Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

RTL: bsn's van miljoenen Nederlanders online te zien door verlopen domeinnaam

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, blijkt uit onderzoek van RTL Nieuws.

Het gaat om de namen, adressen en bsn's van 'miljoenen Nederlanders', schrijft RTL. Ook was in te zien welke zorgverzekering en aanvullende pakketten een verzekerde had. De informatie stond in een database van Vecozo, een bedrijf dat digitale ondersteuning biedt aan zorginstellingen. RTL kon een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database werden in plaintext naar die e-mailadressen gestuurd.

RTL Nieuws wist de domeinnaam van Jeugdriagg over te nemen. Dat is een instelling die jeugdzorg verleent aan duizenden gezinnen, die in 2015 van naam veranderde en inmiddels bekendstaat als Kenter Jeugdhulp. Jeugdriagg.nl is sindsdien verlopen. RTL Nieuws kon die domeinnaam overnemen. Daardoor was het mogelijk nieuw binnengekomen e-mails te lezen waar soms medische dossiers in stonden. Ook konden berichten onderschept worden die toegang gaven tot de online systemen van het bedrijf. Het gaat om gevoelige privé-informatie zoals over de thuissituaties en bijvoorbeeld drugsgebruik of schoolproblemen van kinderen die in behandeling waren bij de instelling.

Het lek is inmiddels gedicht. RTL Nieuws droeg het domein voor de publicatie terug over aan Kenter Jeugdhulp. Vecozo zegt dat het geschrokken is van de berichtgeving en een onderzoek start. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is na een datalek.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

01-10-2020 • 13:31

243 Linkedin

Submitter: Kees_B

Reacties (243)

Wijzig sortering
Vecozo heeft vanmorgen overigens ook op het RTL-bericht gereageerd en daarbij wel wat meer gezegd dan alleen dat men geschrokken is (en de AP heeft geïnformeerd):
Reactie een:
Vanochtend zagen we op Twitter dat een journalist van RTL Nieuws toegang heeft gekregen tot inloggegevens van VECOZO. Dit kon gebeuren door onzorgvuldig handelen van een zorgaanbieder. Wij zijn hier erg van geschrokken en begrijpen dat dit vragen oproept.

Vanzelfsprekend hebben we het certificaat van deze zorgaanbieder direct afgesloten en zijn we een onderzoek gestart. VECOZO staat voor veilige en betrouwbare gegevensuitwisseling in de zorg. Wij nemen dit incident dan ook zeer serieus en doen ook melding bij de Autoriteit Persoonsgegevens. Ontwikkelingen kunt u blijven volgen op onze website www.vecozo.nl.
Ook is er intussen een tweede reactie:
Met interesse volgen we de berichtgeving van RTL Nieuws over veiligheid van data in de zorg. Wij staan voor veilige communicatie in de zorg en begrijpen de impact van een dergelijk incident. Het maakt maar weer eens duidelijk dat veilige gegevensuitwisseling vraagt om veilige systemen en om zorgvuldigheid van gebruikers. Daar staan we samen voor aan de lat.

Ook hebben we contact met deze zorgaanbieder en kijken we mee naar wat er nodig is om weer op een veilige en verantwoorde manier gebruik te kunnen maken van onze dienstverlening. Hierover maken we in goed overleg afspraken met de betreffende zorgaanbieder. Want de zorgverlening moet door kunnen gaan, dat is in ieders belang.

In onze processen en contacten met gebruikers hebben we al veel aandacht voor veilige gegevensuitwisseling. Ook staat er een kennisdossier op onze website, met meer informatie voor gebruikers over veilige gegevensuitwisseling. Hierin leest u onder meer hoe gebruikers op een veilige manier moeten omgaan met hun certificaat.
Jammer dat dit niet in de tekst is meegenomen, terwijl dit toch een van de betrokken partijen is.

[Reactie gewijzigd door CH4OS op 1 oktober 2020 14:06]

Wat ik enigszins amusant vind aan de reactie van Vecozo is dat er met de vinger gewezen wordt naar Kenter Jeugdhulp.

Dit terwijl RTL een oud domeinnaam heeft overgenomen van Kenter, en hierop wachtwoorden ontving voor de database van Vecozo. Wie die wachtwoorden opstuurde is een interessante vraag, maar dat maakt uiteindelijk niet uit.

Vecozo heeft een database met ontzettende gevoelige gegevens, en deze database is bereikbaar zonder iets van een beveilingscertificaat?!

Om de beheerders van deze database toch nog even het voordeel van de twijfel te geven; ik ga er wel vanuit dat er een IP whitelist is op basis van de DNS records van het oude domein van Kenter, maar dan wordt er toch een enorm risico genomen met deze gegevens...
De journalist geeft aan dat Kenter zelf deze gegevens doorstuurde:
https://twitter.com/danielverlaan/status/1311631745150836736
Als Kenter zelf de digitale sleutels op de e-mail gooit... Tja... Een paar mensen die daar de IT regelen mogen van mij hun VOG voor werk in de zorg kwijtraken.
Haha, wat zeg jij nu? Consequenties voor de verantwoordelijke? Ik durf te wedden dat de daadwerkelijke verantwoordelijke (niet in titel nu, maar destijds) allang doorgesnoven zijn naar een hogere positie want de kostenbesparingen die ze geboekt hadden waren heel erg mooi :+

Een willekeurige Blokker beroven zal je aanzienlijk meer gelazer opleveren dan medeverantwoordelijke zijn voor dit debacle. Vind ik heel erg apart gezien de maatschappelijke schade. Maar goed, als bedrijf is maatschappelijke schade ondergeschikt aan hun economische belang.
Ligt eraan: als de verantwoordelijke een gewone werknemer is worden er vast maatregelen genomen; maar als betreffende een manager is op het hoogste nibo (eg CTO, CSO (s=security), CEO etc) dan zal het wel gaan zoals jij voorspelt
Ongelooflijk inderdaad. Ze zouden de private key alleen op de client machine mogen hebben en dan aan de hand van de public key een certificaat genereren en opsturen. Zeer amateuristisch dit, vooral kwalijk omdat er zo'n gevoelige gegevens in de database en emailcommunicatie te vinden is.
Lijkt me stug. Ik weet deels hoe Vecozo werkt (ik werk bij een IT afdeling in de zorg) en lees dit met artikel al 3x.
Om in te loggen in vecozo heb je een persoonlijk certificaat nodig die per persoon wordt toegewezen. Dit dient een beheerder te doen en moet geïnstalleerd worden op de PC waar vanaf verbonden wordt wordt.
HIer ook iemand die gewerkt heeft bij een IT-bedrijf werkzaam in de zorg / apothekers / huisartsen en tandartsen.

Het is binnen de genoemde beroepen soms schrikbarend te zien hoe zij tegen de ICT beveiliging aankijken.
Computers zonder wachtwoorden of 'welkom' zijn nog steeds standaard bij deze beroepen, althans waar ik kwam. Ook van andere partijen kwamen bedrijven naar ons toe.
Van MFA willen ze niets weten; "Het kost teveel tijd, die extra beveiliging, kun je het niet zo inrichten dat ik met 1 klik alles kan zien?"

Ik heb een aantal jaren met Vecozo gewerkt en als je een programma gebruikt van een tandarts / apotheker en het certificaat exporteert naar een PFX formaat met wachtwoord en dit binnen een andere applicatie kenbaar maakt, kan je zo middels een achternaam en woonplaats achter iemand zijn gegevens komen, en de gegevens inzien van zijn/haar zorgverzekering.

Ik heb zelf een geheim adres laten aantekenen binnen mijn gemeente en dat kunnen ze gelukkig niet zien. Maar ze kunnen wel zien wat voor zorgverzekering ik heb.

Als dus een computer niet goed beveiligd is van zo een arts kun je met speels gemak in het systeem komen om achter bepaalde gegevens te komen.
Ik heb mij toen heel vaak ingezet om het tij te keren, tevergeefs, waardoor ik bij een andere bedrijf ben gaan werken die niet werkzaam is in de zorg.

[Reactie gewijzigd door Mr_Tweaker op 1 oktober 2020 15:35]

Het is nog erger : specialisten lieten de assistente met hun gegevens inloggen en de patientgegevens op het scherm zetten zodat ze dat niet zelf hoefden te doen.

Ook ik zat in de zorg...
Je kunt het ook andersom bekijken: ik zou als patiënt liever hebben dat mijn specialist mijn tijd aan mij besteedde dan aan het inloggen op de computer. Dat een specialist een assistente gebruikt om de noodzakelijke gegevens klaar te zetten, lijkt me een prima proces. Zo ging het vroeger ook, we leiden een specialist ten slotte niet 18 jaar op om haar tijd met basale zaken te verdoen. Dat dat nu niet meer kan met de rechten die de assistente heeft, duidt in mijn ogen op een slechte automatisering van het proces.
En zo houden we het systeem van laksheid in stand. Er is een medisch beroepsgeheim, en zijn protocollen en gedragsregels om te zorgen dat jouw gegevens alleen gezien worden door de behandelend arts.

Op die manier keken 30+ mensen in het medisch dossier van Samantha de Jong (aka Barbie). Mensen die daar niets te zoeken hadden maar die hun toegangsrechten misbruikt om even te spitten en aan de pers te lekken.

Ook op die manier lekte de volledige naam van de automobilist die met zijn auto inreed op publiek in Amsterdam uit naar GeenStijl.

Bepaalde beroepsgroepen werken met informatie die goed beschermd moet worden. Onder het mom van makkelijker en sneller alle geldende procedures aan je laars lappen hoort daar niet bij.
'De assistent' (ik begrijp niet goed of je de arts-assistent bedoelt, die gewoon arts en onderdeel van het behandelteam is, of de medisch secretaresse) van een specialist heeft ook beroepsgeheim. Wie denk je dat de brief naar de huisarts stuurt, de verwijzing van de huisarts of een ander specialisme verwerkt, gegevens uit een ander ziekenhuis opvraagt etc.?

Met betrekking tot de inloggegevens: als wegens ziekenhuisbeleid de pc na 20 minuten automatisch uitlogt en ik tijdens een 8 uur durende ingreep de scan nog eens wil zien, stel je dan voor dat ik mijn handschoenen e.d. uitdoe, inlog, weer desinfecteer, nieuwe jas en handschoenen aandoe, of dat de assistent mijn pin invoert (zinloos zonder mijn pas) en ik me gewoon met het primaire proces kan bezighouden? Ik zou liefst gewoon een oplossing hebben voor het automatisch uitloggen op die pc's, maar dat 'mag niet'.. Ligt het dan bij de IT of de specialist?

[Reactie gewijzigd door Masterlans op 2 oktober 2020 00:37]

Ligt het dan bij de IT of de specialist?
Beiden.
De specialist wil een oplossing voor het automatisch uitloggen, maar wil niet echt meewerken met oplossingen die op een of andere manier snijden in gebruikersgemak.
De IT leveranciers willen liefst gewoon leveren wat de specialist wil hebben, zonder al te veel na te denken, want dan wordt er een stempel "gebruiksonvriendelijk" op geplakt en een andere IT leverancier gekozen.

