Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek Canadees financieel bedrijf trof niet 2,7 miljoen maar 4,2 miljoen mensen

Het datalek in juni bij Desjardins, een Canadees financieel bedrijf, trof veel meer dan 2,7 miljoen mensen, wat destijds gemeld werd. Dat getal is nu bijgesteld naar 4,2 miljoen, het volledige ledenbestand van de organisatie.

Het incident was al een van de grootste lekken bij een financiële instelling ooit. In juni was al bekend dat het ging om onder meer de naam, adres, geboortedatum en informatie over uitgaven die de klanten hebben gedaan. Wachtwoorden en pin-gegevens zijn echter niet buitgemaakt, stelde Desjardins. De ontwikkeling in de zaak is reden voor de overheid van de provincie Quebec om stappen te zetten om security en de bescherming van persoonlijke gegevens beter te laten beschermen, schrijft Reuters.

De gegevens waren meegenomen door een werknemer van Desjardins, die ze expres op straat heeft doen belanden. De Canadese politie heeft deze inmiddels ex-medewerker weten op te pakken. Volgens Canadese media is de politie de zaak nog aan het onderzoeken.

Het gaat hier niet om een digitale aanval. De president van Desjardins vertelde in juni dat de medewerker op de data-afdeling werkte, maar niet toegang had tot alle data die buitgemaakt was. Hij zou het vertrouwen van collega's hebben gewonnen en hun toegang hebben gebruikt om de gegevens te verzamelen en mee te nemen.

Door Mark Hendrikman

Nieuwsposter

02-11-2019 • 12:35

14 Linkedin Google+

Reacties (14)

Wijzig sortering
"Het gaat hier niet om een digitale aanval. De president van Desjardins dat de medeweker op de data-afdeling werkte, maar niet toegang had tot alle data die buitgemaakt was. Hij zou het vertrouwen van collega's hebben gewonnen en hun toegang hebben gebruikt om de gegevens te verzamelen en mee te nemen."

Mensen daar delen dus hun account/wachtwoord met elkaar?
Denk eerder toegang geven tot meer data dan noodzakelijk.
Er staat dat hij geen toegang had tot de data en de toegang van anderen gebruikte.
Dit gebeurt in alle bestaande organisaties op zn minst op dagelijkse basis tussen op z'n minst één of twee vaste collega's die al minimaal 20 jaar in het vak zitten en denken dat al die nieuwe regels niet op hen van toepassing zijn, of dat ze gemaakt zijn om hen te dwarsbomen. Dit is niet schokkend.
Verrassend is het zeker niet.

Ik ben dan wel benieuwd wat er dan gebeurt met de medewerkers die hun wachtwoord hebben gedeeld.
Als ze er achter kunnen komen wie dat waren liggen ze er uit hoop ik.

Het toont maar aan, je kan alles nog zo goed afdichten, er blijven mensen bij betrokken en die maken fouten of doen andere dingen die je niet hebt voorzien.
Precies, niet te voorkomen of je moet systemen heel anders inrichten en de controle. Maar dat heeft weer andere negative effecten.
Mensen daar delen dus hun account/wachtwoord met elkaar?
Eerder, mensen vertrouwen elkaar.

Als je bijvoorbeeld elke week contact hebt met iemand die bij de data kan voor kleine datasets of aanpassingen, dan is het vrij makkelijk om op een gegeven moment een keer een 'foute vraag' te stellen voor teveel data. Bijvoorbeeld om iets te controleren of bij een groot incident voor een analyse.
Als de ander nee zegt, dan doe je net alsof je een domme vraag hebt gesteld, maar meestal zal de ander je vertrouwen en de data leveren. Uiteindelijk 'sta je aan dezelfde kant'.

Praktisch gezien is dit amper te voorkomen. Snowden is daar ook een mooi voorbeeld van.
Social engineering is amper te counteren.
Zelfs als het niet je bedoeling is om een "foute vraag te stellen" om een foute handeling te kunnen doen, is vragen om inloggegevens in veel plausibele situaties een heel valide gedrag. Ik heb jarenlang als invaller gewerkt in het onderwijs. Soms kon je de docentencomputers niet gebruiken zonder inlog en was er geen gastaccount beschikbaar. Dan kreeg je vaak toegang via de inlog van iemand anders. (al dan niet ingelogd door die persoon, of met een wachtwoord op een briefje) Was je ergens voor een paar weken rondom rapport of tussentijdse Cito, dan kon het zijn dat je gevraagd werd om gegevens van jouw dagen/toetsen aan te leveren, of de rapportage van oudergesprekken te administreren. Soms vulde een werknemer dan later alles in. Soms moest je ze ook zelf invullen. Zeer plausibele situaties en het benodigde wel inloggegevens. Als je dan weet dat in het onderwijs de meeste ict-ers gewoon leerkrachten zijn "die computers wel leuk vinden" en er alleen bovenschools echte ict-ers zijn, dan is het geven van een bestaande inlog sneller, gemakkelijker en praktischer dan drie dagen wachten op een reply van de ict-afdeling op het bestuurskantoor. Niemand heeft natuurlijk wat aan de rapportcijfers van Jari, Patrick, Chantal of Nienke. Het is echter wel privé. En in dezelfde registraties staan vaak ook medische gegevens van het kind of de achtergrond van ouders, etc.

Zo zullen er in andere bedrijfstakken met kwetsbare mensen of interessante gegevens ook tig situaties te bedenken waarin dit geregeld voorkomt.
Desjardins is adequately managing the incident well, although he acknowledged there was a delay in discovering the data theft.
Hoe kan je het adequaat managen noemen als je in eerste instantie niet weet dat een paar miljoen klantgegevens weg zijn, vervolgens weet hebt en een aantal noemt, om dan maanden later te moeten erkennen dat het enkele miljoenen klantgegevens meer zijn? Wat is er dan goed aan te noemen als het fout op fout op fout betreft in de bescherming en afhandeling?

En waar komt dit nieuwe getal plotseling vandaan? Er is geen enkele verklaring voor gegeven waarom dit getal er nu is.

[Reactie gewijzigd door kodak op 2 november 2019 13:36]

Ik heb eerlijk gezegd het gevoel dat dat een structurele aanpak is die je bij veel datalekken ziet: eerst een klein aantal, dan enkele weken later wat meer, dan weer wat later het volledige aantal.

Misschien dat mensen in eerste instantie wat milder reageren als niet het volledige aantal klanten slachtoffer wordt of zo?
Omdat de gegevens niet “weg” zijn.
Je ziet hetzelfde vaak bij downloaders van films;”Ik doe toch niks mis want zij zijn niet “kwijt””

Als je alleen nog maar data kon verplaatsen in plaats van kopieëren kwamen dit soort dingen direct aan het licht.
Ik moet je zeggen de bank waarin ik voor ongeveer 2 jaar heb gewerkt. Die had security echt op hoog niveau.

Daar werd zoveel aandacht aan bijvoorbeeld phising besteed voor eindgebruikers etc noem maar op. Daarnaast ook natuurlijk de infrastructuur werd constant verbetert.

Het kan aan mij liggen maar de complete IT was 450 man. Dus ja voor alle processen was er een team was zich daarop focuste. In totaal 7500 medewerkers in de bank.

Er was een budget dus ik denk dat het ook een rol speelt.

[Reactie gewijzigd door theduke1989 op 2 november 2019 13:07]

Interessant verhaal zei het wat wazig.
Was dat ook in Canada en hadden zij ook een lek?


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True