WeTransfer stuurde berichten door naar verkeerde ontvangers

WeTransfer heeft berichten over bestanden die klanten verstuurden, ook opgestuurd naar verkeerde ontvangers. Volgens het bedrijf zijn die bestanden ook geopend, maar door de juiste persoon. Het bedrijf heeft een waarschuwing gestuurd naar desbetreffende gebruikers.

Het datalek vond plaats op 16 en 17 juni, schrijft WeTransfer in een e-mail aan slachtoffers. "Een transfer die je hebt gestuurd of verzonden, is ook bij sommige andere personen aangekomen", schrijft het bedrijf. "We zien dat sommige van die bestanden ook geopend zijn, maar vrijwel zeker door de bedoelde ontvanger."

Als voorzorgsmaatregel heeft WeTransfer de getroffen url's geblokkeerd, zodat ze niet verder gedownload kunnen worden. Ook raadt het bedrijf gebruikers aan op te letten voor verdachte e-mails, en zijn sommige Plus-gebruikers uitgelogd uit hun account.

Veel informatie is nog niet bekend over het lek. Zo is niet bekend om hoeveel slachtoffers het gaat en hoeveel mensen onterecht bestanden hebben ontvangen. "We zijn met man en macht op zoek naar de oorzaak van het probleem, maar kunnen daar nu nog niet veel over zeggen. We kunnen ook nog niet zeggen hoeveel gebruikers er getroffen zijn, maar we hebben iedereen die potentieel getroffen is benaderd. Gebruikers die geen bericht hebben gekregen zijn dus geen slachtoffer geweest." Tweakers heeft van twee personen de melding gekregen dat ze de waarschuwing van WeTransfer kregen.

Update: reactie van WeTransfer toegevoegd.

Door Tijs Hofmans

Nieuwscoördinator

21-06-2019 • 15:30

98 Linkedin

Submitter: SoeperKees

Reacties (98)

98
97
54
3
1
22
Wijzig sortering
Dit is al eerder (in ieder geval bij ons) een probleem geweest, jaren terug bij WeTransfer al eens een melding over gemaakt. Wij kregen op ons mailadres continu studio opnames van een muzikant. Dit terwijl het mailadres wat hij invulde toch écht niet van ons was. Het was overigens een Nederlander en samen hebben we van alles geprobeerd. Alles wat hij per wetransfer verzond kwam bij ons terecht ongeacht het mailadres. Na weken was het ineens opgelost. Nooit feedback van WeTransfer ontvangen. Sindsdien zijn we nog strikter geworden in wát we verzenden met dit soort diensten.

[Reactie gewijzigd door Redwood op 21 juni 2019 16:01]

Daarom is het goed dat er nu alternatieven beschikbaar zijn, WeTransfer is totaal niet veilig, al eens gekeken naar SecuDoc? Volledige bestandversleuteling en end to end encryptie etc.
Zolang het public/private encryptie is dan maakt het op zich niet veel uit waar het heen ge-broadcast wordt.
Als je dit bedrijfsmatig wilt, en ook eigen servers kan opzetten, Probeer dan filecap eens! (Betaalde dienst, je betaald niet met je gegevens)
Sindskort kun je nu ook gebruik maken van FileTransfer van KPN. Werkt over het algemeen hetzelfde als WeTransfer met 1 groot verschil: Je krijgt gewoon een link die je kunt versturen naar mensen. Op die manier komt het altijd bij de juiste persoon terecht.

Andere voordelen zijn:
- Max 4GB bestanden versturen
- Downloadlimiet opgeven
- Zelf de beschikbaarheid opgeven (tot een maximum van 7 weken)
- Alle bestanden worden versleuteld

Al met al een verdraait goed alternatief!

[Reactie gewijzigd door guidogast op 21 juni 2019 16:28]

Ter info: Het is via WeTransfer ook mogelijk gewoon een download link aan te maken in plaats van direct via hen te verzenden. Op deze manier gebruik ik het zakelijk altijd, om zeker te zijn dat het op de juiste manier aankomt.
Ik betwijfel of jij van jullie security policy een publieke dienst zoals WeTransfer mag gebruiken, misschien goed om eens te checken ;).
Als je je bestanden eerst encrypt, dan verstuurd via wetransfer en via mail of telefoon de sleutel communiceert, dan is er nog steeds niks aan de hand met wetransfer lijkt me?
Leuk in theorie, maar volgens mij is dat zakelijk niet heel gewenst (hoewel dat vast per sector zal verschillen).
Bij ons hebben we een bigshare service lokaal draaien, kan ik mijn bestanden razendsnel naartoe sturen en dan met klanten een link delen zodat ze die van onze eigen server kunnen downloaden. Lijkt mij toch een beter idee dan WeTransfer, zeker met dit soort nieuws!
Wij hebben niet eens een bigshare service nodig; onze gebruikers kunnen onbeperkte attachments sturen, boven een bepaalde grootte stuurt de software niet de attachment maar een link. Kijk eens naar Horde/Webmail ....
Lijkt me niet bepaald een veilige oplossing. Zo kan de gebruiker de mail (en tegelijk het attachment) dus niet meer signen, omdat de mailsoftware het nodig vindt om het attachment eruit te slopen waarmee de checksum verandert.
Goeie opmerking. Bij ons ook een probleem dat het steeds lastiger wordt om bestanden met elkaar te delen. Mailbox is vaak te klein voor een groot document (bijv. powerpoint-presentatie). USB-poorten zijn niet werkzaam. ICT-medewerker zegt dat niks mogelijk is. Dan ga je steeds creatiever worden of, nog erger, minder informatie met elkaar delen.

Deze week nog. Een onderwijs werd afgelast, omdat niemand de benodigde documenten kon bemachtigen. Deze waren te groot en alle cloud-services en diensten zoals WeTransfer waren geblokkeerd. Dan wordt het wel heel lastig werken.

Van een röntgenfoto kun je gelukkig een foto maken en via WhatsApp opsturen. Dat scheelt wel.
Goed om te zien dat er zo zorgvuldig met clientgegevens omgegaan wordt..
Goed om te zien dat er zo zorgvuldig met clientgegevens omgegaan wordt..
Je refereert hier naar denk ik? ;) hahaha

"Van een röntgenfoto kun je gelukkig een foto maken en via WhatsApp opsturen."
Tja, goede patiëntenzorg gaat toch echt wel boven ict-drempels die opgeworpen worden. Als het jou betreft, zul je zeker niet klagen over je privacy. Dan wil je snel en goed geholpen worden ;)
Ik stuur vaak een bestand "naar mezelf". de link die ik krijg, kopier ik en plak hem in whatsapp of Messenger.
Geen gedoe als je even het juiste email adres niet bij de hand hebt.
Dat kan ook bij WeTransfer, alleen een link.
Zonder eigen email of ontvanger in te hoeven vullen.

Maar voor de rest indd een prima alternatief.
Bedankt! Dit wist ik niet
Ook dit mogen we vanuit beleid niet. De URL van WeTransfer is openbaar, zonder password en kan door bots 'geraden' worden of worden 'afgeluisterd'.

Wij moeten een oplossing zoals Zivver gebruiken met 2factor-authentication. Ook voor de ontvanger. Ook voor data die daarna toch publiek wordt zoals een filmpje voor Youtube.

Nou werkt dat Zivver bijna net zo handig als Wetransfer dus is het niet zo heel vervelend.
Tja, dat veranderd er niks aan dat ik reageer op iemand die zegt dat links op wetransfer niet kan terwijl het wel kan.

Een fatsoenlijk bedrijf heeft inderdaad een beleid die dit niet toelaat maar ook zijn juiste alternatieven er voor heeft.
Bij WeTransfer kun je ook ervoor kiezen gewoonweg een link te krijgen. Gebruik ik vrijwel altijd omdat ik liever een mailtje stuur vanuit mijn eigen client i.p.v. de beperkte mailmodule van WeTransfer.
Of gewoon lekker een selfhosted WeTransfer, zie PsiTransfer: https://github.com/psi-4ward/psitransfer
Werkt prima!

[edit]
Heb even een tijdelijke demo via Docker online gezet: https://****.cloudly.nl.

[Reactie gewijzigd door R0GGER op 22 juni 2019 22:00]

Jouw reclame heeft blijkbaar voor een crash van de service gezorgd :)
Je kunt ook nog een Password aan de download link toevoegen
Misschien is het niet zo bedoeld, maar door je schrijfwijze riekt dit naar marketing/zelfpromotie...
Ik heb juist iets anders. Mensen die mij wat verzenden of ik verstuurde iets en er komt geen downloadmail aan. Het lijkt dat de mailserver slecht is geconfigureerd icm website element.

Zie hieronder de KPN alternatief, was hem alweer vergeten maar ga hem toch gebruiken. Heb er iets meer vertrouwen in.
PS. Je kan ook in WeTransfer selecteren dat je een directe link wilt, die je moet kopiëren en plakken in eigen email. Weet je wel wie welke bestanden krijgt.

[Reactie gewijzigd door houtig op 21 juni 2019 16:30]

Vrijwel zeker is in dit geval gewoon niet goed genoeg.

Wat als er een gdpr klacht uit volgt, wat als x of y.

Cloud diensten blijven zich te veel verstoppen achter termen als "99 %" of " vrijwel zeker". Er kan al eens iets misgaan natuurlijk, dat gebeurt in elke serverroom.

Maar stuur dan in godsnaam niet "vrijwel zeker", daar heb je als klant helemaal niets aan. Zeg wat het is, ofwel ja ofwel nee.
Wat als er een gdpr klacht uit volgt
Is dat een probleem vanuit WeTransfer of vanuit degene die WeTransfer gebruikt om data door te sturen?

De AVG/GDPR gaat om het beschermen van privégegevens, iets wat niet per definitie wordt doorgestuurd door WeTransfer zelf. Als mensen dan gevoelige data op een externe dienst als WeTransfer zetten en deze laten downloaden, in hoeverre kun je dan WeTransfer de schuld geven wanneer deze data lekt door een systeemfout?

Om overigens op je daadwerkelijke bericht in te gaan: bij zaken als dit kun je nooit 100% zeker iets weten, the absence of evidence is not the evidence of absence. Dus hoewel waarschijnlijk niks lijkt aan te geven dat niemand dan de beoogde persoon toegang heeft gehad tot de data zelf, als uiteindelijk blijkt dat het alsnog het geval is geweest gaan ze ook problemen krijgen als ze zeggen "niemand anders kon erbij, 100% eerlijk waar, geloof ons".

[Reactie gewijzigd door stuiterveer op 21 juni 2019 16:06]

Sterker nog, als we het over AVG/GDPR hebben...

Dan kunnen de 'verzenders' altijd aangesproken worden op hun gedrag.
Klopt ben benieuwd of die een verwerkersovereenkomst hebben met WeTransfer. :)
Een versleuteld zip bestand versturen? Dan ben je volgens mij voldoende gedekt en is een verwerkers overeenkomst niet nodig.

off topic:
Kreeg overigens vandaag van een financiële inrichting een versleuteld bestand gemaild. En direct daar achteraan, op hetzelfde mailadres een mail met het wachtwoord :o
Zullen ze daar nu echt denken dat ze daar veilig communiceren? Toen ik belde waren ze wel heel schuldbewust trouwens.

Overigens stuur ik altijd zelf de link op, en laat dat niet door WeTransfer doen.
Kreeg overigens vandaag van een financiële inrichting een versleuteld bestand gemaild. En direct daar achteraan, op hetzelfde mailadres een mail met het wachtwoord
Versleuteling heeft natuurlijk alleen zin als de sleutel niet met het versleutelde meegestuurd wordt. Je hebt dus twee verschillende communicatie-kanalen nodig. En je moet er zeker van zijn dat als één zo'n kanaal lek is geraakt, dat niet tegelijkertijd ook het andere kanaal lek is geraakt. Ze moeten dus technisch onafhankelijk van elkaar zijn.
Dat brengt veel extra kosten met zich mee. We hebben wat te lijden, van gegevens stelende criminelen...
Of het al dan niet een issue is laat ik aan de GDPR professionals over.

Maar bij het geven van ambigue antwoorden heeft zeker niemand baat, vooral de dienst zelf niet.
Klopt, ik bestefte me daarna dat ik niet op je verdere bericht inging. Heb ik bij deze alsnog aangepast. Punt is dat je het nooit 100% zeker zal weten.
Oei, dit kan best wel eens een jurische nachtmerrie worden voor WeTransfer, al er (semi)gevoelige data in verkeerde handen is gevallen. Geen idee wat de kleine lettertjes hierover zijn, maar aangezien dit hun core-business is zal er toch wel niet instaan dat zij niet verwoordelijk zijn in geval dat files in verkeerde handen vallen?
Als ik bestanden verstuur via wetransfer dan zorg ik er altijd voor dat deze encrypted zijn. En dan gaat het niet eens om gevoelige informatie. Dat soort informatie stuur in sowieso niet op via een dergelijke dienst.
Ja klopt, jij, ik, en de meesten hier wel. Maar WeTransfer wordt ongetwijfeld ook door digibeten gebruikt die verder er niet bij nadenken.
Ook e-mail kan onderschept worden, de mailserver van een provider kan gehacked worden.
De hele server van WeTransfer kan gehacked worden...
Als iets echt niet bij de verkeerde mag komen, is versleutelen en de sleutel op een andere wijze overbrengen, de enige goede optie.
hoezo ik ben geen digibeet en heb nog nooit iets encrypted verstuurd via wetransfer, boeit me niet
Waar heb ik het over digibeet?
waarom pomp je die dan onversleuteld via wetransfer?
Omdat het kan, en mensen aannemen dat het allemaal wel veilig is. Helaas.
Het kan dus niet want het is wettelijk verboden om gevoelige gegevens op 1 of andere manier publiekelijk te maken. WeTransfer valt hier gewoon onder. Elke manier van opslag dat niet in eigen beheer is en niet is encrypted, valt niet meer onder privé data. Daar is of expliciet toestemming voor nodig, of verboden.

Wachtwoord op je excel sheet alvorens je WeTransfer (oid) gebruikt voldoet dan weer wel.
Maar versturen naar één of meerdere expliciet ingevulde ontvangers is toch niet publiekelijk maken? Dat is gewoon een soort peer-to-peer. Inderdaad kan een excelfile en bijvoorbeeld een pdf afgeschermd worden met een wachtwoord, maar dit geld niet voor alles. Denk aan bijvoorbeeld artiesten die hun audio/video's naar producers sturen. Ja uiteraard kan dit eerst weer gezipt worden en daarmee voorzien van een wachtwoord. Maar de dienst zou dit niet nodig moeten maken doordat enkel de ontvanger toegang zou mogen hebben.
Hoe zou de dienst dat moeten kunnen garanderen?

Je deelt normaliter enkel een link; maakt niet uit wie/wat diezelfde link opent door hem te onderscheppen of door zelfs te gaan crawlen (waarvan het mij meer zou verbazen als dat geheel niet gebeurt)...

"Maar de dienst zou dit niet nodig moeten maken doordat enkel de ontvanger toegang zou mogen hebben."
Als een bepaalde groep mensen enkel toegang dient te hebben doe je dat met authenticatie, niet obfuscatie.
Ja, wat ie bedoeld met het kan is dat het technisch mogelijk is. Net als dat het mogelijk is om met je auto mensen te overrijden. Het kan, of het nou wettelijk mag of niet.
En ja, het lijkt heel erg alsof het niet publlekelijk is, puur omdat je e-mailadressen opgeeft. desalniettemin moet je gevoelige data gewoon versleutelen, je geeft je data namelijk uit handen aan een derde partij.
"We zien dat sommige van die bestanden ook geopend zijn, maar vrijwel zeker door de bedoelde ontvanger."

Ok? En hoe zijn ze tot die conclusie gekomen dan
1. Verzonden naar een verkeerde email
2. Heeft het bestanden gedownload/bekeken
1 Verkeerde email 2. Heeft het bestanden gedownload/bekeken
..en was dus niet de bedoelde ontvanger.! Dat is iets anders dan wat WT en @jmxd zeggen.

Blijft dus de vraag: ' hoe zijn ze tot die conclusie gekomen ' .
Omdat vrijwel niemand plaatjes blokkeerd in emails.
dus ze hebben dan vooral uit weten te sluiten dat de ontvangers van de mail niet de attachment heeft geopend, maar *iets anders*? dat is heel wat anders dan verzekeren dat de beoogde ontvanger het geopend heeft...
Het zijn geen bijlagen. Je ontvangt een linkje. Ze kunnen wel enige zekerheid geven dat data niet bij de verkeerde mensen terecht gekomen is.
Ik impliceer dat dat linkje ook random gegenereerd/gecrawled kan worden, daarom kan je met het uitsluiten van dat de daadwerkelijke ontvanger van het linkje het niet geopend heeft niet meteen uitsluiten dat degene die het wel geopend is wél de goede ontvanger is.

Simpel voorbeeld;
jan-met-de-pet krijgt te horen dat een belangrijk bestand, wat hij dacht gister al verstuurd te hebben, nog niet verstuurd is. Gaat Jan dan eerst controleren? of probeert hij als de wiedeweerga mogelijk het bestand nogmaals te uploaden en komt het deze keer pas bij de goede ontvanger aan?

Sterker nog; waarom zouden we de kans vervolgens gunstig inschatten dat deze bij de beoogde ontvanger is gekomen zonder dat Jan datzelfde proces herhaalt, als het enige wat we wel weten is dat die eerste link net-zogoed nooit bij de beoogde ontvanger aangekomen is? wie is dan de opener? kan dus net-zogoed een toevalstreffer/"goudzoeker"/bot zijn... ik vind dat een wel heel onvoorzichtige aanname.
Ik gok gebruikte ip's voor het openen cross-referencen met gebruikte ip's van de onbedoelde ontvangers. Geeft geen 100% garantie, maar als je alle ip's kunt verklaren als die van de bedoelde ontvangers dan heb je toch een behoorlijke zekerheid.
afgezien van scrapers/bots... wat zeker naarmate dit soort zaken vaker voorkomen met een steeds grotere kans zal gaan plaatsvinden.
Ik zou er daarom altijd voor kiezen (als een klant deze functionaliteit nodig heeft) dit zelf te hosten. Dan ben je zelf ook verantwoordelijk en heb je zelf alles in de hand.

Als de klant er namelijk om vraagt maar je biedt geen passende oplossing krijg je shadow IT in de vorm van WeTransfer...
De betere bedrijven bieden ook zoiets aan, inderdaad.
Daar dienen zaken als onedrive of gdrive voor (onderandere).

Probleem is niet dat het er niet is, probleem is vooral dat werknemers gewoon niet mee zijn met die "nieuwe manier van werken"


Edit: irrelevant? voelen jullie je aangesproken?

[Reactie gewijzigd door kristofv op 21 juni 2019 16:46]

Dat is weer wat anders, dat heeft met adoptie te maken. De medewerkers weten vaak niet hoe ze kunnen werken.
Wat ik dus letterlijk zei? ;-) Zal een BE<> NL dingetje zijn dat het niet overkwam.
Excuus je hebt gelijk.
Geen probleem hoor ;-)
Bij ons op werk is het zelfs zo geregeld dat alles met interne IP addressen gebeurd, niks geen lijn naar de buitenwereld.
Grappig, kreeg vorige week ook van de gemeente Moerdijk meerdere BuitenBeter meldingen met gegevens die niet voor mij waren. Uiteraard gemeld bij de gemeente maar niets terug gehoord, ondanks mijn melding dat het een mogelijk AVG incident was.
Aanpakken, die gemeente. Vrij nalatig gedrag.
mailing array starts at 0? :+
hmm, altijd al een beetje huiverig geweest om zo bestanden te delen. bewijst maar weer eens dat je het ook aan de clientside moet beveiligen met wachtwoord oid.
Precies wat ik doe; in zip en wachtwoord erop. Ontvangers klagen weleens, want ze vinden unzippen "veel werk" (wat dat ook mag betekenen). Toont aan dat mijn paranoia toch ergens goed voor is ;)

[Reactie gewijzigd door Roxo op 21 juni 2019 16:13]

Kwestie van versleuteld verzenden
Ja of gewoon de link gebruiken i.p.v. de e-mailadressen weggeven.
Bijna niemand gebruikt die mogelijkheid van WeTransfer, maar het is veel beter en makkelijker omdat je dan gewoon je eigen e-mail kan gebruiken. Bovendien loop je geen risico dat ze het naar de verkeerde sturen.
Dat is alsnog schijnveiligheid; mij zou eerder het verbazen als er niet een of meerdere scrapers actief is op juist dit soort deeldiensten dan wanneer het wel voorkomt...

dan is het dus een kwestie van tijd voordat die attachment at-random alsnog gedownload wordt; als dat geen aanvaardbaar risico is is dus de enige oplossing vooraf versleutelen of botweg niet ongeauthoriseerd delen.
Ja of deze gebruiken, password erop en dat met een postduif versturen.
zolang er ergens maar iets van een wachtwoord/authenticatie nodig is, is het stukken beter natuurlijk :)
En wat gebeurt er als die link toch per mail gestuurd wordt aan totaal vreemden. En zou er iemand die link kunnen raden? Vast wel.
Ik maak zoveel mee dat personen met mij bestanden delen via een dienst als WeTransfer, vaak gaat dit dan om persoonlijke of om bedrijfsgegevens. Omdat veel mensen 'niet weten' (lees de moeite doen) om er een (veilig) wachtwoord op te zetten, kunnen dus deze gegevens onbedoeld op straat komen te liggen via een foutje als deze.

Even voor de duidelijkheid: ik heb niks tegen deze diensten, maar als het om belangrijke data gaat, zie ik deze liever niet hierop verschijnen of dus op z'n minst encrypted.
Als je niet beter weet en denkt dat het veilig is waarom zou je dan nog moeite doen om het nog veiliger te maken?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee