Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Dieven stelen kluis met data honderdduizenden NL-klanten Allianz-reisverzekeraar

Bij een diefstal van een kluis zijn gegevens van honderdduizenden klanten van Allianz Global Assistance ontvreemd. Het gaat onder andere om contact-, bankrekening- en verzekeringsgegevens, waaronder voertuigkenteken. Of de data versleuteld was is onduidelijk.

De kluis met fysieke back-up is gestolen uit een externe beveiligde locatie, meldt Allianz Global Assistance, de in Amsterdam gevestigde aanbieder van reisverzekeringen en diensten rond pechhulp. "De gestolen back-up is alleen toegankelijk voor personen met de juiste specifieke apparatuur en kennis", meldt het bedrijf. Allianz Global Assistance heeft deskundigen in de arm genomen die controleren of de dieven de data hebben kunnen 'ontsluiten' en bijvoorbeeld online gebruiken. Er zijn nog geen indicaties dat dit het geval is, meldt het bedrijf.

De vraag of 'ontsluiten' ook betekent dat de data versleuteld is, kan Erwin van Dijkman, woordvoerder van Allianz Global Assistance, niet beantwoorden. Wel bevestigt hij dat het om opslagtapes gaat, magnetische tapes die bedrijven nog vaak gebruiken voor opslag van grote hoeveelheden data voor lange tijd. Om die uit te lezen zijn tapedrives nodig. "We willen niet teveel details naar buiten brengen om de daders niet te helpen met wat ze ermee aanmoeten", meldt Van Dijkman verder.

Van hoeveel klanten de gegevens precies zijn gestolen kan hij niet zeggen: "Er zitten bijvoorbeeld ook gegevens van reisgezelschappen tussen, die uit meerdere personen bestaan." Wel is volgens hem duidelijk dat het om honderdduizenden personen gaat. De gegevens betreffen onder andere polissen, bankrekeningnummers en dossiers over schade, waaronder eventueel processen-verbaal, als die daar onderdeel van waren. Creditcardgegevens en wachtwoorden zijn geen onderdeel van de ontvreemde data van Allianz. Klanten die willen weten welke gegevens het bedrijf over hen heeft opgeslagen kunnen die opvragen via een Formulier inzage en verwijdering persoonsgegevens.

Allianz Global Assistance waarschuwt klanten in e-mails over misbruik voor phishing en fraude. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens.

Door Olaf van Miltenburg

Nieuwscoördinator

19-09-2019 • 17:52

109 Linkedin Google+

Submitter: LemonC200

Reacties (109)

Wijzig sortering
Het is de eerste keer dat ik hoor van dieven die er met een fysieke kluis vol tapes vandoor gaan, maar aanvallen op backups zie je vaker. Vaak zijn backups namelijk niet zo best beveiligd en niet versleuteld. Ik snap het wel, je moet bij je backups kunnen als het nodig is. Als er te veel hobbels zijn wordt de kans ook groter dat je niet bij je backups kan wanneer je ze nodig hebt.
Daarbij bevatten backupsystemen vaak de backups van heel veel andere systemen en hebben ze op hoog niveau toegang tot die systemen want dat is nodig om de backup te maken.
In plaats van het systeem zelf te kraken kun je beter het backupssysteem aanvallen. Met wat geluk heb je dan alle data van de organisatie in één keer in handen.
Vaak wordt software encryptie niet gebruikt omdat dit de backups trager maakt. Dat zou niet zo moeten zijn maar die backup software is vaak ruk.

Veel tape libraries/drives ondersteunen native hardware accelerated encryptie. Kost wat geld en een set USB dongles/smartcards maar vanaf dat moment is encryptie transparant en kun je op maximale snelheid je backups draaien.
Het niet gebruiken van software-encryptie voor dit soort gegevens is in strijd met de AVG. Aangezien het oudere back-ups zijn zou je het wellicht nog door de vingers kunnen zien, maar toch...

Edit: encryptie gebruiken en de sleutels ergens anders fysiek opslaan is heel eenvoudig te doen, kost (naast het inrichten van het proces) bijna geen extra tijd en voegt enorm veel veiligheid toe juist in dit soort gevallen. Ik vind dat tegenwoordig echt iets basics en absoluut noodzakelijk.

Ik blijf dus bij wat ik eerder zei hierover, en ook met dat dit door de vingers gezien kan worden aangezien het oude back-ups zijn. Verder is encryptie zeker iets voor langdurig opgeslagen materiaal, niet alleen voor tijdens data transfer (wat hieronder in reacties wordt gezegd). Als de kluis echt heel erg degelijk is, dan zou je kunnen zeggen dat dit ook al genoeg is, alleen als encryptie kan worden toegevoegd dan is dat een goede extra laag die de data beschermt tegen onbevoegden (medewerkers en dieven). Voor minimaal weinige extra werk. Tapes lees je toch sequentieel op een snelheid die relatief laag is en zeker genoeg om alles door bzip te catten.

[Reactie gewijzigd door Sorcerer8472 op 19 september 2019 22:59]

Hoe kom je daar bij? Encryptie is geen 'noodzaak' volgens de AVG. Er moet een 'passende' beveiliging aanwezig zijn. In het geval van tape backups (omdat die gegevens inherent onbereikbaar zijn zonder fysieke toegang tot de gegevensdrager) is ze ergens achter een dik slot opslaan volgens een vaststaand schema voldoende. Je gaat er niet vanuit dat die fysieke kluis gejat wordt.

Encryptie op tape backups is zwaar overrated, aangezien je toch ergens je sleutel moet opslaan (dat kan niet op je encrypted backup). En waar leg je die? Nou, in dezelfde kluis natuurlijk. Encryptie is dan ook niet bedoeld om je backups mee te beveiligen, maar om grote hoeveelheden data te beveiligen die verplaatst worden via tapes. Er zijn nog zat bedrijven die tapes uitwisselen, juist omdat de data niet via een netwerk verstuurd MAG worden. Daar is de tape-encryptie voor uitgevonden. Encryptie voor tape backups is niets anders dan marketing gelul. Ook die met een dongle werkt.
Nou daar ben ik het nier mee eens. Het paswoord voor de encryptie kan je in een andere plaats in bijv. een paswoord manager opslaan. veelal worden bij kleine bedrijven de tapes soms thuis bewaard. Dan is het wel degelijk fijn dat dit geencrypted is.
Ik zou hem uitprinten en in de kluis leggen. Je password manager database staat waarschijnlijk op een beveiligde share waar niemand bij kan, met een wachtwoord beveiliging, en dat bestand wordt netjes in de backup meegenomen... Die je niet meer terug kunt zetten als de serverruimte afgefikt is (met je bestand er bij).

Thuis bewaren kan prima. Zeker als je de persoon die de tapes bewaard rouleert onder je beheerteam. De kans dat ze de tapes bij een inbraak meenemen is vrij klein, en als je als bedrijf doelwit bent van een gerichte diefstal van backup tapes hoor je ze als bedrijf niet bij je werknemers te houden. Betere optie is echter wel om ze in een bankkluis te bewaren. En dan wekelijks rouleren. Van library naar bankkluis, en van bankkluis naar on-site kluis.

Mochten ze de tapes bij je thuis toch jatten, dan hebben ze geen idee wat ze er mee moeten. Is encryptie nog steeds nodeloos lastig (en gevaarlijk als je de key kwijt raakt), en weegt dat nadeel niet op tegen het voordeel.

Maar goed, verschillende meningen moeten er zijn.
Ja als je de key kwijt raakt dan kan je, als de hele tent afbrand, niet restoren. maar dat geld ook voor de backup tapes. Voor een normale restore op de server heb je het paswoord niet nodig.
Tegenwoordig heb je office 365 met cloud opslag en weet ik wat allemaal waar je een backup van je password manager kan neer zetten. Het moet wel heel erg idioot lopen als je daar ook niet meer bij kan.

[Reactie gewijzigd door trisje op 23 september 2019 09:55]

AVG stelt nauwelijks nieuwe eisen die ervoor nog niet bestonden. Echter worden er in de AVG wel straffen naast gezet die zoden aan de dijk zetten. De Privacy eisen waren er al een 10-tal jaaren eerder... maar de straffen waar belachelijk laag.
Maar een kluis is ook een vorm van encryptie, je hebt een sleutel nodig om de data te ontgrendelen, of je kan natuurlijk gaan bruteforcen.

je kan de boel natuurlijk ook dubbel encrypten, een kluis in een kluis :+
Een kluis is een zipfile met een wachtwoord erop (niet encrypted, specifieke kennis nodig om de buitenkant te 'breken', klaar). Vergelijking gaat niet helemaal op omdat het wachtwoord omzeilen ws makkelijker is dan een kluis openbreken, maar goed ;)
Er staat in de avg niet dat alles encrypt moet zijn. Het moet passend beveiligd zijn met moderne middelen. Wellicht was het een heel moderne kluis (die toch niet zo goed vast zat)
Tapes voldoen toch sowieso niet aan de AVG? Als ik Allianz vraag om mijn gegevens te verwijderen, dan lijkt me dat bijzonder lastig als dit op tapes staat.. Men kan immers mijn deeltje er niet uitknippen, toch?
Tapes voldoen toch sowieso niet aan de AVG? Als ik Allianz vraag om mijn gegevens te verwijderen, dan lijkt me dat bijzonder lastig als dit op tapes staat.. Men kan immers mijn deeltje er niet uitknippen, toch?
Vergeet niet dat niet alle gegevens ook zomaar verwijderd mogen worden
Zolang ze er goede redenen (verplichtingen) voor hebben, blijft jouw data bewaard.
Het mag niet onbepekrt opgeslagen blijven, maar jouw data op een backuptape is zeer zeker aannemelijk te maken, aangezien zulke tapes om de XX tijd overschreven worden.
Als zo'n bedrijf aannemelijk maakt dat dus de relevante data na 5 jaar verwijderd is, wordt dat onder AVG geaccepteerd.
Oude backups op externe media (tapes of losse harde schijven) mogen ook binnen de AVG gewoon bewaard blijven. Dat is geen "toegankelijke data". Normaal worden backups zelden gebruikt en je hebt in de meeste gevallen eerst fysieke toegang nodig.
Er staat in de avg niet dat alles encrypt moet zijn. Het moet passend beveiligd zijn met moderne middelen. Wellicht was het een heel moderne kluis (die toch niet zo goed vast zat)

Bovendien is de vraag of de tapes ook het doelwit waren van de diefstal, of bijvangst.

Een fysieke inbraak is evident véél gevaarlijker dan eentje via een netwerk, dus ik vermoed een gerichte aanval met niet onwaarschijnlijk inside informatie. Op zijn minst moet iemand weten dat er een kluis is en waar die staat.
Het niet gebruiken van software-encryptie voor dit soort gegevens is in strijd met de AVG.
Geef daar eens een link van want naar mijn idee is dat onzin.
Onzin. De AVG stelt dat je passende maatregelen moet nemen naar de stand van de techniek. Ik zou zeggen dat het bewaren van je backups *in een kluis* daar prima aan voldoet.

Dat je de data niet versleuteld is niet zo raar. Het kost extra tijd bij backuppen en vooral bij restoren. Bovendien moet je ergens de sleutels bewaren (in dezelfde kluis?)

De wet geeft geen hoger waardeoordeel aan recente gegevens t.o.v. verouderde gegevens. Klantgegevens blijven klantgegevens.
De dagelijkse / wekelijkse backups kunnen prima in een truecrypt/bitlocker container.
Ik heb voor een kennis met klein bedrijf naast een online sync op zijn secundaire server een synchrone backup lopen naar een veracrypt container.
Deze gaat om 01:00 offline, maakt een backup en deze wordt dan weer via duplicati naar de externe opslag.

Nu is dat een kleine ZZP'er, zijn backups zijn momenteel nog op een 1TB HDD weg te zetten :+
Maar in het geval dat hij de backup nodig heeft, is hij hoogstens 24u 'kwijt' in het ergste geval 48uur.

De AVG toetsing werd zelfs zonder encryptievragen doorlopen, de enige vraag was "hoe is klanten veiliggesteld, en is er externe toegang mogelijk ( portaal )"
Die is er niet, alles kan zonder internet doordraaien, en er is geen 'papieren dossier'
Wat allemaal kan is niet relevant. Wat relevant is is dat je voor de AVG maar ook voor bv. ISO27001, NEN7510 etc een risico inventaris moet maken. Daar schets je bepaalde scenario's en geeft aan wat de waarschijnlijkheid is, de impact en dergelijke.

Als ik voor een verzekeraar, wat toch een beetje 'stoffig' is, een risico-inventarisatie zou moeten maken, zou ik de kans op diefstal van een kluis met daarin backup-tapes als zeer onwaarschijnlijk aanmerken.

Zet dat af tegen het toegenomen risico dat de truecrypt/bitlocker mogelijk niet meer gedecrypt kan worden om wat voor reden dan ook, zou ik dit afraden. En dat zou ik na dit incident nog steeds doen.

AVG toetsing (voor zover dat bestaat) zal nooit technische implementaties toetsen, daar dat gewoon afhankelijk is van je risico-inventarisatie. Er staan geen technische verplichtingen in de AVG.
Dus eigenlijk zeg eerst dat dit absoluut niet mag, en vervolgens zeg je dat het misschien soms wel mag. Je blijft dus niet bij wat je er eerder over zei.

Kort gezegd, kan je dit soort stellingen niet in z'n algemeenheid zo deponeren. De AVG laat hiertoe ruimte bij de verantwoordelijk partijen. Kies zelf maar wat passend is, maar je moet wel rekening houden met X Y Z bij het maken van die keuze. Dus als er andere maatregelen getroffen zijn waarbij rekening gehouden is met het riedeltje uit art. 32(1) en lid (2) ben je er gewoon al:

32.(1) Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen
32.(2) Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Als deze tapes in de kluis bij DNB hadden gelegen, ga er dan maar van uit dat het prima is om de tapes niet te encrypten. Maar goed, dat zeg je zelf uiteindelijk ook.
In een kluis bewaren en de fysieke sleutel ergens bewaren is natuurlijk ook een vorm van beveiliging.
De meeste programmas en tape drives ondersteunen hardware encryptie, heb je helemaal geen dongels en hardware voor nodig. Je moet het wel aan zetten en een sleutel maken. natuurlijk moet je die dan ook weer gebruiken als je wilt restoren. dat kan ook op een nieuwe backup server.
We hebben hier meerdere HPE tape libraries en daar heb je een USB dongel bij nodig om gebruik te maken van de encryptie. Deze dongels zijn USB devices en moeten geplaatst worden en blijven in de USB poort van de library. Naast de dongel is er dan nog een password om een en ander te enablen.
Normaal gesproken heb je één dongen in de library en de tweede op de offsite locatie zodat je ook nog kunt restoren na een calamiteit op een uitwijklocatie.
https://support.hpe.com/h...ay?docId=emr_na-c02074323
To use the encryption kit, verify that the autoloader or library is running compatible firmware, insert a keyserver token into the USB port on the back of the autoloader or library, and then enable and configureencryption from the remote management interface (RMI). For detailed instructions, see Installing andconfiguring the encryption kit on page 19
Precies, ik heb die encryption kit (2k euro) toegepast, werkt als een trein en je krijgt dus twee USB dongels die niets anders zijn dan twee USB smartcards (1 als backup).