Zo blijven we bezig.
Ik denk eerder bij beide niet, dit moet beleidsmatig opgelost worden. Als er fiat is dat de pc's op OK niet uitloggen zolang die ingreep duurt (of het pasje er ligt oid) is daar een voor beiden werkbare oplossing te bedenken volgens mij.
Ik denk eerder bij beide niet, dit moet beleidsmatig opgelost worden. Als er fiat is dat de pc's op OK niet uitloggen zolang die ingreep duurt (of het pasje er ligt oid) is daar een voor beiden werkbare oplossing te bedenken volgens mij.
Dat weet ik niet hoor.
Als beleidsmatig moet worden gekozen tussen "de veiligste oplossing waardoor het beleid geen risico loopt" en "de meest werkbare oplossing", zal de voorkeur vaak voor het eerste liggen. In het verlengde daarvoor, is de werkbare oplossing in dit geval veel duurder (en dan bedoel ik niet eenmalige kosten, onderhoud telt ook).
In het verlengde daarvan, als IT-matig op security gebied van de leverancier moet worden gekozen tussen "de standaardoplossing die op de plank ligt" of maatwerk, zal er een serieuze voorkeur voor het eerste zijn (en dat is in 99,999% van de gevallen maar goed ook). Ga er maar vanuit dat de functionele requirements naar de standaard die op de plank ligt zijn geschreven.
De IT afdeling van het ziekenhuis wil vervolgens ook liever geen maatwerk op het gebied van security hebben. Liefst alles zo "proven technology" en standaard mogelijk. Wederom, meestal is dat maar goed ook.

Dat er technisch gezien een prima werkbare oplossing in dit geval te bedenken is, dat ben ik overigens op zich wel met u eens.
Het probleem is niet dat de assistent toegang heeft tot de gegevens, maar dat deze onder een ander (gebruikers)naam worden geraadpleegd, en dat is niet goed voor de traceerbaarheid.

Ik neem toch aan dat er voor de pc's tijdens een operatie andere regels gelden dan voor een desktop pc op het bureau. Hoe de procedure daarvoor is moet natuurlijk op de behoefte worden afgestemd, de behoefte in een operatie kamer is anders. Zo kan ik me voorstellen dat 1 iemand het specifieke dossier van de patiënt opent, het op het scherm blijft staan gedurende de operatie (zonder screensaver, account locks etc)

Als je de functionele behoeft formuleert, dan kan daar een ICT oplossing voor worden gemaakt
(voor de goede orde "ik wil niet dat mijn pc locked" is niet de omschrijving waar men op zit te wachten maar denk meer aan "operaties kunnen 2-8 uur duren. Gedurende deze periode moet het elektronische dossier van de betreffende patiënt toegankelijk zijn, zonder hindernissen van een screen save of (her)login scherm omdat de handelingen nodeloos impact hebben op de voortgang en succes van ingreep (met je toelichting erbij)"
Hiermee ligt het dus bij de specialist om aan te geven aan ICT (organisatie) wat ze willen.
NB ICT zal vaak zeggen dat het niet kan of mag, soms hebben ze gelijk, soms ook niet.
Het is helaas niet alleen de zorg. Het kenteken van de Koninginnedag aanslag is door diverse mensen die vanuit hun beroep toegang tot het naw systeem van het RDW hadden opgevraagd die dag en de dag er na. Zonder dat men bij het odnerzoek was betrokken . Zij kregen dus inzage in de naw gegevens van de eigenaar van de auto (die natuurlijk de aanslag pleger was).

Ik weet dat er onderzoek naar is gedaan bij diverse organisaties (het is traceerbaar op naam als er een bevraging wordt gedaan), maar of het tot consequenties heeft geleid betwijfel ik.

Het betekent ook dat als iemand een 1 niet erg belangrijk kenteken na zoekt dat men daar nooit achter komt

Bij het RDW systeem wordt het tenminste gelogd, genoeg systemen loggen het niet eens.
Dat gebeurd wel vaker, (top)managers die hun inloggegevens aan hun secretaresse geven. Is wel zo makkelijk ... .
Op mijn opleiding leer ik dat Access Management een zeer belangrijk proces is binnen ITIL om te voorkomen dat gebruikers niet bij meer gegevens kunnen dan voor hen strict noodzakelijk is. Een van de redenen is natuurlijk misbruik door de gebruiker zelf. Een ander risico is de hoeveelheid data die een kwaadwillende kan inzien, wanneer hij/zij in de computer van de desbetreffende gebruiker kan. Nog een risico is dat een ransomware-aanval op de computer van de gebruiker meer bestanden kan versleutelen dan nodig zou zijn geweest. Wat ik niet begrijp is hoe het dan kan dat er een database is met daarin de polisgegevens van alle Nederlanders, waarbij het blijkbaar mogelijk is om met een certificaat en een wachtwoord al die gegevens in te zien van alle verzekerden, zonder dat daar een vorm van access management op zit. Hoe kan het dat er geen toegang tot een rij polisgegevens aangevraagd moet worden?
De theorie is mooi, maar houdt geen rekening met dat mensen in de praktijk snel door willen en er business cases zijn die grotere toegang verlangt.
Als beheer niet per direct een toegang regelt of dat IT teveel vragen/regels stelt, dan doen ze het lekker zelf met elkanders wachtwoord. Ze vertrouwen elkaar, want zelfde team/bedrijf.
In de praktijk wil het inderdaad helaas op die manier gaan. IT heeft vaak een goede reden om te vragen of iemand toegang mag hebben en mensen gaan dan maar elkaars accounts gebruiken. Dit is ook iets waar binnen organisaties eigenlijk strenger op toegekeken moet worden en waarom 2FA met MS Authenticator en/of een FIDO key een erg belangrijk element is om tailgaiting te verminderen. Het voorkomt het niet, maar het helpt in ieder geval bij het voeren van een clean desk policy.

Maar het niet hebben van degelijk access management op een systeem met zo’n gevoelige gegevens van alle Nederlanders er in, verbaas ik mij op zijn zachtst gezegd nogal over.

[Reactie gewijzigd door daanb14 op 1 oktober 2020 23:03]

Wellicht is dat certificaat generiek? Daarmee bedoel ik bijvoorbeeld:

Stel ik ben huisarts en mijn partner werkt bij RTL. Zou ik dan vanaf mijn computer, die het persoonlijke certificaat heeft geïnstalleerd, kunnen inloggen op een account van jeugdriagg.nl die ik gekregen heb van mijn partner?
Ik moet goed graven in mijn geheugen, maar volgens mij waren er 2 manieren van data ophalen; een server certificate voor webservices en een persoonlijk certificaat welke op de website gebruikt kan worden. Indien je het certificaat heb op een computer kon je inderdaad zonder problemen de website benaderen. Ik twijfel even of er ook een pincode nodig was ((voor de server-certificaat zeker niet)) of dat ik dat verwar met de UZI -passen.
Volgens mij heb je voor beide een persoonlijk certificaat, een (persoonlijke) pas én een PIN nodig om in te loggen. Dus het scenario wat @Tozz schetst zou niet voor mogen komen. Ik weet alleen niet of ze die PIN zelf mogen wijzigen of dat ze die toegewezen krijgen van UZI/Vecozo. Wel weet ik dat je echt heel goed in de gaten moest houden wanneer je pas en certificaat verlopen. Want als de boel verloopt ben je zo een paar dagen/weken kwijt met het aanvragen van een nieuwe, terwijl de pas verlengen een fluitje van een cent is.
Correct. Je hebt certificaten op server niveau en personal certificates voor persoonlijk gebruik.
PIN met UZI passen klopt ook maar is enkel een 2nd factor. Onderwater heeft zn pas gewoon een "peroonlijk" certificaat.' UZI pas indentificeerd enkel de persoon overigens, de Service op de achtergrond verbind op zijn beurt weer met het authenticatie platform op Server Certificate basis.

Met de UZI service connecteer je op het authenticatie platform en met je UZI pas identificeer je jezelf waarmee je data kan ophalen (Of onderteken, ect)
Ik moet goed graven in mijn geheugen, maar volgens mij waren er 2 manieren van data ophalen; een server certificate voor webservices en een persoonlijk certificaat welke op de website gebruikt kan worden. Indien je het certificaat heb op een computer kon je inderdaad zonder problemen de website benaderen. Ik twijfel even of er ook een pincode nodig was ((voor de server-certificaat zeker niet)) of dat ik dat verwar met de UZI -passen.
Je hebt met een locaal certificaat inderdaad geen pincode nodig. Wel een wachtwoord (uiteraard....)
Het is gewoon een persoonlijk certificaat. Zie ook de reactie:
Terlin in 'nieuws: RTL: bsn's van miljoenen Nederlanders online te zien door ...

Daar staan ook afbeeldingen van het certificaat (PFX) mailtje.
En die certificaten met wachtwoord werden dus door Kenter Jeugdzorg verstuurd naar oude jeugdzorg e-mailadressen.
https://twitter.com/danielverlaan/status/1311631745150836736
Maar als deze certificaten nog naar oude mailadressen worden verstuurd, dan komen die dus aan in de mailbox van degene die het domein beheerd.
De fout ligt wat mij betreft ook niet bij Vecozo. Het is Kenter die de oude domeinnaam liet verlopen en Kenter die blijkbaar de nieuwe emailadressen nooit bekend heeft gemaakt bij Vecozo.

Als ik verhuis en ik geef mijn nieuwe adres niet door aan instanties gaat er ook allerlei gevoelige informatie naar mijn oude adres. Daar ben ik de schuldige van, niet de organisaties die mij mailen.
Lijkt me stug. Ik weet deels hoe Vecozo werkt (ik werk bij een IT afdeling in de zorg) en lees dit met artikel al 3x.
Om in te loggen in vecozo heb je een persoonlijk certificaat nodig die per persoon wordt toegewezen. Dit dient een beheerder te doen en moet geïnstalleerd worden op de PC waar vanaf verbonden wordt wordt.
Juist.

Ook de vormgeving van de mail in kwestie is hier interessant. Deze bevat instructies op het niveau van een leek en spreekt specifiek over "het installeren op jouw laptop." Vecozo zou die terminologie denk ik niet gebruiken in algemene communicatie met afnemers. Het is meer waarschijnlijk dat dit interne communicatie van Kenter aan de eigen werknemers is.

Het zou heel makkelijk zo kunnen zijn dat de interne IT van Kenter ergens een systeempje heeft draaien om Vecozo certificaten automatisch te verversen en deze mails uit te sturen naar de betrokken medewerker(s). En laat dat nou juist zo'n lekker klein en niet gedocumenteerd stukje automatisering zijn, wat makkelijk over het hoofd gezien wordt bij de overgang van de domeinnaam van het bedrijf.

[Reactie gewijzigd door R4gnax op 1 oktober 2020 18:27]

Het RTL artikel zegt dit:
De toegang tot de Vecozo-database was mogelijk omdat Kenter Jeugdhulp de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde.

Lijkt er dus op dat Vecozo die gegevens niet zo opstuurt, maar dat intern binnen Kenter het rondgestuurd werd via emails.
Wat ik enigszins amusant vind aan de reactie van Vecozo is dat er met de vinger gewezen wordt naar Kenter Jeugdhulp.
Omdat het domein / certificaat (ik weet dat een van de dingen zijn die Vecozo doet) van de zorginstelling is. Het certificaat wordt dan weliswaar door Vecozo geregeld, maar doen ze alleen naar de instructies van de zorginstelling. Dus dat zij naar de zorginstelling wijzen, kan ik ergens wel begrijpen.
Dit terwijl RTL een oud domeinnaam heeft overgenomen van Kenter, en hierop wachtwoorden ontving voor de database van Vecozo. Wie die wachtwoorden opstuurde is een interessante vraag, maar dat maakt uiteindelijk niet uit.
Dat is vanuit Vecozo gedaan, omdat de instellingen (zoals doorgegeven door de zorginstelling) dat toestonden.
Vecozo heeft een database met ontzettende gevoelige gegevens, en deze database is bereikbaar zonder iets van een beveilingscertificaat?!
Toen ik bij de Gemeente Utrecht werkte, weet ik dat elke GG&GD (GGD) arts dat gebruik maakte van een programma (weet de naam even niet meer), een eigen (via Vecozo uitgegeven) certificaat gebruikte
Om de beheerders van deze database toch nog even het voordeel van de twijfel te geven; ik ga er wel vanuit dat er een IP whitelist is op basis van de DNS records van het oude domein van Kenter, maar dan wordt er toch een enorm risico genomen met deze gegevens...
Een IP-whitelist op basis van DNS-records? :? Dat zijn twee aparte dingen, je hebt dan een whitelist op basis van IP-adres of anders DNS-records (zoals hostnames). Zoals gezegd, elke persoon heeft zijn/haar eigen certificaat, daarmee heb je de toegang.
Wie die wachtwoorden opstuurde is een interessante vraag, maar dat maakt uiteindelijk niet uit.
Wie de wachtwoorden opstuurde maakt heel veel uit.

De verantwoordelijke voor het versturen lijkt me namelijk verantwoordelijk om gevoelige gegevens alleen te sturen naar iemand die daar werkelijk iets mee te maken heeft. De wet stelt dat de verwerker de verantwoordelijkheid heeft dat alleen de juiste betrokkenen toegang tot persoonsgegevens hebben. Dus als een dienstverlener een database heeft waar van miljoenen Nederlanders persoonsgegevens in staan en die dienstverlener vervolgens een wachtwoord naar een domein stuurt dat bijvoorbeeld al twee jaar niet meer van de vertrouwde klant is dan heeft de verzender hier heel wat uit te leggen. Want hoe heeft die verwerker dan voldaan aan de verplichting om de gegevens niet met een onbevoegde te delen? Door bijvoorbeeld twee jaar geleden voor het laatst te controleren of een domein nog wel van de 'klant' is die allang een andere organisatie is geworden?
Vecozo heeft een database met ontzettende gevoelige gegevens, en deze database is bereikbaar zonder iets van een beveilingscertificaat?!
Daar heb je zeker een certificaat voor nodig, dat om de twee jaar opnieuw vernieuwd moet worden.
Vreemd. Om gegevens van vecozo te kunnen ophalen heb je een persoonlijk of servercertificaat nodig.
Er is dus meer fout dan alleen toegang vanaf een verlopen domein.
Bij Vecozo hebben ze nog het bekende touwtje uit de brievenbus methode. Wat te denken van 2FA, anno 2020. Dat gaat 5 jaar lang peptalk en teambuilding aan te pas komen.

RTL heeft het gat in de dijk gemeld.
Vecozo gebruikt al 2FA.

Namelijk iets wat je hebt (persoonlijk certificaat) en iets wat je weet (wachtwoord). En ook bij gebruik van een MFA-app kan dit makkelijk omzeild worden door gewoon meerdere devices toe te voegen die een code mogen genereren. Zo kan men alsnog meerdere medewerkers op 1 certificaat laten werken.

Biometrie is een optie om het echt te koppelen aan 1 persoon, maar daar zitten weer andere nadelen aan.

Het probleem ligt toch echt bij de zorgaanbieders die het systeem misbruiken. En de gehele keten, want blijkbaar vinden we het OK dat er een database is met de BSN's en verzekeringsgegevens van alle Nederlanders die iedereen met een AGB-code kan raadplegen zonder dat de eigenaar van de gegevens het weet of toestemming hoeft te verlenen.

[Reactie gewijzigd door RvdDungen op 2 oktober 2020 15:20]

Er is vroegtijdig een melding gedaan en Vecozo is zich daar wel degelijk van bewust. Er is actie ondernomen en het protocol zal anders moeten of de techniek zal verfijnder kunnen worden. Ik verwacht zelfs een combinatie van deze twee op dit niveau. In de achterkamers zal het heus wel gerommeld hebben.
Mijn ouders gebruiken Vecozo zakelijk.

Zij worden voorzien van een UZI pas, uitgegeven op persoonlijke titel. Deze pas moet in een Smartcard reader en vervolgens kan je met behulp van geïnstalleerde certificaten in de browser, inloggen op de portal van Vecozo. Uiteraard gebeurd dit met een Username & Password, maar of deze als plain text ergens gelogd/opgeslagen worden weet ik niet. Volgens mij waren deze certificaten vroeger PK2 certificaten. Of het nu nog PK2 is weet ik niet zeker meer want ik heb al een tijdje geen nieuwe certificaten er meer voor hoeven te installeren. :)
Ik heb voorheen de IT gedaan voor diverse zorgverleners en er is zowel een persoonlijk als een systeemcertificaat nodig voor de communicatie met de databases van Vecozo. Beveiliging is maar zo goed als de zwakste link.
Vecozo zegt dat het geschrokken is van de berichtgeving en een onderzoek start. Het bedrijf heeft melding gedaan bij de Autoriteit Persoonsgegevens,
Zie mijn edit. ;) Vecozo heeft dus wel wat meer gedaan dan die twee dingen, namelijk het certificaat ingetrokken, waardoor de zorginstelling in elk geval voor het moment niet met diverse zaken kan werken. Leek mij althans het belangrijkste uit het hele bericht, dat precies niet wordt meegenomen in het nieuwsbericht, waardoor het bericht nu overkomt als een publieke schandpaal, terwijl er dus in elk geval de nodige (nood)acties zijn ondernomen.

[Reactie gewijzigd door CH4OS op 1 oktober 2020 13:52]

Opzich is dat natuurlijk een logisch gevolg van de PR-zin: "een onderzoek gestart". de rest van de 2 reacties is ook vrij abstract/PR allemaal.

"Daar staan we samen voor aan de lat"

Nou vooruit dan.

Het intrekken van het certificaat is dan ook het enige concrete in de 2 reacties. Maar of ze in de toekomst de gebruikersnaam/wachtwoord via 2 media sturen, of op een andere manier beveiligen.
Ze sturen de gegevens helemaal niet via de mail. Dat heeft iemand intern bij Kenter gedaan.
Die persoon heeft via het beveiligde portaal van Vecozo het (persoonlijke!) certificaat verlengd, die geexporteerd naar een PFX. En dat als bijlage inclusief wachtwoord naar oude e-mailadressen doorgestuurd.

Zo zie je dat je je gevoeligde data nog zo goed kan beveiligen, maar als je gebruikers slordig zijn, het toch nog mis gaat.

Dit kan nog wel eens een juridisch staartje krijgen, volgens mij moet je als zorgaanbieder persoonlijk een contract tekenen dat je zorgvuldig met dit soort gegevens (en certificaten) omgaat. Zo mag je ook alleen mensen opzoeken waar je de verzekerde gegevens van nodig hebt om te kunnen declareren. En daar staan dacht ik zelfs tucht sancties op:
https://www.vecozo.nl/ken...-van-vecozo-certificaten/
Opzich is dat natuurlijk een logisch gevolg van de PR-zin: "een onderzoek gestart". de rest van de 2 reacties is ook vrij abstract/PR allemaal.
Natuurlijk is een deel PR- en imagoschadebeperking, maar neemt niet weg dat het intrekken van het certificaat voor het moment wel even een belangrijk onderdeel is.
Het intrekken van het certificaat is dan ook het enige concrete in de 2 reacties. Maar of ze in de toekomst de gebruikersnaam/wachtwoord via 2 media sturen, of op een andere manier beveiligen.
De prioriteit ligt nu bij het oplossen van het lek zelf, daarna kan men vervolg stappen ondernemen om het verzenden van gevoelige data niet via de e-mail te doen. Overigens, zolang de mail via een TLS-/SSL-verbinding is verstuurd, is de impact daarvan al een stuk beperkter geworden en is het te hopen dat 'onderweg' ook beveiligde verbindingen zijn gebruikt, zodat de kans in elk geval minimaal is dat het password gelekt is.
Gewoon beetje een nadeel als je een actief domein laat verlopen. Dit is vaker aan de orde alleen heeft het ene domeinnaam wat meer gevoeligere info die ze ontvangen dan de ander.

In het verleden is een zonnepanelen bedrijf van .nl naar .com gegaan. .nl kwam vrij voor de lol geregistreerd om is te kijken wat voor mail binnen zou komen. Het volgende kwam binnen op de mail:
Loonstroken (het personeel weet je nu ook te wonen + bsn info op de loonstrook)
Lease facturen (auto, hoogwerker)
Vragen van klanten
Offertes naar klanten
Reclame van omvormers

Bedrijf gemaild doen er niets mee geen enkele reactie. Tweakers gemaild, die hebben het bedrijf ook gemaild ook geen reactie. Zouden het nog plaatsen (zoals dit artikel). Niets meer van gehoord of gelezen in het nieuws.

[Reactie gewijzigd door RobbyTown op 1 oktober 2020 18:13]

Ik kreeg ooit eens een telefoonnummer op een nieuwe lijn, bleek dat een oud faxnummer te zijn van een beton en stenen leverancier. Daar kwam ook van alles op binnen. Zelfs contracten van uitzendkrachten. Heb toen maar snel om een ander nummer gevraagd. Is wel meer dan 20 jaar geleden inmiddels .

[Reactie gewijzigd door Nijl op 7 oktober 2020 00:54]

Wat ik me altijd afvraag, hoe ver mag een journalist gaan? Als ik dit zo zou aanpakken ga ik 5 stappen te ver om de ernst aan te tonen, en dat is dan strafbaar.
Ik heb de betreffende journalist (Daniël Verlaan) weleens in een podcast horen vertellen dat hij dit soort acties altijd zorgvuldig afstemt met het juridische team van RTL. Daarnaast is het de bedoeling dat je niet meer doet dan noodzakelijk is om je bevindingen te kunnen bevestigen. Ga je dingen slopen, dan loop je een risico.

Edit:
De betreffende podcast gevonden: https://open.spotify.com/...si=qnekNdMkQz-YZoV5J3hizQ
S07E08 van Met Nerds Om Tafel, met Daniël Verlaan en Huib Modderkolk als gasten.

[Reactie gewijzigd door Bas170 op 1 oktober 2020 14:06]

Aanvullend hierop, de journalist is wel al even een tijdje lekker bezig. Ik graaf even in mn geheugen maar hij heeft toch al heel wat verhalen gemaakt met best goed onderzochte achtergronden.
Klopt, ik volg hem al een aantal jaar op twitter :) mooie verhalen altijd
In dit twitterdraadje beschrijft hij zijn exacte werkwijze en de zaken die hij niet heeft gedaan om precies die redenen waarschijnlijk.
Technisch gezien is het domein gewoon vrij beschikbaar voor iedereen, dus dit lijkt me niet strafbaar. Als ik een vrijstaand domein (over)koop en iemand stuurt hier tienduizend emails met gevoelige gegevens heen, dan ben ik toch niet strafbaar?
Jij kan moeilijk strafbaar zijn als iemand je ongevraagd mails stuurt.

Als jij de inhoud van die mails gebruikt om in een database in te loggen waar je niets te zoeken hebt kan je maar beter een goede reden hebben: bijvoorbeeld dat je een journalist bent die een lek onderzoekt :)

Als je de inhoud van de mails of de database openbaar zou maken waardoor allerlei partijen schade lijden dan helpt het denk ik zelfs niet meer dat je een journalist bent die een verhaal onderzoekt (ik weet niet of dit strafbaar zou zijn in de zin van het strafrecht, maar je kan zeker wat civiele procedures verwachten).
Het ontvangen niet, maar als je bewust bent dat het gevoelige informatie is dan dien je wel actief op te treden en de verzender te informeren en de betreffende gegevens vernietigen.
Het bewust openbaar maken van gegevens waarvan duidelijk is dat ze gevoelig zijn lijkt me wel strafbaar.
RTL lijkt me hier dan niet in overtreding, volgens mij hebben ze die data niet het internet op geslingerd, maar enkel een artikel gemaakt dat deze data binnen blijft komen. Hopelijk vernietigen zij dit. Degene waar ik op reageerde gaf aan dat dit 5 stappen te ver zou zijn en dat het strafbaar is.
Afhankelijk van de wetten waar je je bevindt natuurlijk. Ik weet niet of jij verantwoordelijk bent om zulke gegevens 'wettelijk' te verwerken (oa. bijhouden of verwijderen) en of je een meldplicht hebt.

Ik denk dat je juridisch ook in het geschil kunt komen als je die informatie vernietigd (omdat je dan een wettelijk onderzoek dwarsboomt). Als je jezelf als een 'informatieverwerker' gaat opzetten en je doet iets wettelijk verkeerd, dan word je veroordeeld aan de hand van wat een verwerker zou moeten gedaan hebben.

Je kunt altijd zeggen dat je niet "bewust" was dat de informatie gevoelig was, eenmaal je zegt dat je bewust was, dan komen er alle soorten wetten en plichten bij die je 'redelijkerwijs' moet volgen.
Dat is altijd een fine line, maar er zijn richtlijnen waar je jezelf op kan toetsen of je nog binnen de responsible disclosure richtlijn valt.

Wat interessant leesvoer hierover :
https://veiliginternetten...n-responsible-disclosure/
https://www.ncsc.nl/binar...lnerabilityDisclosure.pdf
Hoever je mag gaan is kijken of je persoonsgegevens kan inzien, niet meer dan nodig om te zien dat je een lek hebt gevonden. Je mag geen gegevens van derden aanpassen of verwijderen.

Stel ik vermoed dat Tweakers een lek in het inlogsysteem zou hebben mag ik proberen het lek te gebruiken en kijken of ik in mijn eigen account kan inloggen op die manier en eventueel met een tweede eigen account. Er is geen reden om bv in te loggen als een andere tweaker of redacteur om aan te tonen dat er een lek zit.
Best wel heel ver. Los van dit soort ICT-kwesties, zie je het ook bij andere journalistieke kwesties wel. In Europa hebben journalisten een belangrijke functie om de 'democratische samenleving' te waarborgen zoals dat heet. Zij (en overigens ook anderen met hen) zijn de poortwachters die ervoor zorgen dat informatie voor het brede publiek beschikbaar komt. Het is daarbij essentieel dat zij niet zonder meer verhinderd mogen worden in hun werk. Zeker als het daarbij aankomt op het aan de kaak stellen van een omvangrijke misstand, moet dat niet betekenen dat zij vervolgens zo maar gestraft kunnen worden (het Chilling effect zoals dat heet in het recht).

Je mag alleen niet zo ver gaan dat je ook echt schade aan anderen toebrengt als journalist. Zo is ooit een Zweedse journalist (als ik het mij goed herinner) te ver gegaan door voor een artikel een pistool aan te schaffen op internet. Geoordeeld werd dat hij voor het artikel ook prima alleen naar buiten had kunnen brengen dat je een pistool kon kopen. Zelfde discussie speelt ook een beetje bij de zaak rondom Alberto Stegeman en de nepbom op een militaire kazerne. Daar werd (vooralsnog) geoordeeld dat het echt achterlaten van de nepbom onnodig was om het verhaal naar buiten te brengen dat de beveiliging van de kazerne zo lek als een mandje was.

Hier geeft de journalist, Daniël Verlaan, juist duidelijk aan dat hij verder niets met de gegevens heeft gedaan en ook bewust niet alles heeft ingezien, maar simpelweg bloot heeft gelegd hoe makkelijk je toegang tot al deze persoonsgegevens kon krijgen. Dat is in mijn optiek prima en juist ook zijn werk. Daarvoor zou hij niet achteraf alsnog veroordeeld moeten worden. Maar het moet dus wel gaan om een misstand van enige omvang. Het was anders geweest als hij het domein van één persoon had overgenomen bijvoorbeeld.
Deze methode gebeurt wel vaker. Zoals in 2017 bij de politie
nieuws: Politierapporten liggen op straat door verlopen domeinnamen

Jammer dat bijvoorbeeld het SIDN hier nog niet in faciliteert. Desnoods dat partijen in bepaalde segmenten alleen domeinen voor de duur 50 jaar mogen afkopen.
Dan houdt dat nodeloos reorganiseren en hernoemen wellicht ook een keer op :+
Vorig jaar was dit over de (jeugd)zorg ook al in het nieuws.

Of de SIDN hierin moet faciliteren betwijfel ik. Het lijkt me ondoenlijk voor de SIDN om van de miljoenen aanvragen te bepalen wat van welke soort organisatie is en ze dan als stichting bepaalde klanten verplichten om voor een bepaalde tijd een domein af te nemen. Behalve dat het lang niet altijd duidelijk is met wat voor soort organisatie je te maken hebt (een dienstverlener kan namelijk ook een domein registreren voor een ander bedrijf of organisatie) brengt het ook gevolgen met zich mee op gebied van vrije handel.

Het probleem lijkt me uiteindelijk dat mensen die verantwoordelijk zijn voor de het beschermen van andermans gegevens daar eigenlijk onvoldoende kennis en middelen bij hebben. De verantwoordelijke van het domein had zich bewust moeten zijn van de gevolgen van het opheffen van het domein. De gebruiker van het domein had zich bewust moeten zijn van de gevolgen om belangrijke inloggegevens naar een adres te (blijven) versturen. De verantwoordelijke van de service waarop kon worden ingelogd had zich bewust moeten zijn om niet zomaar accounts toe te laten. De verantwoordelijke van de gegevens had zich bewust moeten zijn wie er onder welke voorwaarden bij die gegevens kan. Maar dat is slechts een stap. Een volgende is om vervolgens het risico juist in te kunnen schatten en dan ook de juiste beslissing te nemen. Om het nog niet te hebben over risico's die in het verleden door voorgangers of inmiddels opgeheven organisaties zijn gemaakt te kunnen herkennen.
SIDN is geen registrar, die laat de registratie afhandelen door andere partijen. Daarbij controleert SIDN ook helemaal niet wie een domein registreert, dus het is dan lastig om aan te geven dat een bepaalde domeinnaam meteen 50 jaar vast gelegd moet worden.
Klopt natuurlijk niet helemaal. SIDN is de registrar. De SIDN deelnemers registeren domeinen in opdracht van hun klanten bij de SIDN. De SIDN is uiteindelijk de partij die de registratie doorvoert in hun database en de .NL zonefile.
Klopt natuurlijk niet helemaal. SIDN is de registrar. De SIDN deelnemers registeren domeinen in opdracht van hun klanten bij de SIDN.
Nee, SIDN is de registry, de deelnemers zijn de registrars
Een toplevel aanmaken: .overheid. Registratie alleen via ministrie van bla bla en een openbaar register van alle domeinen en de verantwoordelijke. Burgers leren dat links die eindigen op .overheid ok zijn, de rest is rommel en onveilig. Kost wat tijd maar dan pak je het structureel op (ook nog een kostenbesparing als er dan 1 wildcard cert voor *.overheid zou zijn, maar volgens mij moeten er minimaal 2 padcomponenten zijn).
Een toplevel aanmaken: .overheid. Registratie alleen via ministrie van bla bla en een openbaar register van alle domeinen en de verantwoordelijke. Burgers leren dat links die eindigen op .overheid ok zijn, de rest is rommel en onveilig. Kost wat tijd maar dan pak je het structureel op (ook nog een kostenbesparing als er dan 1 wildcard cert voor *.overheid zou zijn, maar volgens mij moeten er minimaal 2 padcomponenten zijn).
Als je ziet hoe men massaal in phishing mail en SMS trapt (en dat dus lucratief blijft, ook in 2020) denk ik niet dat mensen sneller bewust zijn dat andere domeinen onbetrouwbaar zijn.
Mensen trappen daar in omdat er dus niet één check is om te controleren of je op een echte website zit.

Mensen zijn aangeleerd naar het slotje te kijken maar dat zegt niks over de betrouwbaarheid van de server.

.overheid zou daarom goed zijn om in ELKE media uiting aan te kaarten als dé check. Volgens mij hebben de .nloverheid of zo al in bezit zelfs.
.overheid zou daarom goed zijn om in ELKE media uiting aan te kaarten als dé check. Volgens mij hebben de .nloverheid of zo al in bezit zelfs.
Mwa, ik denk niet dat de oplossing voor het probleem gaat zijn. Mensen kijken dan of ze .overheid in de URL zien staan. En hey, https://site.overheid.apexalpha.nl heeft dat ook, zal vast wel een betrouwbaar domein zijn... * KLIK * ;)
Je denkt misschien aan .gov, wat al sinds de begindagen bestaat. Ik vind het best een goed idee.

En ja, natuurlijk hou je altijd digibeten die zelfs nu, na 20 jaar mailen en surfen, nog geen mailadres van een url kunnen onderscheiden, maar dat is geen reden om dan maar alles overboord te gooien.
Een wildcard voor een domein extensie is zo ongeveer het aller domste wat je kan doen.
Als die uitlekt zijn alle organisaties de sjaak.
Toplevel cert mag zowiezo niet, dus heb je al een afbakening. Het is verder een afweging: 1x cert goed beveiligen is eenvoudiger dan 5000x matig of niet beveiligen. Een HSM erbij en je key zit niet eens op je OS disk. Het kan vrij goed veilig, maar niet 5000x
Het probleem wat hier is genoemd ging juist om organisaties die niet van de overheid zijn.

Wat lost je oplossing dan op? Moeten volgens jou alle zorgbedrijven verplicht .zorg gaan gebruiken? En wat doe je dan met al die andere bedrijven zoals energiebedrijven of banken, onlinewinkels, eigenlijk alle verwerkers van persoonsgegevens? Ook allemaal maar een eigen tld en een openbaar register?

Het probleem lijkt me hier juist dat de eigenaren van de domeinen er moeite mee hebben om te zorgen dat ze weten wat de risico's zijn als ze hun domein laten verlopen. Jou oplossing is hooguit een andere manier om daar mee om te gaan maar is niet duidelijk een verbetering voor het probleem. Want hoe krijg je die organisaties zo ver dat ze zich aan de juiste tld gaan houden en in het openbaar register worden opgenomen? Of dat ze het zelf ook op het juiste moment blijven gebruiken om te voorkomen dat ze de inloggegevens naar een verkeerd domein sturen dat van hun zelf is?
Niet overheid dan ook geen gevoelige data? Aangezien de website van bedrijven gezien wordt als uithangbord is het vragen om problemen om diezelfde naam ook te gebruiken voor gevoelige data uitwisseling? Dus wellicht is .overheid te beperkt en moet er een .gevoeligedata bij komen en mag er geen data over reguliere .nl/.com domeinen lopen. En dan bij de registrar vastleggen welke data het betreft en wie de avg/gdpr contacten zijn. Het is allemaal hele nare boekhouding maar doenlijk.

En organisaties zover krijgen: wetgeving & controle. 100 euro per data-item dat over een verkeerd kanaal gaat.

Ik zeg niet dat het praktisch is, maar we kunnen onszelf ook wijs maken dat het te moeilijk is om op te lossen. Het adagium lijk een beetje "zachte heelmeesters, stinkende wonden" te zijn.
Niet overheid dan ook geen gevoelige data?
Dat is niet realistisch. Gevoelige gegevens zijn ook alle persoonsgegevens en die kunnen niet alleen bij de overheid bestaan. Het lijkt me zelfs zeer onwenselijk als het bij de overheid staat of via de overheid beschikbaar is terwijl die er niets mee te maken heeft wat jou medische geschiedenis is of met wie jij allemaal contact hebt gehad. En dat dan van miljoenen personen en miljarden gebeurtenissen.

Wat je noemt over wetgeving, controle en gevolgen bij overtreding lijkt me meer de weg om het op te lossen. Maar ook wetgeving pas je niet even makkelijk aan omdat je het wil.
Elke houder zou moeten kunnen beseffen dat een domein na beëindiging (en aansluitend 40 dagen quarantaine) voor iedereen beschikbaar is. Als je van (domein)naam verandert, dan hou je voor dat tientje per jaar die domeinnaan gewoon aan, met een mailforwarder of een hard bounce.
grace period met forward + autoreply voor half jaartje ofzo (lang genoeg voor mensen die accounts moeten herconfigureren naar nieuwe mailadres), dan 1 jaar een hard bounce en daarna een catch-all die je door je riskafdeling laat monitoren om iedereen op z'n sodemieter te geven die tegen alle regels in nog steeds het oude domein gebruikt. Als iedereen zich netjes gedraagt en het spamfilter goed werkt kost het opvolgen van die mailtjes 0 minuten per week. Als het meer is weet je dat je nog iets aan security awareness hebt te doen.
nou ja, het afkopen is misschien wat overdreven. Maar bij overheid/zorg/onderwijs/etc-instellingen is het misschien wel handig om een extra 'vinkje' te hebben waarbij als een domein vrij komt er nog een reeks extra controles worden gedaan voordat deze overgedragen mag worden. Hier mogen best strengere regels voor komen; het gaat inmiddels mogelijk om potentieel ontzettend privacy gevoelige gegevens. Maar zo'n plan staat of valt dan ook met de hoop op dat je administratie en je personeel een beetje actueel is.
Waarom zou de SIDN al die vinkjes moeten zetten en niet de organisatie die de domeinen zelf heeft aangekocht? LIJKT me dat die veel beter kunnen beoordelen dat ze zelf met privacy gevoelige gegevens omgaan dan dat de (externe) SIDN dat doet, toch?
Ik zeg nergens expliciet dat SIDN dat allemaal moet gaan toch? Lijkt mij meer iets voor de domeinboeren; natuurlijk in samenspraak met hun klanten. Maar het zal wel ergens centraal 'afgedwongen' moeten worden lijkt mij; dat is mogelijk wel een rol voor SIDN.
Nee dat zou de eerste domeinregistry zijn die dit onderneemt. Er zijn al domeinboeren die dit voor je kunnen beheren; je moet als organisatie echter wel de keuze maken om met een dergelijk bedrijf in zee te gaan (om die reden). Als je je dat al realiseert is er niets wat je ervan weerhoudt dit zelf beter te organiseren en daar lijkt het (in dit geval) fout te gaan.
Omdat de meeste organisaties daartoe, blijkens, niet capabel zijn Een orgaan zoals het SIDN heeft die expertise wel. Het Agentschap Telecom kan dat direct meenemen in haar toezichtsrol.
Maar als de organisaties niet capabel zijn, hoe moeten ze dan aan SIDN duidelijk maken dat het een gevoelige domeinnaam betreft?

Of, zoals jij het waarschijnlijk wilt, hoe moet de SIDN ruiken dat het een gevoelige domeinnaam is?
Voortaan als je een domein registreert niet meer alleen je contactgegevens, maar ook je sector invullen ofzo?
In een tijd dat steeds meer van die informatie afgeschermd gaat worden ivm GDPR? Het lijkt mij dat als je als organisatie dingen wil en je hebt de expertise niet je die moet inkopen, ipv de boel omdraaien en dan aan de andere kant allemaal checks in te bouwen (het gaat hier immers slechts om een domeinregistratie dienst). Dit zijn organisaties die met veel ingewikkeldere zaken (en patienten dossiers) omgaan, wij mogen ze best daar zelf verantwoordelijk voor houden lijkt me.
Ja, liever dat die organisaties zelf beter nadenken. Maar nee, ik denk niet dat dit de laatste keer is dat onze gegevens op deze manier lekken. Dus hoe kunnen we het dan voorkomen?

[Reactie gewijzigd door frickY op 2 oktober 2020 13:18]

Of als men het niet actief kan/wil/welkesmoesdanook controleren, kan men het via een normale registrar afnemen en vanaf dat moment is enkel nog van belang dat je de jaarlijkse automatische afboeking niet zomaar storneert. Zo doe ik het zelf nog maar 10 jaar.
De SIDN is ook niet de partij die daarin moet voorzien vind ik. Degene die het domeinnaam afneemt en na verloop van tijd besluit hier geen gebruik meer van te maken, is hiervoor verantwoordelijk voor de eigen beveliging aan de (eigen) systemen, niet het SIDN.

Had de beveiliging op orde geweest, dan had een derde partij dit niet zomaar kunnen doen, ondanks dat zij dan de nieuwe eigenaren waren geweest van het domein.
Nou gezien de lage kosten lijkt me dit geen kosten probleem maar een ding dat organisaties zelf (aanzienlijk) beter moeten doen; zij hebben het domein niet verlengd, dan komt het na een quarantaine van 45 dagen vrij voor 1 ieder om vast te leggen (en dat had Daniel Verlaan gewoon goed opgemerkt).
Jammer dat bijvoorbeeld het SIDN hier nog niet in faciliteert.
Dat doen ze wel met DBS welke domeinregistraties checkt op merknamen. Het lijkt er echter op de Kenter de domeinnaam bewust heeft laten verlopen en de quarantaine periode van 40 dagen voorbij laten gaan.
Interessant is ook dat een jeugdzorg instelling dus kennelijk onbeperkt toegang heeft tot al deze data. Dat in het zelf is eigenlijk al bijzonder en je kan je afvragen of dat met eenvoudige technische middelen (alleen opvragen van gegevens waar je een BSN of ander bekend nummer voor hebt) zou moeten voorkomen.
Je kunt het zo inregelen dat ze eerst om toestemming moeten vragen, of dat je een melding krijgt wanneer mensen je gegevens inzien:

https://www.volgjezorg.nl/toestemming

Ik ontvang een mailtje wanneer iemand mijn dossier bekijkt, wat overigens nog nooit onverwacht is gebeurd. Wel belangrijk om te weten: In verband met Corona is deze opt-in tijdelijk (cynicus in mij; permanent) omgezet naar een opt-out.

[Reactie gewijzigd door Eonfge op 1 oktober 2020 14:01]

Het is erg mooi dat het mogelijk is, maar het is ook gek dat (bijna) niemand hier van heeft gehoord.

Waarom niet standaard alle toegang tot je dossier loggen in MijnOverheid?
Omdat de Overheid daar niet de moeite voor wilt doen. Er zijn al tal van initiatieven gestart om dit van de grond te krijgen. Overheid wil subsidies verstrekken maar het ontwerpen, uitrollen en beheren willen ze niet zelf doen.

Hetzelfde gaat zo ook met de veilige uitwisseling van medische gegevens en de daar bijbehorende toestemming tussen zorgverleners. De Overheid wilt het heel graag maar ze geen het niet zelf faciliteren. Gevolg, verschillende standaarden en nog steeds niet het probleem opgelost wat er heerst.
Omdat het ook bij de overheid stapje voor stapje gaat. Mijnoverheid.nl wordt steeds uitgebreider maar deze bungelt vast ergens in het midden van de backlog.
"Wel belangrijk om te weten: In verband met Corona is deze opt-in tijdelijk (cynicus in mij; permanent) omgezet naar een opt-out. "

En dat is nu precies wat de overheid zo onbetrouwbaar maakt.....
Jij bent echt geweldig. Bedankt voor het delen.
Via Volgjezorg.nl kun je prima in de gaten houden of je dossier bij de huisarts of apotheek wordt ingezien. Het gaat om deze twee dossier, niet die van ziekenhuizen. In deze Corona periode is de Noodmaatregel LSP van kracht. Dat betekent dat als je zorg nodig hebt bijvoorbeeld op de HAP dit mondeling aan je wordt gevraagd of je toestemming geeft om je dossier in te zien. Dat is een eenmalige mondelinge toestemming. Bel je later op de avond nog een keer zul je weer toestemming (of niet) moeten verlenen.
Dit soort producten zouden veel meer onder 1 overheid moeten hangen. Bijvoorbeeld overheid.nl. Log je daar in zou ik een logbestand van alle persoonsgegevens die van mijn bevraagd zijn. Uit elke sector dus.
Estland heeft dit al jaren en is hier veel verder in. Of, ze ontsluiten het logischer onder één portaal ipv allerlei subdomeinen en subportaaltjes.

[Reactie gewijzigd door Moffin op 1 oktober 2020 16:06]

Lovenswaardig, Hier staat gelijk half Nederland op z'n achterste benen op het Falieveld te demonstreren tegen 'die datagraaiers van de overheid' .
Ik heb de melding aangezet en zie dat er nog nooit info is uitgewisseld. Bedankt voor het melden, bizar inderdaad dat dit echt totaal onbekend is.
Klinkt inderdaad handig en waarom is dat vrij onbekend?

Wel moet je dan dat VZVZ weer vertrouwen.
https://www.vzvz.nl/over-vzvz

Blijf nog steeds veel moeite hebben met al die uitwisselingen, al weet ik prima dat het voor zorg gewoon nodig is.
Heb nog op papier bezwaar gemaakt tegen het eerste EPD waarna de verzekeraars het maar zelf gingen doen, en ondertussen werken die EPD's ook met bijna allemaal Amerikaanse software.
Zorginstellingen hebben die gegevens nu eenmaal nodig. Dat is niet zo gek. De ingang kan van alles zijn.
Misschien. Maar heeft een jeugd instelling in Den Haag toegang nodig tot miljoenen dossiers standaard? Dat lijkt me extreem.
Het gaat niet om dossiers. Het gaat om persoonsgegevens met verzekeringsnummer en verzekeringspakket. Voor hun registratie moeten ze van ieder patiënt die ze krijgen de verzekeringsgegevens kunnen opvragen en verifiëren.
Ik weet niet of je dat zo kunt stellen, het kan best zijn dat ze al die gegevens hebben verkregen door rechtstreeks in de database te kijken, de toegang hadden ze immers ook verkregen langs een email
Ze hebben niet in de database van Vecozo kunnen rondsnuffelen alsof hij gekraakt is. Ze hebben een normale functionaliteit gebruikt van Vecozo door de inloggegevens van een zorgverlener (en bijbehorend certificaat) te onderscheppen.

Op basis van een aantal gegevens (Geboortedatum + BSN of geboortedatum + postcode + huisnummer) kan je als gebruiker een patiënt matchen om zo te controleren of diegene is verzekerd.

Dus ja, hij heeft zichzelf kunnen opzoeken en wellicht wat bekenden van hem. Heeft hij jou of mij kunnen vinden? Ik betwijfel het.
Als dat laatste wel het geval was, dan zit er dus ook nog een fout in het systeem van Vecozo. Het zou me eerlijk gezegd niet verbazen, want zulke fouten zitten nou eenmaal soms in zulke systemen... Maar omdat we daar nog niet van gehoord hebben, heb je hopelijk gewoon gelijk.
Hoe is het toch mogelijk dat bedrijven die met deze gegevens werken anno 2020 inloggegevens in plain text versturen? De core business van dat bedrijf is digitale dienstverlening en is er dan helemaal niemand die daar denkt van "Hé, dat kan toch niet niet meer!" ?
https://www.vecozo.nl/sup...ode-van-mijn-certificaat/

VECOZO werkt met certificaten en pincodes. Ze sturen een e-mail met je gebruikersnummer, en met dat nummer en een pincode kun je je certificaat ophalen. Deze pincode wordt per post verstuurd, of naar de berichtenbox van de contactpersoon. Ik vermoed dat RTL de "wachtwoord vergeten" functie van die berichtenbox heeft gebruikt om daar op in te loggen en de pincodes te achterhalen.

De moderne media heeft er alle belang bij om dingen zo groots mogelijk te vertellen, dus mogelijk is dat hier ook het geval. Zo'n "wachtwoord vergeten"-mail kun je zien als niet-versleuteld wachtwoord; de hash of key of whatever die daar in staat om te bewijzen dat je dat mailtje hebt ontvangen is ook een soort wachtwoord.

Zonder te zien wat er daadwerkelijk is verzonden is het lastig bepalen of VECOZO daadwerkelijk plain text wachtwoorden heeft gestuurd, of dat dit meer voeten in de aarde heeft gehad en men creatief is gaan schrijven.

Ok, verkeerd gegokt. https://twitter.com/danielverlaan/status/1311631745150836736 Het wachtwoord van de PFX staat dus wel degelijk in de mail. Waarom?!? Laat mensen gewoon inloggen met hun nog-niet-verlopen certificaat en daar het wachtwoord opvragen?

Moet je alsnog iets verzinnen voor mensen die te laat zijn, maar dat kan op dezelfde manier als de eerste keer, via die pincode die ik hierboven noem (die dus per post komt of naar berichtenbox van de contactpersoon wordt gestuurd)

Het laat vooral zien dat men heel voorzichtig moet zijn met het opzeggen van domeinnamen, er zijn ZO VEEL accounts waar je bij kunt als je bij iemands mail kunt...

[Reactie gewijzigd door Paul op 1 oktober 2020 14:27]

In de twitterthread is de afzender van de mail met de pfx weggestreept. Maar dat is iemand van Kenter intern. Het werkt in realiteit zoals je beschrijft, als je certificaat nog niet is verlopen kan je inloggen (met je certificaat en je wachtwoord) en een nieuw certifcaat opvragen. Deze wordt niet als PFX gedownload ofzo, maar gewoon direct in je certificate store geinstalleerd.
"De inloggegevens voor de Vecozo-database werden in plaintext naar die e-mailadressen gestuurd."

Tja, je kan je e-mail verkeer versleuteld versturen maar als het in de mailbox staat moet het weer plaintext zijn anders heeft de lezer er ook niks aan.

Bij ons worden username en wachtwoord altijd via 2 kanalen verstuurd, bijvoorbeeld e-mail én sms. Om dit probleem te voorkomen.
Het moeten sowieso altijd single use wachtwoorden zijn. Dan maakt dit een stuk minder uit.
dan komt de volgende overnemer en klikt op wachtwoord vergeten en kan alsnog overnemen
Dat werkt alleen als men toegang heeft tot de live mailbox natuurlijk. Ik denk dat het meest "gebruikte" threadmodel een verloren device is met gecachte emails.
Klopt, ik denk dat men dat ook bedoelt: in plain text wachtwoord en gebruikersnaam in één bericht. Probleem zit hem inderdaad in de gecombineerde gegevens via hetzelfde medium.
tja als je toegang hebt tot de mailbox kun je vaak ook de telefoon wijzigen omdat de authorisatie daarvan via de mailbox loopt,

je verander die dan in je eigen telefoon en vraagt vervolgens een inlog aan.


Dit zie ik alleemaal niet eens als een hack of crack attempt, het is natuurlijke data verloop dat een domain wat email heeft gehad na overnamen gewoon mail binnen blijft komen en dan accounts die adressen in hun pasw reset target hebben staan.

Daar is opzich toch helemaal iks bijzonders aan en verantwoordelijk heid voor de gebruikers van dat mail domain
In RTL nieuws artikel staat het zo:

De toegang tot de Vecozo-database was mogelijk omdat Kenter Jeugdhulp de digitale sleutels en leesbare wachtwoorden van deze database onbeveiligd naar oude e-mailadressen stuurde.

Lijkt er dus op dat binnen die organisatie ze de wachtwoorden rond aan het mailen waren
"De inloggegevens voor de Vecozo-database werden in plaintext naar die e-mailadressen gestuurd."

Tja, je kan je e-mail verkeer versleuteld versturen maar als het in de mailbox staat moet het weer plaintext zijn anders heeft de lezer er ook niks aan.

Bij ons worden username en wachtwoord altijd via 2 kanalen verstuurd, bijvoorbeeld e-mail én sms. Om dit probleem te voorkomen.
als je een andere telefoon nr hebt dan kun je niet meer bijkomen. 1 probleem opgelost en een ander probleem bijgekomen.
Zolang men wegkomt met 'sorry, had niet mogen gebeuren, wij staan voor veiligheid' blabla.
Ja, maar ieder zichzelf respecterende IT-er doet dit toch anno 2020 niet meer zo? Dit is geen bedrijf waarbij er een paar hobbyisten de IT doen. Het is hun core business.
Legacy blijft jammer genoeg ook bestaan :) ..
Ja, maar ieder zichzelf respecterende IT-er doet dit toch anno 2020 niet meer zo? Dit is geen bedrijf waarbij er een paar hobbyisten de IT doen. Het is hun core business.
Uhm. De blunder hier is niet van Vecozo, maar van Kenter. Het is Kenter die gegenereerde toegangscertificaten en wachtwoorden doormailt naar oude addressen.

[Reactie gewijzigd door R4gnax op 1 oktober 2020 18:16]

Er zijn twee dingen aan de hand: RTL ontvangt mails van bijv. psychiaters met dossiers die gericht zijn aan de oude emailadressen. Die komen nu binnen bij RTL en niet bij Kenter. Daarnaast kan RTL op basis van die oude emailadressen bij Vecozo verzekeringsgegevens en BSN's uitlezen. Met vraagt vanuit een oud emailadres bij Vecozo logingegevens op en men krijgt die gewoon in plain tekst van Vecozo.

Excuus, je hebt gelijk. Het staat wel erg slecht omschreven. Zo te zien ben ik niet de enige die het aanvankelijk verkeerd heeft begrepen.

[Reactie gewijzigd door bytemaster460 op 1 oktober 2020 19:41]

Excuus, je hebt gelijk. Het staat wel erg slecht omschreven. Zo te zien ben ik niet de enige die het aanvankelijk verkeerd heeft begrepen.
Yup. Het hier gepubliceerde artikel is wat dat betreft echt heel erg slecht geschreven.
Volg de tweets van Verlaan zelf, dan krijg je meer mee van wat er aan de hand is.
Als BI consultant heb ik helaas al meerdere leveranciers op moeten attenderen dat wachtwoorden, maar soms ook biometrische gegevens. In plaintekst via webservices werden verstuurd.

Veel van deze gegevens horen er überhaupt niet in laat staan onbeveiligd, maar vaak wordt bij het maken van een webservice gezegd, doe maar alles dan kan de klant kijken wat die nodig heeft.

Om maar even een voorbeeld te geven. Moet wel zeggen als je erna met de leveranciers schakeld het meestal wel i 1-14 dagen is opgelost.
Dit komt ook mede doordat technologische vaardigheden niet belangrijk worden geacht in het onderwijs.

We schrijven steeds minder. We typen steeds meer. Maar nog steeds ligt de focus op onderwijs dat ons leert of het 'word' of 'wordt' moet zijn. Terwijl dat juist van minder belang is door autocorrectie. En dat we 0,23 kunnen vermenigvuldigen met 1,78. Terwijl iedereen een telefoon met rekenmachine heeft.

We vinden het snappen van het idee daarachter belangrijker dan de gevaren die internet en data met zich mee kunnen brengen.

Wat ook een kip-ei verhaal is, want als de docent het niet inziet, zal de leerling en dus toekomstige student het ook niet inzien.

Het onderwijs is nog steeds gefocust op wat in 1900 belangrijk was.
Autocorrectie ziet het verschil niet tussen waar wordt en word gebruikt moet worden, en basisrekenvaardigheid is alleen maar belangrijker geworden. Jij focust je dus op het verkeerde punt. Waar je zindelijk omgaan met de informatiemaatschappij precies moet onderbrengen, durf ik niet zo te zeggen, maar als je de stelling aan wilt gaan dat je er gewoon uitflikkert 'wat in 1900 belangrijk was', dan zou ik eerder voor schrijfonderwijs gaan (doe maar niet, maar als advocaat van de duivel vind ik dat toch beter bij je argumentatie passen). Ik zou er eerder wat extra uurtjes voor inruimen. Hoeft niet veel te zijn. Voor dingen als seksuele voorlichting is destijds toch ook een plekje gevonden in het rooster, en op middelbare scholen was informatica sowieso al een jaar of 30 gebruikelijk.
Dit is echt ongelooflijk.
Dat je er op moet attenderen is niet meteen een probleem. Dat zeg ik niet omdat het niet zou moeten voorkomen maar omdat het juist omdat je kennelijk ook een middel bent om fouten en veranderende risico's ongewenste situaties voor te leggen. Dat het voor komt is helaas niet volledig te voorkomen.

Het lijkt me vooral een probleem als de verantwoordelijke vervolgens het niet als voldoende risico ziet terwijl dat het wel is. En vervolgens de verantwoordelijke die het moet controleren het ook niet als voldoende risico ziet terwijl dat het wel is.
Überhaupt zou het gewoon heel simpel illegaal moeten zijn om gevoelige gegevens via email te versturen. Je ISO certificering ben je dan al kwijt, maar dat is ook het enige.

Alle 'belangrijke' instellingen zouden gewoon hulp moeten krijgen van een onafhankelijke partij om zich verplicht te laten certificeren met regelmatige audits, want dit gaat echt helemaal nergens over
Wel, audits worden gedaan bij alle grote ondernemingen, hoogstwaarschijnlijk ook bij deze bedrijven.

Ik ben al door een paar audits gegaan van oa PWC, Deloitte, E&Y, Klynveld, McKinsey etc. altijd hetzelfde verhaal, je betaalt ze grofweg een miljoen voor een 2 jaar audit, ze komen, doen een grote presentatie over hun bedrijf, volgen op met een vragenlijst, soms een interview aan de hand van de vragenlijst, dan sturen ze hun rapport op dat altijd hetzelfde formaat volgt: Ons bedrijf (2 pagina's) jullie bedrijf (2 pagina's), statistische resultaten van de vragenlijst (2-4 pagina's), aanbevelingen voor diensten adhv de vragenlijst (2-4 pagina's), andere diensten die wij aanbieden (2 pagina's).

Dat is alles, ze controleren echt niet of de antwoorden correct zijn, de vragenlijst gaat meestal niet over het bedrijf of de problemen die wij aanmerken, het is heel erg generiek en gaat totaal niet over of de technologie goed geïmplementeerd is, maar meer geïnteresseerd of je de technologie warempel al hebt geïnstalleerd en indien niet, welke technologie ze kunnen aanbevelen.
Die opmerking over plain-text is een beetje een onzin opmerking.

Ja, een wachtwoord in de mail zetten na een wachtwoord reset is minder veilig dan een link sturen met 'Ga naar onze site om een nieuw wachtwoord in te stellen'. Helemaal waar.

Maar het echte pijnpunt hier zit 'm er in dat met het geregistreerde domeinnaam er inloggegevens verzonden konden worden naar adressen die eigenlijk al uit de database verwijderd hadden moeten zijn.

Kortom.. Als Microsoft hotmail.com laat verlopen en ik registreer hotmail.com weer dan kan ik misschien een wachtwoord reset opvragen voor jouw account bij Bol.com. Daarmee kan ik dan jouw bestelhistorie inzien. De manier waarop Bol.com die wachtwoord reset geimplementeerd heeft maakt dan niet uit. Het probleem zit 'm er in dat dat domein was verlopen en dat Bol.com toen niet alle email adressen met dat domein er in niet heeft verwijderd.

Het toont ook wel aan dat er blijkbaar een controle van geautoriseerde personen ontbreekt. En dat is vreemd, want dat is wel een eis volgens de NEN7510. Of de controle is wel gedaan maar niet zorgvuldig genoeg.
De core business is niet alleen digitale dienstverlening, het is zelfs het zorgvuldig omgaan en beschermen van andermans persoonsgegevens. Waar de eigenaar van die persoonsgegevens er nauwelijks tot niets over te zeggen heeft welke dienstverlener die verantwoordelijkheid op zich neemt en daar wel geschikt voor is.

Dit voorbeeld geeft aan dat er zoveel mis is dat je ook wel sterk mag twijfelen of de organisaties die hier moeten controleren of men wel geschikt is voor de verantwoordelijkheid voldoende geschikt zijn om daarin te beslissen.
En zelfs los van dat feit: Wie, anders dan een mogelijk geïmpersoneerde entiteit, heeft er tegelijkertijd een nieuw plaintext wachtwoord én certificaat nodig? En dat "bewaakt" medische gegevens? Laat me niet lachen.
Sterker nog, de naam VECOZO komt van "VEilige COmmunicatie ZOrg"
Hun core business is niet alleen digitale dienstverlening, maar specifiek veilige communicatie. Ze zijn letterlijk opgericht om dit soort dingen te voorkomen.
Het lijkt toch iets anders in elkaar te zitten. Het staat er verwarrend omschreven. Vecozo treft geen blaam. Kenter stuurt zelf logingegevens voor Vecozo via de mail door.
Kwalijk maar dat artikel is 13 jaar oud. Als er 13 jaar tussen de incidenten zit is het niet goed maar dramatisch kan je het ook niet noemen.

Het gelinkte artikel is daarnaast niet bijster compleet, de oorzaak wordt niet eens genoemd.
Op zich heb je een punt. Iemand die eens in de 13 jaar met z'n auto ergens tegenaan rijdt wordt niet als een wegpiraat gezien. En als je als bedrijf veel verschillende projecten en programma's doet, dan is eens in de 13 jaar niet zo veel.
Verschil is wel dat het niet om particulieren gaat die een foutje kunnen maken, maar om een bedrijf dat nota bene de naam dankt aan haar doel (vecozo = veilige communicatie in de zorg). En het is geen klein foutje, maar een grove tekortkoming, waarvoor ze 13 jaar geleden gewaarschuwd zijn.

Als je de auto vergelijking eerlijker wilt hebben: het is alsof een chauffeur van de DKDB voor de tweede keer in 13 jaar z'n auto met de Koninklijke familie van het viaduct af rijdt.
Oneens. Het gaat hier niet om een bestelhistorie van een webshop. Het gaat hier om de meest gevoelige data die wij als mens hebben: Onze medische geschiedenis.

1x in de 13 jaar een datalek is wat mij betreft meer dan reden om zeer kritisch naar deze partij te kijken. Vooral omdat in dit artikel van 13 jaar geleden al door een expert is aangegeven dat het gebruik van een wachtwoord in combinatie met het certificaat onvoldoende was. In 13 jaar tijd is daar dus niets aan gewijzigd.
In 13 jaar tijd is daar dus niets aan gewijzigd.
Dat is een wat voorbarige conclusie. Je weet niet in hoeverre de applicatie en de omgeving in die tijd (13 jaar is best wat namelijk) veranderd is. Ik vind het daarom best kort door de bocht om ervan uit te gaan dat men nog altijd uitsluitend op deze manier werkt.

Wellicht wordt er ook ter verificatie een e-mail gestuurd met een link er in, maar als je toegang hebt tot een domein, daar dus ook de mail van doet (wat hier dus ook het geval is geweest), is ook die tweede laag zo doorheen gesprongen natuurlijk (want je maakt gewoon een catch all adres aan) en ben je ook 'gewoon' binnen.

Al met al maak je hier best een flinke aanname. Vraag is echter wel, hoe men een certificaat heeft weten te bemachtigen, want de certificaten die Vecozo aanmaakt zijn persoonsgebonden certificaten, zover mijn kennis gaat van wat Vecozo doet (voor veel GG&GD artsen van de Gemeente Utrecht destijds toen ik er werkte veel certificaten voor geregeld + geinstalleerd).

[Reactie gewijzigd door CH4OS op 1 oktober 2020 16:12]

Aanname of niet.. Uiteindelijk blijkt de beveiliging in dit geval zo sterk als de beveiliging van een mailbox. Dat lijkt mij toch onvoldoende borging. Zeker omdat veel mailboxen slecht beveiligd zijn en publiek bereikbaar (de IMAP/POP/Exchange services zijn veelal vanaf Internet benaderbaar)
Crisis... weer zo'n bedrijf waar je niks vanaf weet als burger :(
Eens in de 13 jaar een incident zou je als beheersbaar kunnen kwalificeren :+
Of bij (herhaaldelijk/opzettelijk/anderszins relevant) falen op privacy macroniveau echt straffen in plaats van: "Foei, niet doen! En weer door..."

Maar ja, die onbeheersbare hoeveelheid strafzaken hè... :+
Maar wie ga je dan bestraffen? De directeur die niet op de hoogte is van de details hoe iets is geimplementeerd? Als het implementatieteam zegt dat het goed is moet hij daarop kunnen vertrouwen. Dus dan kom je bij de IT-manager, de developer, de tester, de sys admin aan. Dus wie wordt gestraft?
De directeur is verantwoordelijk.
Klopt.
Als de directeur aantoont dat er niet onzorgvuldig gehandeld is mbt. IT, treft de directeur nog steeds geen blaam en kun je daarop dus niet bestraffen.
Dus organisatie een (flinke) boete geven wegens een gegevenslek (wat pas sinds relatief korte tijd kan) en de organisatie het zelf laten oplossen, is daarom een betere manier. Dat raakt (indirect) ook de directeur weer.
Vecozo, omdat ze na 13 jaar nog steeds letterlijk niets hebben gedaan aan de enorme privacy risico's van hun 'product':
webwereld artikel uit 2007
"De databank van Vecozo is beveiligd met een certificaat in combinatie met een wachtwoord. Bart Jacobs, hoogleraar computerbeveiliging, laat in Trouw weten dat hij dat onvoldoende acht. Het lijkt hem technisch gezien goed beveiligd maar hij geeft aan dat het onvoldoende is als zoveel mensen toegang hebben."

En Kenter Jeugdhulp, omdat ze moeten weten 'hoe het werkt en wat wel/niet mag' en ondanks dat de privacy van miljoenen Nederlanders toch zo over de balk hebben gesmeten.

Wie er bij deze 2 partijen allemaal precies verantwoordelijk waren/zijn? Een rechtzaak zou dat vast duidelijk maken, maar ach, die komt er toch niet...

edit: spelling

[Reactie gewijzigd door HuisRocker op 1 oktober 2020 17:10]

De dienst waar het om gaat: https://www.vecozo.nl/die...-op-verzekeringsgegevens/ is nodig, omdat op deze manier alle zorgaanbieders van Nederland, hun declaraties naar de juiste zorgverzekeraar kunnen sturen. Vecozo is overigens van de zorgverzekeraars https://www.vecozo.nl/over-ons/Wie-zijn-wij/, de zorgverzekeraars willen dat zij dit "product" bieden, zodat ze de juiste declaraties krijgen.

Zoals je aangeeft is het technisch goed beveiligd, maar er zijn nou eenmaal nogal veel zorgaanbieders in Nederland. Deze zorgaanbieders hebben wel allemaal een contract voor deze dienst. En de voorwaarde is dat je mensen opzoekt, waar je zorg aan biedt, en waar je dus een declaratie voor moet sturen. Dus er zit juridisch ook wel iets overheen.

En er wordt ook echt wel bijgehouden wie waarop heeft gezocht, dus dat kan achteraf ook wel gecontroleerd worden.

Tenslotte, er is speciale wetgeving om BSN's te mogen gebruiken in de zorg https://www.rijksoverheid...nummer-bsn/bsn-in-de-zorg
1 - De dienst waar het om gaat: https://www.vecozo.nl/die...-op-verzekeringsgegevens/ is nodig, omdat...

2 - Zoals je aangeeft is het technisch goed beveiligd, maar...

3 - En er wordt ook echt wel bijgehouden wie waarop heeft gezocht, dus dat kan achteraf ook wel gecontroleerd worden.

4 - Tenslotte, er is speciale wetgeving om BSN's te mogen gebruiken in de zorg...
1 - Ik weet echt wel wat Vecozo is, dankjewel... ;) , en dat 'een dienst nodig is' (lees: het product van deze dienst geen alternatieven heeft) veranderd in het beste geval niets, of maakt het alleen maar erger, maar maakt het zeker niet beter (lees: is alles behalve een verzachtende omstandigheid)!

2 - Ik 'geef helemaal niets aan', ik plaats een stuk uit een artikel, en de Bart Jacobs quote uit dat stuk probeer jij hiermee eventjes helemaal om te draaien? Kom op zeg...

Wat begrijp je niet in "laat ... weten dat hij dat onvoldoende acht. Het lijkt hem technisch gezien goed beveiligd maar hij geeft aan dat het onvoldoende is als zoveel mensen toegang hebben" ???

Of iets 'onder andere omstandigheden (wel of niet technisch) voldoende is' veranderd niets aan de conclusie; dat het in dit geval dus niet voldoende is.

3 - Achteraf = altijd 'onherstelbaar veel te laat' in geval van patiëntgegevens en privacy... Het is al meermaals gebleken dat welke 'pakkans' dan ook vele mensen er toch niet van gaat weerhouden om toch 'rond te neuzen' in gegevens en/of op plekken waar ze niet horen. Waar het beter kan moet het beter, dat moet het streven zijn.

4 - En waar in die 'speciale wetgeving' staat er dat men in de zorg zo nalatig mag omgaan met die BSN's (en de vele andere [bijbehorende] gegevens)?

Nogmaals, het streven moet zijn naar beter, en niet blijven pappen en nathouden zoals duidelijk het geval is geweest...
Dertien jaar later en de ernstige kwetsbaarheden v.w.b. persoonlijke gegevens in de zorg zijn nog exact dezelfde. Dat is zo krom dat het onmogelijk nog recht te praten is.
dat ligt aan het type incident.. 2x in 13 jaar een nuclear incident is toch best veel ;)
Wat ik jammer vind is dat Vecozo nu wordt aangewezen als het slordige bedrijf. Een gebruiker van hun is slordig omgegaan met certificaat en credentials (en nog zoveel andere dingen; zie medische dossiers in het Twitter bericht) en heeft gebruik gemaakt van standaard functionaliteit (Controle op verzekeringsrecht).

Jeugdriag is in deze de zorginstantie die aan de schandpaal genageld dient te worden...
We mogen blij zijn met de oplettende journalisten die dit opmerken. Het had ook in de handen van kwaadwillende kunnen vallen.
Dit kan natuurlijk alsnog het geval zijn.
Ja en nee want blijkbaar is het domein in handen gekomen van RTL die daardoor de mails kon 'onderscheppen'.
Lijkt mij dat zijn geen gegevens hebben opgeslagen.
Het verlopen domein is dus niet in handen gekomen van kwaadwillende, al is dat natuurlijk hoe je RTL zelf ziet ;)
Tsja, wie zegt dan weer dat dit het enige verlopen domein is onder de vele klanten van Vecozo, nu of in het verleden? Zeker in deze industrie waar zowat iedere maand wel weer een zorginstelling wordt overgenomen, of fuseert met een andere, en zo een nieuwe naam en domein neemt lijkt me dat niet geheel onvoorstelbaar.
Tja, wie zegt dat ze niet een database open hebben staan? No sense natuurlijk, maar zo kunnen we blijven speculeren naar mogelijkheden.
Gaat om deze post en deze data van deze publicatie is dus inprincipe niet in handen gekomen van kwaadwillende.
Begrijp verder je punt volledig, maar dat is info die we niet hebben. Daarom was mijn antwoord ook "Ja en nee"

[Reactie gewijzigd door Christoxz op 1 oktober 2020 13:58]

Is dat niet de clue voor alle verlopen domains,

elke domain wat ooit een MX heeft gehad kan emails ontvangen die ergens als recovery email adress of pasw reset email adress staan geregistreed.

Kwestie van een catch all op een verlopen domain zetten en kijken wat je vangt.
Het kan alsnog het geval zijn met andere verlopen domeinnamen.
al is dat natuurlijk hoe je RTL zelf ziet ;)
Teneerste zal dit niet heel RTL door zijn gegaan en zal het dus maar onder de ogen van 1 of 2 journalisten zijn gekomen (anders zijn er juridische stappen te ondernemen) en daarnaast lijkt het me niet dat RTL deze gegevens gaat misbruiken om geld te verdienen.
Precies. Waarom worden wachtwoorden per mails (de facto plain text) over het Internet verstuurd? Als dat onacceptabel is voor betalingen, dan is het ook onacceptabel voor (toegang tot) persoonsgegevens.
omdat het vaak reset mailtjes zijn of OTP.

let op het gaat om verlopen domain dat overgenomen is waar een catchall server achter gezet is.
aan de andere kant, ik vermoed dat plaintext weinig uitmaakt, een wachtwoordreset die binnenkomt zal ook al vaak voldoende zijn.
aan de andere kant, ik vermoed dat plaintext weinig uitmaakt, een wachtwoordreset die binnenkomt zal ook al vaak voldoende zijn.
Bij een wachtwoordreset moet je vaak binnen een bepaalde tijdspanne de link gebruiken, eerder dan de ontvangende partij dat doet. Dat maakt een succesvolle aanval lastiger.

[Reactie gewijzigd door The Zep Man op 1 oktober 2020 13:58]

maar zowel een wachtwoord, al een wachtwoord reset voorzien van een 2factor of multifactor levert wel het gewenste niveau op.

Ik verbaas me ook wel eens dat een inlog wel wordt voorzien van multifactor, maar dat wachtwoord reset dat dan omzeilt.
Nee, want je hebt toegang nodig tot het domein om toegang te krijgen tot de gegevens van de mensen.
Kan dat in de tussentijd niet al door iemand gedaan zijn dan?
Ik snap wat je bedoelt maar dat kan in dit geval niet; het domein is alleen (even) van Daniel Verlaan geweest (die heeft het hele traject vastgelegd en op twitter gezet) en het domein overgedragen aan de stichting.
Het is de vraag of die Daniel Verlaan hierin de eerste is geweest toch? Mogelijk heeft hier nog een (kwaadwillende) partij tussengezeten. Of is dit niet mogelijk?
Volgens mij liep het domein af in 2020 en heeft hij het opgepakt. Gezien z'n verslaggeving was dit iets dat niet in 24 uur plaatsvond maar een langere periode. In theorie kan het, maar het is aannemelijk dat Daniel de eerste was na het verlopen van het domein (dat inmiddels weer bij 'de goede eigenaar' terecht is gekomen). Al is het maar dat je ze in de regel voor een jaar vastlegt (en dan had Daniel deze kans niet gehad).
Dan ga jij er van uit dat dit niet al het geval is geweest in het verleden. En het zal echt niet RTL zelf zijn geweest die hier achter kwam, maar is dit via via aan hun bekend gemaakt..
Precies. Dit is elders al ergens bekend geweest en door een niet nader bekend gemaakte bron aan Verlaan getipt. Dezelfde bron die hem eerder ook al over de perikelen bij jeugdzorg Utrecht -- Utrecht was het toch, heh? -- getipt had.

Kans is reeël dat dit aandacht in een hacking community gehad heeft.
Alles kan, maar dan toch niet met precies die domeinnaam. Als die in handen van een andere partij was gekomen, had de onderzoeker hem niet vers van het mes over kunnen nemen.
Wie zegt je dat "kwaadwillenden" dit niet eerst misbruikt hebben en het toen aan die "journalisten" hebben gemeld om voor wat extra spectakel te zorgen..
Het lijkt me namelijk niet dat ze op de redactie van RTL dit soort zaken uit zitten te proberen.
Er heeft mindstens een white hat wat gedaan, als het geen black hat was...
Ik denk dat de Tech redactie van een aantal nieuwssites wel degelijk onderzoeksjournalisten hebben die dit soort dingen onderzoeken.
Ik denk van niet. Ik denk dat ze bronnen hebben die dit soort zaken doen.
Je mag als Tech redactie maar zo ver gaan. En ik denk dat dit soort acties juridisch gezien net over de streep zijn, het statement is namelijk dat ze data onderschept hebben en als je tussen de regels doorleest flink diep ingebroken hebben in de systemen van die organisatie.
Ja het is dom van de organisatie om de deur open te laten.
Maar dat wil niet zeggen dat je zo maar naar binnen mag lopen en gaan lopen "plunderen".
Als de journalisten van die tech redactie dat allemaal zelf doen, dan denk ik dat ze vrij snel in een gestreept pakje zitten.
Dan zou ik toch maar even gaan bekijken wat Daniël Verlaan tot nu toe allemaal gedaan heeft.
Hij is een techjournalist die echt al heel veel aan de kaak gesteld heeft, ook door te infiltreren in groepen met betrekking tot kinderporno. Ik twijfel er niet aan dat hij dit soort dingen toch echt zelf doet. Vaak gebeurt het zelfs met medeweten van de politie, die het zelf niet voor elkaar krijgen om dit soort dingen aan te pakken.
Voor dat tientje per jaar kan je toch wel die domeinnaam behouden? |:(
Moet je wel de factuur betalen, zodat hij niet verloopt :)
Dat is toch niet het punt?
Er zijn in dit bericht diverse punten. Zowel aan gevolgen als aan oorzaken. Die kunnen niet zonder elkaar. Wat @Jeroen.H. hier noemt is een van de mogelijke oorzaken waardoor dit soort problemen bestaan. Natuurlijk kan je stellen dat het al niet zou moeten dat een organisatie inloggegevens per mail stuurt of dat soort mails blijft sturen naar onbetrouwbaar geworden adressen. Maar als dat adres nog betaald was had het risico wel lager geweest. Zonder toegang tot dat domein of zonder toegang tot een mailbox van dat domein is er niet zomaar toegang tot die gegevens die ze beter niet hadden verzonden.
Zal niet om geld gaan maar om een verstuurde factuur die binnen drie weken betaald moet zijn maar (in digitale vorm) van bureau naar bureau zwerft.
Ze veranderden van naam, dus was het domein niet meer nodig...
Ja, erg herkenbaar, maar deze case is dus een duidelijk voorbeeld waarom het verstandig is om domeinen aan te houden; ook al heb je ze mogelijk nooit meer nodig.
Het zal vast in beheer zijn geweest bij toko X, toen met de fusie gingen ze naar toko Y en zeiden ze tegen toko X dat na een jaar de website niet meer nodig is. Contract opgezegd en niemand die er meer naar kijkt
Tja met al die naamsveranderingen in zorg is het bij en onderhouden van al die domeinnamen vast geen prioriteit. Was er onlangs ook niet een failliet bedrijf wiens domeinnaam werd gebruikt om databases te benaderen . Ben dat dit een kwestie wordt van dweilen met de kraan open
Tja helaas zal men na een paar fusies en/of overnames en/of veranderingen van de merknaam wel vergeten zijn dat ze dit domein nog hadden en misschien is de factuur niet op de juist plaats aangekomen omdat de adminstratie inmiddels ergens anders zit of met andere e-mailadressen werkt...
Als ik de tweets van de Daniel Verlaan/RTL lees wisten ze dus al sinds begin augustus van het lek en hebben ze de organisatie pas 48 uur voor publicatie op de hoogte gebracht.

Wil dat dus ook zeggen dat ze er voor gekozen hebben om het lek twee maanden te laten bestaan zodat ze nog wat verder onderzoek konden doen voor een exclusief artikel?
Als ze zelf het domein in augustus al geclaimd hebben is het risico dat anderen het lek ook kunnen misbruiken wel ontnomen; er kan immers paar één partij een domein in handen hebben.
Ik ben het er mee eens dat het risico af neemt dat een ander er dan via het domein verkeerd gebruik van maakt. Maar voor alle personen die dit aan gaat is het natuurlijk van belang dat niet zo min mogelijk mensen er gebruik van kunnen maken maar dat een onbevoegde dat in zijn geheel niet doet en anders zo min mogelijk. En dat laatste is mij niet helemaal duidelijk. Ze leggen keurig uit dat ze niet te veel willen weten maar heb je daar twee maanden voor nodig zonder die organisaties te informeren?

Het is begrijpelijk als ze zelf een belang zien om duidelijk te maken dat dit niet om maar een paar personen ging en of om zomaar wat gegevens. Maar het legt de verhouding niet uit tussen de tijd nemen en tijd nodig hebben voor je het lek dicht. Twee maanden een lek niet melden is namelijk heel lang. Helemaal als je er kennelijk met twee personen onderzoek naar doet. De personen om wie dit gaat hebben er namelijk recht op dat die verhouding niet te scheef is, ook als een onderzoeker iets duidelijk wil maken.
Twee maanden is inderdaad wel erg lang, ze hebben de tijd genomen om er een voor RTL interessant onderzoek van te maken. Zoveel mogelijk data verzamelen waardoor de impact groter is, daarna breng je het pas naar buiten en informeer je de partij zelf.
Helemaal netjes is het niet inderdaad.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True