Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Datalek Blackbaud betrof bij Universiteit Utrecht ook 6000 burgerservicenummers

Bij de gestolen gegevens van de ransomwareaanval op het crm-systeem Blackbaud zijn ook zesduizend burgerservicenummers van alumni van de Universiteit Utrecht buitgemaakt. De universiteit sloeg deze gegevens per abuis en onrechtmatig op.

Vrijdag heeft de Universiteit Utrecht gedupeerden van het datalek een e-mail gestuurd en bij een deel van de getroffen alumni meldt de onderwijsinstelling dat ook het burgerservicenummer onderdeel van het datalek was. "Bij een eigen controle van onze database naar aanleiding van dit incident, is gebleken dat wij van een beperkt aantal alumni het burgerservicenummer in ons systeem hadden staan", staat in het bericht. Een woordvoerder van de universiteit meldt dat het om 6000 personen gaat bij wie het bsn getroffen is. In totaal zijn van 190.000 personen de contactgegevens uit de database van de universiteit gestolen.

De universiteit erkent dat het niet gerechtigd was de bsn's in de database op te slaan. Onderwijsinstellingen mogen bsn's wel verwerken, maar alleen voor specifieke doelen. De Universiteit Utrecht stelt de burgerservicenummers ook niet gebruikt te hebben en deze per ongeluk in de databank opgenomen te hebben: "Deze nummers zijn vermoedelijk bij de overdracht uit het studentadministratiesysteem na afstuderen per abuis naar ons systeem overgedragen."

Andere gegevens die bij het datalek gestolen waren, zijn de gebruikersnaam, geslacht, geboortedatum, e-mailadres, telefoonnummer, postadres, informatie over evenementenbezoek en donatiegedrag. Bij alumni gaat het ook om opleidings- en loopbaangegevens. De universiteit schat het risico op misbruik laag in, omdat niet gebleken zou zijn dat de aanval specifiek op de Universiteit Utrecht gericht was. Er zijn ook wachtwoorden en bankrekeninggegevens gestolen. Die zijn versleuteld, maar de Universiteit wil 'vanwege de veiligheid' niet zeggen welke encryptie van toepassing is.

Eerder deze week bleek dat bij een ransomwareaanval op Blackbaud contactgegevens van een groot aantal onderwijsinstellingen wereldwijd gestolen waren. Blackbaud is wereldwijd de grootste leverancier van crm-systemen voor de onderwijssector. Ook contactgegevens van de TU Delft zijn gestolen bij de aanval. De daders van de datagijzeling zouden de gegevens na betaling van het losgeld vernietigd en niet verspreid hebben, zegt Blackbaud. De ransomwareaanval vond plaats in mei, maar Blackbaud meldde dat pas in juli bij getroffen klanten.

De Universiteit Utrecht heeft naar eigen zeggen op 17 juli de Autoriteit Persoonsgegevens ingelicht. Dat is een dag nadat Blackbaud onderwijsinstellingen liet weten getroffen te zijn. De universiteit onderzoekt nog waarom er een verouderde back-up van het datasysteem bij Blackbaud stond en waarom die leverancier relatief laat zijn melding doorgaf. "Wij gaan de samenwerking met Blackbaud op basis daarvan evalueren en onderzoeken of dit incident resulteert in vervolgstappen richting Blackbaud."

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

14-08-2020 • 12:39

84 Linkedin

Submitter: thizjackal

Reacties (84)

Wijzig sortering
Ik heb deze email ontvangen: (emailadressen en telefoonnummers heb ik verwijderd)
Geachte heer/mevrouw,

Met deze brief breng ik u, lid van onze UU-community, op de hoogte van een incident waarbij uw persoonsgegevens helaas in handen zijn gekomen van derden. Wij zijn geïnformeerd door onze leverancier Blackbaud dat het bedrijf is getroffen door een cyberaanval. Bij dit incident is een oude back-up van de Universiteit Utrecht uit 2017, met daarin onder meer uw data, bij hackers terechtgekomen.

U hoeft op dit moment geen actie te ondernemen.

Wat is er gebeurd?
De Universiteit Utrecht is op 16 juli geïnformeerd over een geslaagde ransomware-aanval op Blackbaud, wereldwijd de grootste leverancier van Customer Relationship Managementsystemen (CRM) voor onderwijsinstellingen en organisaties in de non-profitsector. Naar onze informatie heeft dit incident een groot aantal onderwijsinstellingen wereldwijd geraakt, de Universiteit Utrecht is daar één van.

Door de aanval, die tussen 7 februari en 20 mei plaatsvond, hebben hackers toegang gekregen tot een verouderd databestand van onze universiteit, dat onbedoeld nog op de server van Blackbaud stond. Daardoor zijn sommige van uw persoonsgegevens in handen van de hackers gekomen. Het gaat daarbij om de volgende gegevens:
(gebruikers)naam, geslacht, geboortedatum
contactgegevens: e-mailadres, telefoonnummer, postadres
informatie over evenementbezoek en donatiegedrag
bij alumni betreft het ook opleidings- en loopbaangegevens
Bankgegevens en wachtwoorden waren niet toegankelijk voor de hackers, omdat deze versleuteld waren.

Welke mogelijke gevolgen heeft dit voor u?
Blackbaud heeft ons geïnformeerd dat onderzoek is verricht naar het incident, ook door een onafhankelijk specialist. Het bedrijf heeft bevestiging ontvangen dat de hackers na betaling de betreffende back-up met data hebben vernietigd en meldt dat er geen aanleiding is om aan te nemen dat zij de data hebben verspreid. Gezien het grote aantal onderwijsinstellingen en stichtingen dat wereldwijd is getroffen door dit incident, hebben wij geen reden om aan te nemen dat de cyberaanval specifiek op de Universiteit Utrecht of onze contacten gericht was. Daarom schatten wij het risico op mogelijke gevolgen voor uw privacy in als klein.

Welke actie hebben wij ondernomen?
Wij nemen onze verantwoordelijkheid voor het beschermen van data zeer serieus. Meteen nadat Blackbaud ons informeerde, zijn we ons eigen onderzoek gestart naar de aard en omvang van het incident en welke data van onze universiteit hierbij betrokken zijn.
We hebben binnen 72 uur nadat Blackbaud ons informeerde melding gedaan bij de Autoriteit Persoonsgegevens. Dit was op 17 juli.
We hebben zodra we over voldoende gegevens beschikten, u en andere relaties wiens data door deze cyberaanval getroffen zijn, geïnformeerd.
We onderzoeken waarom er nog een verouderde back-up van de Universiteit Utrecht op de server van Blackbaud stond.
We zoeken uit wat de oorzaak is van de vertraging tussen de cyberaanval en het moment waarop Blackbaud ons daarover informeerde, en welke stappen het bedrijf zet om de veiligheid van hun systemen te verbeteren.
Wij gaan de samenwerking met Blackbaud op basis daarvan evalueren en onderzoeken of dit incident resulteert in vervolgstappen richting Blackbaud.
We bekijken welke consequenties dit heeft voor de wijze waarop we intern onze CRM-database hebben georganiseerd en hoe een incident als dit in de toekomst kan worden voorkomen.
In de weken na de aanval hebben wij ons uiterste best gedaan om zo snel als mogelijk inzicht te verkrijgen van de leverancier welke data bij het incident zijn betrokken. Vermoedelijk door de omvang van het incident, heeft het enkele weken geduurd voor wij inzicht in de betreffende data verkregen.

Wat kunt u doen?
U hoeft naar aanleiding van dit bericht geen actie te ondernemen. Wel vragen we iedereen om altijd alert te zijn op verdachte berichten of transacties en alleen mails te openen en beantwoorden van een betrouwbare bron. We vragen u om verdachte situaties te melden. Dat kan bij het Computer Emergency Response Team van de Universiteit Utrecht via (verwijderd).

Meer informatie en contact
Op de website van Blackbaud staat een statement over deze cyberaanval. Als u specifiek een vraag aan de Universiteit Utrecht heeft over dit incident, dan kunt u contact met ons opnemen via (verwijderd).

Als u vragen of klachten hebt over hoe de Universiteit Utrecht met uw persoonsgegevens omgaat, kunt u terecht bij de onafhankelijke functionaris voor gegevensbescherming per e-mail (Verwijderd) of telefonisch (verwijderd). Het staat u ook altijd vrij een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens, door gratis te bellen op (verwijderd).

Wij betreuren het ongemak dat dit incident mogelijk veroorzaakt ten zeerste. Wees er alstublieft van overtuigd dat wij databescherming zeer serieus nemen en dankbaar zijn voor de niet aflatende steun en betrokkenheid van onze community.

Hoogachtend,

(verwijderd)
Directeur Communicatie en Marketing
Universiteit Utrecht
Wat betreft de zin:
Bankgegevens en wachtwoorden waren niet toegankelijk voor de hackers, omdat deze versleuteld waren.
Hier heb ik opheldering over gevraagd want 'versleuteld' zegt an sich natuurlijk niks. Maar ze wilden hier geen antwoord op geven.
"Ik kan je niet vertellen op welke wijze de data versleuteld was, omdat we als Universiteit Utrecht geen uitspraken doen die onze digitale veiligheid (kunnen) beïnvloeden."
Geen idee dus hoeveel risico je qua wachtwoorden loopt.
Bijzonder, rsa-2048 bijvoorbeeld wordt echt niet onveiliger wanneer je weet dat het daarmee versleuteld is.
Ik denk dat er een wat minder geavanceerd algoritme gebruikt is...
Dit is via de woordvoering gegaan, die snappen vaak niet alles over encryptiesterktes dus dan verschuilen ze zich al snel achter "encryptie = veiligheid = daar zeggen we uit principe nooit iets over".

Ik heb inmiddels ook de FG gevraagd om meer duidelijkheid, hopelijk komt daar meer uit.
Hoi Tijs jouw artikel geeft aan dat de ransomware aanval in mei plaats vond terwijl in de brief van de UU naar studenten ze zelf 7 februari als datum aangeven.
Tussen februari en mei, staat in beide stukken toch?
Het kan zijn dat ik er over heen lees maar volgens mij staat er mei.
De ransomwareaanval vond in plaats in mei, maar Blackbaud meldde
Edit: ik zie dat het inderdaad wel in de gelinkte tweakers berichten staat :-) excuus dan voor mijn commentaar

[Reactie gewijzigd door xbeam op 14 augustus 2020 19:25]

Dit betwijfel ik:
Wees er alstublieft van overtuigd dat wij databescherming zeer serieus nemen [...]
De data is overgenomen uit de normale administratie zonder dat iemand kennelijk heeft gedacht welke velden er echt noodzakelijk zijn.
Geen privacy officer in dienst.
Bij PostNL dien je als extern een kopie van je paspoort en BSN op te geven om een pasje aan te vragen. Je wordt namelijk in dezelfde database ingevoerd als interne medewerkers. Heb dit aangegeven bij AP. Maar of ze er wat mee gedaan hebben.

[Reactie gewijzigd door lighting_ op 14 augustus 2020 15:37]

U hoeft op dit moment geen actie te ondernemen.
Dat is een vreemde zin. Dat een organisatie liever niet heeft dat je actie onderneemt kan ik me voorstellen. Dat je geen actie hoeft te ondernemen terwijl je persoonsgegevens gelekt zijn lijkt me niet aan de organisatie om te bepalen. Alleen al het feit dat de organisatie de gegevens heeft laten lekken is reden genoeg om actie te ondernemen door bijvoorbeeld de organisatie verantwoordelijk te stellen, aangifte te doen bij de politie of in ieder geval zelf na te gaan of je mogelijk iets herkent wat kan lijken op identiteitsmisbruik. U hoeft geen actie te ondernemen vraagt om uitleg waarom niet. En uitleg waarover dat advies gaat. Het lijkt mij zeker in verband met mogelijke identiteitsfraude handiger om te wijzen wat voor soort acties de slachtoffers maar beter wel kunnen nemen in plaats van het te ontmoedigen.

[Reactie gewijzigd door kodak op 14 augustus 2020 17:18]

Ik zou contact opnemen met een jurist en voor de zekerheid even de bank bellen als grote aankopen worden gedaan dat ze het dat blokkeren.

[Reactie gewijzigd door Hentailord op 14 augustus 2020 23:01]

Oftewel: "Wij geloven op onze bolle ogen dat de hackers deze data vernietigd hebben. We gaan er blind van uit dat zij niet over een half jaar tot een jaar alsnog de data op de zwarte markt aanbieden voor partijen die interesse hebben in gestolen identiteiten van Nederlandse hoogopgeleiden."

Alsjeblieft zeg, wat een stel idiote schapen.

[Reactie gewijzigd door R4gnax op 14 augustus 2020 15:07]

Misschien een vraagje die maar voor een deel aansluit op dit artikel.

Als aan te tonen is dat je BSN is buit gemaakt in bijvoorbeeld een situatie zoals bovenstaand. Kan er dan op een manier een nieuw BAN worden aangevraagd? Of ben je dan simpelweg ‘de klos’?
Kan ik een nieuw Burgerservicenummer (BSN) aanvragen?

Nee, dat is in dit geval niet mogelijk. Het BSN kan alleen gewijzigd worden in twee situaties: als een BSN fout is toegekend (bijvoorbeeld hetzelfde BSN aan meerdere personen of één persoon met meerdere BSN’s) of bij een heel ernstige bedreiging. Bij ernstige bedreiging gaat het om hele uitzonderlijke situaties waarbij iemand bijvoorbeeld een nieuwe identiteit nodig heeft (getuigenbescherming).
https://www.svhw.nl/meest...l%20ernstige%20bedreiging.
Dus het is mogelijk maar de overheid of door wetgeving kan dat niet.
Jammergenoeg niet. Veel ZZPers zouden dit namelijk graag willen aangezien de belastingdienst en KVK het BSN van veel ondernemers gewoon doelbewust heeft gelekt.
Gelekt? Elke ZZP'er had tot voor kort gewoon z'n BSN als BTW nummer (en die stond dus op je site, je briefpapier, noem het allemaal maar op). Het heeft jaren geduurd voordat de geniale belastingdienst tot de conclusie kwam dat dit niet het beste idee van Nederland was. Sinds 1-1-2020 mag dit dan ook niet meer (maar de vele decennia daaraan voorafgaand was dit gewoonweg staand beleid).

https://blog.iusmentis.co...je-bsn-van-je-site-halen/
Gelekt? Elke ZZP'er had tot voor kort gewoon z'n BSN als BTW nummer (en die stond dus op je site, je briefpapier, noem het allemaal maar op). Het heeft jaren geduurd voordat de geniale belastingdienst tot de conclusie kwam dat dit niet het beste idee van Nederland was.
Nee, je hebt het bij het verkeerde eind, de belastingdienst had al jaren een SoFi nummer (Sociaal-Fiscaalnummer), deze werd door de belastingdienst gebruikt om een natuurlijk persoon te identificeren. In eerste instantie enkel voor belastingen en later ook voor de sociale zekerheid.

Omdat je btw nummer (of beter OB nummer) niets meer is dan je belastingnummer is het niet zo gek dat je als ZZP'er je SoFi nummer gebruikte. ZZP'er is namelijk een eenmanszaak (ZZP'er is geen juridische term) en dus een natuurlijk persoon. Rechtspersonen gebruiken daarvoor hun RISN (vroeger fiscaal nummer).

Het is de politiek geweest die het gebruik van het SoFi nummer (hernoemd naar BSN) heeft opgerekt buiten de belastingen en sociale zekerheid. Daarmee is ook het probleem ontstaan. Het heeft niet zo zeer met de geniale belastingdienst te maken, maar met politiek Den Haag.
Ter aanvulling: ZZPers deden dat niet omdat ze dit niet wisten maar omdat ze verplicht werden door de belastingdienst/overheid om hun BTW-nummer op deze plekken te publiceren.
Ik heb het nooit gedaan (BTW nummer op site en facturen), heeft nooit een haan naar gekraaid.
Dat wil niet zeggen dat je daarmee aan de vereisten voldeed. Niet dus. Ik had een webwinkel voor het jaar 2000 en wist sinds het begin dat het moest.
Nee, ik voldeed expres niet aan de eisen omdat ik niet Internet-wide mijn BSN wilde uitzenden. Maar er heeft nooit iemand iets over gezegd. Weet ook niet wat de eventuele sancties waren geweest. Geen, denk ik eigenlijk; wat willen ze doen?
tot je een controle van je boekhouding krijgt, en voor elke factuur die niet klopt van jou uit dus even een boete betalen ;)
Ik heb het nooit gedaan (BTW nummer op site en facturen), heeft nooit een haan naar gekraaid.
Dan heb je dus niet voldaan aan de factuur vereisten.
En ook dat is een lek. Een doelbewuste zelfs: men had besloten dat het systeem zo moest werken.
Mag niet meer, geef ze maar een ander BTW-nummer.. een tamelijk lame besluit. Ik had verwacht een nieuw BSN te krijgen inderdaad, maar dat heeft de AP er niet uitgesleept :(. En zo kan dit voor alle ZZP-ers nog een jarenlange nasleep krijgen.
Dat lijkt me vrij onmogelijk, tenzij je een nieuwe identiteit zou aannemen :+ :+
https://www.svhw.nl/meest...ijk-lek-persoonsgegevens/ (als voorbeeld)
Nee, dat is in dit geval niet mogelijk. Het BSN kan alleen gewijzigd worden in twee situaties: als een BSN fout is toegekend (bijvoorbeeld hetzelfde BSN aan meerdere personen of één persoon met meerdere BSN’s) of bij een heel ernstige bedreiging. Bij ernstige bedreiging gaat het om hele uitzonderlijke situaties waarbij iemand bijvoorbeeld een nieuwe identiteit nodig heeft (getuigenbescherming).
Dat kan alleen als je door het lekken van je BSN (aantoonbaar) ernstig bedreigd kan worden.
niet zozeer door het lekken van je BSN, als wel je complete gegevens waardoor je locatie (lees adres/werk etc.) makkelijk herleidbaar is voor kwaadwillenden en je actief ernstig bedreigd word (in de categorie legen hulzen in je brievenbus vinden, of een sms "slaap lekker voor de laatste keer" als je net het licht uitgedaan hebt etc. (helaas dit zijn praktijkvoorbeelden die in het nieuws geweest zijn)
Ja, uiteraard is het in zulke situaties altijd een combinatie van factoren.
Als het goed is, is het BSN geen geheim en wordt het dus ook nergens gebruikt als authenticatie gebruikt.

Toch? ;)

[Reactie gewijzigd door Deleon78 op 14 augustus 2020 13:44]

Inderdaad, dat zouden gemeentes nooit doen ;)
Mooi met link, top!
Holy moly!

Hoop dat je met je combinatie van bsn+geboortedatum niet dezelfde credentials krijgt als bij inloggen met DigiD!
Als je geboortedatum niet precies bekend is, dan kun je inloggen met slechts het BSN...
Wooottt, nog erger!
Weet je ook of je dezelfde rechten hebt als bij inloggen met DigiD dan?
Nee je hebt beperktere rechten (je komt bv niet op je persoonlijke pagina). Wel wordt je naam (voorletter en achternaam) getoond.
Da's dan weer jammer dat ze het gereedschap aanbieden om vervolgens weer meer info bij zo'n BSN te vinden. (Zoals een geboortedatum bijvoorbeeld)
Het BSN is een persoonsgegeven. Die zijn niet perse geheim. Dat persoonsgegevens niet geheim zijn wil niet zeggen dat het een probleem is als ze voor authenticatie worden gebruikt. De vraag is meer of het voldoende is om alleen die persoonsgegevens te hebben of gebruiken. En als dat wel of niet voldoende is de kans dan is dat iemand de andere gegevens ook heeft. Hoe dan ook hebben persoonsgegevens niet voor niets ook bij wet bescherming.
Maar de combinatie van BSN, geboortedatum, officiele namen etc. (hetgeen wat bij de UU in BlackBaud zat) is wel erg interessant voor identiteitsfraude. Volgens mij kun je volgens mij probleemloos een bankrekening openen. Een vriend van mij heeft serieus last van iemand die zijn BSN heeft "geleend" voor allerlei leningen. Hij heeft regelmatig een gesprek met het BKR en het afsluiten van zijn hypotheek was een nachtmerrie.

[Reactie gewijzigd door J_van_Ekris op 14 augustus 2020 15:38]

Ik zou er zeker vanuit gaan dat die gegevens op een manier gebruikt kunnen worden die niet bij de persoon van wie de gegevens zijn gewenst is. Alleen horen daar wel enige nuances bij die verder gaan dan het is niet geheim. Net zoals die nuances niet zomaar gezien kunnen worden als er is dus niet zo veel aan de hand.

Mocht blijken dat deze gegevens voldoende zijn om iets mee te kunnen doen (doordat het in de praktijk is gebracht) dan lijkt het me dus ook belangrijk om dat heel duidelijk te maken. Gebrek aan dit soort voorbeelden is waar het soms op hangt om regels net iets anders toe te passen dan waarschijnlijk de bedoeling was. Ik zou me zorgen maken als iemand aan dit soort gegevens voldoende heeft om bij een bank in de EU een rekening te kunnen openen zonder dat daar direct meer controle op is dan verkrijgen van gegevens die niet perse geheim zijn en met enige regelmaat lekken.
Mocht blijken dat deze gegevens voldoende zijn om iets mee te kunnen doen (doordat het in de praktijk is gebracht) dan lijkt het me dus ook belangrijk om dat heel duidelijk te maken. Gebrek aan dit soort voorbeelden is waar het soms op hangt om regels net iets anders toe te passen dan waarschijnlijk de bedoeling was.
De problematiek zit hem vaak in de creatieve combinatie van dingen. De gegevens zijn voldoende voor het openen van een bankrekening (https://www.bankenvergeli...g-voor-een-bankrekening-/), maar men moet ook een controle doen op identiteitsbewijzen. Vraag is hoe stringent dat gebeurt (steekproefsgewijs?) en op welk moment. Kan ook dat men bijvoorbeeld al tijdelijk geld kan ontvangen, wat weer interessant is witwassen. Er zijn legio voorbeelden waar met name in dit soort grensgevallen toch veel schade kan worden berokkend. En dat maakt het geven van voorbeelden zo moeilijk: als het publiek is, is het gat vaak al gedicht. Het zijn de dingen die jij en ik niet bedacht hebben die het risico vormen.
Het zijn de dingen die jij en ik niet bedacht hebben die het risico vormen.
Daar zou ik niet te makkelijk vanuit gaan. Voor veel zaken is sinds het bestaan van digitalisering allang nagedacht wat de risico's zijn. Zeker als het om geld verdienen of verliezen gaat. Of ze geaccepteerd worden als belangrijk genoeg is eerder de vraag als het uitstellen of afschuiven van verantwoordelijkheid makkelijker meer geld lijkt op te leveren. Het is niet alsof er geen misbruik bestaat bij al dat gemak van de afgelopen 50 jaar aan digitaliseren. Van de introductie van de doorlopende incasso waar nauwelijks controle vooraf op zit tot het openen van rekeningen. Bepaalde organisaties verdienen aan bijna alle handelingen geld zolang niemand er een probleem van maakt. Het makkelijkste is dan om liever geen problemen te erkennen of zelf op te zoeken.
Daar zou ik niet te makkelijk vanuit gaan. Voor veel zaken is sinds het bestaan van digitalisering allang nagedacht wat de risico's zijn.
Die mening deel ik niet met je. Een risico-analyse is zo goed als de mensen die ze uitvoeren. Het ontbreekt vaak aan de creativiteit om dingen echt "stuk te denken". De echt voor de hand liggende dingen pikt men wel op, maar de wat creativere manieren kan men zich vaak niet voorstellen, of men is de mogelijkheid gewoon vergeten. Veel processen worden bijna onuitvoerbaar als je continue de identiteit moet vaststellen van je klant. Ik zou eens de autobiografie van Kevin Mitnick lezen als je wilt weten hoeveel gaten er in processen zaten. Een van de passages die mij bijbleef is dat hij bij een gemeente ging werken, zodat hij het officiele papier voor geboorte-uitreksels kon stelen, zodat hij ze naar eigen believen kon printen (en dus een willekeurige identiteit kon aannemen).

De aanname dat overal aan gedacht is, is gewoon onterecht. Leukste voorbeeld hiervan is van Jermey Clarkson, die het maar belachelijk vond dat men moeilijk deed over een datalek waar ook bankrekeningnummers gelekt werden. Dus heeft hij in een column zijn bankrekeningnummer gepubliceerd. Binnen een paar dagen was hij 500 pond armer omdat de diabetes-stichting gewoon geld kon afschrijven (zie https://www.theguardian.c...financenews.scamsandfraud).
Dat zaken moeilijker kunnen worden bij te veel controle kan een gevolg zijn. Maar laten we niet doen alsof het alleen een kwestie is van creatief genoeg moeten zijn. Er is lering te trekken uit decennia aan identiteitsfraude bij bestaande en veel voorkomende automatisering. Grootschalige en veelvuldige fraude en onterechte incassos en rekeningen openen bestaat al heel lang. Men hoeft niet creatief te zijn om te bedenken waarom dat bestaat en kan worden voorkomen terwijl bedrijven en banken dat voor bestaande en nieuwe diensten blijven negeren. Terwijl concurrenten het voor vergelijkbare situaties wel weten op te lossen en te accepteren dat er dan een beetje minder snel of makkelijk inkomsten kunnen zijn. Dat banken blijven incasseren zonder enige controle vooraf of nieuwe bedrijven rekeningen blijven openen om meteen geld te verdienen kan niet slecht af worden geschoven op gebrek aan creativiteit als ze er veel belang bij hebben om de problemen liever niet te weten.

[Reactie gewijzigd door kodak op 14 augustus 2020 19:17]

[...]

De problematiek zit hem vaak in de creatieve combinatie van dingen. De gegevens zijn voldoende voor het openen van een bankrekening (https://www.bankenvergeli...g-voor-een-bankrekening-/), maar men moet ook een controle doen op identiteitsbewijzen. Vraag is hoe stringent dat gebeurt (steekproefsgewijs?) en op welk moment. ]
Zonder legitimatiebewijs (in persoon tonen, vroeger vaak op kantoor, nu bij je thuis/werk of via video verbidinding) ga je geen rekeningnummer krijgen van een bank in Nederland.
Identiteitsfraude is door internationaliseren niet alleen een risico via Nederlandse banken of andere bedrijven.
Wat een puinhoop zeg. Bij een goed administratie weet je dat BSN nummers strikt vertrouwelijk zijn en bij zogenaamd omzetten moet je dus ook goed checken dat je juist BSN nummers niet per ongeluk hebt meegenomen. Je kunt m.i niet zomaar 6000 over het hoofd zien; al is dat een proces van meerdere jaren.

[Reactie gewijzigd door Zhadum op 14 augustus 2020 13:18]

Je kunt m.i niet zomaar 6000 over het hoofd zien; al is dat een proces van meerdere jaren.
Wat ik me afvraag: Had het bewuste systeem een veld om het BSN op te slaan? Of gaat het om ongestructureerde data zoals opmerkingen of ingescande formulieren en briefwisselingen waar een BSN in voorkwam?
In het eerste geval valt de Universiteit zeker wat te verwijten want dan was het een ontwerpfout. In het tweede geval zitten ze nog steeds fout maar is de fout tenminste te begrijpen.
Er was een veld, die gegevens kwamen namelijk uit de studentenadministratie. In die administratie mag (moet) de universiteit het bsn noteren, onder meer vanwege informatieuitwisseling met DUO. De fout is dat men bij het aanleveren van gegevens aan de alumni-organisatie SELECT * FROM students deed en dus ook het veld bsn meekreeg.
Dus er is gewoon een platte export van de studentenadministratie gelekt? Dat had ik over het hoofd gezien. Ik dacht dat het om een aparte database ging waar ze gegevens uit de studentenadministratie in geimporteerd hadden.
Dat laatste is ook het geval. Alleen die aparte database kreeg dus de SELECT * ter import, zonder dat iemand de kolom student_bsn vooraf had weggehaald.
Fascinerende is wel de berichtgeving vanuit de UU, die op zijn zachtst gezegd extreem naief is. Men neemt aan dat de data niet gestolen is (alleen gegijzeld) en dat men niet gericht uit was op de gevens van UU alumni. Nu kun je een gerichte aanval op een specifieke oud-student wel redelijkerwijs uitsluiten, maar het wederverkopen van een bestand met BSN's, officiele namen, geboortedata en mogelijke CC-gegevens rept men geen woord over. Dit bestand is een goudmijn voor identiteitsfraude, en "commercieel" dus best wel aantrekkelijk voor wederverkoop.

Het is interessant om te zien in het kader van aansprakelijkheid als identiteitsfraude plaatsvindt op basis van deze gegevens. De verwerking van het BSN voor dit doeleinde is gewoon onrechtmatig (want geen wettelijke plicht), men is gehackt en men is uiterst naief in de alarmering van de alumni die het betreft.
Er zijn ook wachtwoorden en bankrekeninggegevens gestolen. Die zijn versleuteld, maar de Universiteit wil 'vanwege de veiligheid' niet zeggen welke encryptie van toepassing is.
Dit klinkt blij mij ook niet goed eigenlijk. Ben een leek hoor, maar zou dit zoveel uit moeten maken? Als ze een goede encryptie hebben gebruikt dan zou het toch nog steeds jaren moeten duren voor het gekraakt is?
Als de encryptie goed is, geen probleem. Als ze bijvoorbeeld MD5 gebruiken is de kans groot dat de wachtwoorden snel gekraakt worden. Daarom is het belangrijk (vind ik) om dat te melden als universiteit.
Als ze bijvoorbeeld MD5 gebruiken is de kans groot dat de wachtwoorden snel gekraakt worden.
MD5 is dan ook geen encryptie.
Als ze een goede encryptie hebben gebruikt dan zou het toch nog steeds jaren moeten duren voor het gekraakt is?
Klopt. Het feit dat de universiteit niets los wil laten over de gebruikte encyrptie-standaard geeft eigenlijk al aan dat ze te zwakke encryptie gebruikt hebben.

Alumni mogen er vanuit gaan dat wachtwoordgegevens gewoon gelekt zijn. Meteen wachtwoord wisselen, dus. Zeker als het een niet uniek wachtwoord betreft.

[Reactie gewijzigd door R4gnax op 14 augustus 2020 15:03]

Je zou zeggen: Goede encryptie kan je over vertellen want dan heb je bijv een key/certificaat of iets anders nodig die alleen de universiteit weet... Bij slechte encryptie (md5, SHA1) vertel je het liever niet omdat je dan zwaar voor lul staat.

Puntje bij paaltje zal de hacker bij slechte encryptie zo door hebben wat er gebruikt is en iets kunnen met de data.
Ik heb geen email gehad en val onder de groep. Ik weet niet eens of de UU mijn email heeft(wellicht hebben ze die verwijderd in het kader van de AVG). Hopelijk zijn niet mijn gegevens gelekt...
Van de website:
Betrokkenen hebben op vrijdag 14 augustus per mail bericht ontvangen van de Universiteit Utrecht of ontvangen op korte termijn bericht per post als bij ons geen mailadres bekend is. Als je geen mail of brief hebt gehad, ben je niet getroffen door dit incident.
Ik blijf dat een bizarre uitleg vinden: als je geen mail of brief hebt gehad ben je niet getroffen. Natuurlijk moet je enige vertrouwen in die communicatiemiddelen hebben maar foutloos is het niet. Ik zou graag zien dat bedrijven die een datalek hebben klanten ook zelf in de gelegenheid stellen om te controleren of ze toch mogelijk slachtoffer zijn. Ik betwijfel of dat nu wettelijk is afgedekt met het recht om bij een organisatie te verlangen dat ze uitleggen welke persoonsgegevens ze van je verwerken. Die zelfde wet laat het namelijk ook behoorlijk vrij aan organisaties om te bepalen of en hoe ze klanten inlichten.

[Reactie gewijzigd door kodak op 14 augustus 2020 16:50]

Vooropgesteld dat je die gegevens ooit geupdate hebt na je afstuderen....
Ik heb het mailtje ook gehad, maar er staat niets in over mijn BSN. Betekent dat dat mijn BSN niet gelekt is of vermelden ze dat niet in het mailtje?
Bij wie dit van toepassing is, staat dit vermeld.
Oké, dat is wel informatie die ook in het nieuwsbericht gezet mag worden.
Want ik heb ook een mail ontvangen, maar zag niks staan rondom de BSN.
6000 is een beperkt aantal?

Hebben er daar een stel zitten snurken of zo? Worden er daar geen checks op systemen gedaan?
Het is toch ook een beperkt aantal? Het Ijn er exact 6.000. Echter wordt het gebruikt om het aanzienlijke absolute aantal te bagatelliseren zoals zo vaak wordt gedaan door de pr van deze uni of bedrijven zoals Apple.
Datalek hier, datalek daar, het kan niet op tegenwoordig. Men moet echt eens onderzoek gaan doen waar de grondslag nou ligt van al deze ellende, want het begint langzamerhand de spuigaten uit te lopen. De hele samenleving begint super afhankelijk te worden van digitale data en de aanvallen worden steeds groter, gecoordineerder en zelfs gerichter. Het duurt niet lang meer en we zitten in een oneindige cyberoorlog waarbij de gestolen data echt schade aan gaan brengen bij de mensen. En dan is het te laat. We hangen dan allemaal aan een mainframe die zo lek als een mandje is.
Hoe kunnen ze in de database?
Er is toch een beveiligde firewall? En dan nog het login naam en wachtwoord weten.
Nou lekker dan als je gegevens er tussen zitten. Ideale gegevenscombi voor ID-fraude.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True