Gegevens van alle huidige en ex-werknemers van Strukton Rail zijn gestolen

Door een datalek bij spoorbouwer Strukton Rail zijn gegevens van alle huidige en ex-werknemers gestolen. Mogelijk gaat het om duizenden medewerkers. Van hen zijn naast naw-gegevens ook bankrekeningnummers buitgemaakt.

Dat blijkt uit een brief die naar medewerkers is verstuurd en die Tweakers na een tip van een lezer inzag. Inmiddels heeft Strukton zelf ook een verklaring uitgebracht. In de brief waarschuwt Strukton dat de gegevens van de ontvanger mogelijk zijn gestolen. Een tijdelijke medewerker met toegang tot personeelsgegevens had foto's gemaakt van de data. Een woordvoerder van Strukton wil niet zeggen welke functie die medewerker precies had.

Het gaat om namen, voorletters, adresgegevens, geboortedatums, datums van in- en uitdiensttreding en om bankrekeningnummers. Vanwege de omvang van het lek waarschuwt Strukton voor de kans op identiteitsdiefstal en het bedrijf geeft in de brief tips om dat te voorkomen. Het gaat alleen om medewerkers van Strukton Rail, en niet de andere afdelingen van Strukton. Ook zijn gegevens van Eurailscout-medewerkers gestolen. Strukton deed de personeelszaken voor dat bedrijf.

Strukton hoorde van de politie voor het eerst over het lek. Een oud-medewerker had daar aangifte gedaan van gegevensdiefstal. Toen de politie verder onderzoek deed bleek dat er meer gegevens waren buitgemaakt. Daarop lichtte de politie Strukton in. Die deed vervolgens nader onderzoek en concludeerde dat de diefstal op 11 juni plaatsvond. Het lek werd op 1 oktober aan Strukton gemeld en op 4 oktober concludeerde het bedrijf dat er inderdaad gegevens waren gestolen. Medewerkers werden op 7 oktober per brief ingelicht. Het bedrijf heeft toen ook aangifte gedaan bij de politie en bij de Autoriteit Persoonsgegevens. Dat laatste is verplicht bij een datalek.

Het is volgens de woordvoerder niet exact te zeggen hoeveel medewerkers precies slachtoffer zijn geworden van het lek. Omdat de oud-medewerker foto's maakte is bijvoorbeeld niet met logs in te zien hoeveel gegevens hij wist te stelen. Strukton gaat daarom van het slechtste scenario uit en heeft alle huidige en oud-medewerkers benaderd. Dat gebeurde met name via de fysieke post. "Veel oud-medewerkers krijgen nog steeds ons eigen bedrijfsblad thuisgestuurd omdat zij dat leuk vinden", zegt de woordvoerder. "Daardoor hebben we nog veel contactgegevens van ex-medewerkers." Strukton wil niet zeggen hoeveel medewerkers er aangesproken zijn, maar dat zijn er waarschijnlijk honderden en mogelijk duizenden. Strukton zegt dat er naast de eerste medewerker die aangifte deed inmiddels ook een andere medewerker heeft aangegeven dat zijn gegevens mogelijk misbruikt zijn.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 09-10-2019 11:59
80 • submitter: AnonymousWP

09-10-2019 • 11:59

80 Linkedin

Submitter: AnonymousWP

Lees meer

Pretpark dreigt met aangifte tegen ontdekker van datalek die om kaarten vraagt Nieuws van 15 oktober 2019
AP: zorgsector meldt meeste datalekken in eerste helft van dit jaar Nieuws van 19 september 2019
'Medische scans miljoenen personen waren vrij toegankelijk' Nieuws van 17 september 2019
Gegevens patiënten Haga Ziekenhuis werden gebruikt als boodschappenlijstje Nieuws van 7 september 2019
Gegevens 300 Funda-klanten zijn gestolen door phishingaanval op makelaars Nieuws van 6 september 2019
DNB handhaaft contract met Centric ondanks link met omstreden 'securityexpert' Nieuws van 5 april 2019
Meer producten en artikelen
Beveiliging en antivirus algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Datalek

Reacties (80)

-Moderatie-faq
80
70
42
6
0
9
Wijzig sortering
Emin3m
9 oktober 2019 12:07
Door een datalek bij spoorbouwer Strukton Rail zijn gegevens van alle huidige en ex-werknemers gestolen. Mogelijk gaat het om duizenden medewerkers. Van hen zijn naast naw-gegevens ook bankrekeningnummers buitgemaakt.
Is er ook maar 1 reden om bankrekeningnummers en naw gegevens te bewaren van ex medewerkers?
Als iemand vertrekt dan binnen een maand ofz alles verwijderen is toch niet teveel gevraagd?

Edit: Ik snap wel ivm wetgeving dat je het 7 jaar moet bewaren, maar dat slaat nergens op, Je hebt dit soort gegevens daar niet voor nodig om te bewaren en die wetgeving moet gewoon aangepast worden om te voldoen aan de AVG. Daarnaast mensen die weg zijn kan je de gegevens daarvan archiveren en offline halen.

[Reactie gewijzigd door Emin3m op 9 oktober 2019 12:15]

Ynst2003
@Emin3m9 oktober 2019 12:11
volgens mij moet je voor de belastingdienst 7 jaar de basisadministratie bewaren.
Volgens mij valt daar ook onder het uitbetalen van medewerkers en dus ook de storting op hun bankrekeningnummer en hun NAW-gegevens.

https://www.ondernemenmet...e-werknemersgegevens.html
casberrypi
@Ynst20039 oktober 2019 15:16
Dat je gegevens moet bewaren betekent niet dat iedereen daar zomaar toegang toe moet hebben.
Proxx
@casberrypi9 oktober 2019 16:41
hoe kwalijk het ook is denk ik niet dat ze dit expres hebben gedaan.
ze hebben een grove fout gemaakt. maar ze hebben dus niet zomaar iedereen toegang gegeven.

[Reactie gewijzigd door Proxx op 9 oktober 2019 16:42]

SuperDre
@casberrypi9 oktober 2019 21:30
Nee, maar dat geldt ook voor huidige gegevens.....
Anoniem: 310408
@Emin3m9 oktober 2019 12:29
Edit: Ik snap wel ivm wetgeving dat je het 7 jaar moet bewaren, maar dat slaat nergens op,
Blijkbaar snap je het dus niet.

Je moet dit echt zeven jaar bewaren. En soms nog veel langer want als jij een probleem krijgt met je pensioenfonds lijkt het me toch wel fijn dat je ex werkgever dat nog kan laten zien nietwaar? Dit is op geen enkele wijze een overtreding van de AVG. Dit doet werkelijk elk bedrijf. Je verontwaardiging is onterecht. Vraag maar eens aan je huidige werkgever. Of aan je oude universiteit etc. Die hebben allemaal nog data van je. Op geen enkele wijze een overtreding van de AVG.

Overigens lijkt het zeer onwaarschijnlijk dat ALLE gegevens op straat liggen omdat het hier gaat om foto's van het scherm. Dan moet het wel om duizenden foto's gaan. Laat staan dat ze op straat liggen.
Anoniem: 315662
@Emin3m9 oktober 2019 15:12
Alleen je snapt dat het bewaren van al deze gegevens niet is zodat jij je zooi op orde hebt toch? Het gaat er om dat bedrijven het 7 jaar moeten bewaren omdat ZIJ gecontroleerd kunnen worden. Of jij 30 anderen banen in die tijd hebt gehad doet er niet toe, want ze controleren het bedrijf en niet jou persoonlijk.

Prima dat je je niet helemaal hebt verdiept in de wetgeving, maar roepen dat een wetgeving onzin is terwijl je er niks van weet is een beetje zonder rijbewijs roepen dat stopborden nutteloos zijn.
Zer0
@Emin3m9 oktober 2019 17:11
Zij controleren het bedrijf en dat soort gegevens kunnen 7 jaar bewaard worden, maar ze hoeven echt niet alle gegevens van mij 7 jaar te bewaren.
Dat doen ze ook niet, ze zijn alleen verplicht een beperkt aantal gegevens over jouw dienstverband bij te houden.
tweaknico
@Emin3m9 oktober 2019 17:57
Dus wel naam, laatstbekende adres, BSN en betlaings gegevens etc.

Dit ivm mogelijke rechtzaken die plaats kunnen vinden nadat de aangiften door de belasting dienst gecontroleerd worden.
Als daar een misser in zou zitten dan kan er tot 5 jaar voor de misser een onderzoek gedaan worden, Een aangifte kan 2 jaar onderweg zijn voordat die definitief kan zijn. (Daarom bewaartemijn van 7 jaar voor de Belasting dienst).
rmca
@Emin3m9 oktober 2019 13:27
Pensioen 1 ontkent alles, en nu zeg jij of bedrijf 1 dat pensioen 1 liegt. Het is op dat moment wel handig, dat je daarvoor bewijs hebt. In plaats van Pensioen 1 te geloven.
Philpend
@rmca9 oktober 2019 14:05
Je krijgt om de paar jaar van je pensioenfonds een opgave van het voor jou opgebouwde pensioen. Die moet je controleren, aan de bel trekken als er iets niet klopt en goed bewaren. Na 7 jaar gooit het bedrijf waar je dat pensioen hebt opgebouwd al je gegevens weg, is failliet, opgeslokt door een ander of wat dan ook, dus daar is 30-40 jaar later niks meer te achterhalen.
Zer0
@Emin3m9 oktober 2019 17:04
En soms nog veel langer want als jij een probleem krijgt met je pensioenfonds lijkt het me toch wel fijn dat je ex werkgever dat nog kan laten zien nietwaar?
Die 7 jaar is maar één voorbeeld van een bewaartermijn, er zijn er diverse die nog veel langer gelden, hier een paar voorbeelden
Afaik zijn er zelfs nog wat langere termijnen oa mbt auteursrecht.
SuperDre
@Emin3m9 oktober 2019 21:35
ik denk dat jij een behoorlijk verkeerd beeld hebt van wat nu normaal is van hoe lang iemand ergens werkt..
Pensioen 1 zal nooit na tich aantal jaar nog aankloppen bij bedrijf x om informatie over jou daar op te vragen, immers is er geen verplichting om die informatie zo lang op te slaan. Als Pensioen 1 informatie kwijt is, dan ben jij gewoon de klos, tenzij jij die benodigde informatie kunt overleggen..
well0549
@Anoniem: 3104089 oktober 2019 13:37
Ik denk dat ze een snapshot van een db of schijf bedoelen
Proxx
@Anoniem: 3104089 oktober 2019 16:47
ik denk eerder dat de ex medewerker het lek heeft gevonden en als bewijs er foto's van gemaakt heeft. zodat het bedrijf het lek kan repareren.
aangezien het lek uitgebuit kon worden in een grote periode is het risico dat alle gegevens op straat liggen eenmaal heel groot. zo groot dat daar vanuit gegaan word.
mschol
@Emin3m9 oktober 2019 12:11
"Veel oud-medewerkers krijgen nog steeds ons eigen bedrijfsblad thuisgestuurd omdat zij dat leuk vinden",
dat verklaart de naw gegevens; wellicht is dat tegen betaling? (en staat bankrekening er dus in ter verificatie ofzo? anders zie ik daarvoor ook geen reden)
luigi87
@mschol9 oktober 2019 12:50
Ook ongevraagd blijft je data blijkbaar daar.
Ik ben 5 jaar al niet meer in dienst van Strukton Rail. Krijg geen blaadje.
Wel een briefje gisteren met het hele verhaal.

Dus leuk die 7 jaar, maar nu liggen mijn gegevens dus ook op straat :S
Puc van S.
@Emin3m9 oktober 2019 12:10
Bewaarplicht tbv belastingdienst?
dogfacedgod
@Emin3m9 oktober 2019 12:11
Boekhoudkundige verplichtingen leiden er toe dat die gegevens lang bewaard moeten blijven.
SinergyX
@Emin3m9 oktober 2019 12:12
Je weet niet in welke database deze informatie staat, of tot welke 'niveau' die ex-werknemer toegang had. Je hoeft maar ergens 1 excel sheet of financieel pakket te hebben waar verder niet veel mensen bij kunnen, maar deze persoon toevallig wel.
de oud-medewerker foto's maakte is bijvoorbeeld niet met logs in te zien hoeveel gegevens hij wist te stelen
Als het 'diefstal' is waar hij genoeg tijd heeft, kan hij werkelijk op elke manier deze info vinden. LJP's, payroll lijsten, PZ-data, dat heeft dan niets meer te maken met bewaren van zulke data, een 'mol' heeft simpelweg toegang tot alles.
metalmania_666
@Emin3m9 oktober 2019 12:26
Binnen een maand lijkt me niet handig. Bij veel bedrijven krijg je je opgebouwde vakantiegeld gewoon in mei. Ook als je al weg bent.
Het kan ook nog zijn dat het noodzakelijk is voor de pensioenen
Jochem
@metalmania_6669 oktober 2019 13:51
Daarnaast krijg je ook einde jaar nog een financieel jaaroverzicht tbv je inkomensbelasting. Toch we handig als je als werkgever het juiste adres (of prive emailadres) hebt van een werknemer. Dus ook in belang van de oud-werknemer dat adresgegevens bewaard blijven.
SuperDre
@metalmania_6669 oktober 2019 21:31
uhh, het vakantiegeld dat staat bij uitdiensttreding behoort gewoon dan uitbetaalt te worden, niet pas op het moment dat het de werkgever uit komt.. Is administratief overigens ook veel vervelender om na uitdiensttreding uit te betalen.

[Reactie gewijzigd door SuperDre op 9 oktober 2019 21:32]

Emin3m
@metalmania_6669 oktober 2019 12:28
Dat het bij veel bedrijven zo werkt wil nog niet zeggen dat het zo hoort. Bij uitdiensttreding zou het beter zijn om alles in 1 keer af te wikkelen. Pensioenen hoort er ook los van te staan. bedrijf zend x bedrag naar pensioenfonds en klaar. nieuw bedrijf stuurt x naar pensioenfonds en met pensioen leeftijd krijg men deze bedragen onafhankelijk van het bedrijf. Ik bedoel meer een maand bij wijze van spreken, jaar is ook best ja, maar 7 vind ik veel te veel

[Reactie gewijzigd door Emin3m op 9 oktober 2019 12:29]

Zer0
@Emin3m9 oktober 2019 14:58
die wetgeving moet gewoon aangepast worden om te voldoen aan de AVG.
Die wetgeving is er niet voor niks, en waarom zou die zomaar moeten wijken voor de AVG? En hoe ver wil je dat doortrekken? Geen strafblad mee bijhouden, want AVG?
Stadtionalist
@Emin3m9 oktober 2019 15:36
Wellicht pensioenbestand ingezien?
SuperDre
@Emin3m9 oktober 2019 21:29
Ja, alles verwijderen als iemand is vertrokken is zeker teveel gevraagd.. Alleen al vanwege de verplichte bewaarplicht van 7 jaar..
fonsoy
9 oktober 2019 12:04
In interne omgevingen wordt er vaak maar slecht op rechtenbeheer gelet. In mijn tijd als ERP-consultant heb ik maar vrij weinig bedrijven gezien die hun rechtenbeheer echt goed op orde hebben. Vaak betekent toegang tot het systeem ook gelijk leestoegang tot bijna alle informatie.

Als je dan een "mol" van binnenuit hebt, dan is een bedrijf kansloos.
Anoniem: 14842
@fonsoy9 oktober 2019 12:11
En wat denk jij dat rechten beheer precies doet tegen een foto camera? Als je een kwaadwillende hebt die toegang heeft (ook gerechtvaardigd) dan ben je het bokje. Het is een illusie te denken dat je iets kunt doen tegen boze opzet.
Xanaroth
@Anoniem: 148429 oktober 2019 12:18
Daar zijn allang oplossing voor. Zo werden bij mijn vorige bedrijf alle schermen voorzien van een voorzetscherm zodat bij gebruik degene naast/achter je (vrijwel) niet mee kon kijken, en opnames maken daardoor ook lastiger werd (denk aan veel donkerdere foto's met daarbij banden op het scherm, je kreeg in het ideale geval maar 50% van de data op je scherm goed op de foto).

Gaat immers niet alleen om waar JIJ toegang tot hebt (al dan niet toegestaan) maar ook wat je bij anderen kunt zien (altijd leuk die kantoren op BG of 1e etage, hele dagbesteding valt heel makkelijk te volgen). Of als anderen het systeem niet goed vergrendelen bij bijvoorbeeld koffie of toilet bezoek.

Dan betekend het met een simpele aanpassing al dat je niet alleen toegang moet hebben tot de software (lees:gegevens), maar ook aan de hardware kant actie moet ondernemen voordat het mogelijk is. Valt vrij snel op als iemand z'n scherm zelf zo uit elkaar sloopt op de afdeling, en helemaal als het niet de eigen werkplek is :).


Natuurlijk kan je zaken niet 100% veilig maken tegen iemand die bewust alles eraan doet (zoals de beroepscrimineel), maar dergelijk opportunistisch gedrag kan je tegenwoordig praktisch voor tientjes beteugelen. Helaas zoals bij alle bedrijven, als de optie is tussen een privacy scherm a 20-50 euro extra per werkplek (eenmalige kosten) vs risico, dan wacht het merendeel rustig af...

[Reactie gewijzigd door Xanaroth op 9 oktober 2019 12:29]

Anoniem: 14842
@Xanaroth9 oktober 2019 12:33
De dingen die jij noemt werken alleen als mensen geen toegang zouden moeten hebben tot de gegevens. Zo'n scherm werkt niet tegen de HR functionaris die het zat is en gewoon foto's gaat nemen. Dan heb je nog meer aan een screening en psychologische tests.

Mijn punt blijft: als een geathoriseerd iemand kwaad wil ben je het bokje. Punt.

Het feit dat er foto's genomen zijn en het niet simpelweg is geknipt en geplakt via de mail zegt me dat er al een flinke beveiliging op zat.

Ik heb zelf ook bij een militair project gewerkt met geheime informatie. Inclusief fouilleren, geen tel/camera/etc.. Ik kan je vertellen: zelfs daar lukt het een creatief persoon om data te stelen.
Byron010
@Anoniem: 148429 oktober 2019 13:03
Het feit dat er foto's genomen zijn en het niet simpelweg is geknipt en geplakt via de mail zegt me dat er al een flinke beveiliging op zat.
'T zegt eigenlijk niks over de beveiliging, de persoon in kwestie heeft misschien gedacht dat die op deze manier zo min mogelijk sporen achter kon laten. Het kan zelfs een kwestie van puur gemak zijn (even snel een foto maken en er dan gelijk overal bij te kunnen).

Je punt verder ben ik volledig mee eens, als iemand toegang heeft en die besluit dan iets kwaads te willen doen ben je ver van huis. Je kan er niet aan ontkomen, wel zou het enigsinds mogelijk zijn om de gevaren te limiteren. (X aantal toegang per keer, X keer toegang in Y tijd, om de Y tijd een controle wat je met de gegevens gedaan hebt etc) Dat zijn maar even voorbeelden zodat een lek niet in 1x heel groot is. Alleen weerhoud het ook niet iemand om bijv maanden lang fotos te maken en dan opeens te besluiten dat het genoeg is.
hichelay
@Byron0109 oktober 2019 14:48
(X aantal toegang per keer, X keer toegang in Y tijd, om de Y tijd een controle wat je met de gegevens gedaan hebt etc)
Mooi idee, maar dat is natuurlijk niet werkbaar. Als je boekhouder en/of salarisadministrateur bent, HR-zaken doet, ben je de hele dag met persoonsgegevens bezig.
Byron010
@hichelay9 oktober 2019 15:08
Alleen is er een verschil als je van 1000 personen gegevens op vraagt in 1 dag (geen idee wat een gemiddelde is) of je van 2 miljoen personen alle gegevens op vraagt. (Hier zou je dus alles boven 2000 kunnen tegenhouden bijv, zo is er wel ruimte voor de gevallen dat iemand heel snel werkt of iets dergelijks)
Het is bijna altijd op een manier vorm te geven, maar realisctisch gezien zullen er altijd bepaalde gevallen zijn waar het niet werkt.

Overigens zijn dit maar ideeen die ik in 10 seconden verzonnen heb. Ik kan me goed voorstellen dat er mensen zijn die enorm veel tijd hierin steken.
Anoniem: 14842
@Byron0109 oktober 2019 13:31
'T zegt eigenlijk niks over de beveiliging, de persoon in kwestie heeft misschien gedacht dat die op deze manier zo min mogelijk sporen achter kon laten. Het kan zelfs een kwestie van puur gemak zijn (even snel een foto maken en er dan gelijk overal bij te kunnen).
Eens, dat blijft raden. Maar ik bedoelde ermee te verduidelijken dat het zo bijna altijd mogelijk blijft :)

[Reactie gewijzigd door Anoniem: 14842 op 9 oktober 2019 13:31]

Grrrrrene
@Xanaroth9 oktober 2019 12:38
Je stapt volledig over zijn punt heen: als iemand de rechten heeft en kwaad wil, kun je je daar niet tegen wapenen. Je hebt er nu een edit tegenaan gegooid, maar de rest van je post gaat in tegen de opmerking dat iemand die de juiste rechten heeft en om wat voor reden dan ook kwaad wil, niet te stoppen is.

Uiteindelijk moet je elkaar kunnen vertrouwen.
The Zep Man
@Grrrrrene9 oktober 2019 12:47
Uiteindelijk moet je elkaar kunnen vertrouwen.
Vertrouwen is goed, maar controleren is beter. Je kan misschien niet voorkomen dat er data gestolen wordt, maar mogelijk wel hoeveel.

Als een medewerker qua dataverzoeken afwijkt van de baseline dan mogen daar gerust menselijke controles tegenaan gegooid worden nadat dit (automatisch) is opgemerkt.

[Reactie gewijzigd door The Zep Man op 9 oktober 2019 12:49]

Xanaroth
@Grrrrrene9 oktober 2019 13:56
Zelfs in een ideaal scenario, zouden er zaken in gang gezet moeten worden wanneer een werknemer x verzoeken indient binnen tijdsbestek (zowel short-term, zeg binnen een uur, als long-term, zeg binnen een week).

Maar dan nog is er geen reden voor om het die persoon makkelijk te maken. Als je met een foto max 50% van de data krijgt, moet die ineens tientallen foto's maken en die thuis gaan bewerken om een kloppende set data te krijgen. En waarom zou, zeg, HR bij de bankrekening gegevens moeten kunnen, betalingen worden door andere afdelingen gedaan...


Dan ga je al een paar stappen verder dan de opportunist, en al snel richting de pro's, om zoveel data te verliezen. Immers moet iemand dan EN (il)legaal toegang krijgen via meerdere rechten niveau's EN bij elk van die inlog momenten de aanvraag limiet omzeilen EN foto beveiliging omzeilen EN dat alles ongezien/ongemerkt doen EN de kunde hebben om die honderden/duizenden foto's goed te matchen met elkaar.
Dat zijn aardig wat specifieke zaken die je moet regelen die niet voor de huis-tuin-keuken crimineel zijn weggelegd.

[Reactie gewijzigd door Xanaroth op 9 oktober 2019 14:00]

Grrrrrene
@Xanaroth10 oktober 2019 07:40
Je vergeet de ICT'er die die regels zelf instelt en buiten de regels om kan handelen. Je kunt de risico's beperken, maar niet wegnemen, dat is het punt. En tegen dat soort situaties kun je je (bijna?) onmogelijk wapenen.
Xanaroth
@Grrrrrene10 oktober 2019 07:52
Kan me geen organisatie voorstellen waarin de matrix voor wijzigingen in rechten volledig bij 1 persoon liggen. Verwacht toch minstens werknemer+manager (uitvoering+goedkeuring), zo niet 2 werknemers+manager (uitvoering+confirmatie+goedkeuring).

Dan zou je dus al, als kwaadwillende organisatie, bij de initiële ontwikkeling/implementatie van de software programma's aan de developer kant aanwezig moeten zijn om dat mogelijk te maken voor later misbruik.
jaspro
@Anoniem: 148429 oktober 2019 13:18
Rechten beheer doet niets tegen een fotocamera, maar zorgt er wel voor dat je alleen toegang krijgt tot informatie die jij nodig heb om je werk te doen. Als je dan toch foto's gaat nemen is de impact beperkter dan wanneer iemand toegang heeft tot alles.
Randomguy369
@jaspro9 oktober 2019 13:28
Er is wel een manier dat rechtenbeheer iets tegen kan doen. Wanneer moet iemand alle gegevens kunnen inzien? Redelijk vaak, maar wanneer moet iemand alle gegevens tegelijkertijd kunnen inzien? Eigenlijk nooit.
Dus je kan Queries limiteren, als iemand er gewoon een Wildcard ingooit om alle gegevens te krijgen geef je een error terug dat dit te groot is. Als iemand alle Jan's opvraagt en dat zijn er teveel moet er een betere specificatie worden gegeven etc.
Als je dit zo beperkt wordt het lastig om de data te stelen in grote hoeveelheden. Als je alle gegevens zou willen moet je zo een paar honderd queries uitvoeren en dat is wel te ontdekken.

TLDR: Limiteer de grootte van de queries zodat er alleen kleine hoeveelheden data kunnen lekken en als er grote lekken zijn zijn die traceerbaar.
Blokker_1999
@fonsoy9 oktober 2019 12:20
10 jaar terug ongeveer kwam ik ineens een tekstbestandje tegen dat, ik vermoed, gebruikt werd om HR data tussen 2 systemen te syncen. Stond gewoon op een onbeschermde fileshare. Bestand bevatte heel wat meer info dan wat hier bij Strukton gelekt is. Alleen geen bankrekeningnummers. Responsible disclosure? Ik dacht het niet. Heb er me 1x aan verbrand. Geen tweede keer. Had eens ontdekt dat in een app die we aan het testen waren de dev gewoon het root account van een MySQL db aan het gebruiken was. Hoe stom kun je zijn als dev. Heel de HR database en ook andere databases die invloed hebben op loonberekening kwamen daarmee in gevaar. Maar die dev? Die had niets verkeerd gedaan. Ik was de hacker die men moest ontslaan volgens sommigen. Wat vind ik het spijtig dat we toen nog geen AVG hadden en privacy nog niet zo een ding was.
Geim
@Blokker_19999 oktober 2019 12:35
Responsible disclosure? Ik dacht het niet. Heb er me 1x aan verbrand. Geen tweede keer.
Bekend. Ging ooit eens een printje ophalen, liep dat ding te piepen. Solid ink was op. Bijgevuld, kwam het restant van een vorige opdracht er eerst uit. PZ evaluatierapporten van medewerkers. Netjes naar de betreffende PZ medewerker gebracht en in plaats van een dankjewel, kreeg ik de wind van voren "of hoe ik wel aan dit document lag". Mens was niet voor rede vatbaar. Direct melding bij mijn eigen baas gemaakt i.v.m. mogelijk "staartje" en (gelukkig) nooit meer wat van weer gehoord.
Lord Anubis
@Blokker_19999 oktober 2019 21:35
Je moest eens bij IBM in de printer ruimtes kijken, vaak liggen er documenten en lijsten die nooit worden opgehaald. Spreek wel over 12 jaar terug
Quintiemero
@fonsoy9 oktober 2019 12:40
Bij mijn oude werkgever had elk persoon zomaar toegang tot tienduizenden gegevens van mensen, van adres gegevens tot bankrekeningnummer tot id-gegevens. Ik verbaas me er nog steeds over. Elk werknemer zou zomaar alles op een usb kunnen zetten en je hebt de wereld aan gegevens.
theduke1989
@fonsoy9 oktober 2019 13:26
Dat is echt niet zo. Tegenwoordig kan je met RBAC het veel makkelijker maken. Probleem is dat vele het niet weten op te zetten.of ergens een fout maken. Maar dat moet je leren met tijd.
Jivebunny
@fonsoy9 oktober 2019 12:35
Ach ja, een Sanderink bedrijf. Hebben die nog niet de blockchain ingezet tegen dit soort hack-praktijken? :+ 7(8)7

Rian, kom er maar in...
Marcva
9 oktober 2019 12:03
Waar is Rian van Rijbroek als je haar nodig hebt :+
.oisyn
@Marcva9 oktober 2019 12:13
Ik zie haar gek genoeg om het zelf gedaan te hebben om haar eigen idiote beweringen kracht bij te zetten, eerlijk gezegd...
Glashelder
@.oisyn9 oktober 2019 12:34
Precies dat dacht ik ook inderdaad :D

Waar blijft het persbericht dat van Egten erachter zit samen met de AIVD!
dutchnltweaker
@Marcva9 oktober 2019 12:17
Moest even lezen wie dat was, maar wat een grote grap is dat zeg.
Laatst weer een nieuw boek uitgebracht blijkbaar en nog mensen die haar geloven. Ik ging stuk om dit stukje met de mede auteur: https://www.volkskrant.nl...is-uw-opvatting~b04a0820/ :+
Anoniem: 159816
@dutchnltweaker9 oktober 2019 12:29
Dit interview is geweldig, wat een clown is dat.
418O2
@dutchnltweaker9 oktober 2019 12:44
Er is een heel topic over dit drama Cybercharlatan Rijbroek en het Sanderink bedrijvenimperium

:)
Erwin2901
@Marcva9 oktober 2019 13:19
Ah ja, Rian van Rijbroek, cyber-"expert" die ondersteund wordt door dhr Sanderink. Laat die laatste nu eigenaar zijn van een investeringsfonds dat weer eigenaar is van de Strukton groep. Ik ben niet zo van de samenzweringen, maar dit is toch wel bijzonder toevallig. Weet jij iets wat ik niet weet?

Wie weet kunnen we binnenkort een boek van haar verwachten over hoe de smart blockchain voorkomt dat er foto's van gevoelige data worden gemaakt... :+
Jivebunny
@Erwin29019 oktober 2019 14:37
Dat niet alleen, maar wanneer hij komt te overlijden, staat Rian op de lijst als erfgename van 1 of ander fonds wat hij heeft. Dus ja, intrigerende drama dit.
Michiel36
9 oktober 2019 13:06
Gelukkig rollen we met zijn alle zo het IoT tijdperk in, wat kan er nu fout gaan? :+
well0549
9 oktober 2019 13:40
Bedoelen ze hier niet gewoon snapshot van een db of schijf, en is dat ongelukkig vertaald naar foto?
Shadow_Agent
9 oktober 2019 16:48
Scenario wat ook heel goed mogelijk zou kunnen zijn:
Persoon A heeft een scherm/applicatie geopend en gaat even koffie halen/ naar de WC/ overleg
Persoon B kruipt achter de PC en maakt snel met z'n telefoon foto's van de data
Persoon B gaat weer terug naar z'n eigen werkplek
Persoon A komt terug en heeft niets gemerkt.

Succes met bewijzen dat persoon A de data gelekt heeft :)
SuperDre
@Shadow_Agent9 oktober 2019 21:37
Alleen in deze huidige tijd behoor jij je PC netjes te blokkeren als deze AVG gegevens open heeft staan. Doen natuurlijk een heleboel mensen niet (ik overigens ook zelden hoor).
Chakotay
9 oktober 2019 13:05
Strukton... Hadden die niet al hun data zeer veilig in de Smart Blockchain™ opgeslagen :?
Kars
@Chakotay9 oktober 2019 14:02
Smartblockcloud bedoel je. Maar nee, schijnbaar niet...

[Reactie gewijzigd door Kars op 9 oktober 2019 14:03]

mdo8
9 oktober 2019 15:55
Niet slecht die directeur en zn mulo diploma
iew
9 oktober 2019 12:52
En daar is nummer zoveel waarvan gegevens "uitlekken", geweldig hoor al die digitale opslag...., "komt door het systeem" is ook al langere tijd een veelgebruikte smoes. iets waar veel bedrijven zich tegenwoordig alsmaar achter verschuilen.

Niet alleen op dit punt maar ook wanneer het gaat om rekeningen, bijvoorbeeld een polis nummer ingevuld ipv het betalingskenmerk en men kan het al niet meer vinden, nouja "het systeem" kan dat niet en dus krijg je een herinnering, het vreemde is dat "het systeem" dit dan niet terug over boekt en die bedrijven het geld wel houden en de klant alles recht moet gaan breien.

De klant moet tegenwoordig het werk doen.
Hoe vaak lekken er wel niet gegevens weg bij bedrijven ? vroeger was niet alles beter ? dat is steeds minder vaak waar.

Bijna alles word steeds onveiliger, moeilijker ipv makkelijker, en mensen doen zowat al het werk voor de bedrijven want.... "ons systeem" blablabla.
Crahsystor
@iew9 oktober 2019 13:18
En daar is nummer zoveel waarvan gegevens "uitlekken", geweldig hoor al die digitale opslag...., "komt door het systeem" is ook al langere tijd een veelgebruikte smoes. iets waar veel bedrijven zich tegenwoordig alsmaar achter verschuilen.
En hoe maakt het uit of het fysiek of digitaal is als een medewerker foto's van de gegevens maakt?
Crahsystor
@iew9 oktober 2019 14:16
Je eerdere reactie lijkt mij te suggereren dat het uitlekken hier een probleem is vanwege de digitale opslag ervan. Maar inhoudelijke toelichting miste ik. Daarom de vraag hoe het digitaal of analoog opslaan van data in deze situatie verschil had gemaakt. Je reactie daarop is een beetje jammer. Het suggereert dat je niet eens de moeite hebt genomen het artikel te lezen voor je reageerde.
ninjazx9r98
@iew9 oktober 2019 13:21
Heeft nul komma nul met digitale opslag te maken. Tig jaar geleden met de ouderwetse kaartenbak en een zwart wit fototoestel met rolletjes had precies hetzelfde kunnen gebeuren.
Anoniem: 315662
@iew9 oktober 2019 15:15
Dus je stelt voor alles op papier te gaan doen. Ik neem aan dat jij dat uit je eigen zak gaat betalen, die hele overgang? Want jij bent de redder, dus fix het maar.
ninjazx9r98
@iew9 oktober 2019 13:54
Gebeurde het niet zo vaak of hoorde je het niet zo vaak?
Anoniem: 315662
@iew9 oktober 2019 15:14
Gegevens waren net zo veel waard hoor, alleen had je niet het internet waar ieder klein dingetje op staat.
Vroeger waren er ook idioten die hun kinderen niet vaccineerden, maar nu hoor je er opeens over omdat ze elkaar kunnen vinden.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee