Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update - Computer - Nieuws

Ruim 117.000 cv's zijn onrechtmatig gedownload van het netwerk van het UWV. Dat gebeurde via een gehackt account van een werkgever, meldt het UWV op zijn website. De instantie heeft inmiddels aangifte gedaan en slachtoffers gewaarschuwd.

De cv's werden gedownload via een werkgeversaccount vanaf werk.nl, de portal voor werkzoekenden van het UWV. Volgens de instantie wisten aanvallers toegang te krijgen tot het account van een werkgever die op het platform actief is. Werkgevers kunnen op het platform een account aanmaken om zo cv's van werkzoekenden in te zien. Eén van dergelijke accounts is gehackt, zegt het UWV, waardoor de aanvallers toegang kregen tot cv's. Daarvan zijn er 117.000 gedownload. Of er ook andere gegevens zijn gestolen is niet bekend. Het account is direct geblokkeerd.

De slachtoffers hebben bericht gekregen van het UWV. In een e-mail schrijft de instantie dat de slachtoffers de komende tijd goed moeten opletten op spam- en phishingmails. "Staan er contactgegevens in uw cv? Wees de komende tijd dan extra alert en voorkom dat u slachtoffer wordt van internetcriminaliteit", staat in een brief die een lezer van Tweakers toegestuurd kreeg. Het UWV zegt ook aangifte te hebben gedaan bij de politie, en melding te hebben gemaakt bij zowel het Nationaal Cyber Security Centrum als de Autoriteit Persoonsgegevens. Dat laatste is verplicht wanneer er een datalek plaatsvindt.

Het UWV betreurt het lek. "Misbruik van een werkgeversaccount is schadelijk voor het vertrouwen in een platform als werk.nl. Dat betreuren wij en daarom nemen we deze zaak hoog op", schrijft de Raad van Bestuur in een reactie.

Update 18.36: In een brief van de Minister van Sociale Zaken aan de Tweede Kamer staat dat de criminelen van 16 tot 30 april in het netwerk zaten. Op die datum is ook het account geblokkeerd. De aangifte werd volgens het UWV op 1 mei gedaan.

Reacties (239)

Malarky 3 mei 2019 18:25

Tussen 16 april en 30 april zijn er 117.000 CV's gedownload op werk.nl via een enkele account. Pas na 14 dagen had het UWV dit door en blokkeerde de account. De eigenaar van de account in kwestie (werkgever) heeft al die tijd niets opgemerkt. Bron.

Hier blijkt ook dat een werk.nl account enkel een e-mailadres en wachtwoord vereist. Aangezien grootste deel van Nederland niet met unieke wachtwoorden werkt is het voor een 'hacker' niet moeilijk om tientallen accounts te achterhalen en hier CV's mee te downloaden. Ook vandaag niet.

UWV heeft zijn zaakjes ook lekker op orde. Zowel zij als de geautoriseerde gebruiker van de account worden op geen enkele manier hiervan automatisch op de hoogte gesteld/dan wel in gelimiteerd. Enorm knullig weer. De Data Privacy Impact Assessment achter werk.nl is waarschijnlijk van een ondermaats niveau geweest en de AP doet er goed aan deze zo spoedig mogelijk te gaan bestuderen.

Edit: Op 14 november 2017 concludeerde de AP al publiekelijk (Tweakers.net nieuwsbericht) dat het UWV met Werk.nl haar zaakjes niet op orde heeft (en zelfs in overtreding met de wet is), omdat er geen 2FA afgedwongen wordt. Op 30 oktober 2018 concludeerde het AP dat het UWV nog geen enkele actie ondernemen heeft, en heeft daarom het UWV met een last onder dwangsom een jaar extra (tot 31 oktober 2019) de tijd gegeven.

Oftewel, gewoon een verwijtbare fout. Hier een mooi en toepasselijk artikel over '13 jaar IT-ellende rondom Werk.nl". Voor die investering van €100 miljoen in de website had de Nederlandse burger meer verdiend op het gebied van veiligheid.

[Reactie gewijzigd door Malarky op 23 juli 2024 00:04]

Calypso @Malarky • 3 mei 2019 19:39

Vanaf 15 mei is 2-Factor verplicht op de UWV sites - althans voor gebruikers. Dat geven ze al een aantal weken aan.

Ik ben ook slachtoffer. Kreeg vanmiddag een mail van het UWV met als tekst
"UWV vindt het belangrijk dat uw gegevens in goede handen zijn. Onlangs zijn er via werk.nl meerdere CV’s gedownload, zo ook uw CV. De CV’s zijn gedownload op een manier die afwijkt van andere werkgeversaccounts. Het gaat in deze situatie om een ongebruikelijk hoog aantal CV’s die op geautomatiseerde wijze zijn gedownload. Het kan daarom voorkomen dat uw gegevens bijvoorbeeld gebruikt worden voor spam en/of phishingmails. Staan er contactgegevens in uw CV? Wees de komende tijd dan extra alert en voorkom dat u slachtoffer wordt van internetcriminaliteit."

Mijn eerste reactie: "meerdere CVs gedownload" - tja, dat kan gebeuren. "ongebruikelijk hoog aantal", O, dat is iets meer als meerdere, maar dan zullen het er wel 50 of 100 geweest zijn.

Nu lees ik in de nieuwsberichten dat het om 117.000 gaat: ruim 8000 per dag op 1 account over een periode van 2 weken. Sorry, maar dan sla je als UWV in je berichtgeving naar degene van wie je de gegevens hebt opgeeist (want zo is het eigenlijk: zonder CV geen uitkering en het UWV eist persoonsgegevens in je CV) de plank echt volledig mis.

[Aanvulling 20:50u]

Ik zit de mail nog eens door te lezen. Eigenlijk word ik er alleen nog maar bozer van.

Allereerst is het onderwerp van de mail "Wees alert op spam en phishingmail". Dat is zo'n algemeen onderwerp dat het net lijkt alsof het UWV even meedenkt en je op wil gaan voeden. Bijna had ik de mail weggeklikt onder het mom "alert ben ik toch al".

Dan het kleinmakende stuk wat ik hierboven al gezet heb, maar verder geen excuses of dat het vervelend is of wat dan ook.

Ik krijg heel sterk het idee dat ze bij het UWV totaal niet in de gaten hebben wat de impact is. Dat terwijl juist zij heel goed zouden moeten beseffen dat dit een serieus probleem is voor een groot deel van de betrokkenen. Mensen die heel zuinig met hun telefoonnummer en mailadres omgaan maar het van het UWV in het CV hebben moeten vermelden bijvoorbeeld.

Verder: hoe vaak wordt er niet als bevestiging van identiteit aan bijv. de telefoon postcode/huisnummer of geboortedatum gevraagd? Ben ook al controlevragen voor wachtwoordresets tegengekomen in de trant van "wat was je eerste baan?".

[Reactie gewijzigd door Calypso op 23 juli 2024 00:04]

rob12424 @Calypso • 3 mei 2019 20:05

Ik heb nooit met het UWV te maken gehad. Maar staan hier ook kopien van paspoorten in? Zo ja dan hoop ik zonden bepaalde gegevens. Anders verwacht ik ook een hoop identiteitsfraude.

kuurtjes @rob12424 • 3 mei 2019 22:01

Eigenlijk zou iets wat in je CV staat niet tot identiteitsfraude mogen kunnen leiden. Phishing daarentegen is iets wat wel mogelijk is. Ik zie deze lijst vooral doorverkocht worden aan mensen die geld uit data halen zoals duistere advertentie bedrijfjes, spammers, phishers etc. Als er identiteitsfraude met deze gegevens mogelijk is bij bepaalde instanties zijn de instanties hier in fout.

DocMac

@kuurtjes • 4 mei 2019 07:08

Eigenlijk zou iets wat in je CV staat niet tot identiteitsfraude mogen kunnen leiden.

Helaas zijn mensen zich er niet altijd van bewust dat je absoluut niet je BSN in je CV moet zetten. Ik heb een paar jaar geleden nog een preek gehouden tegen iemand om die ervan te overtuigen dat ECHT niet te doen. En dat was een intelligent iemand met geen idee over internet veiligheid.

blorf @DocMac • 4 mei 2019 08:11

Wat kun je volgens jou doen met een BSN-nummer, wat met een random getal met hetzelfde aantal cijfers niet kan? Aangezien je erover hebt gepreekt zul je het weten...

iceblink @blorf • 4 mei 2019 17:08

Identiteitsfraude. Vooral een kopie van het paspoort kan tot nare dingen leiden:
https://www.rtlnieuws.nl/...an-identiteitsfraude-heel
Samen met een CV denk ik dat je best wat streken kunt uithalen met zo'n nummer. Je hebt dan een telefoonnummer, email adres, geboortedatum, enz enz.

blorf @iceblink • 4 mei 2019 17:34

Als je je wil voordoen als iemand anders heb je een vervalsing van, of een onrechtmatig verkregen identiteitsdocument van diegene nodig. Dat daar het BSN-nummer ook op staat, sja... Maar dat wil nog niet zeggen dat er aan het tonen van dat nummer los van de rest van je identiteit een aanwijsbaar risico zit. Dat zou zo zijn als instanties dat nummer als soort van sleutel gaan beschouwen die iemand bepaalde privileges verschaft zonder volledige identificatie. Ze doen soms domme dingen, maar dat denk ik nog niet, zelfs niet in combinatie met naam, adres, geboortedatum of rekeningnummer.

iceblink @blorf • 4 mei 2019 17:37

Nee daar heb je gelijk in, als alleen het BSN nummer op straat ligt is er (nog) geen groot probleem. Zo hebben ZZPers nu van de belastingdienst een BTW nummer gekregen waarin het BSN verwerkt zit. Dat is men nu wel aan het veranderen.

karma4 @blorf • 4 mei 2019 17:55

. Ze doen soms domme dingen, maar dat denk ik nog niet, zelfs niet in combinatie met naam, adres, geboortedatum of rekeningnummer.

Helaas is dat wat ze nu wel doen. Het is het gemak dat als de administratie maar kloppend en je het probleem bij een ander kan leggen de ambtenaar verwerker geen probleem heeft en ook geen druk heeft om het op te lossen. Daar bij de verwerker zie de eis van goede controle, dar faalt BZK/RIVG jammerlijk.

Annihlator @blorf • 4 mei 2019 15:17

"random getal"?

Het is een uniek persoonsnummer wat persoonsgebonden is en wanneer men aandringt op een nieuwe krijgt die zelfs allemaal verweer dat dat niet zomaar kan; misschien dan toch niet zo random als je even voor het gemakt aanneemt...

Véél bedrijven willen het als dubbelcontrole gebruiken vanuitgaande dat alleen degene van wie het BSN het is het hoort te weten; echter is dat laatste tegenwoordig niet zondermeer waar, al helemaal met dit soort situaties meegerekend.

karma4 @Annihlator • 4 mei 2019 17:51

Het unieke zit er in dat het bedacht is om persoonsverwisselingen te voorkomen.
In database terminologie, het is de primary key om de juiste gegevens te kunnen vinden.

Nu zijn er kennelijk wat ambtenaren geweest die het lastig vonden om een veilig user-password systeem te verzinnen. Mwah de primary key is uniek, laten wie die als bewijs gebruiken ipv van een apart wachtwoord systeem. Een ontwerper in de ICT zou uitgelachen worden.

Nu is het de ambtenaar die en die oplossing en die verwerking zo doet. Vervolgens reageert niemand dat die oplossing fout is maar dat het aan de gebruiker ligt. Begin nu eens met de vraag:
- Wat kan je met een willekeurige 9 cijferig nummer?
Voorwaarde gedegen controle op juiste persoon-identiteit.

blorf @Annihlator • 4 mei 2019 16:02

Je omzeilt mijn vraag...

Mar2zz @DocMac • 4 mei 2019 09:01

Er staat zat in een gemiddelde CV om bijvoorbeeld even te bellen met instanties die vragen naar je adres postcode en huisnummer of geboortedatum bijvoorbeeld. Veel banken vragen bij een telefonisch gesprek naar je geboortedatum ter verificatie.

SJCE @Mar2zz • 4 mei 2019 10:04

Geboortedatum mag niet in een cv staan.

be3a18 @SJCE • 4 mei 2019 10:46

Bron?

SJCE @be3a18 • 20 mei 2019 23:13

Vermijden van leeftijdsdiscriminatie

William_H @Mar2zz • 4 mei 2019 14:01

Ik blijf het maar roepen. EEN GEBOORTEDATUM IS GEEN UNIEK IDENTIFICATIEMIDDEL!!!
Het is publieke kennis, waardoor ik mij met wat basiskennis van iemand zo allerlei zaken kan regelen.
Sterker nog, dat heb ik wel eens gedaan voor een bekende van mij.
Unieke toegekende nummers die niet iedereen weet, zoals klantnummers of patiëntennummers, zijn veel betere methodes om mensen uniek! te verifiëren. Misschien ook niet feilloos, maar in ieder geval beter dan iets algemeens bekends als een geboortedatum.

hooibergje @DocMac • 4 mei 2019 20:23

BSN komt wel bij het arbeidscontract tekenen. Dan is dat vroeg genoeg.

ruftman @rob12424 • 3 mei 2019 22:42

Nee, UWV maakt geen kopieën van paspoorten, ook niet voor hun eigen systeem.

fredvell @ruftman • 4 mei 2019 02:00

UWV maakt wel degelijk kopieën van paspoorten. Steeds als je uitgenodigd wordt op kantoor doen ze dat omdat je je aan de balie moet melden en je daar 'moet legitimeren'. Alsof tonen niet voldoende zou zijn... Hoop dat die niet aan dit systeem gekoppeld zijn...

ruftman @fredvell • 4 mei 2019 08:57

En dan zie je daadwerkelijk dat er elke keer een kopie van je legitimatiebewijs wordt gemaakt?

fredvell @ruftman • 4 mei 2019 15:38

ruftman @fredvell • 4 mei 2019 15:50

Apart, ik weet toch zeker dat ik in mijn dagelijkse werk bij het UWV geen kopieën van legitimatiebewijzen maak, want dat is namelijk niet toegestaan.

Core2016 @fredvell • 5 mei 2019 19:03

Heb ik ook al een paar keer meegemaakt. kreeg een verwaande kop terug toen ik er wat over zei.

Calypso @rob12424 • 3 mei 2019 20:19

Niet op werk.nl - daar staan in principe de CVs. En wat jij in je CV zet is dus beschikbaar geweest voor de creatieve gast.

xxxneoxxx @rob12424 • 3 mei 2019 22:07

Tsjah, ik gelukkig ook niet. De partner wel. En ik kan je verzekeren; over de hele linie is dat het niveau niet al te hoog.
Als ze zonder blikken of blozen met een 'baan' aankomen voor 4 uur in de week (nadat je bijna fulltime tijdelijk contract, na een periode van 3 jaar, een hoop beloftes en verlengingen toch opeens geen vast contract krijgt) , ook vervolgens niet snappen dat dit niet echt een alternatief is voor een volle werkweek. En dat niet 1 met maar meerdere keren. Dat overheid en ict en ongelukkige combi is, is ook geen goed bewaard geheim dus verbaast het mij ook niet echt dat dit niet beter op de rit is. Volgens mij is in het verleden ook meermaals berichtgeving geweest over de beschikbaarheid van werk.nl. Of met eigenlijk, het hoge onbeschikbaarheids gehalte van de site.

freddy-a @Calypso • 3 mei 2019 20:19

Is het UWV wettelijk niet verplicht zorgvuldig met je gegevens om te gaan? Zelfs al zou het niet (zo goed als) verplicht zijn ze te verstrekken.
Volgens mij is het UWV hierin zeer nalatig geweest. Daarom zou er door de benadeelden, naar mijn mening ook aangifte tegen het UWV gedaan moeten worden. Want het UWV is niet enkel slachtoffer, maar ook schuldig.

Maar .. wáár kan je in dit geval aangifte doen? Dit lijkt me niet iets waarvoor je naar de politie gaat..
Als iemand hier het antwoord (of website) op weet, dan hoor ik het graag!

Calypso @freddy-a • 3 mei 2019 20:32

Niet alleen moeten ze er verplicht zorgvuldig mee omgaan: ze zijn ook al enkele malen op de vingers getikt.

Waar "we" terecht moeten? Geen idee. "Gelukkig" zijn het nu 117.000 mensen waarvan er hopelijk een aantal zijn die dit blijven aankaarten (ik ben er in elk geval 1 van). En ik hoop dat een aantal politici dat ook gaan doen.

En de politiek zich maar zorgen maken over Facebook en Google terwijl hun eigen organisaties een beveiliging hebben van papier.

[Reactie gewijzigd door Calypso op 23 juli 2024 00:04]

trogdor @Calypso • 3 mei 2019 22:51

Papier is beduidend beter beveiligd. Het valt namelijk wel direct op als er iemand met 117000 papieren CV's naar buiten probeert te rijden, denk je niet ? Stel een gemiddeld CV is 6 pagina's, dan is dat bij dubbelzijdige bedrukking dus 117.000 * 3 / 2500 = 141 dozen papier, en daar elke doos ongeveer 12 kilo weegt heb je het dus over 1692 kilogram aan papier. Ik mag toch hopen dat je op je schouder wordt getikt nog voordat je klaar bent met het inladen van je vrachtwagen.

Tokkes @trogdor • 3 mei 2019 23:53

Stel een gemiddeld CV is 6 pagina's

Holy f*ck 6 pagina's? Ik weet uit de mond van de recruiters op m'n werk zelf dat er zelden wat doorkomt als het niet op 1 dubbelzijdige afdruk kan....
Zelf zou ik in zo'n geval als interviewer ook al iets hebben van "Gast/Meid, serieuuuus?!" in de zin van dat het interview waarschijnlijk minder lang gaat duren dan de tijd die ik zou nodig hebben om de CV helemaal door te lezen.

Wat staat er dan meer in een CV dan een profiel, contactgegevens, (relevante) jobhistorie en (relevante) opleiding?

[Reactie gewijzigd door Tokkes op 23 juli 2024 00:04]

Wim-Bart @Tokkes • 4 mei 2019 00:23

Lol, mijn ingekorte CV is al 6 kantjes A4

Sterk1 @Wim-Bart • 4 mei 2019 11:02

verder inkorten is mijn advies.
dat betekent schrappen en minder over jezelf vertellen.

Ook bij mijn werkgever worden cv’s langer dan 2 pagna’s vooral als ijdeltuiterij beschouwd.

thamythic @Sterk1 • 4 mei 2019 11:32

Ik zelf werk al 16 jaar op uitzendbasis dus dan zeg je dat ik meer dan de helft van mijn vorige werkgevers moet weg laten op mijn CV?

R3M1 @thamythic • 4 mei 2019 11:49

Waarschijnlijk wel, wat je 15 jaar geleden deed zal niet meer zo interessant zijn. Je het CV ook tweaken op de vacature, zet erop wat relevant is voor de vacature.

Calamor @thamythic • 4 mei 2019 11:57

Heb zelf in de detachering gewerkt en heb ook veel verschillende bedrijven gewerkt. Je moet een paar recente opdrachten die relevant zijn opschrijven en de rest meld je : heb via uitzendbureau bij bedrijf a, bedrijf b, enz.. gewerkt. Zo ongeveer heb ik het gedaan. Kan ik mij herinneren.

Anoniem: 80910 @thamythic • 4 mei 2019 13:16

Laatste x jaren is relevant, alles ouder heeft vaak geen toegevoegde waarde

Edwin @thamythic • 4 mei 2019 14:11

Indien recent of relevant voor deze specifieke vacature eruit lichten.
De rest groeperen.

sjkellner @Wim-Bart • 4 mei 2019 09:08

ben zelf recruiter en kan beamen dat alles dat uit meer dan 2 a4 beslaat niet serieus genomen,
en afgewezen wordt.

iceblink @sjkellner • 4 mei 2019 17:10

Is dat nog leeftijdsafhankelijk? Ik kan me voorstellen dat iemand met veel werkervaring een langere CV heeft dan een schoolverlater.

Wim-Bart @sjkellner • 4 mei 2019 21:01

Daarom hebben we ook een 1 pagina variant. Maar blijkbaar klopt het niet helemaal wat je zegt, want 25 jaar detachering en 0 uur leegloop met opdrachtgevers in de rij

Anoniem: 1207510 @freddy-a • 3 mei 2019 22:13

Ik zou ook graag weten of ik het UWV aansprakelijk kan stellen voor eventuele schade die hieruit voortvloeit en waar ik dat doen kan. Wellicht rechtsbijstand inschakelen?

[Reactie gewijzigd door Anoniem: 1207510 op 23 juli 2024 00:04]

ajolla @freddy-a • 4 mei 2019 01:56

Civiele rechtspraak voor een schadevergoeding.

Opperpanter2 @Calypso • 3 mei 2019 21:45

Na 10000 gedownloade cvs door één enkel account zou er op zich best een alert mogen afgaan.

blorf @Opperpanter2 • 3 mei 2019 22:54

Dat moet in de server-logs duidelijk zichtbaar zijn, en ook dat het geen persoon is die de handelingen handmatig verricht. Erg vreemd, je zou bijna gaan conspiracy-denken en het idee krijgen dat het harken van persoonlijke data door de vingers wordt gezien.
Zoiets moet toch bij de eerste grove testfases van een dergelijke server al aanbod komen, waar de security-onderdelen het verkeer analyseren op verdachte activiteit? De vraag "wat kunnen we allemaal zien?" is behoorlijk relevant, daarbij.

[Reactie gewijzigd door blorf op 23 juli 2024 00:04]

slibbe @blorf • 4 mei 2019 01:48

Je gaat er van uit dat er server- en applicatielogs zijn, en tevens dat die bekeken worden.
Dat zijn een boel aannames voor een ICT-organisatie waarvan al langer bekend is dat deze rammelt.

blorf @slibbe • 4 mei 2019 11:20

Nee, dat doen ze alleen bij de belastingdienst.

Edwin @Opperpanter2 • 4 mei 2019 14:17

Dat was ook mijn eerste gedachte.
Belachelijk dat er geen alarmbel afgaat bij zulke aantallen.

The Zep Man

Datalek
Security
Networking en security

@Calypso • 3 mei 2019 20:07

Mijn eerste reactie na het lezen van het bericht:

UWV vindt het belangrijk dat uw gegevens in goede handen zijn.

Bullshit. Als ze het zo belangrijk vonden, dan was dit niet op deze schaal voorgekomen.

Het UWV is een overheidsinstelling. Had werk.nl niet een aansluiting kunnen vinden met DigID, in plaats van het wiel opnieuw uit te vinden over een periode van jaren? Niet dat DigID/multi-factor authenticatie alle problemen opgelost zou hebben, maar het is in ieder geval meer dan wat het nu is.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:04]

Calypso @The Zep Man • 3 mei 2019 20:18

Het UWV gebruikt voor gebruikers (werklozen) in elk geval DigiD, alleen nog niet 2-Factor (pas vanaf 15 mei verplicht)

Anoniem: 455473 @Calypso • 3 mei 2019 21:01

Wat natuurlijk ook verschrikkelijk is als gebruiker. Ze zouden gewoon browser based 2FA moeten gebruiken. Al een keer ingelogd op de browser? Dan kan je gewoon door

trogdor @Anoniem: 455473 • 3 mei 2019 22:43

Al een keer ingelogd met je scriptje? dan ga je gewoon door met 117000 CVs downloaden.
Het is PRECIES dit soort geprupts waardoor deze situatie heeft kunnen ontstaan.

vrow @trogdor • 3 mei 2019 23:13

Tuurlijk niet, de 2FA zorgt er juist voor dat je script er geheel niet inkomt!

Als je namelijk al een keer kan inloggen met je script, dan kan dat uiteraard een tweede en derde keer op dezelfde manier.
Browser vertrouwen werkt juist prima in de meeste gevallen. Niet voor alle sites geschikt, maar het is daarna nog steeds 2FA, iets wat je weet (wachtwoord) en iets wat je hebt (die computer met die browser).
Je mobiel bankieren app op je telefoon is niet anders. Nadat je die eenmaal gekoppeld hebt aan je rekening, kun je ook enkel met een vijfcijferige pincode inloggen. Dat is nog steeds 2FA: iets wat je weet (pincode) en iets wat je hebt (die telefoon).
Zelfs pinnen in de winkel met je pasje is gewoon zo beveiligd

_WgV_ @vrow • 4 mei 2019 07:28

Maar wat nou als het script jouw browser kan besturen, via bijvoorbeeld een cliënt side attack zoals xss. Dan is wat je hebt ineens ook wat het script heeft.

vrow @_WgV_ • 5 mei 2019 20:46

Daar kan toch geen enkele authenticate tegen beschermen?
Dat is hetzelfde als iemand met een mes op je keel je dwingt te pinnen.
Als je al je inlogcodes doorgeeft aan een malafide persoon, dan is het einde oefening.
Hoewel ik vermoed dat het stelen van de inlogcookie niet voldoende is om een andere browser opeens vertrouwd te maken.

trogdor @vrow • 6 mei 2019 13:11

Tuurlijk wel, escallatie na X gebruik in Y periode.

vrow @trogdor • 6 mei 2019 14:12

Jawel, maar dat is geen authenticatie meer, dat is detectie van oneigenlijk gebruik.

trogdor @vrow • 6 mei 2019 14:46

Niet per se.
Ik zou me kunnen voorstellen dat je voor de eerste 10 je eenmalig authenticeert met methode A, en voor de volgende 100 met stekere methode B, etc.

tweaknico @vrow • 5 mei 2019 18:46

2FA levert ook gewoon een cookie dat voorlopig alles weer even open maakt.
Dus na 2FA het cookie aan script geven is het een kwestie van plukken.....
(als je al toegang had tot in bron voor de 2nd Factor).

Mobiel bankieren app op telefoon is gewoon 1FA...
Zodra je de telefoon in handen hebt is alleen de PIN code van belang....
En als je al op de telefoon zit (andere APP), is een screen saving programma oid (of een ander tool dat het scherm transparant overneemt) voldoende om alle input op te vangen (en natuurlijk door te geven).
Dat zou ook zomaar de swipe/pin/password voor aanloggen kunnen zijn.
Die kan daarna natuurlijk weer gevoed worden.
(Hier werkt alleen een continue variabel toestenbord tegen).

Dus bank applicaties zijn UITSLUITEND 2FA als je op een PC moet aanloggen, met iets dat uitsluitend via JOUW telefoon gedaan zou kunnen worden. + ww.
Dan heeft een password steel app op de telefoon minder/geen zin.

vrow @tweaknico • 5 mei 2019 20:49

Mobiel bankieren app op telefoon is gewoon 1FA...
Zodra je de telefoon in handen hebt is alleen de PIN code van belang....

Dit is een leuke.
Je noemt nu alles 1FA, omdat het eigenlijk wel 2FA is maar als je 1 factor hebt, het nog maar 1FA authenticatie is.
Twee factor is iets wat je weet en iets wat je hebt. Je hebt die telefoon en je weet de pincode. Idem met een bankpas.

Zo had ik ook een vijfdeursauto, maar dat was eigenlijk ook maar een eendeurs want toen ik vier deuren eruit had, was er nog maar eentje over.

[Reactie gewijzigd door vrow op 23 juli 2024 00:04]

tweaknico @vrow • 5 mei 2019 22:47

Nee 2FA zijn 2 ONAFHANKELIJKE factoren.
Dus SMS op telefoon ontvangen en dan invoeren op een ander apparaat is 2FA als een extra code vereist is voor ontsluiting.

Telefoon die zelf de code ontvangt is alleen maar gevoelig voor misbruik door andere applicaties

vrow @tweaknico • 6 mei 2019 14:11

De telefoon ontvangt de code niet per SMS, die moet je zelf onthouden.

tweaknico @vrow • 6 mei 2019 14:16

Dus het is equivalent aan een password op de telefoon.

vrow @tweaknico • 6 mei 2019 15:40

Ik geloof niet dat ik deze discussie van je ga winnen, dus ik geef het op :-)

Oke, nog een keer dan:
iets wat je hebt (=DIE telefoon, niet een willekeurige andere) en iets wat je weet (=een vijfcijferige pincode).
Dat zijn twee factoren, net als een pinpas. Je kan ook niet met andermans pinpas geld van je eigen rekening halen door je eigen pincode in te voeren.

tweaknico @vrow • 6 mei 2019 15:49

nog een keer het antwoord:...

Je Applicatie + username (kan ook telefoon met vastgelegde username zijn, ipv username kan er ook een token gebruikt worden...) + een wachtwoord (kan ook PIN code zijn) is nog steeds 1FA.
Jij gaat er van uit dat Usernaam ook een afactor is bij 2FA... dat is het niet.

2e FA van moet buiten deze twee aangeleverd worden.
bv. een bank calculator, SMS, TAN code, ...
bij 2FA moet je Twee autorisaties invoeren niet 1.

vrow @tweaknico • 6 mei 2019 15:56

Ja, ik begrijp wel wat je bedoelt.
Maar je kunt niet een willekeurige andere telefoon pakken en daarop je username invullen en dan inloggen met die vijfcijferige pincode. Er staat inderdaad een token op je telefoon. En om dat token erop te krijgen, moet je echt veel stappen en controles doorlopen. Hoewel het nu wel makkelijker is om een tweede telefoon toe te voegen, dat kan door een QR-code te scannen met een reeds bekend toestel.

Zullen we het dan maar 1,5FA noemen? :-)

tweaknico @vrow • 7 mei 2019 22:53

kwaadwillende APP op je telefoon kan je code afkijken (kwestie van in de input chain kruipen, screensaveapp, blauwlicht app etc. etc.) en vervolgens ook je bankapp geheel zelfstandig besturen.
Je zou werkelijk iets veranderlijks nodig hebben van buiten je toestel, of wat ik al eerder zei: een dynamisch aanpasbaar toetsenbord... elke keer random anders... Dan heeft het scherm aflezen geen zin. [ Dat zou zo wie zo standaaard moeten zijn voor alle Pin panelen ].
A 1 C 9
6 5 D 4
0 2 F 8
7 3 E B
De keer ena:
A C 8 9
7 5 1 4
0 2 F C
6 3 E B
etc. Dan heeft het patroon proberen te herkennen ook minder zin. En ja wat extra tekens kan ook geen kwaad. Een gewoon toetsenboard moet ook een random layout krijgen.., lastig in het bedienen, het zij zo.

vrow @tweaknico • 8 mei 2019 00:24

Over veranderende toetsenborden gesproken...
Was eens in Belgie bij een geldautomaat om dus contant geld op te nemen.
Dat apparaat had een volledig toetsenbord, want je kon er ook geld op storten en dergelijke.
MAAR het numerieke deel was wel ingedeeld zoals op een rekenmachine of pinpad, dus met 123 bovenaan.
Een computertoetsenbord heeft 789 bovenaan.
Mijn hersenen schoten direct in toetsenbordstand, waardoor ik dus twee keer mijn pincode invoerde zoals ik dat op een computertoetsenbord zou doen... De derde keer maar even echt naar de knoppen gekeken en zag toen dat de volgorde eigenlijk niet klopt :-)

GrooV @The Zep Man • 3 mei 2019 23:25

Als je even goed had gelezen is dit op een werkgevers account gebeurd. Digid is voor burgers niet voor bedrijven.

Werknemers van een bedrijf kunnen en mogen nooit met hun persoonlijke digid inloggen voor de baas.

EHerkenning is hier wel voor bedacht maar dit heeft niet iedere groenteboer om de hoek welke we juist nodig hebben om de 117.000 mensen aan het werk te krijgen

Anoniem: 1085085 @Calypso • 6 mei 2019 19:21

Helemaal eens met Calypso. De email getuigt totaal niet van een ter kennis geving van een hack. Ze doen het voorkomen als een voorlichting: 'Wees alert op spam en phishingmailen', 'UWV vindt het belangrijk dat uw gegevens in goede handen zijn.' En oh ja, er zijn een wat ongewoon aantal CV's gedownload.

Als je wordt gehacked en er zijn persoonlijke gegevens buit gemaakt moet je er niet omheen draaien. Deze toon van de email help niet, ik wordt er ook steeds bozer van. Ik vraag me dan ook af of er ook andere gegevens uit die portal gestolen zijn zoals bewijs van inschrijving waar je BSN met adres gegevens en naam vermeld staan of je inschrijvings gegevens waar ook je emails adres, geb. datum, etc etc staan vermeld.

bobafett_999999 @Malarky • 4 mei 2019 16:50

Incompetent is nog een understatement. Crimineel komt eerder in de richting, dit laakbare gedrag van het UWV. Maar een nog interessantere vraag is wat de AP nu eens gaat doen. Zij zijn in Nederland de autoriteit op het handhaven van de privacy wetgeving, en kunnen daarom ook boetes opleggen, en zelfs vervolging instellen. De hamvraag is of men dat nu ook eens gaat doen?
Want een waakhond die niet blaft, en al helemaal niet bijt, is een bedrijfspoedel. Leg UWV maar eens een flinke boete op, en stel vervolging in van de CIO en CISO. Stel bestuurders maar eens hoofdelijk aansprakelijk, met een fikse boete en gevangenisstraf in het vooruitzicht. Dan bestaat er nog eens een kans dat men zich iets aantrekt van dit wangedrag.
Als dit ook weer afgedaan wordt met een glas, plas, was dan weet de burger in ieder geval dat overheid zijn eigen wetgeving totaal niet serieus neemt, en de privacy van de burger nog minder.

EeuwigeStudent @Malarky • 3 mei 2019 18:36

Ik ben benieuwd in hoeverre bedrijven deze functie niet ook misbruikt hebben. Kan me best voorstellen dat er genoeg bedrijven zijn die brood zien in deze data, die ogenschijnlijk ongelimiteerd binnengehaald kan worden. Desnoods haal je "maar" 50 CV's per dag binnen om je collectie aan te vullen zonder op te vallen.

Calypso @EeuwigeStudent • 3 mei 2019 20:08

Dat mijn CV eventueel bij een recruiter ligt waar ik minder blij mee ben, of bij een uitzendbureau die mij ineens belt met "we hebben een droombaan voor je" vind ik minder erg. Daarvoor heb je een CV, kan ergens op een stapel komen.

Dat mijn persoonsgegevens (NAW, prive telefoonnummer, prive mailadres, geboortedatum, opleidingen, werkevaring) samen met 117.000 anderen in handen zijn van criminelen die altijd wel de behoefte hebben aan een stapeltje identiteiten om fraude te plegen is van een andere orde. En daar wordt door de brief van het UWV helemaal aan voorbij gegaan: "Pas op, heel vervelend, maar u kunt misschien wat fishing mails krijgen".

[Reactie gewijzigd door Calypso op 23 juli 2024 00:04]

aljooge @Calypso • 3 mei 2019 20:56

Een wasrschuwing, er is nog iets ergers dan phishing mail, ze hebben 1 ding nog niet, je identiteitsbewijs. Je kan worden gebeld naar aanleiding van je cv voor mogelijke baan. Van het uwv moet je inzet tonen dus hebt erop te reageren. Je komt op gesprek voor een nepvacature wordt aangenomen en maken een kopie van je paspoort. Hebbes!

jqv @aljooge • 3 mei 2019 22:02

Gewoon niet je paspoort afgeven.
Laten zien zou als erom gevraagd wordt voldoende moeten zijn.
Gewoon niet afgeven dus. De meeste organisaties/bedrijven mogen je paspoort niet eens kopiëren.

aljooge @jqv • 3 mei 2019 22:21

je moet je paspoort tonen als je in dienst gaat, bij elk uitzendbureau en elke andere werkgever. Werkgevers zijn namelijk verplicht de identiteit van de werknemers te controleren. Geen paspoort tonen is geen baan. Alleen waar ik nu bang voor ben is dat de buitgemaakte CV's via deze route worden misbruikt om je paspoortgegevens te ontfutselen voor identiteitsfraude. Ze hebben alles van je, naam telefoon email, adres. Dit zou heel makkelijk gebruikt kunnen worden om je te benaderen voor een nieuwe functie en daarbij hoort dat de identiteit van de sollicitant moet worden gecheckt.

Klojum @aljooge • 3 mei 2019 23:48

Een identiteitscontrole is voor mij iets anders dan een kopie van je paspoort in een administratie achterhouden.

De identiteitscontrole zelf kan "at face value" gebeuren: ben jij degene op je getoonde paspoort. Als ze zo graag een kopie van het paspoort nodig hebben, dan maak ik die van te voren zelf wel, inclusief een overduidelijk watermerk eroverheen.

aljooge @Klojum • 4 mei 2019 00:02

Paspoort met watermerk? Perfect. Alles staat erop en zo kan je op een ander zijn naam gratis spullen bestellen. Ja het verhaal is ernstiger dan je denkt. Eerlijk gezegd vind ik dat dit een punt wordt van de politiek worden, want er is hier een groot probleem 117k CV's. 117k mensen met gegevens op straat!!! allemaal werkzoekend, ondertussen risico op ernstige identiteitsfraude...

Ik zou niet weten hoe je dit moet oplossen...

DarkForce @aljooge • 6 mei 2019 10:25

Paspoort met watermerk? Perfect. Alles staat erop en zo kan je op een ander zijn naam gratis spullen bestellen.

Je kunt met de gegevens op de CV "en dus zonder paspoort" al spullen bestellen.

Vul bij "een-willekeurige-webwinkel" als factuuradres de gegevens in van de persoon op het CV, geef als aflever adres een totaal willekeurig adres op en je bent klaar. Hoe denk je dat er al jaren gefraudeerd wordt bij Wehkamp, Bol e.a. grote stores?

Er is totaal geen verificatie en het is gewoon een kwestie van een lijst met webwinkels afgaan die de mogelijkheid bieden om in termijnen te betalen of via Klarrna, Afterpay etc.

Een willekeurig adres heb je ook zo, wat denk je van het adres gebruiken van iemand waar je een kamer huurt (Kamernet), een katvanger of de pakketbezorger opwachten?

Met een kopie van een paspoort kun je in principe net zoveel als zonder dat kopie. Je laat nu overkomen dat je met een kopie van een paspoort een bankrekening met enorme krediet kunt openen maar verder is het nagenoeg het zelfde qua fraude als hierboven omschreven.

PolarBear @Klojum • 4 mei 2019 07:56

Een identiteitscontrole is voor mij iets anders dan een kopie van je paspoort in een administratie achterhouden.

Is irrelevant, de wetgever heeft ander bepaald: https://www.rijksoverheid...an-de-identificatieplicht

De identiteitscontrole zelf kan "at face value" gebeuren: ben jij degene op je getoonde paspoort. Als ze zo graag een kopie van het paspoort nodig hebben, dan maak ik die van te voren zelf wel, inclusief een overduidelijk watermerk eroverheen.

Voor de identificatie van een werknemer is alle informatie nodig die op het paspoort staat en de kopie moet worden gemaakt door de werkgever.

gbspeel

@PolarBear • 4 mei 2019 12:16

Klopt, en wat ik heel triest vind, is dat die kopie/scan in de meeste gevallen vervolgens gewoon onbeveiligd via e-mail wordt verzonden naar het bedrijf dat de salarisadministratie doet.

Madrox @Klojum • 4 mei 2019 09:08

Denk dat er een kopie word gemaakt, zodat dat als bewijs kan dienen bij een controle dat de werkgever
zijn plicht is nagekomen.

tweaknico @Klojum • 5 mei 2019 18:51

Helaas is een werkgever verplicht om bij een controle door bv. belasting dienst aan te tonen dat de gegevens kloppen... dat kan een dingetje worden zonder de verplciht gestelde kopie ID bewijs.

Luno @Malarky • 3 mei 2019 21:05

Eens per week help ik als vrijwilliger bij de formulieren brigade. Daarbij vrijwel elke keer wel iemand die we moeten moeten helpen bij UWV, Die mensen zijn geen tweakers, komen niet voor niets langs om hulp.

Een deel daarvan heeft geen mobiel, en met die 2FA die nu verplicht wordt, kunnen we die mensen niet meer helpen. DIGID is al een onbegrijpelijk fenomeen voo ze.

En UWV heeft geen kantoren waar ze terecht kunnen.

Men zou rekening moeten houden met al die mensen die aan de onderkant van de samenleving zitten en die niet kunnen voldoen aan de eisen die men denkt te kunnen stellen met voorbijgaan aan de beperkingen die die groep heeft.

Malarky @Luno • 3 mei 2019 21:41

De 2FA eis gaat over het werkgeversgedeelte van werk.nl. Dat zijn accounts waarmee blijkbaar tienduizenden CV’s kunnen worden gedownload.

Voor werkzoekenden zie ik geen reden voor 2FA. Zij kunnen immers enkel hun eigen CV inzien.

gbspeel

@Malarky • 3 mei 2019 23:01

Verplichting voor werkgevers ben ik het helemaal mee eens. Je zou zelfs nog kunnen denken aan een reset na het downloaden van 10, 25, 50, n CV's.

Gelukkig ben ik geen werkzoekende, maar ik zou 2FA toch graag als optionele instelling voor m'n account willen hebben. Slaapt gewoon net wat rustiger.

Calypso @Malarky • 4 mei 2019 08:46

Vanaf 15 mei is 2FA (DigiD inlog + SMS) verplicht als werkzoekende bij het UWV.

En of de account/login voor werkgevers dan al aangepast zal zijn... ik betwijfel het.

tweaknico @Calypso • 5 mei 2019 18:54

Dus een werkende telefoon + werkend abonnement is vereist door het UWV...

Calypso @tweaknico • 6 mei 2019 10:38

Sterker nog: het UWV verplicht je in principe om op electronische wijze met ze te communiceren:

UWV biedt veel diensten online aan. Alleen in sommige gevallen ontvangt u nog post van ons. Schrijft u zich in als werkzoekende? Vraagt u bijvoorbeeld WW aan, of krijgt u een WW-uitkering? Dan bent u in al die situaties verplicht om gebruik te maken van onze online dienstverlening. Tenzij u een geldige reden heeft om hiervan af te wijken. Dit staat in de wet SUWI en is vastgelegd in de Beleidsregel verplichte digitale communicatie UWV

In die beleidsregel staan de volgende uitzonderingsregels:

– 1 UWV verleent in de gevallen bedoeld in het tweede lid van artikel 2 toestemming om niet-elektronisch te communiceren. Dat kan zowel uit eigen beweging als op aanvraag van de burger die het betreft. De aanvraag moet gemotiveerd zijn.

– 2 De toestemming kan worden verleend voor een bepaalde periode, met betrekking tot een specifiek soort verkeer, en/of met betrekking tot een specifieke situatie.

– 3 Voor zover de toestemming wordt verleend hoeft de burger zijn berichten niet elektronisch te verzenden, en zal UWV ook geen berichten aan de burger verzenden op elektronische wijze.

Dus dat wordt eerst een zeuren of je niet bij familie/vrienden/kennissen kunt, etc

ruftman @Luno • 3 mei 2019 22:46

UWV heeft wel kantoren waar klanten terecht kunnen. En nee, ivm belangenverstrengeling vullen zij geen aanvraagformulieren in voor klanten. Wel wordt uitleg gegeven hoe de klanten hun formulieren in kunnen vullen.

riesg 3 mei 2019 21:31

Als mijn CV er tussen gezeten zou hebben zou ik het volgende hebben gedaan gezien de gegevens die je moet uploaden om überhaupt een uitkering aan te mogen vragen.

https://www.politie.nl/themas/identiteitsfraude.html onder het kopje "Wat doe ik als ik slachtoffer ben/denk te worden van identiteitsfraude?".

Daar wordt je netjes doorverwezen naar het aangifteformulier, benieuwd wat ze dan met zoveel aangiftes gaan doen...
Buiten dat, buitengooien die top van het UWV, die hebben totaal geen realiteitszin als ze al niet eens doorhebben dat 25 Polen niet in een eengezinswoning kunnen wonen of dat een bedrijf ruim 8300 cv's per dag niet nodig heeft

[Reactie gewijzigd door riesg op 23 juli 2024 00:04]

ajolla @riesg • 4 mei 2019 02:05

Ja, laat ze hun cv's ook maar eens bij werk.nl plaatsen.

Zynth 3 mei 2019 22:47

Ik vind de titel nogal mild voor het UWV.
"Criminelen downloaden 117.000 cv's".
Wat mij betreft is de enige crimineel hier het UWV, die zeer verwijtbaar heeft gehandeld en onverantwoordelijke risico's met onze privacy heeft genomen.

FreshM @Zynth • 3 mei 2019 23:10

Daar zit wat in. Als er privédata via Facebook zijn gelekt, dan hebben sommige media ook de neiging om te zeggen dat Facebook is gehackt.
UWV is inderdaad niet gehackt, maar heeft de diefstal mogelijk gemaakt. Hoogstwaarschijnlijk kan/kon iedere werkgever met een account op werk.nl ongelimiteerd cv's downloaden.

pctje 3 mei 2019 18:32

Ap heeft al onderzoek gedaan naar tweetraps voor werkgeversportaal

https://www.autoriteitper...pport_db_uwv_17082017.pdf

Implementatie zou eind dit jaar klaar moeten zijn . https://www.uwv.nl/werkge...taal-met-eherkenning.aspx

Indien dit niet wordt gerealiseerd, zal UWV een dwangsom aan de AP moeten betalen

[Reactie gewijzigd door pctje op 23 juli 2024 00:04]

droner @pctje • 3 mei 2019 19:09

Het lullige is dat zo'n dwangsom uiteindelijk ook gewoon door ons allemaal samen opgehoest wordt.

Sinds Kok een muis tegen het scherm wilde houden is er weinig veranderd, de overheid blijft maar falen op ICT gebied. Onbegrijpelijk dat dit gewoon door kan gaan.

OxWax @droner • 3 mei 2019 19:45

Als Belg heb ik het even moeten opzoeken

https://www.youtube.com/watch?v=2GNmDtEkqbI

djwice

@OxWax • 3 mei 2019 22:28

Gelukkig hebben we nu gewoon aanraak schermen en stem invoer (niet meer als ik hier druk/veeg, gebeurt er daar iets), alleen snapt nog niet alle software wat we met onze aanrakingen en geluidjes bedoelen.

[Reactie gewijzigd door djwice op 23 juli 2024 00:04]

1nsane @droner • 3 mei 2019 21:06

Dat dus maar het komt doordat veel goede initiatieven stranden in eindeloze “besluitvorming”, protocollen, regeltjes en wetgeving.

Het is bij overheidsinstanties vaak een groot circus van “ass covering” en weinig doortastendheid.

Zo’n project kan voor de helft van het geld of minder maar de regels zorgen voor belemmeringen.

Deels is dat begrijpelijk maar het streeft zn doel voorbij.

Zoals je zelf al zegt, er is te weinig incentive om dergelijke projecten qua kosten efficiënt te houden want die geldkraan staat toch wel open.

Ik heb het van dichtbij gezien, er worden legio duurbetaalde interim Project Managers naar binnen gehaald voor hoge tarieven, grote contracten afgesloten met IT bedrijven maar overal moet een stempel op komen. Dat werkt vertragend.

Het is niet te vergelijken met de gemiddelde “Agile” organisatie en deels is het begrijpelijk maar er kan toch op zn minst gekeken worden naar het weglaten van “Persoon X die 3 formuliertjes stuk voor stuk naar het kopieerapparaat moet brengen als dat lukt voor de vakantie van 3 weken”.

5V1NA70G @pctje • 3 mei 2019 18:35

https://autoriteitpersoon...evens-beter-te-beveiligen

Hier het nieuwsbericht.

Timmiejj @5V1NA70G • 6 mei 2019 13:21

Kans is groot dat we oktober 2019 een zelfde nieuwsbericht te zien krijgen, met nog een jaar uitstel op basis van 'intenties' en loze beloften.

Onderaan je gelinkte artikel staat namelijk het gerelateerde artikel https://autoriteitpersoon...iliging-werkgeversportaal

"AP-bevindingen toegangsbeveiliging

De AP concludeert dat de beveiliging van het online werkgeversportaal van het UWV onvoldoende is. Het UWV past geen zogenoemde meerfactorauthenticatie toe bij het verlenen van toegang tot dit portaal, terwijl dat vereist is...
Het UWV heeft aangegeven beveiligingsmaatregelen te treffen."

Dus in november 2017 constateert het AP dat werkgeversportaal onvoldoende beveiligd is, een jaar later concluderen ze exact hetzelfde maar omdat het UVW 'de intentie/wil' heeft dit te verbeteren krijgen ze een jaar de tijd om het te regelen.

Okt 2019; AP concludeert dat UVW nog steeds geen 2FA heeft toegepast op de werkgeversportal maar aangezien de UVW zegt wel al een project gestart te hebben om dit te implementeren krijgen ze extra tijd, tot oktober 2021, de beoogde opleverdatum van het project.....

Sugocy 4 mei 2019 01:21

Ontzettend blij dat ik een internet variant van mijn CV heb geplaatst (geen contact gegevens buiten email)!

Ook het mailtje van het UWV gehad en na dit nieuwsbericht is me tenminste de impact duidelijk. Wat een waardeloze ambtenaren communicatie weer. Jammerlijk zijn ze enkel zelf erg strikt met het toepassen van hun regels (wetten) op anderen i.p.v. de overige wetten goed implementeren.

[Reactie gewijzigd door Sugocy op 23 juli 2024 00:04]

iew 4 mei 2019 12:27

Overheid en overheidsinstanties zijn al een tijd nergens meer verantwoordelijk voor, "wij betreuren" is tegenwoordig voldoende.
Verantwoordelijkheid afleggen, nemen of ergens verantwoordelijk voor gehouden worden is er allang niet meer bij anders had het huidige kabinet er allang niet meer gezeten met die frauduleuze VVD, in het verleden bestond het woord en daad nog, toen heette het "een doodzonde".

Ook overheidsinstanties komen tegenwoordig werkelijk overal mee weg, men nuanceert en relativeert gewoon alles kapot en klaar is Kees.
Beetje vingerwijzen en hup ! geen verantwoordelijke aan te wijzen....

stok 3 mei 2019 18:09

2FA zou echt standaard moeten worden in zakelijke context.

Bleak @stok • 3 mei 2019 18:20

Helemaal mee eens ik betreurde het hele proces wat ik mijn moeder heb moeten zien doorlopen bij het UWV en nu krijgt ze dit erbij. Zacht gezegd ze is zeer overstuur

Hun systemen en processen zijn verouderd en helpen niet bij het aan het werk krijgen van mensen.
Ik kan niet begrijpen hoe zo'n instantie die dagelijks enorme hoeveelheden privacy gevoelige informatie verwerkt geen pririoriteit maak van security omtrent gegevens.

Het idiote is nog dat ze was verplicht om dit te uploaden. Ook al zouden mensen weten dat UWV security technisch niet hun zaken op orde hebben zullen ze toch hun gegevens moeten uploaden. Er is gewoon geen alternatief.

2FA zoals @stok zei of zoals @thunder7 zei een limiet op het maximum had dit vrijwel geheel kunnen voorkomen/beperken onbegrijpelijk.

Mijn moeder is gelukkig weer aan het werk, ik ga een ander emailadres voor haar regelen en waarschijnlijk een ander telefoon nummer.

batjes

Security
Networking en security

@Bleak • 3 mei 2019 18:44

Het *kuchkuch* mooie is ook, dat de bedrijven die op werk.nl vacatures open hebben staan… De vacatures vanuit werk.nl niet serieus nemen. Mocht je in de WW oid zitten en werk zoeken via werk.nl, zoek de vacature zelf op en reageer daar op of contacteer de organisatie. Het vergroot je kansen enorm.

Ze worden overspoeld door de eisen van werk zoeken, dus men stuurt onzin sollicitaties naar bedrijven waar ze toch niet aangenomen worden. Eis voldaan, uitkering behouden.

Mijn UWV CV is express niet mijn eigen CV. En ik ben in dit soort gevallen blij met een dual sim. Bel me maar op die 2de sim, neem toch niet op tenzij ik je verwacht. Mijn overige gegevens zijn toch al door onmacht bij half Nederland bekend, dus tja. Dit is niet de eerste en laatste keer dat dat lekt.

Amadeus1966 @batjes • 3 mei 2019 19:16

We delen de zelfde ervaring en werkwijze.
Vacature bij werk.nl zieken en dan het bedrijf rechtstreeks benaderen.

Waar ik een beroertje dood aan heb is dat je heel vaak doorgesluisd wordt naar een één of andere uitzendbureau.

Of dat je iets regionaals zoekt en dan van de andere kant van het land de vacatures binnen krijgt.........

batjes

Security
Networking en security

@Amadeus1966 • 3 mei 2019 20:20

Er is veel mis bij het UWV. Het erge is nog dat de mensen die het UWV het hardst nodig hebben, er het minste aan hebben.

Jonathan-458 @Bleak • 3 mei 2019 18:45

Ik zou hier nog even mee wachten en juridisch advies in winnen.

Eerst nagaan of u of uw ouders gegevens daadwerkelijk gelekt zijn.

Ik denk namelijk dat het mogelijk is UWV aansprakelijk te stellen ivm onzorgvuldigheid en nalatigheid.

[Reactie gewijzigd door Jonathan-458 op 23 juli 2024 00:04]

Justinn1988 @Jonathan-458 • 4 mei 2019 03:02

Aansprakelijk stellen werkt alleen als je -als gedupeerde- kan aantonen schade hebt opgelopen, wat bij 99,99% van de gedupeerden waarschijnlijk niet zal lukken. Dan nog, zelfs al heeft het UWV verwijtbaar gehandeld, zij is niet de partij die de gegevens heeft gedownload met -mogelijk- als doel misbruik.

Calypso @eisbaer • 3 mei 2019 20:42

Fijn, zo te oordelen over iemand. Je kent de hele situatie niet; ik ken een aantal mensen die volledig overspannen in de WW terecht gekomen zijn en dus bij het UWV lopen. Als je dan al niet helemaal tureluurs wordt van het regeltjesvolgend gedrag van de medewerkers en vaak het onbegrip over de situatie waar je in zit, ook nog eens op een leeftijd bent dat je de 'digitale revolutie' niet echt meegemaakt hebt maar toch een beetje meedoet en elke dag geconfronteerd wordt met berichten van geplunderde bankrekeningen doordat mensen op een mailtje geklikt hebben... tja, dan kun je best wel overstuur raken van zo'n bericht hoor.

De eerste reactie van mijn moeder toen het bericht kwam dat ze een slimme meter kreeg: "Maar dan gaat m'n stroomverbruik en dus rekening heel erg omhoog".

Dus voordat je de volgende keer zo'n opmerking plaatst: bedenk dat er ook mensen zijn die anders zijn als jij. Bijvoorbeeld mensen die nadenken en een beetje sociaal gevoel hebben.

PcDealer @Calypso • 4 mei 2019 01:43

Volgden ze maar de regels, dan zouden ze na ons uitdrukkelijke verzoek de medische gegevens van de behandelaren van mijn vrouw opvragen en wellicht tot een andere conclusie komen dan volledig arbeidsgeschikt ondanks haar chronische ziekten die het dagelijkse huishoudelijke werk schier onmogelijk maken. 12 juli rechtszaak tegen UWV.

Calypso @PcDealer • 4 mei 2019 09:01

Bereid je maar voor op een lange procedure. Kennis van me is daar al een paar jaar mee bezig, en zelfs de advocaat van het UWV geeft nu al bij de Hoge Raad toe dat er fouten gemaakt zijn. Maar als er eenmaal fouten gemaakt zijn lijkt het UWV wel standaard door te willen zetten om te kijken hoe lang jij het volhoudt.

Sterkte.

PcDealer @Calypso • 4 mei 2019 14:31

I know: hoe meer de cliënt procedeert hoe hoger de kans op winst. Helaas maar waar.

ajolla @eisbaer • 4 mei 2019 01:42

Wat een gevoelloze reactie.

Auteur

TijsZonderH Nieuwscoördinator @stok • 3 mei 2019 18:18

Heb ze gevraagd of dit een optie is voor dit soort accounts, even wachten op het antwoord.

Calypso @TijsZonderH • 3 mei 2019 21:16

Mocht je iemand te spreken krijgen: voel ze aan de tand over de toon en strekking van het verstuurde mailtje. Ik heb heel sterk de indruk dat ze de impact heel zwaar onderschatten; zie de passages die ik in een aantal andere reacties aangehaald heb. Het begint al met het onderwerp. Mocht je behoefte hebben aan de complete mail in 1 stuk, stuur een bericht dan stuur ik-m wel door.

Er wordt alleen gedaan alsof er een risico op spam/fishing is, terwijl er fundamenteel belangrijke gegevens in je CV staan waarvoor normaal gesproken een hoeveelheid social engineering voor nodig is, en nu op een presenteerblaadje klaarliggen.

Wim-Bart @Calypso • 4 mei 2019 00:14

Daar dacht ik ook aan, eigenlijk moet je al deze mensen voorzien van nieuwe BSN's en de oude vernietigen. Dit is echt een grote schat aan data om identiteitsfraude te plegen. Zwaar onderschat.

Calypso @Wim-Bart • 4 mei 2019 08:51

Of mensen een BSN in het CV hebben staan: ongetwijfeld zullen die er bij zijn, ik in elk geval niet.

Maar goed, nieuwe BSN zouden ze eigenlijk ook al moeten voor alle ZZPers i.v.m. het gebruik van BSN voor belastingnummer (en dat zijn er heel veel), en daar is ook nog geen sprake van, dus voor deze groep (percentage van de 117.000) zie ik dat ook niet zomaar gebeuren.

Bleak @TijsZonderH • 3 mei 2019 18:37

Zou niet snappen waarom dit een optie zou moeten zijn?
Lijkt me gewoon dat als jij als werkgever je hierbij wil aansluiten dat je hier toe zou moeten worden verplicht..

_Thanatos_ @Bleak • 4 mei 2019 00:03

Ligt er ook aan hoe het account gehackt is. Als de hacker de authenticatie heeft kunnen omzeilen, dan gaat 2FA geen zak helpen. Dat helpt alleen tegen het uitlekken van een wahtwoord.

Sergelwd @TijsZonderH • 3 mei 2019 18:52

Wat krijgen de mensen die dit met leden ogen moeten aanzien voor compensatie? En wat krijgen de mensen die dit willens en wetens in stand houden voor straf?
Dit soort zaken zijn al jaar en dag een door in het oog en mensen zijn hier gewoon heel hard de dupe van buiten hun eigen schuld.
Ik pleit al jaren voor gevangenisstraffen voor dit soort nalatige criminaliteit vanuit semi-overheidsinstanties, maar tot dusver zijn mensen nogsteeds verplicht om hun gegevens aan dit soort constructies te overhandigen.

[Reactie gewijzigd door Sergelwd op 23 juli 2024 00:04]

downtime @Sergelwd • 3 mei 2019 19:06

Ik pleit al jaren voor gevangenisstraffen voor dit soort nalatige criminaliteit vanuit semi-overheidsinstanties, maar tot dusver zijn mensen nogsteeds verplicht om hun gegevens aan dit soort constructies te overhandigen.

Wat denk je wat er dan gebeurt? Niemand wil er nog werken en wie er wel werkt wil vorstelijk beloond worden omdat ze het risico van gevangenisstraf lopen als ze een fout maken. En het bedrijf komt tot stilstand omdat iedereen het belangrijker vindt om zich tegen alle risico’s in te dekken dan om iets nuttigs uit zijn handen te laten komen.

Sergelwd @downtime • 3 mei 2019 21:04

Maar als er niemand verantwoordelijk is of kan worden gehouden krijg je dit dus..
En ondertussen wel verwachten dat iedereen zijn informatie maar in je lekke systeem wil stoppen.
Imo zorg je eerst voor een veilig systeem met de nodige garanties voordat je uberhaupt privacy-gevoelige informatie kan verwerken... Laat staan wanneer je ze verplicht moet afgeven.

[Reactie gewijzigd door Sergelwd op 23 juli 2024 00:04]

Frogmen

@BLACKfm • 6 mei 2019 10:53

@BLACKfm Jij bent nu nog waarschijnlijk een jongere die gemakkelijk aan werk komt. Ik ben de 50 voorbij wil graag aan het werk, maar helaas oude MBO opleiding gedaan en werkervaring waarvoor tegenwoordig altijd HBO wordt gevraagd. Tevens ook nog recent opleiding Middelbaar veiligheidskundige gedaan.
Helaas is het dus niet zo simpel, als je werk voor mij kan regelen graag, ben beschikbaar. Maar kennelijk schrikt mijn CV werkgevers ook af. Of is het mijn leeftijd. Anders gezegd hou je kort door de bocht opmerkingen liever voor je, ze komen niet erg wijs over. De wereld zit helaas complexer in elkaar.
Oh bedenk ook als je nu als IT' er werkt dat ook jij ouder wordt, en er komt een moment dat werkgevers de ontwikkelingen te snel voor je gaan en dat je ze niet meer kan bijhouden. Ja dat is ook tegen mij gezegd.

_Thanatos_ @BLACKfm • 4 mei 2019 00:04

Nou jawel hoor. Voor veel mensen is het een verplichting. Geen wettelijke verplichting, maar je wordt verplicht doordat je anders €0 per maand hebt.

Anoniem: 210390 @Wim-Bart • 4 mei 2019 05:28

Duurde vier jaar tot dat ik een participatiebaan had. Werkgevers voor passend werk hadden gewoon geenzin in minimale begeleiding ookal stonden ze als zo ingeschreven. De andere catogerie is je werkt te langzaam of je gaat je hier vervelen dus dooi geen contract maar bedankt voor de twee maanden dat je er gratis was.

[Reactie gewijzigd door Anoniem: 210390 op 23 juli 2024 00:04]

Wim-Bart @Anoniem: 210390 • 4 mei 2019 06:52

Ik heb het geluk gehad dat ik nooit zonder baan heb gezeten, maar besef dat niet iedereen dat geluk heeft.

Maar ik heb zo veel gezien met mensen die wel kunnen werken, maar na een maand of wat opeens weer op straat staan. En wanneer ik mijn zus hoor, die P&O deed, dat er zo veel zijn die er alles aan doen om ontslagen te worden, dan denk ik, pffff En dan vraag ik waarom, gewoon geen zin om te werken zeggen ze dan, paar maandjes werken en dan weer paar maanden uitkering. En zo zijn er zo veel. En dan snap ik die potentiele werkgevers wel, die beginnen langzamerhand te denken dat ze allemaal zo zijn.

Met als gevolg dat de gemotiveerden er onder moeten lijden.

_Thanatos_ @Wim-Bart • 4 mei 2019 00:22

Denk je niet dat een werkzoekenden... werk zoeken?
Niet iedereen is opgeleid in een branche waar de vacatures voor het oprapen liggen.

xxxneoxxx @Wim-Bart • 4 mei 2019 07:56

Wat daar mee mis is, is dat wij in Nederland een minimum loon hebben. De banen waar Polen voor in aanmerking komen, zijn banen waar werkgevers dat er niet voor over hebben. Die huren dus Polen in via bureaus die de regels omzeilen en dus Polen laten werken voor een bedrag daaronder. De Pool heeft hier niet dezelfde vaste lasten als de gemiddelde Nederlander.
De werkgever blij, de Pool blij. Win-win dus, behalve voor de werkende Nederlander die allicht graag die baan had, en die andere werkende Nederlander die steeds meer en meer mag afdragen aan sociale voorzieningen.

aadje93 @TijsZonderH • 4 mei 2019 01:03

e-herkenning is gewoon gebruikelijk bij overheids zaken voor bedrijven (zelf alleen met RVO te maken)

YoghurtO_o @stok • 3 mei 2019 18:18

Ja, maar de meeste managers willen daar niks mee te maken hebben. Ik werkte bij een start-up met miljoeneninvestering als stagiar en regelde daar ook wat IT zaken. Nadat onze cloud systemen gehackt waren en ze duizenden euros hebben moeten betalen aan de criminelen heb ik besloten om 2FA voor alles wat met de cloud verbonden is in te voeren. DWZ dat ze of een sms ontvingen of via google authenticator een code moesten ingeven. Dit duurt hooguit 30 seconden extra als je erg traag bent, en mijn baas was in eerste instantie erg enthousiast over het feit dat we nu een stuk veiliger waren, maar na een paar dagen begon hij zich aan 2FA te storen en moest ik het er weer vanaf halen.

Dit was overigens in een tech start-up.

DigitalExorcist @YoghurtO_o • 3 mei 2019 19:43

Dan zet je het voor de baas uit, nadat hij een geprinte e-mail van zijn handtekening voorzien heeft dat ie volledig op de hoogte is van de mogelijke consequenties. En die geprinte mail in een kluis bewaard. (En ingescand en opgeslagen natuurlijk als backup...).

Als hij willens en wetens het risico wil lopen, be my guest.

Justinn1988 @stok • 4 mei 2019 03:07

2FA is gezien de dubbele laag beveiliging altijd verstandig te gebruiken, maar niet 100% veilig en echt niet zaligmakend. Imo ligt de eindverantwoordelijkheid nog altijd aan de eindgebruiker die met 2FA zowel zijn telefoon (indien gebruikt als authenticatie) als het reguliere wachtwoord voldoende moet beveiligen. Een risico van 2FA is juist schijnveiligheid.

Veruit het ergst in deze zaak, is dat een zeer kwetsbare doelgroep mogelijk slachtoffer wordt. Mensen zonder werk, mensen met een laag sociaal-economische achtergrond en mensen met beperkingen die per definitie al moeilijk aan werk komen en sneller vatbaar zijn voor phising/hacking.

[Reactie gewijzigd door Justinn1988 op 23 juli 2024 00:04]

ShellGhost 3 mei 2019 18:20

Ik mis alleen in het artikel, niet alleen bij jullie, hoe lang de oneigenlijke toegang is geweest.
Is dat een dag geweest, een week, een maand, half jaar?
Als het een dag of een week is geweest is het natuurlijk bizar dat het UWV het niet gesignaleerd heeft.

Auteur

TijsZonderH Nieuwscoördinator @ShellGhost • 3 mei 2019 18:24

Zoals ik het begrijp greep de securityafdeling op het moment dat ze 'een hoge hoeveelheid cv's gedownload zagen worden'. Klinkt alsof ze niet zo lang in het netwerk zaten, maar niet 100% zeker.

Update: update toegevoegd aan artikel, thanks @Malarky en anderen!

[Reactie gewijzigd door TijsZonderH op 23 juli 2024 00:04]

Malarky @TijsZonderH • 3 mei 2019 18:29

14 dagen had de securityafdeling nodig om te reageren op het hoge downloadvolume van CV's. Niet bepaald vlot.

ShellGhost @TijsZonderH • 3 mei 2019 18:30

Ik weet niet wat ze onder een "hoge hoeveelheid" laten vallen, maar een goede 100.000 cv's lijkt mij niet onder die noemer te vallen.
Het lijkt mij zeer onaannemelijk dat welke werkgever dan ook honderden dan wel duizenden cv's tegelijkertijd download.
Vind het maar een vreemd verhaal.

Blizz @ShellGhost • 3 mei 2019 19:24

Waarom zou dat raar zijn? Werkgevers kijken vaak niet een voor een, maar laten software interessante CV's uitkiezen.

ShellGhost @Blizz • 3 mei 2019 19:30

Geen 8000 per dag.

Blizz @ShellGhost • 3 mei 2019 19:31

Waarom niet? De software die ze gebruiken zal echt niet op een PC uit de jaren '90 draaien.

ShellGhost @Blizz • 3 mei 2019 19:33

Omdat een werkgever al een aardige verzameling heeft en alleen de nieuwe of veranderde cv's binnenhaalt. Incremental dus. Dit was geen incrementele downloadactie, maar een poging tot een full download. Het is dat ze gestopt zijn anders hadden het er veel meer geweest vrees ik.

Calypso @ShellGhost • 3 mei 2019 20:11

Een werkgever haalt per definitie nog niet eens CV's at random binnen. Die legt een filter op kenmerken die hij zoekt (lokatie, vakgebied, opleidingsniveau, etc) en krijgt dan een lijst van kandidaten. Daaruit kiezen ze een aantal CVs die ze gaan bekijken.

ajolla @Blizz • 4 mei 2019 01:46

U heeft 100 cv's gedownload, probeer een betere selectie... over 10 minuten.

Dynacomp @ajolla • 4 mei 2019 10:49

U heeft 100 cv's gedownload, probeer een betere selectie... over 10 minuten.

Dan kan je in twee week tijd 216000 cv's downloaden ...

ajolla @Dynacomp • 4 mei 2019 10:54

Ja, en na nog eens 100 cv's 1 uur, dan 5, affijn.

OxWax @ShellGhost • 3 mei 2019 18:29

Bij Werk.nl, een website van uitkeringsinstantie UWV, zijn tussen 16 en 30 april 117.000 unieke CV’s gedownload. Dit gebeurde via een account van één werkgever die toegang heeft tot het netwerk. Dat schrijft minister van Sociale Zaken Wouter Koolmees (D66) vrijdag aan de Tweede Kamer.

Na de ontdekking van dit grote aantal downloads is op 30 april het account van de werkgever meteen geblokkeerd.

Meteen, 2 weken later dus

https://tpo.nl/2019/05/03...gedownload-in-twee-weken/

ShellGhost @OxWax • 3 mei 2019 18:32

8357 cv's per dag. Dat moet toch opvallen??

OxWax @ShellGhost • 3 mei 2019 18:32

overheid

batjes

Security
Networking en security

@OxWax • 3 mei 2019 18:38

Bedrijven maken deze fouten niet?

Kan ook best zijn dat instanties zoals Randstad via 1 account daar CV's checken. Dan vallen zulke bulk requests echt niet snel op.

ShellGhost @batjes • 3 mei 2019 18:43

Het UWV beschikt over een SOC. Dit had veel eerder gesignaleerd moeten worden.

OxWax @ShellGhost • 3 mei 2019 18:56

Hoe werkt dat dan zo'n SOC in dit geval? (ook ik heb de afk. moeten opzoeken )

ShellGhost @OxWax • 3 mei 2019 19:30

Een SOC monitoord als het goed is de vitale stukken van een omgeving. Bijvoorbeeld servers, switches, firewalls. Ook kan een SOC behaviours monitoren. Dus als iemand op een verdachte site komt dan gaat er een alarmbelletje af, of als een process op een pc/laptop in eens veel bestanden benaderd. Dan kan er ook een alarmbel afgaan.
Er had een alarmbel moeten afgaan vanwege het feit dat iemand vanuit een extern bedrijf per dag ruim 8000 cv's downloaden.Dat zou onder een zogenaamde anomalie moeten vallen, dus iets wat niet of nauwelijks gebeurd en dat het daarom vreemd is en onderzocht moet worden.

OxWax @ShellGhost • 3 mei 2019 19:43

Kende ik niet, dank voor de uitleg (had onderts al wel gegoogled uiteraard ) $_/-\o_$
https://kirkpatrickprice.com/blog/purpose-soc-cybersecurity/

TWyk @ShellGhost • 6 mei 2019 14:31

Misschien omzeild met slow download. (1 view per 11 seconden)

batjes

Security
Networking en security

@ShellGhost • 3 mei 2019 18:45

Soms mogen afkortingen uitgelegd worden, ik kan aan niets anders denken dan system on a chip in de context van tweakers

Security Operation Center nvm

[Reactie gewijzigd door batjes op 23 juli 2024 00:04]

tilburgs82 @OxWax • 3 mei 2019 18:49

[...]
Meteen, 2 weken later dus
https://tpo.nl/2019/05/03...gedownload-in-twee-weken/

Dat staat er niet.
Er staat meteen geblokkeerd na de ontdekking. Die was op 30 april.
Dus ja, meteen geblokkeerd

Sergelwd @ShellGhost • 3 mei 2019 18:26

Ik mis uberhaupt de noodzaak om via een werkgeversaccount alle CV's zomaar in te kunnen zien

Uiteindelijk was dit onvermijdelijk door de slechte opzet van werk.nl natuurlijk.

[Reactie gewijzigd door Sergelwd op 23 juli 2024 00:04]

rejer 3 mei 2019 19:09

Krijgen degene die getroffen zijn door dit schandaal ook een vergoeding? Dit soort info lijkt mij extreem gevoelig eigenlijk... De meeste mensen lijken mij te zijn geforceerd om zich daar te laten inschrijven.

Eigenlijk is dit echt een extreem groot schandaal... Al je privé info ligt op straat.

[Reactie gewijzigd door rejer op 23 juli 2024 00:04]

retroguy @rejer • 3 mei 2019 21:10

Welke schade hebben ze dan?

rejer @retroguy • 3 mei 2019 21:21

Naam, adres, telefoon, werkverleden, geboorte datum,
Dit is goud waard voor criminelen. Dit kan zo makkelijk tegen mensen gebruikt worden voor fraude.
Je belt iemands dokter op vertelt je naam, nou bij mijn dokter zeggen ze dan, wat is uw geboorte datum? klopt dit krijg je gewoon info over lopende behandelingen.
Je geboorte datum en adres is vaak via telefonie een controle om dingen te kunnen wijzigen bij bepaalde bedrijven.

Ik kan nog wel eeuwen doorgaan.

Ik heb nog liever dat ze materiaal jatten(auto, telefoon, geld, etc) dan je persoonlijke gegevens.

[Reactie gewijzigd door rejer op 23 juli 2024 00:04]

retroguy @rejer • 4 mei 2019 00:49

Dat begrijp ik wel, maar tot nu toe hebben ze juridisch gezien nog geen schade, dus kan er ook geen sprake zijn van schadevergoeding, IMO. Bij een mogelijke brand krijg je immers ook nog geen uitkering van de verzekering.

tweaknico @retroguy • 5 mei 2019 19:19

Maar wanneer kom je erachter dat de gegevens misbruikt worden?
bv. om pakjes (bijna poedersuiker) uit Columbia ergens te laten bezorgen de
huur van PObox; bankrekeningen te openen, etc. etc.

Jij wordt pas wakker als er een arrestatie team op de stoep staat, of als je uitgenodigd wordt voor een gesprek op het politie bureau. Als je eenmaal in die molen zit dan ben je nog jaren bezig.
Dus in dit geval is de grootschalige diefstal van identificerende informatie m.i. voldoende om iedereen van een ander BSN te voorzien, dan is de grootste angel eruit. (een Geboorte datum kun je niet makkelijk veranderen, naam aanpassen is ook best een uitdaging).

FreshM @rejer • 3 mei 2019 19:38

Het valt me iedere keer weer op hoe gemakkelijk 'men' over zulke privacyschendingen heen stapt. Zelden wordt zoiets echt een schandaal. Advies over maatregelen die de getroffen gebruiker moet nemen, daar blijft het meestal bij.
We maken ons vaak druk over privacy bij Facebook etc., maar overheden (niet alleen UWV) blijven het kwetsbaarst. Daar zit ontzettend veel privé-informatie, bovendien krijg je bij overheden zelden iets zinnigs terug 'in ruil' voor je privégegevens. Inderdaad 'geforceerd' verzameld zoals je zegt. De grootste privacybom ligt m.i. dan ook onder de data van die overheden.
Mijn gedachte in deze zaak is dat er toch alarmbellen moeten afgaan als één specifieke werkgever binnen korte tijd meer dan 100.000 cv's downloadt. Iedere werkgever moet dus altijd al in staat geweest zijn om dit te doen. Het lijkt me toch niet dat ook maar iemand bij het UWV gelooft dat werk.nl de favoriete plek voor werkgevers is om werknemers vandaan te halen. Er heeft dus een (systeem)beheerder behoorlijk zitten slapen.

[Reactie gewijzigd door FreshM op 23 juli 2024 00:04]

Habana @FreshM • 4 mei 2019 11:57

Je behoefd enkel maar te lezen wat er bij elke correspondentie onder het bericht staat van het UWV, hoe makkelijk...

"Dit bericht kan vertrouwelijke of persoonlijke informatie bevatten die niet voor u bedoeld is. Is dit bericht per ongeluk aan u verstuurd? Wilt u dit dan doorgeven aan de afzender en het bericht verwijderen?

U mag het bericht niet doorsturen. Aan dit bericht kunt u geen rechten ontlenen. UWV is niet aansprakelijk voor schade en/of kosten die voortkomen uit onvolledige en/of onjuiste informatie in e-mailberichten."

© 2019 UWV.

tweaknico @Habana • 5 mei 2019 19:21

tja maar ze zijn dan ook niet via e-mail verzonden..
maar gewoon gedownload... dus niet erg relevant.

Habana @tweaknico • 9 mei 2019 14:20

Dat zie ik toch anders, het geeft een duidelijke indicatie hoe de gedachte gang is aldaar, duidelijke afstand nemen van aansprakelijkheid en gevolgen, wat ik niet relevant vind is hoe dat gebeurd.. gedownload, via e-mail, gehackt of hoe dan ook..

tweaknico @Habana • 9 mei 2019 14:21

In dat opzicht heb je gelijk.
Alleen vindt je dat overal... van alles eisen maar geen verantwoording nemen.

thunder7 3 mei 2019 18:08

Kennelijk zit daar geen rem op, van 10 CV's per werkgever per dag ofzo?

Auteur

TijsZonderH Nieuwscoördinator @thunder7 • 3 mei 2019 18:17

Die vraag heb ik uitstaan bij ze, konden ze zo snel geen antwoord op geven.

ViperXL @TijsZonderH • 3 mei 2019 18:22

Tijs, heb je ook gevraagd of een werkgeversaccount Digi-D en/of 2FA gebruikt?

(sorry las reacties hieronder later pas)

[Reactie gewijzigd door ViperXL op 23 juli 2024 00:04]

Quintiemero @ViperXL • 3 mei 2019 18:38

Reguliere wachtwoord en gebruikersnaam, zowel geen Digi-D als 2FA.

ollie1965 @Quintiemero • 3 mei 2019 20:11

Bedrijf heeft geen DigiD maar eHerkenning op (minimaal) 2+ niveau (als UWV al zo ver is, lees stuk boete onder dwangsom AP verhaal)

TWyk @ollie1965 • 6 mei 2019 14:28

https://werkgever-portaal.uwv.nl/iam/inloggen

Auteur

TijsZonderH Nieuwscoördinator @ViperXL • 3 mei 2019 18:24

Ja allebei gevraagd

Fox @TijsZonderH • 3 mei 2019 22:44

Het belangrijkste wat ik mij afvraag is wat met de investering van circa 100 miljoen hebben gedaan als ze geen antwoord weten op basale security maatregelen. Niet alleen heeft een account in één keer toegang gehad tot het hele bestand maar is er ook geen enkele vorm van authenticatie. Als dit al dan niet geimplementeerd is vraag ik mij sterk af wat er verder nog niet klopt.

Ook wordt hier niet gehouden aan GDPR zover ik weet, als gezocht wordt door vacatures is het niet direct nodig om ook persoonsgegevens te leveren zoals naam, geslacht, leeftijd, adres, etc. Het is tegen de wet om gegevens die functioneel niet nodig zijn te verstrekken en op te slaan. Deze zouden pas mogen worden vrijgegeven nadat directe interesse wordt getoond op een bepaalde vacature ( gelinkt met een id ), waarna uit een niet-publieke database de persoonsinformatie kan worden gehaald die matcht met het id. Hier kunnen dan bijv. strengere limieten en verificatie op worden gelegd.

Een dergelijk systeem incl. de infrastructuur kan opgezet worden door enkele ITers. Zet daar ook nog een paar mensen neer die de front-end zaken op orde maakt, iemand die het team in de gaten houdt en iemand die de externe communicatie doet en dan zou dit in een efficiënte omgeving voor geen fractie van het budget mogelijk zijn. In vergelijking waar wij met kleinere teams aan werken ( cluster computing - verwerken van petabytes aan informatie ) is dit een peulenschil. Ik vermoed hier niet alleen mismanagement, maar ook corruptie.

[Reactie gewijzigd door Fox op 23 juli 2024 00:04]

OxWax @TijsZonderH • 3 mei 2019 18:29

https://tpo.nl/2019/05/03...gedownload-in-twee-weken/

chielsen @thunder7 • 3 mei 2019 18:11

Ja je zou toch een throttle verwachten, want het kan ook een medewerker van zo'n bedrijf zijn.
Als die partijen ongelimiteerd bij de database kunnen gaat dit nog wel vaker gebeuren.

WhatsappHack

Security
Networking en security
Datalek

@thunder7 • 3 mei 2019 18:14

Ja dat lijkt me ook wel voldoende. Als 't een heel groot bedrijf is misschien ietsjes meer, maar 117K gaat natuurlijk helemaal nergens over.

ajolla @thunder7 • 4 mei 2019 01:35

En waarom moeten gelijk àlle data door een willekeurige werkgever ingezien kunnen worden?

Op dit item kan niet meer gereageerd worden.

Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update

Lees meer

Reacties (239)

Sorteer op:

Weergave: