Criminelen krijgen via gemeente-accounts Bergen op Zoom toegang tot bsn's

Criminelen hebben begin dit jaar via phishing toegang gekregen tot de mailaccounts van negen medewerkers van de gemeente Bergen op Zoom. Langs die route lukt het ook toegang te krijgen tot burgerservicenummers, zo blijkt nu.

De inbraak bij de negen mailboxen vond in februari plaats, maar nu pas blijkt uit onderzoek dat de criminelen toegang hebben gekregen tot bestanden met persoonsgegevens van inwoners van Bergen op Zoom, waaronder naam, adres en bsn's.

De burgemeester van de gemeente, Frank Petter, meldt de inbraak in een brief aan de gemeenteraad te betreuren: "Mensen moeten er op kunnen vertrouwen dat persoonsgegevens bij de gemeente veilig zijn." De gemeente waarschuwt inwoners dat hun gegevens misbruikt kunnen worden voor identiteitsfraude. Dat schrijft BN de Stem.

Niet duidelijk is van hoeveel mensen het bsn is ingezien. Via de binnengedrongen mailaccounts waren persoonsgegevens van vierhonderd inwoners inzichtelijk, onder andere via cv's van sollicitanten. Die zijn inmiddels op de hoogte gesteld en ook heeft de gemeente een melding gedaan bij de Autoriteit Persoonsgegevens. In 2017 was de gemeente Bergen op Zoom ook al onderwerp van een datalek. Na het nieuwe incident wil de gemeente tweetrapsauthenticatie in gebruik nemen.

Reacties (76)

dixet 8 oktober 2020 21:08

Phishing methodes zijn zo verfijnd tegenwoordig dat het vaak lastig te herkennen is.
Helaas wordt vaak nog te achteloos met persoonsgegevens omgegaan. De primaire systemen zijn misschien goed beveiligd, maar de periferie niet. E-mail, netwerkschijven, dat zijn de plekken waar mensen achteloos en zonder nadenken allerlei gevoelige informatie opslaan.
Technische beveiliging is één, bewustzijn bij medewerkers waar men mee bezig is is minstens net zo belangrijk maar krijgt helaas vaak geen aandacht

rob12424 @dixet • 8 oktober 2020 22:16

Er is tegenwoordig ook al steeds meer spearphising. Ik hoorde al voorbij komen dat er mensen een boete kregen op de mat met kentekennummers van eigen nummerbord alleen rekeningnummer week af.

Als jij nog nooit een boete hebt gehad, hoe weet je dan dat het rekeningnummer klopt.

Pas waren er ook al een paar zo slim die wisten ongeveer wanneer afvalstoffenheffing brieven de deur uitgingen en bezorgden ze er net voor. Stel je moet ze voor het eerst betalen of je bent net verhuist. Hoe weet je dan dat het rekeningnummer klopt?

Ze worden steeds gehaaider de laatste tijd.

t_captain @rob12424 • 9 oktober 2020 10:02

Bij nepboetes gaat het om een poging tot oplichting. Kenmerkend voor oplichting is dat het slachtoffer moet betalen. En in de betaalketen zit altijd de zwakke schakel van de scam.

Een crimineel kan bijvoorbeeld niet NL86INGB0002445588 (Belastingdienst Apeldoorn) overnemen, dus zul je op een nep belastingaanslag een ander nummer zien. Als ze we dit nummer kunnen overnemen, hoeven ze natuurlijk geen facturen meer te versturen. Je haalt er gewoon op 31-10 een miljard of drie aan pas betaalde BTW af en stapt in het vliegtuig naar een ver land.

rob12424 @t_captain • 9 oktober 2020 10:25

Ja maar dat bedoel ik nu. Waar kan ik zien wat het rekeningnummer van de belastingdienst van de gemeente is? Of van welke andere instantie van de overheid? Er is nergens een 1 duidelijk overzicht. Na veel zoeken heb ik dat van mijn kantoor gevonden. En de reden waarom ik ging zoeken was omdat mijn gemeente een Duits IBAN nummer gebruikt. (Wat ook raar is)

Als jij voor het eerst je riool elasting krijgt staat hij niet in je adresboek. Je vraagt na aan je vriend / ouders. Die zeggen; ja die moet je rond deze tijd krijgen.

Dan als nieuwe huiseigenaar krijg je die gewoon. Als de crimineel hem een week te vroeger stuurt denk dat er weinig mensen argwaan hebben.

Stel je stuurt dit in de juiste envelop met juiste drukwerk in een net opgeleverde nieuwbouwwijk, zoekt in het kadaster de woning waarde op of op een andere manier. Past de orginele brief een beetje aan en stuurt de hele straat een week te vroeg zo'n brief. Met een aangepast rekeningnummer. Ik denk dat die hele straat betaald.

t_captain @rob12424 • 9 oktober 2020 10:34

Ik zou zeggen: op de website van de gemeente. Vreemd genoeg niet bij Bergen op Zoom. "bankrekening" levert een paar irrelevante hits op en geen pagina over "belasting betalen". Grote misser.

Dan nog, gemeentes bankieren altijd bij BNG. Je IBAN zou NLxxBNGHyyyyyyyyyy moeten zijn.

rob12424 @t_captain • 9 oktober 2020 10:40

Ja maar bij ons heeft de gemeente het dus uitbesteed aan een belasting kantoor en staat dat er dus ook niet in

karma4 @t_captain • 9 oktober 2020 18:50

Vergeet niet het bankrekeningnummer is een persoonsgegeven.
Dat heeft tot gevolg dat al dat soort informatie bij voorbaat afgeschermd wordt want anders zou iemand wel eens vervelend kunnen doen. Naam nummer controle is helaas niet standaard om de zelfde reden.
Jij leidt schade wegens het afschermen door de AVG (privacy).

Krulliebol @karma4 • 9 oktober 2020 22:56

Bedoel je dat het bankrekeningnummer van de gemeente een persoonsgegeven zou zijn en daarom niet op de website wordt vermeld?
Dat lijkt me sterk. Het bankrekeningnummer van individuen kun je als persoonsgegeven aanmerken, maar dat van organisaties doorgaans niet. Het is immers niet herleidbaar naar een persoon.
Voor zover ik weet doen banken (tegenwoordig) wel aan naam-nummer-controle. Net even getest: als ik betaalopdracht geef en daarbij een onjuiste naam/nummer-combinatie invoer, krijg ik van mijn bank een keurige waarschuwing dat het rekeningnummer niet op die naam staat.

karma4 @Krulliebol • 10 oktober 2020 18:21

Nee omdat voor veel personen er een bankrekening aan gekoppeld kan worden is er de vreemde reactie dat alle bankrekening nummers persoonsgevoelig zouden zijn. Bekend zijn van een bankrekeningnummer zou verwijtbare fraude in de hand werken. Het is niet mijn idee, komt uit de privcacy hoek.

Dat zelfde verhaal kun he ophangen voor ipnummers mac-nummers, omdat er computers bij personen aan gekoppeld kunnen worden is ook de lift en een server in een datacenter ineens herleidbaar tot een persooon. Klopt natuurlijk niet.

Dat naam nummer gedoe is weer ingevoerd nadat het te vaak fout is gegaan, let op die afstemming is enkel binnen het nederlandse bankgebeuren niet als je even over de grens stapt. Pinnen is wel weer heel goed overal mogelijk. Jij kunt niet een naam bij een rekeningnummer opzoeken alleen een controle of het er voldoende op lijkt. Ooit met de postbank kreeg je bij een nummer de juiste naam aangeboden.

Krulliebol @karma4 • 13 oktober 2020 23:53

Punt is in elk geval dat er dus zeker wél naam-nummer-controle plaatsvindt en dat je dus niet zomaar schade kunt lijden als je probeert geld over te maken naar het verkeerde rekeningnummer.

Lisadr @dixet • 8 oktober 2020 21:12

En papier! Heb bij een gemeente gezien dat behoorlijk veel gegevens, waaronder geboortedatum en BSN werden bewaard op papier en men ging vrij slordig om met papier. PC netjes locken bij het weglopen, maar dan wel een bureau vol gevoelige informatie achterlaten in een open werkomgeving!

Bensimpel @Lisadr • 8 oktober 2020 22:04

Ik werk bij een gemeente als icter, als ik papier/laptops/andere meuk open en bloot op een bureau zie liggen neem ik deze mee en stop ik deze in de kluis van de CISO. Samen met een mailtje naar de manager. Pre corona werkte dat erg goed. Informatie niet goed opbergen ookal ben je naar de wc is hier echt not done.

Maar tja tegen mensen die in phishing mails trappen (soms zijn ze erg makkelijk te herkennen soms bijna niet meer). Blijf je houden helaas. Hoe vaak je als organisatie hier ook voor blijft waarschuwen.

We sturen tegenwoordig ook regelmatig vaak nep mailtjes om iedereen te testen/alert te laten blijven.

fender89 @Bensimpel • 8 oktober 2020 22:25

Ik werk ook bij een gemeente, IT, en ben niet verbaast als ik een dergelijk artikel lees.
Analoge documenten slingeren overal achteloos rond. Stapeltjes op vensterbanken, open kasten, bureau's etc.
En wat zich allemaal in emailboxen bevind.....kopie id bewijzen, uittreksels (b.v. burgerlijke stand,geboorteakten etc...). Wat allemaal weer over-en weer gemaild wordt. Archivering/opschoning boeit men niet.
Uiteraard wordt getracht AVG/privacy/informatiebeveiliging onder de aandacht te brengen en te houden, maar het blijft dweilen met de kraan open. Overgrote deel van het personeel is van seniore leeftijd en hun digitale skills en interesses zijn bedroevend laag. Die werken liever op de oude manier, zoals ze altijd gedaan hebben.

Nog veel winst te behalen binnen ' de overheid' .

Rene44 @fender89 • 9 oktober 2020 08:13

Wat grappig! Ik werk voor diverse gemeenten en kan al die ervaringen onderschrijven. Niet alleen achteloos met gevoelige stukken, maar ook fysiek toegang tot afgesloten gedeelten. In de zomer staan achterdeuren wagenwijd open, en tijdens verbouwingen kan je zo via verbouwde gedeelte afgesloten afdelingen binnenkomen. Toevallig pal langs het papieren archief. Meters en meters persoonlijke gegevens. Op meldingen wordt uiteraard niet gereageerd. Het zijn voornamelijk de kleine/middelgrote gemeenten die zon vakantieman-instelling hebben maar ook grote gemeenten hebben problemen. Vaak wordt toeleverancier of ander bezoek zonder toezicht binnen gelaten. De awareness over veiligheid binnen NL overheid kan inderdaad nog heel veel beter.

Krulliebol @Rene44 • 9 oktober 2020 22:36

Wat grappig!

Zo grappig is dat niet!
/azijnmodus

noway @fender89 • 9 oktober 2020 12:58

En jij gaat dat hier vermelden? lekker snugger.
Zoiets vermeld je aan je Baas.

ITGeneral @Bensimpel • 9 oktober 2020 19:02

Ik denk dat een goed mailfilter een hoop van dit soort ellende kan besparen. Mijn ervaring is dat dit vaak niet goed is ingeregeld. Ik heb in omgevingen gewerkt waar werkelijk geen enkel fishingbericht door de filter heen komt (De Nederlandsche Bank bijvoorbeeld). Een goed filter aan de voorkant kan veel ellende besparen.

fifnih @Bensimpel • 8 oktober 2020 23:09

Jij kunt in de kluis van de CISO?!

Blokker_1999

Datalek
Beveiliging en antivirus

@fifnih • 9 oktober 2020 05:52

Waarom niet? In een organisatie heb je altijd meerdere mensen die toegang moeten kunnen hebben tot zoiets.

tfro71 @fifnih • 8 oktober 2020 23:13

hij bedoelt een brievenbus

bilgy_no1

@dixet • 8 oktober 2020 22:28

Maar serieus:
9 accounts gehackt op deze manier. Bergen op Zoom heeft ongeveer 600 medewerkers, dus 1,5% van de medewerkers is gehackt door deze ene phishing actie. Bizar.

En dat is inclusief een hoop medewerkers die waarschijnlijk niet veel te maken hebben met zulke persoonsgegevens, zoals de plantsoendienst. Dus onder de medewerkers met toegang tot dit soort gegevens is het percentage nog hoger.

ITGeneral @bilgy_no1 • 9 oktober 2020 19:16

De meeste mensen die achter het toetsenbord zitten kunnen de pixels die ze gepresenteerd krijgen niet goed interpreteren. Dat is het perfecte recept voor de fishers.

Een goed mailfilter kan toch echt een hoop ellende besparen.

Krulliebol @bilgy_no1 • 9 oktober 2020 22:43

Maar ja, één persoon die erin trapt is natuurlijk al voldoende. En die is er altijd wel. Daarom moeten organisaties er in hun beveiligingsbeleid ook niet van uitgaan dat de medewerker een goeie defense vormt, maar andere beveiligingsmaatregelen nemen, zoals MFA, mailfilters, enzovoort.

sampoo @dixet • 8 oktober 2020 21:39

Ik weet niet of je in het algemeen kunt zeggen dat ze lastig te herkennen zijn. De phishing pogingen maken minder opzichtige taalfouten dan vroeger maar de pogingen die ik tegen kom zijn nog altijd goed te herkennen door het ongebruikelijke taalgebruik. Al verwacht ik wel dat gerichte phishing pogingen op overheden en bedrijven van een andere orde zullen zijn.

xbeam @sampoo • 9 oktober 2020 06:18

CYBERSECURITY Why Scammers Make Spelling and Grammar “Mistakes”

https://josephsteinberg.c...ing-and-grammar-mistakes/

Ik zou het even lezen wanneer je spam lastiger herkent.

[Reactie gewijzigd door xbeam op 24 juli 2024 12:00]

kodak

Datalek
Beveiliging en antivirus

@dixet • 8 oktober 2020 22:30

Phishing methodes zijn zo verfijnd tegenwoordig dat het vaak lastig te herkennen is.

Wat noem je dan verfijnd? Veel phishing is van zo lage kwaliteit dat een beetje opgemaakte phishingmail met een naam er in al als verfijnd zou afsteken. Maar als je dan een beetje kritisch bent is er meestal een flinke fout gemaakt die een gebruiker eigenlijk wel met enkele bekende regels moet kunnen opvallen. Dat maakt de mails niet verfijnd, het is de lat die veel te laag ligt.

Dat er te weinig aandacht is om medewerkers bewust te maken daar ben ik het mee eens. Maar voor we hier die conclusie trekken zou hier eerst duidelijk moeten zijn hoe die mails er werkelijk uit zagen.

'Betere' phishingmails hebben bijvoorbeeld een naam van een bekende als afzender maar als je dan naar het mailadres kijkt blijkt dat absoluut niet te kloppen. Veel phishingmails hebben nog steeds geen of geen goede aanhef, of een die afwijkt. De inhoud van de 'betere' phishingmail ziet er netjes uit of heeft een verwijzing naar iets bekends maar verder nauwelijks meer inhoud dan een poging om je iets te laten openen of ergens op te klikken. Veel van de phishingmails hadden nog altijd naar iedereen verzonden kunnen zijn. En dan het verzoek zelf, dat je op een link naar een onbekend domein of een bestand moet klikken. Dat zou hoe dan ook vragen op moeten roepen. Zeker als die bestanden ook nog eens niet blijken wat je zou moeten willen openen, zoals een exe-bestand of een zip-bestand met vreemde inhoud.

HarrieVederci @kodak • 8 oktober 2020 22:57

Wat er onder de link zit (e-mailadres, exe-bestand of domein), zie je wel eenvoudig vanaf je PC met muis, maar via tablet/smartphone is dat voor de meesten al een stuk moeilijker.

memphis @dixet • 8 oktober 2020 22:30

Hoewel verfijnd, ze maken altijd nog gebruik van fake pagina's op een vreemd adres. Ooit bij een groot bedrijf gezeten die hun eigen personeel bij het openen van een browser af en toe doorverwees naar ICT hints en tips waaronder ook trainingen voor oa het herkennen van phishing mails. Als test werd er ook wel eens een phishing mail gestuurd. Als met name ICT personeel daar in trapte werden ze op het matje geroepen.

maradesign @dixet • 8 oktober 2020 22:54

Ik heb bij een gemeente gewerkt en daar werd om de zoveel tijd door IT een nep mail in de ronte gestuurd om te meten hoeveel mensen hier op reageerden. En op zich is 1 reactie al de dood voor een potentiele hack. Maar er werd veelal toch nog veel op gerageerd. Dit had dan als gevolg dat het hoger op de prio lijst kwam te staan om bewustzijn te creeren rondom phishing.

Het gebeurd zo makkelijk en vaak onschuldig. En dat maakt het ook zeer lastig voor een mens om phishing te onderscheppen. Maar dit soort nep, nep fishing, is wel degelijk handig, dit blijkt toch wel positief uit te pakken betreft het opmerken van phishing. Maar het is een continue lopende zaak. Je bent niet 100% bewust op een gegeven moment. Zoals hierboven al wordt aangegeven. Het wordt zo gerafineerd tegenwoordig dat je bijna elke mail in twijfel moet trekken om er niet in te trappen.

[Reactie gewijzigd door maradesign op 24 juli 2024 12:00]

THA_ErAsEr @dixet • 9 oktober 2020 09:14

Ze worden inderdaad heel goed.

Vorige week kreeg ik van bepaald GSM nummer een smsje:

[Belfius]: We hebben uw rekening in de "quarantainezone" geplaatst. U moet uw apparaat vóór 2-10 gebruiken. Bevestig om blokkering te voorkomen: http://some.url/

Deze was natuurlijk makkelijk te herkennen, omdat het van een GSM nummer kwam en de URL een willekeurig woord leek te zijn. Plus ik heb helemaal geen Belfius rekening.

Maar dan enkele dagen later krijg ik van het nummer 8850 bijna een identieke SMS. 8850 is bij mij wel bekend omdat deze je altijd een berichtje stuurt als je iets besteld op takeaway.com en op sommige andere diensten. Bijkomend hadden ze de URL nu ook beter gemaakt zodat de naam van de bank er in zat.

Bij iemand die niet helemaal op de hoogte is en een rekening bij Belfius heeft, zou er een grote kans zijn dat men op de link klikt.

[Reactie gewijzigd door THA_ErAsEr op 24 juli 2024 12:00]

cariolive23 @dixet • 9 oktober 2020 13:55

Phishing methodes zijn zo verfijnd tegenwoordig dat het vaak lastig te herkennen is.

Dat ben ik totaal niet met je eens.

Voor de mens is het wellicht moeilijk te herkennen omdat de teksten tegenwoordig wel correct zijn. Maar dat wil niet zeggen dat het technische stuk van de email (dus het hele protocol etc.) lastig is te herkennen als zijnde "sterk afwijkend t.o.v. alle andere email die we verwerken". Leuk dat iemand eens een keer een phishing email herkent, maar dat is onvoldoende om hierop te vertrouwen.

Wanneer je van honderden niet-technische medewerkers verwacht dat zij de phishingmail er wel uit plukken, dan weet je zeker dat je een probleem hebt. Er is genoeg software op de markt verkrijgbaar die goed tot zeer goed in staat is om afwijkingen te signaleren.

rolandverh 8 oktober 2020 21:10

Na het nieuwe incident wil de gemeente tweetrapsauthenticatie in gebruik nemen.

Kalf en put...
Begrijp niet waarom deze organisaties nog steeds geen 2FA (minimaal) afdwingen.
En in totaal zouden negen mailboxen gecompromitteerd zijn door Phishing. Dat is best veel.

_Eend_ @rolandverh • 8 oktober 2020 21:31

We houden op het werk 1x per jaar een eigen phishing campagne, en je schrikt als je ziet hoeveel mensen er in trappen.

Grim @_Eend_ • 8 oktober 2020 22:03

1x per jaar een phishing campagne is nutteloos. Ik heb een keer een interne presentatie gevolgd over 'human security', zoals ze dat met een mooie term noemen, van een collega die als consultant zit bij een grote internationale financiele instelling.

Normaliter doen ze daar maandelijks een eigen phishing oefening. De resultaten werden iedere maand beter, als in steeds minder personeel dat uberhaupt op de link klikte en meer mensen die de mail rapporteerden.

Wegens een samenloop van omstandigheden was er een periode waarin ze 2-3 maanden geen enkele phishingtest deden. Na het hervatten schoot het percentage bij de eerste test weer de lucht in. Denk aan minimum 10-20% meer 'slachtoffers'. Om dat cijfer terug naar het oude percentage te brengen was je al snel 3-4 maanden verder in combinatie met andere awareness campagnes.

Het toont dus aan dat je zoiets met enige regelmaat moet doen om de mensen te trainen en waakzaam te houden.

De presentatie en de exacte resultaten zijn vertrouwelijke informatie en dus kan ik geen harde bewijzen tonen. Vandaar ook dat ik geen exacte tijden en percentages kan geven. Je zult mij hier op mijn woord moeten geloven. Of nog beter, het is een mooi project om alvast klaar te stomen om er in 2021 mee aan de slag te gaan.

cariolive23 @Grim • 9 oktober 2020 14:06

En wat is nu het doel van zo'n campagne? Je hebt maar één medewerker nodig om een lek te krijgen, dus zolang niet dag in dag uit álle medewerkers de mail weggooien/negeren, ben je in principe lek. En zo'n goede score is een utopie.

Er is genoeg software op de markt die kijkt naar het technische stuk van de email en op basis daarvan al tot een goede tot zeer goede phishing score kan komen. En begin eens met het onderscheid tussen interne en externe mail en het blokkeren van url's en formulieren in de email.

Dit soort campagnes tonen aan dat phishing bestaat en niet kan worden opgelost door awareness te creëren.

Armin @cariolive23 • 10 oktober 2020 05:57

Klopt, je moet alles 2FA maken

En met cookies/tokens (denk aan Windows Hello) beperken tot de workstation/machione/tablet/etc waar de werknemer aan werkt. Bij comprimeren is dus enkel die machine gehackt en niet de directe wachtwoord/etc van de machines.

Plus uiteraard alles versleuteld, van disk tot aan documenten op disks.

Is op zich ook allemaal niet zo spannend, want allemaal standaard te koop. Maar er wordt vaak gewoon te weinig aandacht aan besteed door hoger management.

Bensimpel @rolandverh • 8 oktober 2020 22:07

Dat wordt binnenkort ook verplicht voor alle gemeentes, binnen en buiten het netwerk.

blazez @rolandverh • 9 oktober 2020 10:16

Kalf en put zijn niet altijd slecht. Je kan het ook leren van je fouten noemen (om het minder negatief te maken) . Er is iets gebeurd, en daar is nu van geleerd. Het wordt aangepast om dit in de toekomst tegen te gaan.
En ja, dan kan je wel gaan klagen dat het allang anders had gemoeten, maar daar heb je nu niets aan. Het is al gebeurd.
Je zal altijd gaten hebben in de wapenwedloop die Security heet. Nu is dit gat gedicht, en het volgende zal wel weer komen.

rolandverh @blazez • 9 oktober 2020 16:24

Klopt, kalf en put zijn niet altijd slecht.
Maar deze put is al veel langer bekend en pas wanneer gemeentes verplicht worden om meer te doen aan beveiliging, gaan ze handelen. Ik snap heus wel dat deze organisaties door hun complexe structuren en financiële middelen niet voorop kunnen lopen, maar gevoelige informatie via email en die mail niet goed opruimen en geen 2FA gebruiken is voor iedereen met een beetje verstand van zaken niet handig.
Dat gemeentes niet voorop lopen is wel duidelijk door de snelheid waarmee oa Windows 7 uitgefaseerd is.
Het op tijd opruimen van CV's is met de invoering van AVG (maar eigenlijk al lang daarvoor) een must.

CyberTijn 8 oktober 2020 22:14

Tsja, niet alle ambtenaren krijgen een mobiel “van de zaak”. Deze werknemers kunnen niet verplicht worden om hun privé apparaat te gebruiken voor een MFA oplossing (middels SMS / app / whatever). Zo krijg je dus dat diensten als webmail zonder MFA opengesteld worden, vaak onder druk van management.

Ja, dit is een IT probleem, maar de oplossing ligt slechts deels binnen de IT. Het gaat in de basis om oplettendheid en alertheid van medewerkers; Digitaal vaardig zijn. Daarna komt een uniform security beleid, wat gehandhaafd wordt en waar ook onder druk van stropdassen geen uitzonderingen worden gemaakt.

[Reactie gewijzigd door CyberTijn op 24 juli 2024 12:00]

Lejavh

@CyberTijn • 8 oktober 2020 23:13

Ik werk bij een zorginstelling (toevallig in Bergen op Zoom), en daar hebben bijna 1600 medewerkers een recent een hardwaretoken gekregen. Werkt prima, geen telefoon voor nodig.

Dancing_Animal @Lejavh • 8 oktober 2020 23:36

Wat voor token? Wij zitten ook in de situatie dat mensen die niet thuis werken EN een vaste telefoon op het werk hebben een iPhone 11 256 GB met veel data krijgen om aan te loggen. Externe projectleider die wel degelijk weet dat het zonder iPhone kan, maar dit is makkelijker.

Blokker_1999

Datalek
Beveiliging en antivirus

@Dancing_Animal • 9 oktober 2020 06:02

Het hangt een beetje af van wat voor mfa je wenst. Zo heb je hard fobs op token based systemen zoals RSA of Cisco Duo. Wij zijn overgestapt op Duo zodat we ook met een app kunnen werken die push notificaties naar je smartphone stuurt. Maar heb je geen smartphone dan kan dit systeem ook een sms sturen. Heb je geen gsm dan kan dat systeem je gewoon bellen op een gekend nummer

CyberTijn @Lejavh • 8 oktober 2020 23:18

Dat is inderdaad een goed alternatief. Bedankt voor de aanvulling.

Brahiewahiewa @CyberTijn • 8 oktober 2020 23:10

Een "mobiel van de zaak" is niet de enige methode om MFA te faciliteren

Eboman 8 oktober 2020 21:09

En medewerker heeft dus alle cv's bewaard van eerdere sollicitaties. Daar gaat 2 factor authenticatie niets aan veranderen.

Moartn @Eboman • 8 oktober 2020 22:06

En de sollicitant heeft z'n BSN op z'n CV gezet...

oef! @Moartn • 8 oktober 2020 23:16

Google heeft er een stokje voor gestoken maar 2 jaar geleden typte je gewoon "cv bsn filetype:pdf" en de gegevens lagen en masse voor het oprapen. Inderdaad onbegrijpelijk dat mensen dat soort gegevens in hun cv zetten.

nieuwemens @Moartn • 9 oktober 2020 06:56

Meestal kopietje paspoort via de mail.

Armin @Moartn • 10 oktober 2020 05:53

Op zich natuurlijk geen probleem. Een BSN is immers geen geheim. Een BSN is immers niets anders dan een nummer dat gelijk staat aan je naam. Kun je niet (zonder veel papierwerk) wijzigen maar mag in principe openbaar zijn.

Het probleem is pas wanneer iemand de BSN plus geboortedatum als authenyticatie gaat gebruiken. Ofwel wanneer ik met BSN plus gebootedatum iets mag wijzigen. Daar zit het probleem.

De oplossing is alle BSN's in een openbaar register op internet plaatsen. Dan gaat niemand meer systemen maken die doen alsof een BSN een geheim paswoord is. Een BSN is iets als een naam, email, etc en mag moeiteloos openbaar zijn.

Zijn ze bij de meeste ondernemers ook omdat het jarenlang je KvK nummer was.

Als deze criminelen dus enkel de BSN en geboortedatum te pakken hebben, heeft men dus geen grote buit te pakken gehad.

nextware 8 oktober 2020 21:13

Dus nu nadat de accounts zijn gehacked wordt er pas MFA ingesteld? Voor een dergelijke organisatie zou dit toch al lang geregeld moeten zijn ?
Vooral personen die toegang hebben tot dergelijke gegevens vanuit hun functie..

Dus niet alleen in de gemeenteraad is het een zooi, maar op IT gebied lopen ze dus ook al achter....

turbojet80s @nextware • 8 oktober 2020 21:28

MFA lost ook niet alles op, maar het is in veel gevallen makkelijk toe te passen en een goede aanvulling. Dit hadden ze inderdaad al geïmplementeerd moeten hebben.

[Reactie gewijzigd door turbojet80s op 24 juli 2024 12:00]

madcon 8 oktober 2020 21:20

Bij het lezen van de titel dacht ik dat het ging om de gemeente Bergen ging waar ingebroken was via de dienst van videoconference software van Zoom

Krulliebol @madcon • 9 oktober 2020 22:46

Ghehe dat zegt wel iets over de reputatie die Zoom inmiddels heeft

trebor.ed @madcon • 8 oktober 2020 21:29

$_/-\o_$

DefaultError 9 oktober 2020 09:48

Wat te denken van een andere opzet. Onbekende mail met hyperlink niet open, en zelfs plaatsen achter portal, boxed, zodat hyperlinks geen schade kunnen toebrengen. Trusted mails krijgen een hogere status, mogelijk met een kleur of een zichtbare certificaat.

Het is nog wel ingewikkelder te maken maar dat is niet praktisch op de werkvloer. 2FA op een laptop is in de basis een vereiste, zeker als er gewerkt wordt met persoonsgegevens.

djs909 9 oktober 2020 10:00

Ik weet vrijwel zeker dat er ook gewoon dat soort informatie in criminele netwerken komt (denk aan de huidige whatsapp scams "hoi mam" bijvoorbeeld) omdat er bepaalde figuren uit bepaalde groepen bij bedrijven werken die toegang hebben tot die informatie. Maarja, daar mag je niks over zeggen natuurlijk.

Atomsk 9 oktober 2020 10:05

Mag hopen dat die mensen een nieuw BSN krijgen. Anders kun je levenslang ellende krijgen van criminelen die op jouw naam bankrekeningen openen en schulden maken.

Eren 9 oktober 2020 04:09

De gemeente waarschuwt inwoners dat hun gegevens misbruikt kunnen worden voor identiteitsfraude. Dat schrijft BN de Stem.

Gaan ze hier iets aan compenseren als er iets zou gebeuren met de inwoners als ze slachtoffer worden van indentietsfraude? Of laten ze de inwoners in de steek en zoek maar uit.

Krulliebol @Eren • 9 oktober 2020 22:45

Als zich later een indicent voordoet, is het waarschijnlijk erg moeilijk om een verband met dit lek aan te tonen.

Op dit item kan niet meer gereageerd worden.

Criminelen krijgen via gemeente-accounts Bergen op Zoom toegang tot bsn's

Lees meer

Interview: Zoom in 2020

Reacties (76)

Lees meer

Interview: Zoom in 2020

Reacties (76)

Sorteer op:

Weergave: