om in termijnen te betalen of via Klarrna, Afterpay etc.

Een willekeurig adres heb je ook zo, wat denk je van het adres gebruiken van iemand waar je een kamer huurt (Kamernet), een katvanger of de pakketbezorger opwachten?

Met een kopie van een paspoort kun je in principe net zoveel als zonder dat kopie. Je laat nu overkomen dat je met een kopie van een paspoort een bankrekening met enorme krediet kunt openen maar verder is het nagenoeg het zelfde qua fraude als hierboven omschreven.
Een identiteitscontrole is voor mij iets anders dan een kopie van je paspoort in een administratie achterhouden.
Is irrelevant, de wetgever heeft ander bepaald: https://www.rijksoverheid...an-de-identificatieplicht
De identiteitscontrole zelf kan "at face value" gebeuren: ben jij degene op je getoonde paspoort. Als ze zo graag een kopie van het paspoort nodig hebben, dan maak ik die van te voren zelf wel, inclusief een overduidelijk watermerk eroverheen.
Voor de identificatie van een werknemer is alle informatie nodig die op het paspoort staat en de kopie moet worden gemaakt door de werkgever.
Klopt, en wat ik heel triest vind, is dat die kopie/scan in de meeste gevallen vervolgens gewoon onbeveiligd via e-mail wordt verzonden naar het bedrijf dat de salarisadministratie doet.
Denk dat er een kopie word gemaakt, zodat dat als bewijs kan dienen bij een controle dat de werkgever
zijn plicht is nagekomen.
Helaas is een werkgever verplicht om bij een controle door bv. belasting dienst aan te tonen dat de gegevens kloppen... dat kan een dingetje worden zonder de verplciht gestelde kopie ID bewijs.
Eens per week help ik als vrijwilliger bij de formulieren brigade. Daarbij vrijwel elke keer wel iemand die we moeten moeten helpen bij UWV, Die mensen zijn geen tweakers, komen niet voor niets langs om hulp.

Een deel daarvan heeft geen mobiel, en met die 2FA die nu verplicht wordt, kunnen we die mensen niet meer helpen. DIGID is al een onbegrijpelijk fenomeen voo ze.

En UWV heeft geen kantoren waar ze terecht kunnen.

Men zou rekening moeten houden met al die mensen die aan de onderkant van de samenleving zitten en die niet kunnen voldoen aan de eisen die men denkt te kunnen stellen met voorbijgaan aan de beperkingen die die groep heeft.
De 2FA eis gaat over het werkgeversgedeelte van werk.nl. Dat zijn accounts waarmee blijkbaar tienduizenden CV’s kunnen worden gedownload.

Voor werkzoekenden zie ik geen reden voor 2FA. Zij kunnen immers enkel hun eigen CV inzien.
Verplichting voor werkgevers ben ik het helemaal mee eens. Je zou zelfs nog kunnen denken aan een reset na het downloaden van 10, 25, 50, n CV's.

Gelukkig ben ik geen werkzoekende, maar ik zou 2FA toch graag als optionele instelling voor m'n account willen hebben. Slaapt gewoon net wat rustiger.
Vanaf 15 mei is 2FA (DigiD inlog + SMS) verplicht als werkzoekende bij het UWV.

En of de account/login voor werkgevers dan al aangepast zal zijn... ik betwijfel het.
Dus een werkende telefoon + werkend abonnement is vereist door het UWV...
Sterker nog: het UWV verplicht je in principe om op electronische wijze met ze te communiceren:

UWV biedt veel diensten online aan. Alleen in sommige gevallen ontvangt u nog post van ons. Schrijft u zich in als werkzoekende? Vraagt u bijvoorbeeld WW aan, of krijgt u een WW-uitkering? Dan bent u in al die situaties verplicht om gebruik te maken van onze online dienstverlening. Tenzij u een geldige reden heeft om hiervan af te wijken. Dit staat in de wet SUWI en is vastgelegd in de Beleidsregel verplichte digitale communicatie UWV

In die beleidsregel staan de volgende uitzonderingsregels:

– 1 UWV verleent in de gevallen bedoeld in het tweede lid van artikel 2 toestemming om niet-elektronisch te communiceren. Dat kan zowel uit eigen beweging als op aanvraag van de burger die het betreft. De aanvraag moet gemotiveerd zijn.

– 2 De toestemming kan worden verleend voor een bepaalde periode, met betrekking tot een specifiek soort verkeer, en/of met betrekking tot een specifieke situatie.

– 3 Voor zover de toestemming wordt verleend hoeft de burger zijn berichten niet elektronisch te verzenden, en zal UWV ook geen berichten aan de burger verzenden op elektronische wijze.


Dus dat wordt eerst een zeuren of je niet bij familie/vrienden/kennissen kunt, etc
UWV heeft wel kantoren waar klanten terecht kunnen. En nee, ivm belangenverstrengeling vullen zij geen aanvraagformulieren in voor klanten. Wel wordt uitleg gegeven hoe de klanten hun formulieren in kunnen vullen.
Als mijn CV er tussen gezeten zou hebben zou ik het volgende hebben gedaan gezien de gegevens die je moet uploaden om überhaupt een uitkering aan te mogen vragen.

https://www.politie.nl/themas/identiteitsfraude.html onder het kopje "Wat doe ik als ik slachtoffer ben/denk te worden van identiteitsfraude?".

Daar wordt je netjes doorverwezen naar het aangifteformulier, benieuwd wat ze dan met zoveel aangiftes gaan doen...
Buiten dat, buitengooien die top van het UWV, die hebben totaal geen realiteitszin als ze al niet eens doorhebben dat 25 Polen niet in een eengezinswoning kunnen wonen of dat een bedrijf ruim 8300 cv's per dag niet nodig heeft

[Reactie gewijzigd door riesg op 3 mei 2019 21:33]

Ja, laat ze hun cv's ook maar eens bij werk.nl plaatsen.
Ik vind de titel nogal mild voor het UWV.
"Criminelen downloaden 117.000 cv's".
Wat mij betreft is de enige crimineel hier het UWV, die zeer verwijtbaar heeft gehandeld en onverantwoordelijke risico's met onze privacy heeft genomen.
Daar zit wat in. Als er privédata via Facebook zijn gelekt, dan hebben sommige media ook de neiging om te zeggen dat Facebook is gehackt.
UWV is inderdaad niet gehackt, maar heeft de diefstal mogelijk gemaakt. Hoogstwaarschijnlijk kan/kon iedere werkgever met een account op werk.nl ongelimiteerd cv's downloaden.
Ap heeft al onderzoek gedaan naar tweetraps voor werkgeversportaal

https://www.autoriteitper...pport_db_uwv_17082017.pdf

Implementatie zou eind dit jaar klaar moeten zijn . https://www.uwv.nl/werkge...taal-met-eherkenning.aspx

Indien dit niet wordt gerealiseerd, zal UWV een dwangsom aan de AP moeten betalen

[Reactie gewijzigd door pctje op 3 mei 2019 18:33]

Het lullige is dat zo'n dwangsom uiteindelijk ook gewoon door ons allemaal samen opgehoest wordt.

Sinds Kok een muis tegen het scherm wilde houden is er weinig veranderd, de overheid blijft maar falen op ICT gebied. Onbegrijpelijk dat dit gewoon door kan gaan.
Gelukkig hebben we nu gewoon aanraak schermen en stem invoer (niet meer als ik hier druk/veeg, gebeurt er daar iets), alleen snapt nog niet alle software wat we met onze aanrakingen en geluidjes bedoelen.

[Reactie gewijzigd door djwice op 3 mei 2019 22:29]

Dat dus maar het komt doordat veel goede initiatieven stranden in eindeloze “besluitvorming”, protocollen, regeltjes en wetgeving.

Het is bij overheidsinstanties vaak een groot circus van “ass covering” en weinig doortastendheid.

Zo’n project kan voor de helft van het geld of minder maar de regels zorgen voor belemmeringen.

Deels is dat begrijpelijk maar het streeft zn doel voorbij.

Zoals je zelf al zegt, er is te weinig incentive om dergelijke projecten qua kosten efficiënt te houden want die geldkraan staat toch wel open.

Ik heb het van dichtbij gezien, er worden legio duurbetaalde interim Project Managers naar binnen gehaald voor hoge tarieven, grote contracten afgesloten met IT bedrijven maar overal moet een stempel op komen. Dat werkt vertragend.

Het is niet te vergelijken met de gemiddelde “Agile” organisatie en deels is het begrijpelijk maar er kan toch op zn minst gekeken worden naar het weglaten van “Persoon X die 3 formuliertjes stuk voor stuk naar het kopieerapparaat moet brengen als dat lukt voor de vakantie van 3 weken”.
Kans is groot dat we oktober 2019 een zelfde nieuwsbericht te zien krijgen, met nog een jaar uitstel op basis van 'intenties' en loze beloften.

Onderaan je gelinkte artikel staat namelijk het gerelateerde artikel https://autoriteitpersoon...iliging-werkgeversportaal

"AP-bevindingen toegangsbeveiliging

De AP concludeert dat de beveiliging van het online werkgeversportaal van het UWV onvoldoende is. Het UWV past geen zogenoemde meerfactorauthenticatie toe bij het verlenen van toegang tot dit portaal, terwijl dat vereist is...
Het UWV heeft aangegeven beveiligingsmaatregelen te treffen."

Dus in november 2017 constateert het AP dat werkgeversportaal onvoldoende beveiligd is, een jaar later concluderen ze exact hetzelfde maar omdat het UVW 'de intentie/wil' heeft dit te verbeteren krijgen ze een jaar de tijd om het te regelen.

Okt 2019; AP concludeert dat UVW nog steeds geen 2FA heeft toegepast op de werkgeversportal maar aangezien de UVW zegt wel al een project gestart te hebben om dit te implementeren krijgen ze extra tijd, tot oktober 2021, de beoogde opleverdatum van het project..... 8)7 8)7
Ontzettend blij dat ik een internet variant van mijn CV heb geplaatst (geen contact gegevens buiten email)! :D

Ook het mailtje van het UWV gehad en na dit nieuwsbericht is me tenminste de impact duidelijk. Wat een waardeloze ambtenaren communicatie weer. Jammerlijk zijn ze enkel zelf erg strikt met het toepassen van hun regels (wetten) op anderen i.p.v. de overige wetten goed implementeren. :+

[Reactie gewijzigd door Sugocy op 4 mei 2019 01:21]

Overheid en overheidsinstanties zijn al een tijd nergens meer verantwoordelijk voor, "wij betreuren" is tegenwoordig voldoende.
Verantwoordelijkheid afleggen, nemen of ergens verantwoordelijk voor gehouden worden is er allang niet meer bij anders had het huidige kabinet er allang niet meer gezeten met die frauduleuze VVD, in het verleden bestond het woord en daad nog, toen heette het "een doodzonde".

Ook overheidsinstanties komen tegenwoordig werkelijk overal mee weg, men nuanceert en relativeert gewoon alles kapot en klaar is Kees.
Beetje vingerwijzen en hup ! geen verantwoordelijke aan te wijzen....
2FA zou echt standaard moeten worden in zakelijke context.
Helemaal mee eens ik betreurde het hele proces wat ik mijn moeder heb moeten zien doorlopen bij het UWV en nu krijgt ze dit erbij. Zacht gezegd ze is zeer overstuur

Hun systemen en processen zijn verouderd en helpen niet bij het aan het werk krijgen van mensen.
Ik kan niet begrijpen hoe zo'n instantie die dagelijks enorme hoeveelheden privacy gevoelige informatie verwerkt geen pririoriteit maak van security omtrent gegevens.

Het idiote is nog dat ze was verplicht om dit te uploaden. Ook al zouden mensen weten dat UWV security technisch niet hun zaken op orde hebben zullen ze toch hun gegevens moeten uploaden. Er is gewoon geen alternatief.

2FA zoals @stok zei of zoals @thunder7 zei een limiet op het maximum had dit vrijwel geheel kunnen voorkomen/beperken onbegrijpelijk.

Mijn moeder is gelukkig weer aan het werk, ik ga een ander emailadres voor haar regelen en waarschijnlijk een ander telefoon nummer.
Het *kuchkuch* mooie is ook, dat de bedrijven die op werk.nl vacatures open hebben staan… De vacatures vanuit werk.nl niet serieus nemen. Mocht je in de WW oid zitten en werk zoeken via werk.nl, zoek de vacature zelf op en reageer daar op of contacteer de organisatie. Het vergroot je kansen enorm.

Ze worden overspoeld door de eisen van werk zoeken, dus men stuurt onzin sollicitaties naar bedrijven waar ze toch niet aangenomen worden. Eis voldaan, uitkering behouden.

Mijn UWV CV is express niet mijn eigen CV. En ik ben in dit soort gevallen blij met een dual sim. Bel me maar op die 2de sim, neem toch niet op tenzij ik je verwacht. Mijn overige gegevens zijn toch al door onmacht bij half Nederland bekend, dus tja. Dit is niet de eerste en laatste keer dat dat lekt.
We delen de zelfde ervaring en werkwijze.
Vacature bij werk.nl zieken en dan het bedrijf rechtstreeks benaderen.

Waar ik een beroertje dood aan heb is dat je heel vaak doorgesluisd wordt naar een één of andere uitzendbureau.

Of dat je iets regionaals zoekt en dan van de andere kant van het land de vacatures binnen krijgt.........
Er is veel mis bij het UWV. Het erge is nog dat de mensen die het UWV het hardst nodig hebben, er het minste aan hebben.
Ik zou hier nog even mee wachten en juridisch advies in winnen.

Eerst nagaan of u of uw ouders gegevens daadwerkelijk gelekt zijn.

Ik denk namelijk dat het mogelijk is UWV aansprakelijk te stellen ivm onzorgvuldigheid en nalatigheid.

[Reactie gewijzigd door Jonathan-458 op 3 mei 2019 18:55]

Aansprakelijk stellen werkt alleen als je -als gedupeerde- kan aantonen schade hebt opgelopen, wat bij 99,99% van de gedupeerden waarschijnlijk niet zal lukken. Dan nog, zelfs al heeft het UWV verwijtbaar gehandeld, zij is niet de partij die de gegevens heeft gedownload met -mogelijk- als doel misbruik.
Fijn, zo te oordelen over iemand. Je kent de hele situatie niet; ik ken een aantal mensen die volledig overspannen in de WW terecht gekomen zijn en dus bij het UWV lopen. Als je dan al niet helemaal tureluurs wordt van het regeltjesvolgend gedrag van de medewerkers en vaak het onbegrip over de situatie waar je in zit, ook nog eens op een leeftijd bent dat je de 'digitale revolutie' niet echt meegemaakt hebt maar toch een beetje meedoet en elke dag geconfronteerd wordt met berichten van geplunderde bankrekeningen doordat mensen op een mailtje geklikt hebben... tja, dan kun je best wel overstuur raken van zo'n bericht hoor.

De eerste reactie van mijn moeder toen het bericht kwam dat ze een slimme meter kreeg: "Maar dan gaat m'n stroomverbruik en dus rekening heel erg omhoog".

Dus voordat je de volgende keer zo'n opmerking plaatst: bedenk dat er ook mensen zijn die anders zijn als jij. Bijvoorbeeld mensen die nadenken en een beetje sociaal gevoel hebben.
Volgden ze maar de regels, dan zouden ze na ons uitdrukkelijke verzoek de medische gegevens van de behandelaren van mijn vrouw opvragen en wellicht tot een andere conclusie komen dan volledig arbeidsgeschikt ondanks haar chronische ziekten die het dagelijkse huishoudelijke werk schier onmogelijk maken. 12 juli rechtszaak tegen UWV.
Bereid je maar voor op een lange procedure. Kennis van me is daar al een paar jaar mee bezig, en zelfs de advocaat van het UWV geeft nu al bij de Hoge Raad toe dat er fouten gemaakt zijn. Maar als er eenmaal fouten gemaakt zijn lijkt het UWV wel standaard door te willen zetten om te kijken hoe lang jij het volhoudt.

Sterkte.
I know: hoe meer de cliënt procedeert hoe hoger de kans op winst. Helaas maar waar.
Wat een gevoelloze reactie.
Heb ze gevraagd of dit een optie is voor dit soort accounts, even wachten op het antwoord.
Mocht je iemand te spreken krijgen: voel ze aan de tand over de toon en strekking van het verstuurde mailtje. Ik heb heel sterk de indruk dat ze de impact heel zwaar onderschatten; zie de passages die ik in een aantal andere reacties aangehaald heb. Het begint al met het onderwerp. Mocht je behoefte hebben aan de complete mail in 1 stuk, stuur een bericht dan stuur ik-m wel door.

Er wordt alleen gedaan alsof er een risico op spam/fishing is, terwijl er fundamenteel belangrijke gegevens in je CV staan waarvoor normaal gesproken een hoeveelheid social engineering voor nodig is, en nu op een presenteerblaadje klaarliggen.
Daar dacht ik ook aan, eigenlijk moet je al deze mensen voorzien van nieuwe BSN's en de oude vernietigen. Dit is echt een grote schat aan data om identiteitsfraude te plegen. Zwaar onderschat.
Of mensen een BSN in het CV hebben staan: ongetwijfeld zullen die er bij zijn, ik in elk geval niet.

Maar goed, nieuwe BSN zouden ze eigenlijk ook al moeten voor alle ZZPers i.v.m. het gebruik van BSN voor belastingnummer (en dat zijn er heel veel), en daar is ook nog geen sprake van, dus voor deze groep (percentage van de 117.000) zie ik dat ook niet zomaar gebeuren.
Zou niet snappen waarom dit een optie zou moeten zijn?
Lijkt me gewoon dat als jij als werkgever je hierbij wil aansluiten dat je hier toe zou moeten worden verplicht..
Ligt er ook aan hoe het account gehackt is. Als de hacker de authenticatie heeft kunnen omzeilen, dan gaat 2FA geen zak helpen. Dat helpt alleen tegen het uitlekken van een wahtwoord.
Wat krijgen de mensen die dit met leden ogen moeten aanzien voor compensatie? En wat krijgen de mensen die dit willens en wetens in stand houden voor straf?
Dit soort zaken zijn al jaar en dag een door in het oog en mensen zijn hier gewoon heel hard de dupe van buiten hun eigen schuld.
Ik pleit al jaren voor gevangenisstraffen voor dit soort nalatige criminaliteit vanuit semi-overheidsinstanties, maar tot dusver zijn mensen nogsteeds verplicht om hun gegevens aan dit soort constructies te overhandigen.

[Reactie gewijzigd door Sergelwd op 3 mei 2019 18:54]

Ik pleit al jaren voor gevangenisstraffen voor dit soort nalatige criminaliteit vanuit semi-overheidsinstanties, maar tot dusver zijn mensen nogsteeds verplicht om hun gegevens aan dit soort constructies te overhandigen.
Wat denk je wat er dan gebeurt? Niemand wil er nog werken en wie er wel werkt wil vorstelijk beloond worden omdat ze het risico van gevangenisstraf lopen als ze een fout maken. En het bedrijf komt tot stilstand omdat iedereen het belangrijker vindt om zich tegen alle risico’s in te dekken dan om iets nuttigs uit zijn handen te laten komen.
Maar als er niemand verantwoordelijk is of kan worden gehouden krijg je dit dus..
En ondertussen wel verwachten dat iedereen zijn informatie maar in je lekke systeem wil stoppen.
Imo zorg je eerst voor een veilig systeem met de nodige garanties voordat je uberhaupt privacy-gevoelige informatie kan verwerken... Laat staan wanneer je ze verplicht moet afgeven.

[Reactie gewijzigd door Sergelwd op 3 mei 2019 21:05]

@BLACKfm Jij bent nu nog waarschijnlijk een jongere die gemakkelijk aan werk komt. Ik ben de 50 voorbij wil graag aan het werk, maar helaas oude MBO opleiding gedaan en werkervaring waarvoor tegenwoordig altijd HBO wordt gevraagd. Tevens ook nog recent opleiding Middelbaar veiligheidskundige gedaan.
Helaas is het dus niet zo simpel, als je werk voor mij kan regelen graag, ben beschikbaar. Maar kennelijk schrikt mijn CV werkgevers ook af. Of is het mijn leeftijd. Anders gezegd hou je kort door de bocht opmerkingen liever voor je, ze komen niet erg wijs over. De wereld zit helaas complexer in elkaar.
Oh bedenk ook als je nu als IT' er werkt dat ook jij ouder wordt, en er komt een moment dat werkgevers de ontwikkelingen te snel voor je gaan en dat je ze niet meer kan bijhouden. Ja dat is ook tegen mij gezegd.
Nou jawel hoor. Voor veel mensen is het een verplichting. Geen wettelijke verplichting, maar je wordt verplicht doordat je anders €0 per maand hebt.
Duurde vier jaar tot dat ik een participatiebaan had. Werkgevers voor passend werk hadden gewoon geenzin in minimale begeleiding ookal stonden ze als zo ingeschreven. De andere catogerie is je werkt te langzaam of je gaat je hier vervelen dus dooi geen contract maar bedankt voor de twee maanden dat je er gratis was. :X

[Reactie gewijzigd door Xoindotnler op 4 mei 2019 05:30]

Ik heb het geluk gehad dat ik nooit zonder baan heb gezeten, maar besef dat niet iedereen dat geluk heeft.

Maar ik heb zo veel gezien met mensen die wel kunnen werken, maar na een maand of wat opeens weer op straat staan. En wanneer ik mijn zus hoor, die P&O deed, dat er zo veel zijn die er alles aan doen om ontslagen te worden, dan denk ik, pffff En dan vraag ik waarom, gewoon geen zin om te werken zeggen ze dan, paar maandjes werken en dan weer paar maanden uitkering. En zo zijn er zo veel. En dan snap ik die potentiele werkgevers wel, die beginnen langzamerhand te denken dat ze allemaal zo zijn.

Met als gevolg dat de gemotiveerden er onder moeten lijden.
Denk je niet dat een werkzoekenden... werk zoeken?
Niet iedereen is opgeleid in een branche waar de vacatures voor het oprapen liggen.
Wat daar mee mis is, is dat wij in Nederland een minimum loon hebben. De banen waar Polen voor in aanmerking komen, zijn banen waar werkgevers dat er niet voor over hebben. Die huren dus Polen in via bureaus die de regels omzeilen en dus Polen laten werken voor een bedrag daaronder. De Pool heeft hier niet dezelfde vaste lasten als de gemiddelde Nederlander.
De werkgever blij, de Pool blij. Win-win dus, behalve voor de werkende Nederlander die allicht graag die baan had, en die andere werkende Nederlander die steeds meer en meer mag afdragen aan sociale voorzieningen.
e-herkenning is gewoon gebruikelijk bij overheids zaken voor bedrijven (zelf alleen met RVO te maken)
Ja, maar de meeste managers willen daar niks mee te maken hebben. Ik werkte bij een start-up met miljoeneninvestering als stagiar en regelde daar ook wat IT zaken. Nadat onze cloud systemen gehackt waren en ze duizenden euros hebben moeten betalen aan de criminelen heb ik besloten om 2FA voor alles wat met de cloud verbonden is in te voeren. DWZ dat ze of een sms ontvingen of via google authenticator een code moesten ingeven. Dit duurt hooguit 30 seconden extra als je erg traag bent, en mijn baas was in eerste instantie erg enthousiast over het feit dat we nu een stuk veiliger waren, maar na een paar dagen begon hij zich aan 2FA te storen en moest ik het er weer vanaf halen.

Dit was overigens in een tech start-up.
Dan zet je het voor de baas uit, nadat hij een geprinte e-mail van zijn handtekening voorzien heeft dat ie volledig op de hoogte is van de mogelijke consequenties. En die geprinte mail in een kluis bewaard. (En ingescand en opgeslagen natuurlijk als backup...).

Als hij willens en wetens het risico wil lopen, be my guest.
2FA is gezien de dubbele laag beveiliging altijd verstandig te gebruiken, maar niet 100% veilig en echt niet zaligmakend. Imo ligt de eindverantwoordelijkheid nog altijd aan de eindgebruiker die met 2FA zowel zijn telefoon (indien gebruikt als authenticatie) als het reguliere wachtwoord voldoende moet beveiligen. Een risico van 2FA is juist schijnveiligheid.

Veruit het ergst in deze zaak, is dat een zeer kwetsbare doelgroep mogelijk slachtoffer wordt. Mensen zonder werk, mensen met een laag sociaal-economische achtergrond en mensen met beperkingen die per definitie al moeilijk aan werk komen en sneller vatbaar zijn voor phising/hacking.

[Reactie gewijzigd door Justinn1988 op 4 mei 2019 03:08]

Ik mis alleen in het artikel, niet alleen bij jullie, hoe lang de oneigenlijke toegang is geweest.
Is dat een dag geweest, een week, een maand, half jaar?
Als het een dag of een week is geweest is het natuurlijk bizar dat het UWV het niet gesignaleerd heeft.
Zoals ik het begrijp greep de securityafdeling op het moment dat ze 'een hoge hoeveelheid cv's gedownload zagen worden'. Klinkt alsof ze niet zo lang in het netwerk zaten, maar niet 100% zeker.

Update: update toegevoegd aan artikel, thanks @Malarky en anderen!

[Reactie gewijzigd door Tijs Hofmans op 3 mei 2019 18:39]

14 dagen had de securityafdeling nodig om te reageren op het hoge downloadvolume van CV's. Niet bepaald vlot.
Ik weet niet wat ze onder een "hoge hoeveelheid" laten vallen, maar een goede 100.000 cv's lijkt mij niet onder die noemer te vallen.
Het lijkt mij zeer onaannemelijk dat welke werkgever dan ook honderden dan wel duizenden cv's tegelijkertijd download.
Vind het maar een vreemd verhaal.
Waarom zou dat raar zijn? Werkgevers kijken vaak niet een voor een, maar laten software interessante CV's uitkiezen.
Geen 8000 per dag.
Waarom niet? De software die ze gebruiken zal echt niet op een PC uit de jaren '90 draaien.
Omdat een werkgever al een aardige verzameling heeft en alleen de nieuwe of veranderde cv's binnenhaalt. Incremental dus. Dit was geen incrementele downloadactie, maar een poging tot een full download. Het is dat ze gestopt zijn anders hadden het er veel meer geweest vrees ik.
Een werkgever haalt per definitie nog niet eens CV's at random binnen. Die legt een filter op kenmerken die hij zoekt (lokatie, vakgebied, opleidingsniveau, etc) en krijgt dan een lijst van kandidaten. Daaruit kiezen ze een aantal CVs die ze gaan bekijken.
U heeft 100 cv's gedownload, probeer een betere selectie... over 10 minuten.
U heeft 100 cv's gedownload, probeer een betere selectie... over 10 minuten.
Dan kan je in twee week tijd 216000 cv's downloaden ...
Ja, en na nog eens 100 cv's 1 uur, dan 5, affijn.
Bij Werk.nl, een website van uitkeringsinstantie UWV, zijn tussen 16 en 30 april 117.000 unieke CV’s gedownload. Dit gebeurde via een account van één werkgever die toegang heeft tot het netwerk. Dat schrijft minister van Sociale Zaken Wouter Koolmees (D66) vrijdag aan de Tweede Kamer.

Na de ontdekking van dit grote aantal downloads is op 30 april het account van de werkgever meteen geblokkeerd.
Meteen, 2 weken later dus |:(
https://tpo.nl/2019/05/03...gedownload-in-twee-weken/
8357 cv's per dag. Dat moet toch opvallen??
Bedrijven maken deze fouten niet?

Kan ook best zijn dat instanties zoals Randstad via 1 account daar CV's checken. Dan vallen zulke bulk requests echt niet snel op.
Het UWV beschikt over een SOC. Dit had veel eerder gesignaleerd moeten worden.
Hoe werkt dat dan zo'n SOC in dit geval? (ook ik heb de afk. moeten opzoeken )
Een SOC monitoord als het goed is de vitale stukken van een omgeving. Bijvoorbeeld servers, switches, firewalls. Ook kan een SOC behaviours monitoren. Dus als iemand op een verdachte site komt dan gaat er een alarmbelletje af, of als een process op een pc/laptop in eens veel bestanden benaderd. Dan kan er ook een alarmbel afgaan.
Er had een alarmbel moeten afgaan vanwege het feit dat iemand vanuit een extern bedrijf per dag ruim 8000 cv's downloaden.Dat zou onder een zogenaamde anomalie moeten vallen, dus iets wat niet of nauwelijks gebeurd en dat het daarom vreemd is en onderzocht moet worden.
Kende ik niet, dank voor de uitleg (had onderts al wel gegoogled uiteraard ) _/-\o_
https://kirkpatrickprice.com/blog/purpose-soc-cybersecurity/
Misschien omzeild met slow download. (1 view per 11 seconden)
Soms mogen afkortingen uitgelegd worden, ik kan aan niets anders denken dan system on a chip in de context van tweakers :P Security Operation Center nvm

[Reactie gewijzigd door batjes op 3 mei 2019 18:46]

Dat staat er niet.
Er staat meteen geblokkeerd na de ontdekking. Die was op 30 april.
Dus ja, meteen geblokkeerd ;)
Ik mis uberhaupt de noodzaak om via een werkgeversaccount alle CV's zomaar in te kunnen zien 8)7
Uiteindelijk was dit onvermijdelijk door de slechte opzet van werk.nl natuurlijk.

[Reactie gewijzigd door Sergelwd op 3 mei 2019 18:26]

Krijgen degene die getroffen zijn door dit schandaal ook een vergoeding? Dit soort info lijkt mij extreem gevoelig eigenlijk... De meeste mensen lijken mij te zijn geforceerd om zich daar te laten inschrijven.

Eigenlijk is dit echt een extreem groot schandaal... Al je privé info ligt op straat.

[Reactie gewijzigd door rejer op 3 mei 2019 19:26]

Welke schade hebben ze dan?
Naam, adres, telefoon, werkverleden, geboorte datum,
Dit is goud waard voor criminelen. Dit kan zo makkelijk tegen mensen gebruikt worden voor fraude.
Je belt iemands dokter op vertelt je naam, nou bij mijn dokter zeggen ze dan, wat is uw geboorte datum? klopt dit krijg je gewoon info over lopende behandelingen.
Je geboorte datum en adres is vaak via telefonie een controle om dingen te kunnen wijzigen bij bepaalde bedrijven.

Ik kan nog wel eeuwen doorgaan.

Ik heb nog liever dat ze materiaal jatten(auto, telefoon, geld, etc) dan je persoonlijke gegevens.

[Reactie gewijzigd door rejer op 3 mei 2019 21:23]

Dat begrijp ik wel, maar tot nu toe hebben ze juridisch gezien nog geen schade, dus kan er ook geen sprake zijn van schadevergoeding, IMO. Bij een mogelijke brand krijg je immers ook nog geen uitkering van de verzekering.
Maar wanneer kom je erachter dat de gegevens misbruikt worden?
bv. om pakjes (bijna poedersuiker) uit Columbia ergens te laten bezorgen de
huur van PObox; bankrekeningen te openen, etc. etc.

Jij wordt pas wakker als er een arrestatie team op de stoep staat, of als je uitgenodigd wordt voor een gesprek op het politie bureau. Als je eenmaal in die molen zit dan ben je nog jaren bezig.
Dus in dit geval is de grootschalige diefstal van identificerende informatie m.i. voldoende om iedereen van een ander BSN te voorzien, dan is de grootste angel eruit. (een Geboorte datum kun je niet makkelijk veranderen, naam aanpassen is ook best een uitdaging).
Het valt me iedere keer weer op hoe gemakkelijk 'men' over zulke privacyschendingen heen stapt. Zelden wordt zoiets echt een schandaal. Advies over maatregelen die de getroffen gebruiker moet nemen, daar blijft het meestal bij.
We maken ons vaak druk over privacy bij Facebook etc., maar overheden (niet alleen UWV) blijven het kwetsbaarst. Daar zit ontzettend veel privé-informatie, bovendien krijg je bij overheden zelden iets zinnigs terug 'in ruil' voor je privégegevens. Inderdaad 'geforceerd' verzameld zoals je zegt. De grootste privacybom ligt m.i. dan ook onder de data van die overheden.
Mijn gedachte in deze zaak is dat er toch alarmbellen moeten afgaan als één specifieke werkgever binnen korte tijd meer dan 100.000 cv's downloadt. Iedere werkgever moet dus altijd al in staat geweest zijn om dit te doen. Het lijkt me toch niet dat ook maar iemand bij het UWV gelooft dat werk.nl de favoriete plek voor werkgevers is om werknemers vandaan te halen. Er heeft dus een (systeem)beheerder behoorlijk zitten slapen.

[Reactie gewijzigd door FreshM op 3 mei 2019 19:42]

Je behoefd enkel maar te lezen wat er bij elke correspondentie onder het bericht staat van het UWV, hoe makkelijk...

"Dit bericht kan vertrouwelijke of persoonlijke informatie bevatten die niet voor u bedoeld is. Is dit bericht per ongeluk aan u verstuurd? Wilt u dit dan doorgeven aan de afzender en het bericht verwijderen?

U mag het bericht niet doorsturen. Aan dit bericht kunt u geen rechten ontlenen. UWV is niet aansprakelijk voor schade en/of kosten die voortkomen uit onvolledige en/of onjuiste informatie in e-mailberichten."

© 2019 UWV.
tja maar ze zijn dan ook niet via e-mail verzonden..
maar gewoon gedownload... dus niet erg relevant.
Dat zie ik toch anders, het geeft een duidelijke indicatie hoe de gedachte gang is aldaar, duidelijke afstand nemen van aansprakelijkheid en gevolgen, wat ik niet relevant vind is hoe dat gebeurd.. gedownload, via e-mail, gehackt of hoe dan ook..
In dat opzicht heb je gelijk.
Alleen vindt je dat overal... van alles eisen maar geen verantwoording nemen.
Kennelijk zit daar geen rem op, van 10 CV's per werkgever per dag ofzo?
Die vraag heb ik uitstaan bij ze, konden ze zo snel geen antwoord op geven.
Tijs, heb je ook gevraagd of een werkgeversaccount Digi-D en/of 2FA gebruikt?

(sorry las reacties hieronder later pas)

[Reactie gewijzigd door ViperXL op 3 mei 2019 18:23]

Reguliere wachtwoord en gebruikersnaam, zowel geen Digi-D als 2FA.
Bedrijf heeft geen DigiD maar eHerkenning op (minimaal) 2+ niveau (als UWV al zo ver is, lees stuk boete onder dwangsom AP verhaal)
Ja allebei gevraagd
Het belangrijkste wat ik mij afvraag is wat met de investering van circa 100 miljoen hebben gedaan als ze geen antwoord weten op basale security maatregelen. Niet alleen heeft een account in één keer toegang gehad tot het hele bestand maar is er ook geen enkele vorm van authenticatie. Als dit al dan niet geimplementeerd is vraag ik mij sterk af wat er verder nog niet klopt.

Ook wordt hier niet gehouden aan GDPR zover ik weet, als gezocht wordt door vacatures is het niet direct nodig om ook persoonsgegevens te leveren zoals naam, geslacht, leeftijd, adres, etc. Het is tegen de wet om gegevens die functioneel niet nodig zijn te verstrekken en op te slaan. Deze zouden pas mogen worden vrijgegeven nadat directe interesse wordt getoond op een bepaalde vacature ( gelinkt met een id ), waarna uit een niet-publieke database de persoonsinformatie kan worden gehaald die matcht met het id. Hier kunnen dan bijv. strengere limieten en verificatie op worden gelegd.

Een dergelijk systeem incl. de infrastructuur kan opgezet worden door enkele ITers. Zet daar ook nog een paar mensen neer die de front-end zaken op orde maakt, iemand die het team in de gaten houdt en iemand die de externe communicatie doet en dan zou dit in een efficiënte omgeving voor geen fractie van het budget mogelijk zijn. In vergelijking waar wij met kleinere teams aan werken ( cluster computing - verwerken van petabytes aan informatie ) is dit een peulenschil. Ik vermoed hier niet alleen mismanagement, maar ook corruptie.

[Reactie gewijzigd door Fox op 3 mei 2019 22:59]

Ja je zou toch een throttle verwachten, want het kan ook een medewerker van zo'n bedrijf zijn.
Als die partijen ongelimiteerd bij de database kunnen gaat dit nog wel vaker gebeuren.
Ja dat lijkt me ook wel voldoende. Als 't een heel groot bedrijf is misschien ietsjes meer, maar 117K gaat natuurlijk helemaal nergens over.
En waarom moeten gelijk àlle data door een willekeurige werkgever ingezien kunnen worden?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Laptops

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True