Je moet even 2x dezelfde key naar beide USB smartcards backuppen en zo slim zijn om de key buiten het pand op te slaan (Veilig) en je bent klaar.
Vaak wordt software encryptie niet gebruikt omdat dit de backups trager maakt. Dat zou niet zo moeten zijn maar die backup software is vaak ruk.
Niet eens zozeer trager, maar minder veilig voor lange opslag, want je weet niet zeker of je over 10-20 jaar als je ze nodig hebt nog wel zeker alles kan decrypten, of de software nog bestaat, en of de keys nog beschikbaar zijn. Dus voor audit backups is het niet altijd een optie.
Ik zie dat niet echt als excuus. Wanneer je het nodige certificaat kwijt bent heb je de procedures niet op orde. En dan heb je veel ergere problemen. Is het zelfde als je enterprise administrator password kwijt zijn. Dat ligt toch ook in een kluis bij een bank, of liefst bij twee banken over 4 locaties verdeeld, bank 1 heeft eerste helft, bank 2 de tweede helft, waarbij alleen SELF in staat is om wachtwoord van het account te wijzigen (dus niet het schaduw account).
Twee banken over vier locaties? Dan moeten het wel heel belangrijke gegevens zijn. Voor 99% van het MKB is dit zwaar overkill
Het is wel een excuus, want het is een risico. Het mag dan zijn dat het en gevolg heeft van het niet in orde hebben van procedures, dat is niet relevant.

Als de vraag op tafel ligt 'moeten we backups encrypten', en je maakt een afweging met pro's en con's dan zou het risico op diefstal uit een verankerde kluis naar mijn idee op 'zeer onwaarschijnlijk' gezet moeten worden, en de kans op 'over 10 jaar niet zonder problemen kunnen restoren want oude software of onjuiste procedures' op 'waarschijnlijk'.

Mijn advies zou dan zijn om het niet te doen.
Het risico zit tussen tape library en opslag. En zolang de werknemer, van meestal een externe partij, een dermate laag salaris heeft dat een paar ton verleidelijk is.....

Kortom, op het moment dat data het pand verlaat. Dan is het encryptie. Het kan toch niet zijn dat we over de hele linie data beschermen en dan zo maar onversleutelde data in een busje stoppen en de weg op laten gaan.
Nogmaals, dat kan dus prima. Als je besluit dat het risico dat in dat proces de data wordt gestolen nihil is.

En iemand omkopen voor een paar ton voor wat tapes waarvan je niet zeker weet wat er op staat? Ik weet 't niet hoor. Nogmaals, het gaat hier om hele oude data van een verzekeraar. Nou niet de meest spannende data.

Dit zal vooral een gevalletje 'he kut we hoopten dat er geld in zou zitten' zijn
Bedrijven welke zo met data van klanten om gaan mogen van mij part failliet gaan.

Encryptie is geen vraag wanneer data het pand verlaat, Encryptie is een must. Maar tja, daar mogen waarschijnlijk ook gewoon medewerkers met onversleutelde USB sticks data meenemen, en remote werken met eigen computer op een simpel VPN verbinding welke de thuiscomputer ook direct het server segment vanuit thuis open zet.

En nu maar wachten tot het fout gaat... En ja, backups met Encryptie duren langer, kost meer tapes. Maar tja het is een keuze. En verwijtbaar wanneer het fout gaat. En wie krijgt straks dr schuld? De ICT'er want Management heeft altijd wel een excuus.
Tsja mooi verhaal, maar ik blijf erbij dat je afwegingen moet maken. Het is altijd achteraf makkelijk praten dat het een verkeerde afweging was als het een keer fout gaat, maar budgetten zijn nou eenmaal niet eindeloos en elke extra maatregel kent risico's.

De wijze waarop backups worden bewaard zou een door het management goedgekeurd proces moeten zijn, conform bijvoorbeeld ISO27001 aan de hand van een risk-assessment/risicoinventarisatie. Management komt er echt niet mee weg wanneer in de risicoinventaris is besloten dat het een acceptabel risico is om ICT dan maar de schuld te geven.
ik vind het verdelen van de password een beetje een overkill. Wat hebben jullie met de persoon gedaan die het paswoord heeft Ingetypted en op de papiertjes heeft geschreven voor distributie naar de kluisjes.? :)
Wat ik er van weet is dat twee mensen het wachtwoord invoerden en hun deel in enveloppen stopten welke verzegeld werden. En er was maar 1 persoon in de kamer. Heb dit proces gezien bij twee banken en een overheid instelling. In alle gevallen werd ook direct het schaduw account aangemaakt en werden de security eigenschappen van het "master" account aangepast en gecontroleerd.
En nu is 1 van beide papiertjes nat geworden of vochtig, waardoor de inkt is uitgelopen. Of de envelop raakt een keer zoek bij een verhuizing van het kantoor, sleutel van kluis is kwijt, kluis met de envelop wordt gejat of is slachtoffer van een brand. Deel van het wachtwoord is niet meer te herleiden.

En nu? Backups nutteloos.
Dubbele opslag. Dus komt echt wel goed. En wachtwoord wordt ook met enige regelmaat aangepast.
Ja met "komt wel goed" is nog nooit iemand de mist in gegaan. Je lijkt volledig voorbij te gaan aan de risico's die ik je noem.
Met de hedendaagse processoren kan je gewoon encrypten zonder al te veel overhead, dankzij AES-NI instructie set.
Hier passen we encryptie van de virtuele schijf toe. Hierdoor bevatten de backup's wel de schijf, maar deze is encrypt en kan je niet starten zonder de passphrase welke in een kluis op een andere locatie ligt. Nadeel is, de VM's komen na een storing niet automatisch up (maar gelukkig hoe vaka gebeurd dat nou in een echt datacenter), maar hebben input nodig. Voordeel is dat alles direct in rest is ge-encrypt.
Lijkt mij bij een grote organisatie niet handig. Grote stroomstoring of storage failure en je moet op 1500 VMs het wachtwoord invoeren?
Sowieso moet je dat tegenhouden, grote failures. Verder zijn het alleen de data vms, niet de rest. Is idd niet ideaal, maar zo voldoe je wel aan strenge audits in verzekeringsland.
Klopt. Maar je zult toch ook moeten weten hoe (welke software & instellingen zoals b.v Parallel streaming) er gebackupped is. Anders heb je nog niet heel veel aan die tapes. Daarbij kun je op tapes ook encryptie gebruiken. Ik denk dat de gemiddelde hacker beter is om via netwerk binnen te dringen dan met een tape aan de gang te gaan.

Maar goed is het natuurlijk bepaald niet dat dit meegenomen kan worden.
Iemand met een beetje kennis ervan komt daar volgens mij wel redelijk snel achter hoor :)
Het is nu een echte off-site backup.
Dat zou niets uit mogen maken wanneer je Encryptie aan hebt staan.
We weten natuurlijk niet of de backups het doel waren. Ik kan me gerust voorstellen dat ze hoopten op cash of andere waardevolle spullen.
Zal voor die dieven vast een enorme teleurstelling zijn, stelletje stomme tapes die Cash converter misschien voor 5,- wil kopen i.p.v. geld.
Yup zo heb ik recent helaas ervaren dat ik de code van een Signal chat backup verkeerd had genoteerd. Helaas had ik geen camera bij de hand want anders had ik er natuurlijk wel een foto van gemaakt. Maar die backup met pakweg 2 jaar chat geschiedenis is helaas voor altijd onbereikbaar. Ik had niet de keuze om zonder encryptie op te slaan. Dat is natuurlijk heel veilig maar in mijn geval was het iets te veilig. ;)
Ik heb een Allianz mail gehad,

Niet alle backups zijn gestolen, en het gaat om een deel (oudere) gegevens; hoe oud zeggen ze (bewust?) niet.
Met betrekking over encryptie/veiligheid zeggen ze enkel:
-CITAAT-
"De gestolen back-up is alleen toegankelijk voor personen met de juiste specifieke apparatuur en kennis. Een team gespecialiseerde IT’ers en externe experts zoekt dagelijks naar indicaties van het ontsluiten en gebruik van de gegevens. Vooralsnog is er geen enkele aanwijzing dat de daders de gegevens hebben kunnen ontsluiten." .. - Einde Citaat -
Specifieke apperatuur is vooral de tape-machine; kennis kan zoveel betekenen als gebruik van de apparatuur als encryptie, maar nergens staat feitelijk geschreven dat het ge-encrypt is..

De waarschuwing tegen Phishing die ze geven vind ik wel netjes en goed geformuleerd:
-CITAAT-
De daders kunnen wellicht proberen meer informatie bij u te krijgen. Bijvoorbeeld door u een e-mail of SMS uit onze naam sturen, waarin uw bankrekeningnummer genoemd is. Wij sturen echter nooit een betaalverzoek via e-mail of SMS. Ook sturen wij geen SMS-berichten over automatische incasso’s. Wij adviseren u daarom extra waakzaam te zijn op verdachte transacties of afwijkende vragen. Ontvangt u mail, SMS of post van ons die u niet vertrouwt, meld dit dan via claimsfraud.nl@allianz.com.
- EINDE CITAAT --.

Gestolen Data; Ofwel phishing of ze proberen het ergens online te verkopen; wordt afwachten.
De vraag is wel natuurlijk of de dieven specifiek de kluis gestolen hebben voor de tapes die er in liggen of gewoon gestolen hebben omdat er verwacht werd dat er andere waardevolle spullen in lagen. Ook is niet duidelijk of er misschien niet gewoon meerdere zaken zijn gestolen maar waar dus de kluis onderdeel van was. Er is nu gewoon door de maatschappij gezegd dat hun kluis gestolen is.
De vraag is wel natuurlijk of de dieven specifiek de kluis gestolen hebben voor de tapes die er in liggen of gewoon gestolen hebben omdat er verwacht werd dat er andere waardevolle spullen in lagen. Ook is niet duidelijk of er misschien niet gewoon meerdere zaken zijn gestolen maar waar dus de kluis onderdeel van was. Er is nu gewoon door de maatschappij gezegd dat hun kluis gestolen is.
En hebben ze zich netjes aan hun meldplicht gehouden "er ligt data op straat "
Meer is er niet nodig, niemand kan ze er mee helpen, "vervelend - we're moving on"
Als ik het zo lees denk ik dat je straks ergens in het bos of op de vuilnishoop deze tapes terug zal vinden. Grote kans dat ze niet weten wat ze hiermee aan moeten. En inbreken is een andere tak van sport als ID fraude.

Het is ons ook een keer in het verleden overkomen. Kluis gestolen uit het pand, inbrekers dachten waarschijnlijk dat er geld in zat. De kluis is later teruggevonden, delen van de inhoud zaten nog in de kluis, resten in de bosjes… :-(
De mail die verzonden is naar de klanten


19 September 2019
BELANGRIJK: UW GEGEVENS BIJ UW REISVERZEKERING, FIETSVERZEKERING EN/OF PECHHULP VAN ALLIANZ GLOBAL ASSISTANCE


Beste heer.... ,

U ontvangt deze e-mail omdat u een reisverzekering, fietsverzekering of pechhulpverzekering hebt (gehad) bij Allianz Global Assistance. Wij vinden de veiligheid van onze gegevens en de continuïteit van de service aan onze klanten erg belangrijk en daarom zijn dagelijkse back-ups van onze gegevens op meerdere manieren opgeslagen. Bij een diefstal in een beveiligde locatie is recent een kluis met daarin een deel van onze back-up gestolen. Wij hebben aangifte van diefstal gedaan bij de politie en het onderzoek loopt nog. Direct zijn externe experts met ons aan de slag gegaan en hebben wij maatregelen genomen om herhaling te voorkomen.

Wat is er gestolen?
In de back-up zaten zeer diverse en vooral oude gegevens, maar deels ook persoonsgevoelige informatie. Daarom hebben wij hiervan ook melding gedaan bij de Autoriteit Persoonsgegevens. De gestolen back-up is alleen toegankelijk voor personen met de juiste specifieke apparatuur en kennis. Een team gespecialiseerde IT’ers en externe experts zoekt dagelijks naar indicaties van het ontsluiten en gebruik van de gegevens. Vooralsnog is er geen enkele aanwijzing dat de daders de gegevens hebben kunnen ontsluiten. Inmiddels hebben wij preventief een algemene waarschuwing voor phishing e-mails en SMS’jes op onze website geplaatst. Desondanks willen wij iedereen informeren die mogelijk betrokken is. Wij betreuren dat de gegevens die u aan ons heeft toevertrouwd nu gestolen zijn. En werken er hard aan om de mogelijke gevolgen voor u te beperken.

Wat betekent dit voor u?
Wij sturen u deze brief omdat uw gegevens op deze back-up staan en wij het van belang vinden u rechtstreeks te informeren. In de back-up zijn uw contactgegevens, verzekeringsgegevens (waaronder indien van toepassing uw voertuigkenteken) en bankrekeningnummer opgeslagen. Op zich is dit geen reden tot zorg. Zonder uw persoonlijke inloggegevens van uw bank kan er niets met uw rekening gebeuren. De daders kunnen wellicht proberen meer informatie bij u te krijgen. Bijvoorbeeld door u een e-mail of SMS uit onze naam sturen, waarin uw bankrekeningnummer genoemd is. Wij sturen echter nooit een betaalverzoek via e-mail of SMS. Ook sturen wij geen SMS-berichten over automatische incasso’s. Wij adviseren u daarom extra waakzaam te zijn op verdachte transacties of afwijkende vragen. Ontvangt u mail, SMS of post van ons die u niet vertrouwt, meld dit dan via claimsfraud.nl@allianz.com.

Hebt u vragen?
Wij houden een actuele lijst met vragen en antwoorden bij op onze website. Wij verzoeken u vriendelijk om eerst deze pagina te raadplegen. Mocht uw vraag niet beantwoord worden op onze informatiepagina dan kunt u ons bereiken op 0800-3345000.

Wij hopen u hiermee voldoende te hebben geïnformeerd,

Met vriendelijke groet,


Willem Snijders
Chief Executive Officer
Ik heb als klant van Allsecur (nu Allianz) in ieder geval (nog) geen mail gehad.
Allsecur zit zo ver ik weet niet in hetzelfde systeem. Vaak zitten niet alle polissen zitten in hetzelfde administratieve systeem, of is dit niet gemigreerd naar hetzelfde systeem na overnames.
The revenge van Tim en Tom ?
"Noouuuu dat gaat sneller dan je denkt!"

Die reclame van ze kan nu zooo tegen ze gaan werken, hoewel de naamsbekendheid nu bijna gegarandeerd is. Het is gewoon wachten op de eerste grapjurk die hiermee gaat lopen.

Complottheorie: Misschien hebben ze de kluis wel weggegeven om hun naamsverandering extra ruchtbaarheid te geven 8)7
Vreemd, ik heb een autoverzekering van Allianz en pechhulpverzekering van Allianz Global Assistance maar niets gehoord.

[Reactie gewijzigd door cryptapix op 19 september 2019 18:48]

Bijvoorbeeld een autoverzekering en een rechtsbijstand verzekering hoeven niet per se in hetzelfde systeem te zitten. Allianz weet welke data ontvreemd is, en kan met het huidige klantenbestand controleren van wie er wel en niet data mogelijk ontvreemd is.
Ja dat klopt, wellicht is mijn data van Allianz Globsl Assist wel veilig. Lijkt erop dat het sowieso geen betrekking heeft op autoverzekeringen van Allianz.
Ik heb een Auto en Reisverzekering en wel de mail gehad.
wordt ook melding gemaakt van kans op kentekengegevens..
Denk dat u in een andere backup / server zit en niet in deze.
(goede zaak dat ze het gesegmenteerd opslaan en niet ALLES op 1 locatie) :).
Beperkt de schade tot een deel van het klantenbestand (ook bv bij brand /instorting oid)
Ik heb deze e-mail ook gekregen vanmiddag. In mijn geval heb ik een pechhulp verzekering bij Allianz. Geen inloggegevens verder, dus maak me geen zorgen.
Ik heb een reisverzekering bij Allianz Nederland en heb ook nog niets vernomen.
Als ik hoor dan een complete kluis wordt meegenomen, dan komt dat bijna altijd voor bij particulieren die een privékluis hebben gekocht en die in een kast neerzetten.
Voor particulieren moeten kluizen degelijk verankerd worden aan een muur en/of vloer. Vaak (van te voren) in overleg met de verzekering wat betreft de waarde van de inhoud en het uit te keren bedrag in geval van diefstal.
Om een idee te geven, bedrijfsmatig moeten alle (vrijstaande) kluizen degelijk verankerd worden aan de muur en vloer voor kluizen met een gewicht van 1 ton (1000kg) en lager. Ik heb foto's gezien van het gevolg van kluizen die met een vrachtwagen met kettingen vanuit de 1e verdieping uit een bedrijfspand zijn gehaald.

Nu is dus de complete kluis gestolen uit een beveiligde locatie. Dan hebben toch wat mensen behoorlijke steken laten vallen. Als het pand niet aleen mechanisch maar ook electronisch met doormelding beveiligd was, dan waren de "beveiligers" rijkelijk te laat. Bouwtechnisch gesproken zou een goed gemonteerde kluis niet binnen een kwartier mee te nemen moeten zijn, zeker niet wanneer je het pand nog eens gaat compartimenteren.

Bovenstaande is slechts gissen op basis van de beschikbare informatie, maar geconcludeerd mag je wel stellen dat Allianz hun zaakjes niet goed voor elkaar had.
Verhuizing? Verhuisbedrijven hebben behoorlijk verloop in hun personeel en het gebeurt regelmatig dat er op die manier iets verdwijnt.
De kluis stond tot een paar jaar geleden in ieder geval bij Shurgard op loopafstand van het kantoor.
Ik vind het inderdaad heel apart dat ze de kluis daar weg hebben kunnen halen zonder het alarm te activeren.
Kan iemand mij vertellen of zo'n verzekeringsbedrijf niet verplicht is alle gegevens te wissen na een x aantal jaar? Ik ben er al 3 jaar weg, maar kreeg evengoed deze brief...
Desbetreffende boeven weten nu in ieder geval dankzij alle persberichten dat ze al dan niet beveiligde gegevens van honderd- duizenden klanten in handen hebben. Al is het natuurlijk speculatief om te denken dat dat nog niet zo was.

Voor hetzelfde geld hoopten ze op wat cash.

Nu vraag ik mij ook af wat een backup van zoveel data van mensen in een kluis op externe locatie doet, waarvan (bij gebrek aan details) het lijkt of die locatie helemaal niet zo goed beveiligd is.
Dat is toch heel logisch, je bewaard je backups namelijk op een fysieke gescheiden locatie (liefst zo ver mogelijk weg) zo dat als de pleuris uit breekt je data niet weg is.

En in een kluis zo dat niet iedereen ze zo van de plak af pakt en ze bij brand en zo ook nog veilig liggen.

Dikke kans dat die locatie specifiek voor backups was.

Er ontbreekt nogal wat informatie om er met zekerheid wat over te zeggen, maar er is natuurlijk een kans dat dit gedaan is door mensen die wisten waar ze op uit waren en eventueel een inside job was. Het was een beveiligde locatie dus waarschijnlijk waren het geen huis, tuin en keuken inbrekers.
Precies wat je zegt: een gemiddelde inbreker die alleen maar naar sieraden of dure horloges op zoek is gaat geen moeite doen om specifieke backup sets van een grote verzekeraar buit te maken. Die weet waarschijnlijk niet eens wat zoiets is. Sterker nog, nou ben ik geen dief maar, gemiddeld genomen gaat een (fysieke) diefstal er vooral om goederen buit te maken die vrij makkelijk weer te verkopen zijn, al dan niet op de zwarte markt.

Dat er hier nu een tape backup-set is buitgemaakt doet me dan ook vermoeden dat diegene die hier zo specifiek naar op zoek was waarschijnlijk ook weet wat hij/zij er mee moet doen. Want zelfs al gaat het om een gewone legale recovery van een set tapes, kan dit een behoorlijke rotklus zijn (vooral als je niet precies weet hoe er is weggeschreven). En dan moet je dus al een tapedrive bezitten die met de bewuste tapes overweg kan. De gemiddelde (gevorderde) it-er heeft nieteens een dlt, lto - ultrium of weet ik veel wat er tegenwoordig gangbaar is in de tapewereld-drive in huis.
De gemiddelde (gevorderde) it-er heeft nieteens een dlt, lto - ultrium of weet ik veel wat er tegenwoordig gangbaar is in de tapewereld-drive in huis.
Tsk, tsk... Speak for yourself, er zijn teveel ITers die nog zo een tape unit hebben staan (thuis), zoals ikzelf... Prima te krijgen op Marktplaats en hier op V&A, dus als je wil, kom je er zo aan.

Wat mensen kennelijk niet snappen is dat als dieven ergens de tijd hebben, ze alles van mogelijke waarde meenemen, een dichte kluis is natuurlijk een prima doelwit (er is een stevige handel isn bedrijfs en persoonsgegevens). Er zullen vast kopers voor zijn, die er mogelijk niet veel voor geven, maar exact weten bij wie ze moeten zijn om die data eruit te krijgen. Deel van een goede backup is een goede beveiliging van de locatie waar je het opslaat, als je tijd krijgt om een flinke kluis mee te nemen, dan hebben ze de in/uitgang veel te gemakkelijk gemaakt (tenzij we het her hebben van een kleine flut kluis die je op een steekwagen zet...

Er zijn locaties die wel prima veilig backup tapes kunnen opslaan, dat kost zeer waarschijnlijk meer dan deze oplossing (zonder boete), ram er alstublieft een flinke boete achteraan omdat gegevens niet veilig zijn opgeslagen!
De 'gemiddelde inbreker' ziet natuurlijk een kluis en verwacht dat daar waardevolle spullen inzitten. Als je dan de kluis in zijn geheel kan meenemen, dan is de keuze snel gemaakt. Daarna heb je genoeg tijd om hem open te maken. Het laatst ook een diefstal op werk meegemaakt en ook daar waren de dieven gefocust op de kluis.
Ik vermoed dat de backuptapes van een reisverzekeraar niet de meest lucratieve dingen zijn die je in een kluis kan vinden. Maar voor een dienstverlener is het zo'n beetje het ergste dat er is. Die raken liever een paar duizend euro kwijt dan dat de klantgegevens in de handen van een ander komen.

[Reactie gewijzigd door BarôZZa op 19 september 2019 20:05]

Gaat het hierbij ook om dochterbedrijven zoals allsecur waar ik verzekerd ben? :/
Allsecur is nu Allianz, dus waarschijnlijk is dat antwoord ja, of heb je geluk dat de migratie nog niet rond is.

[Reactie gewijzigd door lagonas op 19 september 2019 19:54]

Hoe het heet, zegt niets over de organisatiestructuur of de opslag van de data.
Heb het iets aangepast. Het valt onder Allianz als bedrijf.

Volgens de website is de naam aangepast om wereldwijd samen te werken als het Allianz merk. Dan mag je aannemen dat het netwerk samengevoegd wordt. Oftewel is er een hele goede kans dat de backup van allsecur (nu Allianz direct) daar ook komt of al is.
De kans dat ze gaan integreren is zeker aanwezig, maar veel bedrijven kiezen er ook voor om structuren deels gescheiden te houden, in elk geval totdat er goed over integratie nagedacht is en iedereen aan nieuwe procedures kan wennen. Soms ook simpelweg niet als ze verwachten bepaalde bedrijfsonderdelen weer door te verkopen. Het is ook niet gezegd dat er in deze backup wel alle gegevens van het oude Allianz zitten, ook daar kan om diverse redenen al opgedeeld zijn.
Aannames :Y)
Zulke migraties duren vele maanden, Allsecur is altijd al een dochterbedrijf geweest van Allianz en het draait zo ver ik weet niet in hetzelfde systeem (wat nog niks zegt over of de back-ups niet op dezelfde plek terecht komen, maar lijkt me niet).
Gaat het hierbij ook om dochterbedrijven zoals allsecur waar ik verzekerd ben? :/
Het is het zelfde bedrijf, dus je antwoord; ja
Het heet nu zelfs ook gewoon Allianz
Allianz Direct ... vreselijke reclame :)
Goeie vraag, ik zit daar ook, maar heb de mail die @dokter heeft gepost niet gekregen.
Alleen wanneer u van onze Assistant Services gebruik maakt heeft u hiervoor een wachtwoord. Wij hebben voor de zekerheid een extra beveiliging doorgevoerd. Bij de eerstvolgende keer inloggen wordt u om een nieuw wachtwoord gevraagd.
Dus als een crimineel je wachtwoord uit de backup haalt en eerder dan de klant in kan loggen, kan die dus ook het wachtwoord wijzigen en contole houden? Niet heel goed doordacht als er geen extra gegevens nodig zijn die de crimineel niet heeft.

edit:
deze quote komt rechtstreek uit de faq en heeft direct betrekking op de slachtoffers. Hoezo dan irrelevant/offtopic en zelfs troll moderaties?

[Reactie gewijzigd door kodak op 19 september 2019 19:04]

Volgens mij staat er in het artikel dat er geen wachtwoorden op de backups staan.
Dat is maar hoe je het leest. Ze stellen Wij hebben geen persoonlijke wachtwoorden van u opgeslagen. Hiermee kunnen ze ook bedoelen dat ze de persoonlijke wachtwoorden niet hebben opgeslagen maar wel de hashes. Dat verklaart ook beter waarom ze dan toch de wachtwoorden semi-resetten en het klinkt niet heel logisch dat ze voor businesscontinuiteit geen backup hebben van de accountgegevens.

Hoe dan ook is het een bijzondere maatregel om wachtwoorden door de persoon die als eerste inlogt te laten wijzigen als je vreest dat een crimineel mogelijk toch kan inloggen.

[Reactie gewijzigd door kodak op 20 september 2019 01:02]

Allianz Global Assistance waarschuwt klanten in e-mails over misbruik voor phishing en fraude.
Lekker slim.

Nu hoeven phishers enkel die mail na te maken of een gelijk ogend mailtje de deur uit te doen dat de gegevens teruggevonden zijn, maar om te verifieren moeten ze wel eerst even inloggen (oid) via de link-knop...

[Reactie gewijzigd door RoestVrijStaal op 19 september 2019 19:07]

Niet erg Secur dus.
Grote tech bedrijven bedankt voor het o zo waardevol maken van persoonsgegevens.

Blij dat mijn gegevens bij deze roof niet gestolen zijn. Ik voel mij veilig. :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Sport

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True