Gegevens 10,6 miljoen klanten Amerikaanse hotelketen MGM verschijnen op forum

Persoonsgegevens van 10,6 miljoen klanten van MGM Resorts worden online gedeeld op een forum. Het gaat om gegevens die vorig jaar bij een hack zijn buitgemaakt, bevestigt de hotelketen. Er zitten geen creditcardgegevens bij.

Volgens ZDnet zijn de gegevens deze week gepubliceerd op een populair hackersforum. Het gaat om gegevens van in totaal 10,6 miljoen klanten van MGM Resorts. De keten is eigenaar van veel grote hotels in Amerika, waaronder MGM Grand, Bellagio en Mandalay Bay in Las Vegas.

De dataset bevat namen, adresgegevens, telefoonnummers, e-mailadressen en geboortedata. Creditcardinformatie ontbreekt, maar de persoonsgegevens kunnen bijvoorbeeld misbruikt worden voor gerichte phishing op beroemdheden, ceo's, journalisten en overheidsmedewerkers.

Volgens ZDnet zitten er veel gegevens van werknemers van grote techbedrijven in de dataset. De CES, 's werelds grootste techbeurs, vindt jaarlijks plaats in Las Vegas. Bezoekers en standhouders van die beurs verblijven dan veelal in hotels in de stad. Onder andere gegevens van Twitter-ceo Jack Dorsey en zanger Justin Bieber zijn onderdeel van de dataset.

ZDnet heeft de data geverifieerd in samenwerking met beveiligingsdienst Under the Breach. MGM Resorts bevestigt tegenover de site dat de data is buitgemaakt. Volgens de hotelketen is er vorig jaar een hack geweest en gaat het om relatief oude gegevens. Het zou gaan om klantgegevens tot 2017 en de getroffen klanten zouden vorig jaar op de hoogte zijn gebracht.

MGM-data

Reacties (111)

SCHWEPPES 20 februari 2020 11:36

Je kan nog zo voorzichtig zijn met je online gegevens, maar dat voorkomt niets aangezien dit soort 3e partijen er een potje van maken. Je kan er onderhand wel vanuit gaan dat iedereen zijn gegevens ergens te koop zijn.

nobraininvolved @SCHWEPPES • 20 februari 2020 13:26

ja...we zijn nog ver weg van de 'ideale wereld'...

Wat mij betreft zou ideaal zijn:
1: een wettelijk verbod op opslaan van wat voor persoonlijke gegevens dan ook door derden (lees bedrijven en instellingen)
2: alle persoonlijke gegevens van iemand staan op 1 account, dus persoonsdata, overheidsdata, belastingdata, etc etc
3: uitwisseling vindt alleen plaats via api's met als uitgangspunt dat bedrijven/instellingen wél bepaalde gegevens mogen aanvullen (b.v. belastingdienst of ziekenhuisbezoek o.i.d.) c.q. wijzigen, maar dat het eigenaarschap bij de persoon zelf ligt.
4: per persoon een dashboard waarop de persoon precies kan zien welke gegevens door welke partij opgevraagd, aangevuld of gewijzigd zijn én een dashboard om partijen wel/niet toegang te geven.

zoiets, maar dan beter uitgewerkt natuurlijk (dit is losse pols)...^^

graey @nobraininvolved • 20 februari 2020 13:33

En dan heb je dat single point of failure waar, bij een instantie (foutgevoelig en alles op 1 hoop maakt het een extra interessant doelwit), of bij de persoon zelf (die het kwijt kan raken, kan kapot maken, wat dan ook)?

nobraininvolved @graey • 20 februari 2020 14:11

een single point of failure is veel beter te beveiligen dan gegevens die overal maar los liggen.
Als ik bepaalde gegevens over jou weet, dan kan ik wss een heel groot deel van jouw gegevens achterhalen. B.v. als ik jouw emailadres met wachtwoord heb, kan ik feitelijk al zien met welke instanties jij contact hebt en kan ik bij heel veel zaken gewoon een nieuw ww aanvragen. Dus dan weet ik die gegevens al bijna...
ik heb liever 100 man cybersecurity om die ene bak met gegevens in de gaten te houden dan bij ieder bedrijf 1 of 2 personen die een waardevolle subset in de gaten houdt waar bijna net zoveel schade mee aangericht kan worden...
Ik realiseer me dat er veel voors en tegens zijn, dat maakt ook niet uit...'t zal er toch niet van komen, gewoon al niet omdat de belangen (reclameinkomsten etc) te groot zijn om een verbod op het vastleggen van persoonlijke data te verantwoorden, maar 't is wel mijn ideaalplaatje...

Gilius_caesar @nobraininvolved • 20 februari 2020 15:10

Facebook is al gehacked, grote banken zijn al gehacked. Dat zijn geen bedrijven met 2 cybersecurity mensen.
Niets is 100% veilig en dat zal het ook nooit worden. Het is geen kwestie van of zo'n gigantische database gehacked wordt, het is een kwestie van wanneer.

Ik denk dat de meesten hier ook wel two factor authentication op hun mail hebben aanstaan, dus je email verhaal gaat niet op.

graey @nobraininvolved • 20 februari 2020 18:05

Eh, mijn google-account heeft 2fa, en dat is ook email. Dit kan ook met veel andere aanbieders, en ik weet van veel van mijn omgeving dat ik daar niet uniek in ben. Helemaal niet onhandig hoor, zo gepiept.

Gilius_caesar @nobraininvolved • 22 februari 2020 12:49

Waarom zou dat onhandig zijn? Eens je apparaat eenmaal is geverifierd kan je altijd inloggen. Voor die ene keer dat je op een ander apparaat inlogt kan een appje openen op je smartphone toch niet zo'n moeilijkheid zijn?

Ik begrijp je standpunt als je zelf niets van moeite wilt doen om je belangrijke gegevens te beveiligen, maar voor degene die dat wel doen zou dit een grote achteruitgang zijn. Bij deze hack zijn namen, adresgegevens, telefoonnummers, e-mailadressen en geboortedata gelekt. Op telefoonnummers na ga je al deze dingen kunnen leren van mij door gewoon 5 minuten te googlen. Ik zal wel ergens een account hebben waar mijn geboortedatum en emailadres openbaar is, waar ik woon kan je wel uitpluizen via strava of fotolocatie en dergelijke. Gegevens die je zou prijsgeven bij een flirt op café zou ik niet als belangrijk beschouwen.
Mijn medische gegevens, belastingsgegevens, financiele informatie, etc. daarentegen zijn wel belangrijker. Als je die gegevens dan op één centrale plaats zet is dat vragen om problemen.

nobraininvolved @Gilius_caesar • 23 februari 2020 12:20

nou omdat je dan altijd een telefoon bij je moet hebben...de ene keer zit ik op mijn werk op mijn email, dan weer achter de computer, dan weer op een tablet, dan weer op een andere telefoon of bij iemand anders...
en dan heb ik echt niet altijd mijn tel voor de 2f in de buurt....
ik vind 't wat anders met zaken als b.v. digid enzo of sites van b.v. de zorgverzekeraar, maar voor mijn email heb ik dat niet aan staan, daar gebruik ik het te vaak voor op
ik snap wel dat ik gedownmod wordt vanwege mijn opmerking, maar 't is gewoon de dagelijkse praktijk die ik zie dat ik daadwerkelijk niemand, maar dan ook niemand ken die zijn/haar mail met 2f heeft beveiligd...dus ongeacht mijn eigen beleving dat dat irritant is, schijnt dit toch wel de algemene beleving te zijn, want anders was ik wel veel vaker mensen tegengekomen die 2f aan hadden staan.

Gilius_caesar @nobraininvolved • 23 februari 2020 13:38

Ikzelf kan de laatste keer dat ik mijn 2FA heb moeten gebruiken niet meer herinneren, maar ik veronderstel dat het meer dan een jaar geleden is. De meeste mensen gebruiken hun e-mail op dezelfde toestellen, hun gsm, computer, laptop, tablet, vaste werk-pc. Jij bent daar misschien een uitzondering op, maar het overgrote deel van de mensen zou geen last hebben van 2FA. De meeste mensen hebben geen 2FA wegens: "2 factor wat?".
Volgens een artikel 2 jaar geleden heeft slechts 10% van de gmail accounts 2FA. Dat zal intussen wel gebeterd zijn, maar de gemiddelde mens staat vrij weigerachtig tegenover nieuwe dingen. Het zou me echter sterk verbazen moest niet de meerderheid van het tweakers.net publiek 2FA hebben aanstaan voor hun email.

680x0 @nobraininvolved • 20 februari 2020 14:56

een single point of failure is veel beter te beveiligen dan gegevens die overal maar los liggen.

Ja en nee. Een SPOF maakt dat men zich daar gerichter op kan concentreren om te beveiligen MAAR als het dan toch foutloopt dan hebben de criminelen werkelijk ineens ALLES in handen.

Is dat dan zoveel beter ?

nobraininvolved @680x0 • 20 februari 2020 15:38

ja en nee...de gegevens kunnen natuurlijk wel gesegmenteert worden opgeslagen. Het hoeft niet in 1 fysieke bak te zitten. Dan ben je het SPOF tot op zekere hoogte ook kwijt.
en of het beter is dat ze alles in handen hebben? nee, op zich niet natuurlijk...aan de andere kant is het dan wel weer veel makkelijker te herleiden naar 1 lek op het moment dat 't wel gebeurt en kan er ook actief gezocht worden naar momenten waarop bv identiteitsfraude plaats kan vinden c.q. heeft gevonden.

graey @nobraininvolved • 20 februari 2020 18:04

Tja, maar als die API, of een onderdeel daarvan lek is, heb je via de API bijvoorbeeld al toegang tot alle bakken.

nobraininvolved @graey • 20 februari 2020 20:20

ligt eraan...als ik naar ons bedrijf kijk, heeft de api via een service bus toegang tot een aantal services erachter die ook weer zijn eigen autorisatie nodig heeft. de api is de toegangsdeur dat klopt, maar er zitten wel verschillende beveiligingsnivo's achter waardoor je, ook al zou de voorkant van de api lek zijn, nooit zomaar naar een database kan én mocht je dat toch lukken, dan nog krijg je maar 1 opvraag per keer te pakken want dat is wat de service erachter regelt...
In ons bedrijf staan de gegevens ook verspreid over diverse domeinen, databases etc etc. De api naar buiten is de verzamelplaats voor de gegevens, maar erachter gaan er veel lijntjes die met allerlei beveiligingsnivo's weer opvragingen doen in allerlei verschillende databases op verschillende domeinen.
onmogelijk om te hacken? nee, niets is onmogelijk om te hacken, maar je kunt t wel heel moeilijk maken...

Ronnerd @nobraininvolved • 20 februari 2020 13:37

Nee... nee.. nee.. En ja, ik krijg vast een -1 moderatie, maar oh god NEE!

Er zijn simpelweg gegevens die je niet op één centrale plek wilt hebben of überhaupt verbonden wilt hebben staan met een netwerk. Punt.

nobraininvolved @Ronnerd • 20 februari 2020 14:06

ik heb 't over het scala aan gegevens wat nu overal rondzwerft en waar je geen grip op hebt.
Ik heb zelf liever 1 uiterst secured instantie waar alles over 'mijn leven' staat en waar ik zelf grip op heb en waar instanties via een bepaalde autorisatie methode toegang tot alleen dat deel van mijn gegevens kunnen krijgen die zij nodig hebben voor de uitvoering van wat ze ook voor me doen (b.v. ziekenhuis, verzekeringen, hypotheken, enz) dan dat overal en nergens mijn gegevens 'te lekken' liggen.

Bij de geboorte krijg je een bsn. Je zou ook bij de geboorte een dergelijke 'levensloopomgeving' kunnen krijgen...

Groningerkoek @nobraininvolved • 20 februari 2020 15:43

1. Mijn boekhouder vraagt hoe hij dan zijn werk moet doen?
2. Alles samen brengen is alles behalve veiliger.
3. Wil jij eigenaarschap over data die de belasting van jou heeft of die data die een bedrijf wettelijk verplicht is te bewaren, wat wil je daarmee bereiken?
4. Dus 1 plek van waar iedereen overal toestemming voor kan krijgen en waar iedereen mee in verbinding moet staan? Nee dank je.

nobraininvolved @Groningerkoek • 20 februari 2020 16:03

1: dat gaat prima, want zijn programma kan via een api de persoonsgegevens ophalen zodra die nodig zijn. Echter; in zijn programma ben jij een anoniem nummer (of ander kenmerk) waaraan zijn boekhouding dan voor intern gebruik gekoppeld is. Er hoeft dus alleen, wanneer hij een klant opvraagt, een api call te gaan met een bepaald nummer en de benodigde gegevens tbv dat nummer worden dan getoond.

2: realiseer ik me

3: eigenaarschap is een groot woord...van sommige gegevens kun je geen eigenaar worden en sommige instanties moet je niet kunnen blokkeren (abg, belastingdienst, enz). Dat die een eigen sectie in zo'n platform zouden krijgen, zou ik idd wel correct vinden. Maar...'t zou je wel opleveren dat je precies ziet waar gegevens vandaan komen en waar ze precies heen gaan.

4: verbinding is een groot woord....een api call is een opvraag die wel/niet beantwoord wordt. er kan gewoon met ene vorm van authenticatie gewerkt worden waardoor een aanvrager nooit andere gegevens dan strikt noodzakelijk voor die administratie over het lijntje gegooid wordt.
De halve wereld hangt aan elkaar via api calls en dat is een vrij veilige manier van communiceren. Wie er toestemming heeft, zou (in mijn hoofd) voor een groot deel afhangen van de eigenaar (uitzonderingen zoals in je 3e vraag nagelaten).

maar dit is helemaal utopisch he...gaat nooit gebeuren. 't grootste probleem zou zijn security en dat probleem is ook niet zomaar 1, 2, 3 te tackelen. Er zitten gewoon haken en ogen aan, maar als je nu naar de werkelijkheid kijkt, heb ik persoonlijk een (ungefundeerd) gevoel dat 'het gevaar' van alle kanten komt, terwijl dat met zo'n soort (maar dan goed uitgewerkt) systeem maar van 1 kant af kan komen.
ik zie het ook als risicobeheersing...het risico blijft dus wel bestaan, maar wordt wel beter beheersbaar

Groningerkoek @nobraininvolved • 20 februari 2020 16:54

1. Moet ik dan een thuisserver draaien zodat de boekhouder de gegevens kan ophalen?

3. Lijkt mij veel te omslachtig om 1 systeem op te tuigen wat werkelijk alles bijhoud van ieder bedrijf, elke instantie en elke Nederlander. Dat moet je echt niet willen koppelen op 1 punt.

4. Ongeacht waarmee je opvraagt, er moet verbinding tussen systemen zijn (of ze moeten aan het internet hangen wat bij veel gevallen extreem ongewenst is), anders is er niets op te vragen.

nobraininvolved @Groningerkoek • 20 februari 2020 20:09

1: nee, de gegevens zouden dan centraal beheerd worden door b.v. een overheidsinstantie (1 die wel verstand heeft van techniek hoop ik haha)...
Is ook natuurlijk van alles aan af te dingen, maar 't zou wel centraal moeten staan. Je wilt niet je gegevens allemaal op je onveilige thuiscomputer hebben staan.

3: nee, is niet moeilijk...sterker nog, 't gebeurt in de praktijk heel vaak. ook bij mij in het bedrijf hebben wij externe contacten die bepaalde gegevens ophalen wanneer ze ze nodig hebben. Voorbeeld: bepaald bedrijf heeft onze producten op een website. Als een klant prijzen wil zien, dan gaat er onder water een call naar ons bedrijf en worden die opgehaald om te tonen. Het bedrijf met de website beschikt dus niet zelf over die data.
Exact op die manier zou je de informatiestroom kunnen opzetten. Als b.v. een arts jouw gegevens nodig hebt, dan gaat er een call naar jouw gegevens, wat hij mag inzien wordt getoond en er wordt niets opgeslagen. Bijkomend voordeel: iedereen die wél met jouw gegevens mag werken, ziet altijd en overal hetzelfde en alles wordt op 1 plek geupdate, dus vergissingen vanwege bv. oude data, zijn uitgesloten.

4: ja. er moet een api call mogelijk zijn. In welke gevallen zou dat extreem ongewenst zijn?
ik kan werkelijk geen instantie bedenken waar jouw gegevens nu staan, waar geen uitwisseling plaatsvindt...GBA? heeft links met alle overheidsinstanties en zorgverzekeraars. Dokters/ziekenhuizen? hebben je medische dossier; belastingdienst? krijgt vanuit zowat iedere databank in NL gegevens...verzekeraars wisselen ook van alles uit....ik zou echt niet weten welke gegevens nu niet, achter jouw rug om, uitgewisseld worden?

raptorix @SCHWEPPES • 20 februari 2020 13:24

Je kunt je ook afvragen waarom nota bene een hotel je adresgegevens op wilt slaan....

N1ckk @raptorix • 20 februari 2020 13:28

In mijn beroepspraktijk varieert dit van marketing "waarde" tot aan simpelweg dat het systeem die invoervelden heeft. Als er iets is wat dit soort vervelende nieuwsberichten beweeg brengen is het wel de heroverweging van organisaties om zoveel data op te slaan. Dat is iets goeds. In Europa aangevuld met GDPR heeft dit denk ik veel positieve impact gehad tbv persoonsgegevens bescherming.

raptorix @N1ckk • 20 februari 2020 13:59

Ja ik heb hier bij mijn klanten ook veel mee te maken, helaas vinden marketeers, "GDPR" maar gezeur

N1ckk @raptorix • 20 februari 2020 15:30

Is toch ook logisch als je eerst zogenaamd "alles mocht" en nu ineens niet meer. Hoop extra gedoe en legal bemoeit er ineens mee. Ik ben zo'n marketeer, maar niet eentje die dacht (of vond) dat eerst 'alles mocht'

SCHWEPPES @raptorix • 20 februari 2020 14:16

Ja ook dat... Maar uberhaubt, als je er eens over nadenkt wie gegevens over je heeft, dat zijn bizar veel makkelijk hackbare partijen.
Ik ben sinds 2 jaar gestopt met Facebook vanwege alle hacks en datalekken, maar als ik dit nieuws dan zie wordt het duidelijk hoe zinloos het is, er is geen ontkomen aan.

Groningerkoek @raptorix • 20 februari 2020 15:44

Wettelijke verplichting i.v.m. belastingen.

Verwijderd @raptorix • 20 februari 2020 15:59

Omdat ze daar in veel landen wettelijk toe verplicht zijn. In veel Europese landen moet men een kopie van het paspoort nemen.

kimborntobewild @SCHWEPPES • 20 februari 2020 11:48

...maar dat voorkomt niets aangezien dit soort 3e partijen er een potje van maken

Precies. Dus... de boetes voor de grote bedrijven die zoveel gegevens lekken, zijn veel te laag.

CAPSLOCK2000

Privacy
Hack
Networking en security
Datalek
Verenigde staten

20 februari 2020 13:49

Ik vraag me wel eens af of er nog iemand over is wiens gegevens nog niet zijn gelekt. We lezen eigenlijk dagelijks over lekken die over miljoenen mensen gaan. Bij minder horen we het waarschijnlijk niet meer.
Nu zullen er wel een hoop dubbele gegevens zijn tussen al die lekken, maar alles bij elkaar zijn het er zoveel dat een significant deel van de wereldbevolking nu toch wel gelekt moet zijn.
Officieel mag je die gegevens natuurlijk niet verzamelen, maar tal van meer of minder grijze bedrijven en criminelen doet het natuurlijk toch, al dan niet vanuit een land dat niks om privacy geeft.

De pijnlijke vraag die zich dan opdringt is hoeveel zin het nog heeft om je eigen gegevens te beschermen. Het lijkt wel of alles toch al gelekt is en ik het mezelf alleen maar moeilijk maak met m'n strenge privacyregels. Ik geloof dat het nog veel erger kan ik dus voorzichtig moet blijven, maar het is af en toe wel lastig uit te leggen aan anderen. Zeker als die anderen er toch al in berusten dat Facebook, Google en nog wat andere bedrijven alles van ze weten. Die paar echte boeven kunnen er dan ook nog wel bij....

Timfonie @CAPSLOCK2000 • 20 februari 2020 16:58

"Het lijkt wel of alles toch al gelekt is"
Soms voelt dat misschien zo, al is ook dit een onderbuikgevoel dat de plank behoorlijk misslaat en niets zegt over wat er verhoudingswijs daadwerkelijk op straat ligt. Dit gevoel wordt mede veroorzaakt door de regelmatige berichtgeving over lekkages, dat als anekdotische onderbouwing beschikbaar komt in ons geheugen.

En dit gevoel is ook precies wat veel tech-bedrijven die met data groot zijn geworden hopen te bereiken. Als mensen het idee hebben dat het toch al een verloren strijd is, dan zullen ze zich niet langer verzetten tegen privacy-verlies, wat vooral leuk is voor deze bedrijven zelf (en voor veel overheden).

Is het dan geen verloren strijd? Nee, natuurlijk niet! Tenzij mensen er massaal in gaan geloven, want dat creeert een self-fulfilling prophecy. De neiging bestaat om zwart-wit te denken: als het niet volkomen wit meer is, dus een beetje grijzig, ach laat het dan ook maar meteen helemaal zwart zijn. Maar waarom? Het heeft vaak te maken met genot en gemak:

"en ik het mezelf alleen maar moeilijk maak met m'n strenge privacyregels."
Ja, zo voelt het vaak inderdaad. Maar voor veel dingen die belangrijk zijn, moeten we nou eenmaal moeite doen om ze te beschermen, ook als het resultaat minder dan perfect is. Dat betekent consessies doen in plaats van de weg van de minste weerstand te kiezen (van gratis, gemakkelijk en genot, door de verleider geplaveid).

Dat we er moeite voor moeten doen, dat het soms geld kost en dat bepaalde mogelijkheden of sociale interacties dan niet meer beschikbaar voor ons zijn, maakt de verleiding groot om de handdoek compleet in de ring te gooien. Vervolgens komt dan de overtuiging dat het allemaal wel meevalt, of dat het toch niet te voorkomen was, om zo de cognitieve dissonantie weg te werken.

Maar bekijk het eens zo: als ik zwerfafval op straat zie of plastic in zee zie drijven, dan heb ik eerder de neiging deze op te pakken/vissen dan dat het me motiveert om zelf ook maar achteloos rommel weg te werpen. Hoe meer mensen dit doen (mede omdat je het goede voorbeeld geeft) hoe meer effect het heeft.

Zo is ook het totale verlies aan privacy deels een kwestie van of we er al of niet in geloven en van in hoeverre we bereid zijn om er concessies te doen. Ik begrijp mensen die zich laten verleiden door de gemakkelijkste weg en probeer daarom mild in mijn kritiek naar hen te zijn. Ik prijs bovenal mensen als ze moeite doen om privacy te beschermen.

"De pijnlijke vraag die zich dan opdringt is hoeveel zin het nog heeft om je eigen gegevens te beschermen."
Heel veel dus, zolang je je niet laat ontmoedigen door berichten die laten zien dat je het niet volledig in eigen hand hebt. 'Niet volledig' is hier dus totaal iets anders dan 'volledig niet'.

"Ik geloof dat het nog veel erger kan ik dus voorzichtig moet blijven"
Exact!

"maar het is af en toe wel lastig uit te leggen aan anderen."
Zeker. Het wordt ons niet gemakkelijk gemaakt, noch om ons tegen privacy-verlies te beschermen, noch om mensen te laten zien dat het wel degelijk zin heeft. Wat meestal wel helpt is om niet veroordelend te zijn en om te laten zien dat er alternatieven zijn, die met een beetje technische hulp en sociale beloning in gang gezet kunnen worden.

[Reactie gewijzigd door Timfonie op 22 juli 2024 14:05]

twiFight @CAPSLOCK2000 • 20 februari 2020 23:33

De pijnlijke vraag die zich dan opdringt is hoeveel zin het nog heeft om je eigen gegevens te beschermen. Het lijkt wel of alles toch al gelekt is en ik het mezelf alleen maar moeilijk maak met m'n strenge privacyregels.

Als er bij jou ingebroken wordt haal je alle sloten dus maar van de deur? Want ja, je maakt het jezelf alleen maar lastig met je strenge sloten. En het lijkt toch al alsof er overal ingebroken is..

Mensen hebben een rare disassociatie bij digitale gegevens. Men kan het niet aanraken, dus kunnen ze zich ook niet voorstellen welke waarde het heeft als het gestolen gekopieerd wordt. En toch is het zo makkelijk je voor te stellen hoe onwenselijk het is.

Wil je dat facebook je post leest? Wil je dat bedrijven bij je huisarts je medische gegevens kunnen opvragen? Wil je dat er iemand de hele dag met je meeloopt en opschrijft met wie je praat en hoe lang? Vind je het goed als iemand je vraagt of je even van de gehele dag per 2 minuten kan opgeven waar je op dat moment was? Vind je het okee om je naam, adres, leeftijd en hobbies op een briefje bij de supermarkt te hangen?

Makkelijke vragen, maar online klikken we zonder nadenken op "accept" en geven we er niets om.

Erdinger 20 februari 2020 14:02

Have I Been Pwned heeft het meteen toegevoegd aan haar DB. Goed moment om weer eens je accounts te checken dus!

kimborntobewild 20 februari 2020 11:31

En... Welke gigantische boete heeft MGM gekregen voor het onvoldoende beveiligen van de gegevens?

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 14:05]

Anonymoussaurus

Datalek

@kimborntobewild • 20 februari 2020 11:34

Geen, en het meest oneerlijke vind ik nog dat die miljoenen dan gaan naar de instantie die ze die boete heeft gegeven terwijl het potverdorie mijn gegevens zijn die zijn gelekt door het bedrijf. In dit geval niet, maar met zaken waar mijn data wel bij betrokken is, vind ik dat echt belachelijk. Mijn gegevens lekken uit en de instanties kunnen de miljoentjes/miljarden lekker opstrijken terwijl wij er alleen maar (permanente) nadelen aan ondervinden.

tja @Anonymoussaurus • 20 februari 2020 12:00

jij snapt het niet. die boete is een prikkel van de overheid om bedrijven tot beterschap te dwingen. in het AVG staat ook niet voor niets dat de preventieve maatregelen in verhouding moeten staan tot de mogelijke schade of waarschijnlijkheid dat een incident zou kunnen voordoen. er staat jou niets in de weg om via een civiele procedure jouw schade te verhalen. deze zul je dan moeten kwantificeren. dus je hebt het recht en mogelijkheid om schade te verhalen. als iemand jou van links aanrijd en jou schade bezorgt krijgt hij een boete als hij fout zit en jij krijgt de schade vergoed.

Anonymoussaurus

Datalek

@tja • 20 februari 2020 12:05

Tuurlijk kan het. Alles kan, maar dan moet je wel flink dokken, zoals ik hier al uitlegde: Anonymoussaurus in 'nieuws: Gegevens 10,6 miljoen klanten Amerikaanse hotelketen ... en dat is niet realistisch, tenzij jij het de moeite waard vindt om duizenden euro's te lappen, vervolgens de rechtszaak te verliezen en genoegen te nemen met het feit dat je geld kwijt bent en ook nog eens slachtoffer bent van een datalek.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:05]

tja @Anonymoussaurus • 20 februari 2020 12:21

snap je het verschil tussen een boete/sanctie en een schadeloosstelling ?

Verwijderd @Anonymoussaurus • 20 februari 2020 12:29

Maar het strafrecht is er natuurlijk niet om de slachtoffers tevreden te maken, daarvoor is het civiel recht en als jij kan aantonen schade te hebben die in geld uitgedrukt kan worden en die direct terug te leiden is tot deze hack, geef ik je een grote kans op winst en zal de aangeklaagde niet snel in beroep gaan.

Mijn bedrijf is precies voor dit soort zaken verzekert. Je kan als persoon ook verzekeringen nemen tegen dit soort schade tegenwoordig. Als je er zo bang voor bent lijkt me dat een goed idee.

ro8in @Verwijderd • 20 februari 2020 13:03

Tis natuurlijk wel een beetje raar dat jij je moet verzekeren tegen de onkunde van een ander. Zou een beetje zoiets zijn als dat jij een auto verzekering moet gaan nemen voor het geval een ander een fout maakt... Dat is de wereld op zijn kop natuurlijk. Misschien zou het een idee zijn om net zoals bij autos bedrijven die veel data verwerken verplichten tot een verzekering!

Oon

@ro8in • 20 februari 2020 13:07

In Nederland is het niet zo, maar er zijn genoeg landen waar het zeker slim is om een autoverzekering te hebben omdat de kans zeer aanwezig is dat de ander die geen heeft, en dan is het lastig om alsnog je schade betaald te krijgen.

kimborntobewild @ro8in • 6 maart 2020 14:29

Misschien zou het een idee zijn om net zoals bij autos bedrijven die veel data verwerken verplichten tot een verzekering!

Ik zou het eerder juist verbieden; anders voelt men zich gedekt tegen schade door datalekken en doet men minder aan beveiliging. En diegenen die ook premie moeten betalen en wél netjes beveiligd zijn, moeten dan dus (via hun premie) opdraaien voor de lekken bij een ander.

Nee, verplichte verzekering om kosten n.a.v. datalekken te kunnen verhalen op de verzekering, lijkt me een heel slecht systeem.

nobraininvolved @tja • 20 februari 2020 13:29

terwijl je eigenlijk zoiets zou moeten hebben als:
- klant zijn gegevens zijn gelekt, dus heeft ie schade (al is het maar de tijd die het kost om nieuwe wachtwoorden aan te maken) en schade moet gedekt worden.
Ik zou 't aan de ene kant wel goed vinden als iedere klant bij ieder datalek (afhankelijk van de ernst) een paar cent tot een paar honderd euro zou kunnen krijgen.
Vindt wel dat dan echt aangetoond moet worden dat de beveiliging niet op orde was, want om nou een bedrijf failliet te laten gaan terwijl ze b.v. wel hun best doen om eea goed te beveiligen, dat vind ik ook te ver gaan.

kimborntobewild @dnrb • 6 maart 2020 14:32

4 weken kreeg ik een brief van Alliance date er wel data was gestolen, maar dat deze versleuteld was. En er geen aanwijzingen waren dat die versleuteling was gebroken.

Een puur woordspelletje en daarmee misleiding (misleiding is an sich wel degelijk illegaal): ze hebben óók geen aanwijzingen dat de versleuteling stand heeft gehouden(!)

Renoir @Anonymoussaurus • 20 februari 2020 11:39

A. Je bent vrij ze zelf aan te klagen tbv een schadevergoeding.
B. Boete gaat toch gewoon op de grote hoop en komt daarmee iedereen ten goede?

Net als een boete bij door rood rijden. Gaan we dat geld verdelen over iedereen die op dat moment zich in de buurt van het kruispunt bevond? Nee dat niet, we gooien de boete op de grote hoop. Is er iemand wezenlijke schade aangedaan dan kan diegene een schadevergoeding krijgen, naast de boete die is gegeven.

Anonymoussaurus

Datalek

@Renoir • 20 februari 2020 11:41

A. Je bent vrij ze zelf aan te klagen tbv een schadevergoeding.
B. Boete gaat toch gewoon op de grote hoop en komt daarmee iedereen ten goede?

Net als een boete bij door rood rijden. Gaan we dat geld verdelen over iedereen die op dat moment zich in de buurt van het kruispunt bevond? Nee dat niet, we gooien de boete op de grote hoop. Is er iemand wezenlijke schade aangedaan dan kan diegene een schadevergoeding krijgen, naast de boete die is gegeven.

Laat het nou net zo zijn dat het hier in Nederland extreem moeilijk is en veel geld kost. Het is jouw budget voor het aanklagen vs het budget van een miljardenbedrijf. Succes, maar dat gaat natuurlijk niet werken. Ze smijten er 5 advocaten tegenaan, en daar kom jij aan met 1 advocaat die je na meerdere hoge beroepen al veel geld kosten. Zo 'vrij' vind ik dat niet.

Op de grote hoop... Ja, en? Het is niet zo dat dat geld naar de overheid gaat om vervolgens mooie plantjes van te zaaien bij jou in de wijk ofzo. Ik vermoed dat dat geld gewoon een betaalmiddel is aan de organisatie, voor personeel etc. Met miljarden vind ik dat niet meer te verdedigen.

Renoir @Anonymoussaurus • 20 februari 2020 11:54

Ja maar dan is de discussie dus dat procederen als burger te lastig is.

En als betaalmiddel voor de organisatie zorgt ervoor dat er dus ergens anders meer geld overblijft om plantjes te zaaien in de wijk. Het is dan onderdeel van de grote hoop.

Dostar @Anonymoussaurus • 20 februari 2020 11:56

Ik ben het 100% met je eens dat de echte slachtoffers nooit gecompenseerd worden helaas. Kan me hooguit voorstellen dat dit soort instellingen hun inkomsten investeren in preventie en voorlichting van klanten en bedrijven. Maar van waakhonden verwacht ik nooit zo heel veel.
Van stichting Brein krijgt de muzikant nu ook niet bepaald een mooi bedrag, het is meer symbool politiek van: "Kijk! We hebben weer een downloader te pakken!". Af en toe hebben ze een grote uploader te pakken, maar gebeurd niet heel vaak, ze lijken vooral te focussen op kleine visjes.

Betreft slachtoffer verhalen. Ik ben zelf ooit slachtoffer geweest van een overval op straat en zware mishandeling (omdat ik niet genoeg geld had voor die persoon). Je krijgt dan in Nederland 1 bezoekje bij slachtofferhulp en mag 15 minuten een kop koffie komen drinken. Daar na ben je op jezelf aangewezen en loop je nog +/- 5 jaar rond met enorme straatvrees, kan je helaas je opleiding niet afmaken vanwege angstaanvallen, etc. etc.
De koffie was tevens niet te pruimen, want goedkope automaat.
Dader loopt waarschijnlijk tot de dag van vandaag nog vrij en vrolijk rond zonder enige schuldgevoelens...

dnrb @Anonymoussaurus • 7 maart 2020 15:13

Het zou goed zijn als wij in Nederland voor dit soort dingen een class act hadden waarmee je zeer veel mensen op no cure no pay basis dit soort grote bedrijven kan aanpakken.

tja @kimborntobewild • 20 februari 2020 11:34

op welke wet zou jij die boete willen baseren ?

een datalek is niet automatisch een boete.

Anonymoussaurus

Datalek

@tja • 20 februari 2020 11:36

https://www.justitia.nl/privacy/datalekken

Als persoonsgegevens door een datalek of fout geopenbaard worden, kan daar schade uit voortvloeien voor de betrokkenen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt. Deze aansprakelijkheid is niet nieuw, maar door de meldplicht zullen fouten eerder bekend worden. Dat kan leiden tot meer schadeclaims van de personen die slachtoffer zijn geworden van een datalek.

En ja, 'kan', maar het feit blijft dat er schade is voor de gebruiker (spam krijgen doordat je email is gelekt is ook schade).

TheVivaldi @Anonymoussaurus • 20 februari 2020 11:47

Valt Amerika dan tegenwoordig onder het Nederlandse rechtssysteem? Want voor zover ik begrijp gaat het hier om een *Amerikaanse* keten met *alleen* hotels in Amerika. Dus een boete zou dan gebaseerd moeten zijn op een *Amerikaanse* wet.

Ircghost @TheVivaldi • 20 februari 2020 11:51

Behalve als er Europese Data Subjects inzitten, en als hotel keten is het te verwachten dat je Europese bezoekers hebt + ze richten daar ook op met hun website en marketing (is criteria). Dus dan moeten ze alsnog voldoen aan de GDPR.

Anonymoussaurus

Datalek

@TheVivaldi • 20 februari 2020 11:51

Helemaal gelijk in. Lijkt mij inderdaad niet van toepassing. Als een boete hier al niet verplicht is, zal het in Amerika al helemaal niet zo zijn.

tja @Anonymoussaurus • 20 februari 2020 11:55

Je wil een Nederlandse wet toepassen op een bedrijf gevestigd in Las Vegas.? succes,

als het bedrijf in Nederland was gevestigd en onder de in Nederland geldende wetten had gevallen dan had het nog niet tot een boete zullen leiden. een incident is niet standaard een boete. er gaat een heel voor traject aan vooraf. daarnaast heeft MGM een iso27001 certificaat waarmee ze laten zien dat ze wel degelijk hun best doen om dit soort dingen te voorkomen. ze hebben ook keurig gehandeld nadat hun bekent werd dat er een datalek was. MGM heeft dus niets verkeerd gedaan. Jason en zijn team zijn daar vol bezig om dit soort dingen te voorkomen en onderschat dat team niet. zijn zware jongens.

maar wat was de schade eigenlijk ? jij als expert datalek kan me dat het beste uitleggen. wel concreet, wat mogelijke opties gapen hebben we niets aan. dan ook de data in context van tijd plaatsen, het is immers 3 jaar oud.

Anonymoussaurus

Datalek

@tja • 20 februari 2020 12:04

Zoals ik al aankaartte in deze reactie: dat was inderdaad niet helemaal goed doordacht

. Mijn excuus hiervoor.

Het had inderdaad niet per se hoeven leiden tot een boete, maar dat is meestal wel het geval. Helemaal als je betaalt voor een dienst en als het een grote impact heeft (dus veel klanten/gebruikers). Ik denk dat boetes wat minder snel uitgedeeld worden aan instanties die een gratis service verlenen, alhoewel je dan vaak betaalt met je data. Anyway, irrelevant, want hier heb je dus wel betaalt (voor het hotel namelijk).

Heel leuk, zo'n certificaat, maar als jij de deuren richting je servers wagenwijd openzet en het wel netjes meld, dan vind ik dat persoonlijk alsnog ernstig. Maar goed, hier in Nederland (en de EU, ook als je als bedrijf een service/dienst/product verleent aan Europese landen) ben je wel verplicht een datalek te melden.

De schade in dit geval zal niet zoveel zijn qua hoeveelheid Nederlanders, gok ik. Beetje onzin om nu alles opnieuw te gaan herhalen, want @Dostar heeft dat al redelijk concreet uitgelegd: Dostar in 'nieuws: Gegevens 10,6 miljoen klanten Amerikaanse hotelketen MGM v...

Één van die gevolgen zijn identiteitsfraude, wat je je letterlijk duur kan komen te staan.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:05]

Dostar @Anonymoussaurus • 20 februari 2020 12:06

Een nieuwe geboortedatum/BSN nummer is lastig aan te vragen bij de gemeente

Dus ja blijvende schade.

tja @Dostar • 20 februari 2020 12:17

kwantificeer de schade ?
eenmanszaken hanteren verplicht bij wet al vele jaren hun BSN nummer op hun website en is een factuur verplichting, B01, geboorte datum kun je zo opzoeken bij de KVK zie wet op de KVK. KVK verkocht deze data ook aan ieder die betalen wilde tot voor kort. maar leg me de schade nog eens uit Dostar?
moet ik nu de KVK en belastingdienst een rechtzaak aan doen vanwege de schade die ze me mogelijk hebben aangedaan ? BSN nummer van eenmanszaken dwarrelen nog jaren op internet en in administraties van derde.

Dostar @tja • 20 februari 2020 12:21

Scroll een beetje naar boven en je leest een voorbeeld. Gaat dan voornamelijk om identiteitsfraude en bijvoorbeeld bestellen van goederen op jouw naam/adres. Ook kunnen mensen (digitale) bankrekeningen openen op je naam en jou tegen je wil in als geldezel gebruiken. Waardoor je in een register komt te staan, waar door in de toekomst een rekening open onmogelijk wordt gemaakt. Je kan in het register komen te staan van hoge schulden, die jij niet gemaakt hebt. Tal van voorbeelden.
En wat dacht je van instellingen of bedrijven die nog een kopie van je paspoort/ID-kaart heeft liggen, omdat ze er destijds om mochten vragen....
Maar er vallen ook genoeg voorbeelden te Googlen wat er allemaal mogelijk is met identiteitsfraude:

https://www.google.com/se...jk+met+identiteits+fraude

en de eerstgevonden linkjes:
https://www.politie.nl/themas/identiteitsfraude.html
https://www.juridischloke...ngifte/identiteitsfraude/

etc. etc.

Af en toe Google raadplegen kan geen kwaad

[Reactie gewijzigd door Dostar op 22 juli 2024 14:05]

Anonymoussaurus

Datalek

@Dostar • 20 februari 2020 12:08

Precies, zijn tal van incidenten geweest op het nieuws. Mensen die hun hele leven er mee te maken krijgen, in negatieve zin. Bestellingen op andermans naam, of jouw thuisadres die wordt gebruikt als tussenstation voor criminelen.

Dostar @Anonymoussaurus • 20 februari 2020 12:17

Eigenlijk zouden ze postbezorgers ook moeten voorlichten post daadwerkelijk af te geven aan de bewoner en niet iemand die toevallig voor het huis staat. Dat zou dit soort tussenstations kunnen voorkomen.
Maar goed postbezorgers is ook weer een verhaal apart. Vaak genoeg aangetekende pakketten bij de buren mogen ophalen en bij de handtekening stond ter plekke een krabbeltje of verzonnen naam.
Gelukkig heb ik buren die ik kan vertrouwen, eigenlijk de hele straat wel, maar je zou maar eens de vervelende buurman hebben zitten.
Ook kan je niet bij elke webshop eisen dat een pakket wordt bezorgt bij een ophaalpunt, maar dit voorkomt natuurlijk nog steeds geen fraude betreft pakketten bij jou thuis opwachten voor de deur.
Het meest akelige van alles is dat deze fraudeurs dus weten waar je woont, in de gaten houden wanneer je wel of niet thuis bent om dan hun slag te slaan.
Stiekem zou je dan willen verhuizen asap, maar dat is niet altijd mogelijk en dankzij de rest van de gegevens die ze van je hebben, kunnen ze met gemak je nieuwe adres achterhalen. Tenzij je voorgoed emigreert en je NL paspoort, BSN, etc. op geeft.

Ondertussen het bedrijf waar het lek is geweest, waar de gegevens niet eens encrypted waren, gaat het leven en de nieuwe (en sommige oude klanten) gewoon vrolijk door alsof er nooit iets gebeurd is. Dat is wat mij het meest kwaad kan maken. ENnzoals je aan gaf, hun advocaten VS jouw pro deo advocaat gespecialiseerd in de "Plichten en rechten van kamerplanten"... bij wijze van.... is de zaak eigenlijk al verloren.

Het.Draakje @Dostar • 20 februari 2020 14:32

Immigratie gaat je niet helpen. Naturalisatie ook niet. Aangezien je in Nederland hebt gewoond, heb je recht op (een deel van) AOW en daarom sta je geregisseerd in de gemeente Den Haag, inclusief je adres. Ook de belasting wil nog even afrekenen betreffende je pensioenrechten e.d. dus die kloppen ook aan in het buitenland.

Ik denk dat jouw BSN nummer gewoon blijft houden, ook al ben je geen inwoner meer.

Dostar @Het.Draakje • 20 februari 2020 14:37

Kortom, liggen deze gegevens op straat (internet), dan zit je voor goed in de modder?

Het.Draakje @Dostar • 20 februari 2020 14:43

Inderdaad, je BSN (als die bekend is, wat voor velen het geval is) kun je net zogoed op je voorhoofd laten tatoeëren, want je komt er toch nooit meer vanaf.

Dostar @Het.Draakje • 20 februari 2020 14:57

Eigenlijk van de zotte wat je allemaal kan regelen met puur naam/adres/BSN/Geb Datum... Vroeger moest je nog echt je gezicht + paspoort tonen op een kantoor.
Internet heeft veel dingen makkelijker, maar ook gevaarlijker gemaakt blijkt wel.

Betreft de Tattoo, zal mijn baas moeten vragen of dat mag voor mijn functie, anders misschien wel een goed idee. Dan wel in spiegelschrift, anders heb ik er nog steeds niks aan.

Somoghi @Dostar • 20 februari 2020 20:57

Je kunt ook gewoon een QR code of streepjescode laten zetten natuurlijk

Dostar @Somoghi • 20 februari 2020 23:08

Dat doe ik liever naar een Ideal link gelinkt aan mijn bank, handig als Tweakers 2e hands iets komen kopen

whiner @Anonymoussaurus • 20 februari 2020 12:11

En een datalek hoeft niet altijd een hack te zijn geweest. Het kan ook zijn dat een oud werknemer een kopie maakt van de database dat hij beheerden en deze een half jaar later lekt.

Dat kun je een bedrijf moeilijk aanrekenen.

Anonymoussaurus

Datalek

@whiner • 20 februari 2020 12:12

Dan wel inderdaad, maar dat is weer een ander verhaal en een andere context. Mijn bericht gaat nu even ervan uitgaande dat bedrijf X is gehackt.

dnrb @whiner • 20 februari 2020 14:00

De sleutel zit in een kopie maken... en die mee kunnen nemen. Dat moet dus niet zomaar kunnen.
Dat wil zeggen een log trace veroorzaken. Backups worden doorgaans automatisch gemaakt en als het goed is automatisch versleuteld. Personen die een back-up kunnen maken geeft al aan dat het proces niet goed is.

tja @Anonymoussaurus • 20 februari 2020 12:13

vermoedens, gokken, doel redenatie. sterk. AVG verwijst naar de ISO27001 impliciet en in Nederland verwijst de wet expliciet naar NEN7510 welk op ISO27001 is gebaseert. de overheid, BIO, is ook gebaseert op de ISO27001. dus het zomaar een certificaat noemen is wat zwak. een bedrijf die zich incidenteel niet houdt aan zijn eigen procedures valt wat van te zeggen maar zal ook niet leiden tot een boete. maar je zit op facebook begrijp ik ?

tja @Anonymoussaurus • 20 februari 2020 12:19

en je negeert de rest van de post.
facebook volgt je nog steeds en weet tot op de dag van vandaag meer van je dan de NSA. heb je instagram of whatsapp ? android of gmail ?

Verwijderd @tja • 20 februari 2020 12:28

Jason en zijn team zijn daar vol bezig om dit soort dingen te voorkomen en onderschat dat team niet. zijn zware jongens

Heb je hier meer info over?

Dostar @Anonymoussaurus • 20 februari 2020 11:50

Spam krijgen vind ik niet het ergste, maar als mensen gegevens hebben zoals je naam, adres, telefoon en geboorte datum, dan kunnen ze ander soort schades maken. Of als inloggegevens soortgelijk zijn bij bijvoorbeeld een webshop of iets dergelijks. Genoeg voorbeelden waar bij gehackte account van alles besteld wordt naar een ander adres of zoals hier op Tweakers iemand met een 5 sterren account, account gehackt, en daarna via V&A mensen oplichten.
En zo zijn er tal van voorbeelden te noemen, waar van spam de minst erge is.

Anonymoussaurus

Datalek

@Dostar • 20 februari 2020 11:51

Was ook maar één van de vele voorbeelden die ik noemde.

Dostar @Anonymoussaurus • 20 februari 2020 11:59

Ik moet overigens bekennen dat ik wel 100% eens ben met je berichten bij dit nieuwsartikel. De echte slachtoffers worden niet bepaald gecompenseerd.

Archcry @Anonymoussaurus • 20 februari 2020 12:08

Afgezien van het feit dat nederlandse wetgeving niet van toepassing is op een amerikaans bedrijf is een boete ook niet hetzelfde als een schadeclaim. Daarnaast is in het stuk wat jij quote ook te lezen dat voordat het melden van een datalek verplicht was er ook al schadeclaims waren. Dus eigenlijk is de meldplicht het enige wat wettelijk verplicht is in deze. Van een boete kan sowieso niet gesproken worden tenzij de autoriteit persoonsgegevens die middels een rechtzaak op laat leggen.

Johan9711 @kimborntobewild • 20 februari 2020 11:35

Zo snel gaat dat natuurlijk niet, en het is nog niet eens bekend of een gebrekkige beveiliging de oorzaak was. Eerst maar eens afwachten tot de meer info is voor er overhaaste conclusies worden getrokken.

Nyarlathotep @kimborntobewild • 20 februari 2020 11:36

FiPo much?
Hoe weet jij dat de gegevens onvoldoende waren beveiligd? En wat voor beveiliging betrof het hier?
Gegevens kunnen nog zo veilig zijn opgeborgen; er zijn talloze manieren om deze buit te maken. Ook met b.v. hulp van binnenuit.
(Goede) beveiliging van gebruikersdata garandeert niet dat deze niet kunnen worden buitgemaakt.

kimborntobewild @Nyarlathotep • 20 februari 2020 11:41

Hoe weet jij dat de gegevens onvoldoende waren beveiligd?

Tja, de gegevens liggen op straat. Dus heeft iemand of meerderen van MGM opgegoofed.

Verwijderd @kimborntobewild • 20 februari 2020 12:32

En dat baseer je op het feit dat de data bekend is? Zonder ook maar iets te weten over de hack? Als er een aanval is geweest via een vector waar nog nooit iemand van heeft gehoord is het bedrijf ook schuldig? Als een medewerker de data moedwillig heeft laten lekker is het bedrijf schuldig?

Als jij dat soort dingen denkt tegen te kunnen houden hoef je je over een baan de rest van je leven geen zorgen te maken! De werkgevers zullen in de rij staan, ik als eerste!

kimborntobewild @Verwijderd • 6 maart 2020 14:36

Als er een aanval is geweest via een vector waar nog nooit iemand van heeft gehoord is het bedrijf ook schuldig?

Het lijkt me wel zeker dat er niet aan best security practices is gehouden.

Als een medewerker de data moedwillig heeft laten lekker is het bedrijf schuldig?

Dan lijkt het me dat de medewerker - die blijkbaar toegang had tot alle data - te veel rechten had en/of niet goed gescreend is geweest...?

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 14:05]

oef! @kimborntobewild • 20 februari 2020 11:39

En hoe denk je daar invloed op uit te kunnen oefenen bij een Amerikaanse hotelketen?

Randfiguur @kimborntobewild • 20 februari 2020 11:39

Kom nou. Relatief gigantische boetes zijn er alleen voor gewone burgers die een foutje maken in hun belastingaangifte of het verkeer.

680x0 @kimborntobewild • 20 februari 2020 15:00

Een boete voor bedrijven die duidelijk nalatig waren kan ik inkomen, maar ik kan over deze zaak nergens exact lezen hoe het zou gebeurt zijn.

Prive data die op straat komt liggen is uiteraard totaal onaanvaardbaar, maar er blijft voor mij nog steeds een groot verschil als duidelijk is HOE het is kunnen gebeuren.

analog_ @kimborntobewild • 20 februari 2020 20:00

Het probleem is dat deze data duidelijk afkomstig is van een legacy hospitality systeem (ik herken het formaat/protocol). Dit gaat typisch over serieel of unencrypted TCP. Je kan niet zomaar alle toestellen een nieuw spec geven en upgraden. Er moet dus een betere industrie standaard komen.

kimborntobewild @analog_ • 6 maart 2020 14:21

Je kan niet zomaar alle toestellen een nieuw spec geven en upgraden.

Oplossing: apparatuur die per default privacy-data onversleuteld stuurt, verbieden.

lasharor 20 februari 2020 11:35

"Het zou gaan om klantgegevens tot 2017 en de getroffen klanten zouden vorig jaar op de hoogte zijn gebracht."

"Oude" gegevens lijkt mij niet relevant wanneer hier " namen, adresgegevens, telefoonnummers, e-mailadressen en geboortedata" in staan.

Ik mis eigenlijk een beetje in al deze datalekken wat deze bedrijven doen om identiteitsfraude voor hun getroffen gebruikers te voorkomen. Ik heb ook wel eens zo'n mail gekregen waarin men laat weten dat mijn gegevens op straat liggen. Maar, daar blijft het dan altijd bij er lijkt nooit een bedrijf te zijn die mij dan een service aanbied om identiteitsfraude te monitoren.

Blokker_1999

Verenigde staten
Datalek
Hack
Networking en security
Privacy

@lasharor • 20 februari 2020 11:41

Neen, maar dat staat er wel om aan te geven dat de hack niet recent is gebeurd en dat getroffen mensen reeds vorig jaar zijn ingelicht. Dit is dan weer belangrijk om te voorkomen dat mensen nu weer gaan zeggen: en ze hebben me niet gewaarschuwd van dit nieuwe lek.

En veel kan men niet doen natuurlijk. Als die gegevens eenmaal op straat liggen kan je ze niet gaan oprapen om ze opnieuw te verbergen.

lasharor @Blokker_1999 • 20 februari 2020 12:26

Goed, dat is toch niet het probleem van de consument. Wanneer mijn data uitlekt wil ik graag dat iemand gaat controleren of derden die data niet misbruiken. Dat dit niet volledige zal zijn begrijp ik maar nu komen veel van deze bedrijven er vanaf met een boete waar ik als consument eigenlijk helemaal niets aan heb.

Snow_King

@lasharor • 20 februari 2020 12:34

Daar heeft een bedrijf geen tijd en geld voor. Zo simpel is het.

Bedrijven doen hun best, maar ook maar tot een bepaald punt om gegevens te beschermen. Daar boven wordt het te duur of te onhandig en dan kan het gebeuren.

Dat is de realiteit van kapitalisme. Alles heeft een prijs

kimborntobewild @lasharor • 20 februari 2020 11:43

Te slappe regulering.

[Reactie gewijzigd door kimborntobewild op 22 juli 2024 14:05]

Verwijderd @kimborntobewild • 20 februari 2020 12:33

Te slappe argumentatie.

Ik denk dat jij werkelijk geen enkel idee hebt wat de mogelijk maatregelen en straffen in de VS zijn en dat je roeptoetert.

kimborntobewild @Verwijderd • 6 maart 2020 14:39

Gezien het grote aantal lekken, en het aantal grote lekken, lijkt het mij duidelijk dat de maatregelen en straffen te laag zijn.

Lapa @lasharor • 20 februari 2020 12:14

Je bedoelt dat jij NIET elke keer verhuist en een nieuw telefoonnummer neemt als dit soort data op straat ligt? Dan vraag je er natuurlijk zelf wel een beetje om.

Als je echt veilig wil zijn, dan start je natuurlijk ook elke keer de procedure om je naam te wijzigen. Gewoon een paar keer naar het gemeentehuis, wat formulieren invullen, leges betalen, familie, vrienden en instanties informeren en je bent klaar.

stuiterveer 20 februari 2020 12:58

An MGM spokesperson told ZDNet the data that was shared online this week stems from a security incident that took place last year.

"Last summer, we discovered unauthorized access to a cloud server that contained a limited amount of information for certain previous guests of MGM Resorts," MGM told ZDNet.

"We are confident that no financial, payment card or password data was involved in this matter."

The hotel chain said it promptly notified all impacted hotel guests in accordance with applicable state laws.

Als je het aan mij vraagt lijkt MGM het geheel niet echt serieus te nemen: "er zijn geen betaalgegevens of wachtwoorden buitgemaakt, dus er slechts een gelimiteerd aantal gegevens buitgemaakt". Technisch gezien is dit correct, maar die gegevens bevatten persoonsgegevens met details over het verblijf.

Deze hack had wat forumposts teweeg gebracht: https://www.vegasmessageb...orts-in-july-2019.165346/

Then 20 August I got a call that informed me I would be charged $399 in 48 hours for a web security service I don't use unless I called a specific number. I ignored that call. Nothing happened but I changed my a number of passwords anyway. No charges were made.

Oftewel uiteindelijk worden deze persoonsgegevens alsnog gebruikt in een poging om financiële data buit te maken. Top.

Het.Draakje @stuiterveer • 20 februari 2020 15:18

Ze geven een correct antwoord en dus nemen ze de situatie niet serieus ?!? Wat hadden ze dan moeten doen?

Meneer Bieber Uw adres is gelekt, evenals Uw geboortedatum (beiden waarschijnlijk wel te vinden op een fan-site). Hierbij bieden wij een gratis verblijf aan als compensatie? Gaarne op de volgende link klikken voor Uw keuze van dag. En wilt U even Uw creditcard gegevens invullen zodat wij weten dat het een legitieme boeking betreft. Nogmaals onze excuses en tot weerziens?

100% veilig bestaat niet, shit happens. MGM is er niet schuldig aan dat anderen alleen op naam, adres, geboortedatum handelen. Vroeger moest ik nog persoonlijk naar de bank komen voor een hypotheek. En controleerde de medewerker of ik echt wel ik was. En nog steeds rust op de eiser de verplichting om te bewijzen dat de transactie door mij gedaan is. Dus kom maar op met die handtekening en kopie paspoort of ID-kaart. Dat soort gegevens zijn niet buitgemaakt dus blijkbaar zijn de systemen door MGM toch redelijk ingericht. Blijkbaar hebben ze dus vooraf al nagedacht wat er fout kon gaan.

Ik wordt wekelijks gebeld en ge-smst, door (uiteraard) heel respectabele bedrijven (telefoonbedrijf, credietbedrijven en banken) terwijl ik zeker weet dat ik daar nooit zaken mee heb gedaan (en mijn nummer is ook niet bekend buiten een handjevol familieleden).

De ene keer (bank) wordt mijn credit-card opgeheven, de andere keer bedanken ze me voor de betaling (creditbedrijf) en vragen ze me te bevestigen dat ik vergeten heb de korting te verrekenen (ik krijg dus nog wat geld terug). En die telefoonmaatschappij dreigt mijn mobiele nummer op te heffen. Terwijl ze alleen maar fixed-lines aanbieden.

Maar als ik bij MGM ben geweest is dat uiteraard volledig toe te schrijven aan deze hack.

Lijkt me een behoorlijk voorbarige conclusie.

stuiterveer @Het.Draakje • 20 februari 2020 15:49

Ze geven een correct antwoord en dus nemen ze de situatie niet serieus ?!? Wat hadden ze dan moeten doen?

Meneer Bieber Uw adres is gelekt, evenals Uw geboortedatum (beiden waarschijnlijk wel te vinden op een fan-site). Hierbij bieden wij een gratis verblijf aan als compensatie?

Natuurlijk is het niet te doen als ze iedere getroffen persoon gaan compenseren, dat is ook niet waar ik naartoe werkte. Waar het me meer om gaat is dat ze kennelijk destijds hebben aangegeven (althans, zo wordt het gecommuniceerd door MGM En ZDnet op dit moment, maar ik kan nergens een kopie van de email vinden op dit moment om dat te verifiëren) dat er slechts gelimiteerd toegang was en dat hun betaalgegevens en wachtwoorden nog altijd veilig waren. Wat blijkt nu: in die gelimiteerde data stonden persoonsgegevens.

Dan is de vraag: als ze daadwerkelijk dit destijds niet hebben gecommuniceerd, wat op dit moment puur speculatie van mijn kant is, in hoeverre hebben ze het dan daadwerkelijk serieus genomen? Ja, ze hebben volgens hun zeggen binnen de wetgeving gewerkt, maar was dat wel voldoende?

Het.Draakje @stuiterveer • 20 februari 2020 16:29

Betaalgegevens =/= persoonsgegevens.
Wachtwoorden =/= persoonsgegevens.

Iemand die weet waar ik woon (de buren) weten mijn bankrekening nummer of wachtwoord niet.
Iemand die weet wanneer ik jarig ben (mijn gasten) weten mijn bankrekening nummer of wachtwoord niet.

Zelfs als een wachtwoord wordt gestolen (in combinatie met een mailadres) hoeft dat geen probleem te zijn. Maar dat is niet gebeurd. (Geen probleem omdat we unieke paswoorden hebben voor iedere site. En als dat niet het geval is, dan is dat niet de schuld van MGM).

( Door de m.i. onvoldoende beveiliging door een cc-maatschappij) zou het credit-card nummer een probleem kunnen zijn, maar dat is niet gebeurd. (Guess what: I don't have a credit-card).

Naam, adres, woonplaats, geboortedatum, telefoonnumer. Dat is gestolen. En voor 99% van onze mede-aardbewoners geldt dat dit gewoon via Facebook e.d. al lang bekend is.

Dus inderdaad: gelimiteerde gegevens.

ID-theft op basis van dergelijke summiere gegevens is niet te wijten aan MGM maar aan het feit dat sommige bedrijven maar al te graag 'zaken' willen doen zonder te veel moeite. Vreemd genoeg lees je nooit dat (bijv) ABN Amro op aandringen (per email) van dhr J. Bieber even Euro 100.000 heeft overgemaakt op de rekening van Het.Draakje. En dat ABN Amro vervolgens bij dhr Bieber de rekening heeft gedebiteerd (terwijl dhr Bieber nooit bij ABN Amro is binnen geweest).

Ja, ik heb dat artikel gelezen dat een telefoonmaatschappij voor tonnen is opgelicht door een paar mensen die aansluitingen op andermans naam verrichten. Dat valt onder "maar al te graag zaken willen doen".

Volgens mij is het in dit geval zo: Ze hebben nagedacht over beveilig(s-lagen) van hun gegevens. Ze hebben de core-gegevens van hun klanten afdoende beschermd (tegen deze hack). Ze hebben alles gedaan wat van hun verwacht mocht worden. Zowel juridisch als moreel. Alleen ze hebben een verkeerde inschatting gedaan van het risico op non-core gegevens. Zij hebben hier een lesje geleerd.

Ik hoop zelfs dat andere bedrijven hier een voorbeeld aan nemen: 100% veilig bestaat niet. Maar zorg dat de gegevens zo veilig mogelijk zijn. En bescherm de core-gegevens nog meer.

Bobbreede 20 februari 2020 12:56

Wij zijn in de afgelopen 3 jaar 3x in een MGM resort verbleven. Moet ik nu stappen ondernemen? Dat haal ik niet perse uit 't artikel. Evenmin of ik ergens kan achterhalen of onze gegevens ook tot de gelekte gegevens behoren.

Ps. Ik ben mijzelf er van bewust dat wat totaal niet interessant zijn itt de genoemde figuren in 't artikel, maar dan nog.

analog_ @Bobbreede • 20 februari 2020 20:03

Deze data circuleert normaal enkel lokaal in het hotel tenzij de lokale hotel/management/operational administratie niet on-premise runt.

Drardollan 20 februari 2020 13:00

Volgens HaveIBeenPowned zaten mijn gegevens er ook bij, maar geen mail van MGM. Ik kan mij sowieso niet herinneren ooit zaken te hebben gedaan met MGM overigens.

Heel vervelend dat je niet eenvoudig kan zien wat er buitgemaakt is, dat soort hacker platformen kom ik nooit.

Freekers 20 februari 2020 13:12

Interessant, ik ben niet op de hoogte gebracht en heb wel degelijk voor 2017 een overnachting gehad in een van de MGM Resorts.

kuurtjes 20 februari 2020 11:36

Voglens de hotelketen is er vorig jaar een hack geweest en gaat het om relatief oude gegevens. Het zou gaan om klantgegevens tot 2017 en de getroffen klanten zouden vorig jaar op de hoogte zijn gebracht.

Hoe kan dit nieuws nu maar pas buitenkomen als er 10,6 miljoen klanten zijn gecontacteerd?

Cloud @kuurtjes • 20 februari 2020 11:42

Het artikel zegt:

Volgens ZDnet zijn de gegevens deze week gepubliceerd op een populair hackersforum. Het gaat om gegevens van in totaal 10,6 miljoen klanten van MGM Resorts.

De hack is uiteraard het nieuws niet, het online dumpen van de gegevens die buitgemaakt zijn is dat wel.

Amasik @kuurtjes • 20 februari 2020 11:44

Het nieuws van de lek zal wel eerder bekend zijn geweest. Maar als MGM iedereen persoonlijk aanschrijft
weet niemand de gegevens van de de andere 10.599.999 slachtoffers.

Dit nieuws gaat over de bulk publicatie van alle gegevens op een forum.

Een datalek kan ook zijn dat een laptop gestolen is met klantgegevens van een bedrijf, maar als de dief gelijk de schijf wist en nieuw installeert dan loop je geen risico op identiteitsfraude. Als je gegevens in bulk op internet te vinden is loop je juist heel veel kans op identiteitsfraude. In beide gevallen is de eerste melding naar de klanten zoals MGM heeft gedaan 2 jaar geleden hetzelfde.

Op dit item kan niet meer gereageerd worden.

Gegevens 10,6 miljoen klanten Amerikaanse hotelketen MGM verschijnen op forum

Lees meer

Reacties (111)

Sorteer op:

Weergave: