Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Harde schijf met data van 30.000 mensen gestolen uit belastingpand Amsterdam

Uit een pand van de dienst Belastingen Amsterdam is een harde schijf gestolen die wordt gebruikt bij het scannen van binnengekomen poststukken. Dat meldt wethouder Victor Everhardt aan de gemeenteraad. De harde schijf bevat data van ongeveer 30.000 belastingplichtigen.

De Amsterdamse wethouder voor Financiën en Economische Zaken, Victor Everhardt, schrijft in een brief dat de ontvreemde harde schijf scans bevat van toegestuurde documenten die dateren uit de periode juli 2020 tot en met maart 2021, van ongeveer 30.000 belastingplichtigen.

De schijf bevat heel wat soorten documenten waaronder bezwaren, aangiftes en verzoeken om kwijtschelding. Talloze contactgegevens, kopieën van identiteitskaarten en zorgpolisbladen behoren, als ze zijn meegestuurd, eveneens tot de buit. De gestolen harde schijf beschikt over authenticatiebeveiliging, maar de gemeente behandelt de diefstal als een datalek conform de voorschriften van de Autoriteit Persoonsgegevens. Op 7 april is aangifte gedaan bij de politie, dat aan een onderzoek is begonnen.

Alle betrokken belastingplichtigen waarvan er informatie op de ontvreemde harde schijf stond, krijgen vanaf 19 april een brief toegestuurd waarin het incident wordt meegedeeld, alsook de risico’s die zij hierdoor lopen. In deze brief zal volgens Everhardt ook vermeld staan dat de betrokkenen Belastingen Amsterdam kunnen contacteren om na te gaan welke persoonlijke documenten in hun geval op de gestolen harde schijf staan. De gedupeerden krijgen in de brief ook adviezen mee om potentieel toekomstig misbruik van hun gegevens te herkennen en te voorkomen. Everhardt meldt in zijn brief dat er geen gegevens verloren zijn gegaan en dat eerder opgestuurde poststukken niet opnieuw opgestuurd hoeven worden.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

16-04-2021 • 20:07

141 Linkedin

Submitter: wildhagen

Reacties (141)

Wijzig sortering
Als je de brief zelf leest lijkt er een kans te zijn dat de schijf voorzien was van encryptie
De schijf is voorzien van authenticatie-beveiliging en de gegevens kunnen niet zonder meer worden uitgelezen. Gelet op het risico dat de beveiliging is of wordt omzeild en de gegevens kunnen worden doorverkocht of gebruikt voor oplichting en (identiteits)fraude, wordt de diefstal van de schijf behandeld als een data-lek conform de voorschriften van de Autoriteit Persoonsgegevens.
Daarnaast gaat het hier niet om een externe schijf, maar om een schijf die intern in een PC zat dewelke werd gebruikt voor het scannen van deze documenten:
Op 7 april 2021 is geconstateerd dat in het pand van Belastingen Amsterdam aan de Herikerbergweg een harde schijf is gestolen uit een computer die wordt gebruikt voor het scannen van inkomende poststukken.
Waarom de schijf gestolen is, is uiteraard een raadsel en er wordt ook geen antwoord gegeven op waarom documenten op de computer zijn blijven staan. Het lijkt me dat de procedures daar misschien te kort zijn geschoten daar je zulke documenten zo snel mogelijk op de juiste plaats wenst te krijgen (bijv. een documentsysteem) waarna de lokale kopie kan verwijderd worden. De brief geeft wel aan dat er geen gegevens verloren zijn gegaan wat aantoont dat ze dus op deze computer eigenlijk niet meer nodig waren.
Authenticatiebeveiliging hoeft niet automatisch encryptie te betekenen, maar het lijkt me we logisch.

En hoewel die informatie als geruststelling bedoeld is ("het loopt wel los"), knaagt er toch iets.
Hoe aannemelijk is het dat iemand zichzelf wilde verrijken door een harde schijf uit een PC te schroeven, ergens op een kantoor van de belastingdienst? Dat is een activiteit met een hoog risico en een geringe opbrengst. Dat scenario lijkt me niet geloofwaardig.

Het lijkt mij dan waarschijnlijker dat iemand gericht uit was op de informatie op die schijf. Misschien dat die persoon niet wist dat de schijf beveiligd was, maar het kan ook betekenen dat de dader dat wel wist en over een manier beschikt om de beveiliging te omzeilen. Dan zijn de gegevens dus 'echt' gelekt/gestolen.
Hoe wist die persoon überhaupt op welke harde schijf in welke pc die gegevens stonden? En hoe heeft deze persoon toegang gekregen tot die hardware?

Kan het ook iemand van binnen de organisatie zijn geweest die met die gegevens werkt maar misschien niet wist dat ze ook ergens anders opgeslagen waren?
Een schijf volgens de voorschriften wissen kost veel tijd.
Dat is ook de reden, dat ze vaak mechanisch vernietigd worden.
Gebruikte spullen op de plank laten liggen, is een risico.
Je moet ze in een kluis bewaren.
Om aan te tonen dat je er veilig mee om gaat, is alles geregistreerd.
Als dan het vernietigings-bedrijf komt en er ontbreekt een schijf.
Dan kijk je in het logboek en weet je uit wel toestel de schijf kwam.
Of dat iemand die gegevens gewoon kwijt wilde raken. Dat kan ook al voldoende zijn. Maar zou alleen zin hebben als ze niet ook nog in een ander systeem staan, wat dus al niet aannemelijk is...
Of de schijf zat in een bay die je er zo uit kan trekken. Werd ook veel gebruikt door zaken die de HD na werktijd mee naar huis namen. Kap van PC openschroeven kost niet meer dan een minuut. Een inside job tijdens de middagpauze? Ik fantaseer maar wat.
Misschien diefstal in opdracht? Dat gebeurd met kunst ook.
Zal me niets verbazen dat er partijen/mogendheden zijn die bepaalde informatie willen weten en het dan op een vuile manier proberen te verkrijgen.
Ik voel het zelf aan als deels complot denken, vergezocht, maar ik geloof niet dat het altijd het criminele circuit is. Alle beetjes informatie over iemand bij elkaar gesprokkeld maken het beeld van een individu steeds completer...
Encryptie is helaas gewoon te kraken, vanaf het moment dat deze schijf ergens wordt ingeplugd is het eigenlijk een kwestie van tijd. Wordt de inhoud met of zonder Encryptie online gezet dan kan je er eigenlijk op wachten tot deze misbruikt wordt.

Die gegevens hebben ze inmiddels bemachtigd, of het nou een week, maand of 10 jaar duurt die gegevens en dus privacy gevoelige data hebben ze op een gegeven moment gekraakt.
Gewoon te kraken? Ja, als je het met WinZip of WinRar versleutelt. Menig versleuteling gebruikt AES en dan wens ik je veel succes.
Veiligheidsdiensten doen er alles aan om wetten te laten veranderen om encryptie te verzwakken en jij komt hier even vertellen dat encryptie gewoon te kraken is.
Winrar => AES-256
Winzip => AES-128 of AES-256 afhankelijk van keuze

Als je spreekt over de winzip die je in de jaren 19xx kon downloaden, ja die zijn met paar 100 miljoenen hashes per seconde te bruteforcen in een paar uren/dagen/weken afhankelijk van de rekenkracht dat je er tegenaan gooit en de lengte van het wachtwoord.
Er zijn voor zowel .rar als . ip implementatieproblemen bekend waardoor veel archieven alsnog veel sneller gekraakt kunnen worden dan AES zou doen vermoeden. Er is bijvoorbeeld een known plaintext-aanval bekend voor ZIP-gecomprimeerde bestanden die maar enkele bekende bytes nodig hebben (denk aan de header van een document). Ook het RAR-format heeft een implementatieprobleem waarmee het mogelijk is om op moderne hardware binnen een maand een archief te kraken, al kan ik de blog post waar de details werden beschreven niet direct terugvinden.

Hoewel AES nog perfect veilig is, moet de software die het algoritme implementeert ook perfect veilig zijn. Archiefsoftware is goed in het kleinmaken van bestanden, maar als je versleuteling wilt toepassen, ben je toch beter versleutelingssoftware gemaakt voor dat gebruik, gebruiken.
Je hebt gelijk, ik bedoelde eigenlijk de passwordprotectie, maar dat staat los van de encryptie.
Het zal me niet verbazen als het om een ge-Bitlocker-de schijf gaat. Als het een uit een pc verwijderde schijf betreft. Opmerkelijk toch dat zulke documenten niet meteen vanuit de scans op een zwaar beveiligde netwerkschijf geparkeerd werden zodat bij lokale ontvreemding van materiaal geen klantgegevens ontvreemd hadden kunnen worden.
"Opmerkelijk toch dat zulke documenten niet meteen vanuit de scans op een zwaar beveiligde netwerkschijf geparkeerd werden zodat bij lokale ontvreemding van materiaal geen klantgegevens ontvreemd hadden kunnen worden."

Dat dus.

We zijn met man en macht bezig met het beveiligen van data, en dan blijven scans van 30.000 mensen (dat is niet 1 weekje scannen, maar maanden werk wat bij elkaar op 1 plek wordt opgeslagen. Wie krijgt hier de AVG/AP boete van, de belastingbetaler uiteindelijk weer dus. En daarom wordt er zo weinig naar gekeken.

Als je als bedrijf wordt aangesproken op je beleid krijg je miljoenenboete, en als de "gemeente" iets verkeerd doet, ach ja het is belastinggeld.
Zag gister kamerlid van der Plas, die wilde een appgroep in Whatsapp om lekker snel alle150 kamerleden te informeren.... het is ook wel dweilen met de kraan open bij de overheid.
Een app groep met 150 man. Dat word een hoop vage filmpjes en stickers :P
En dan kom je document alsnog in een tmp-directory, in een swapile, een bestandje-om-het-te-kunnen-uploaden. Bestandje meteen gewist maar de datablokken zijn er nog.
Het is heel lastig om te zorgen dat iets geen sporen achterlaat op een computer.
AES is geen magisch wondermiddel dat opeens decryptie onmogelijk maakt. AES is er in verschillende smaken die meer of minder makkelijk te decrypten zijn. Iets decrypten is altijd mogelijk. Het ligt er alleen aan hoeveel tijd/resources je er aan wil besteden.

In dit geval hebben we het over een disk uit een computer, welke waarschijnlijk ook het OS bevat, je weet dus al een gedeelte van wat er op die disk staat en waarschijnlijk ook meer dan dat. BitLocker maakt bv. gebruik van AES, maar dat is ook te decrypten (afhankelijk van de gekozen methode van encryptie), zeker als je de fysieke disk in bezit heb. Kijk eens naar John the Ripper, Bitcracker, Hashcat, etc. En bedenk dan dat er enorme farms zijn met duizenden/tienduizenden moderne videokaarten die crytocurrency aan het minen zijn. Die zouden ook kunnen werken aan een decryptie...

De vraag is of de potentiële prive gegevens van 30.000 mensen het waard is om de boel te decrypten op die manier of dat ze er beter Etherium mee kunnen minen...
AES is geen magisch wondermiddel dat opeens decryptie onmogelijk maakt. AES is er in verschillende smaken die meer of minder makkelijk te decrypten zijn. Iets decrypten is altijd mogelijk. Het ligt er alleen aan hoeveel tijd/resources je er aan wil besteden.
Het hele doel van AES is om decryptie zonder de sleutel onmogelijk te maken. In de praktijk kan je iets wat met AES is versleuteld dus ook niet decrypten zonder de sleutel. Ook AES-128 niet, de op papier zwakste vorm.
Tijd en resources zijn hierin niet relevant, want die zijn er nooit genoeg, en al helemaal niet om iets te kunnen decrypten voordat de informatie zelf irrelevant is geworden.

De key space is zo immens groot, het maakt niet uit hoeveel videokaarten je daaraan laat werken. Het enige waar je op kan hopen is dat iemand een fout heeft gemaakt, maar als het algoritme volgens de specificaties is geïmplementeerd met een goede sleutel, succes ermee :D

[Reactie gewijzigd door Sfynx op 16 april 2021 22:19]

Ik ga hier niet een discussie voeren over de nuance van één woord dat in het verkeerde keelgat schiet. Denk dat ik niet hoef uit te leggen dat sommige criminelen decryptie vaardigheden en de middelen hebben om complexere algoritmes dan een .zip bestand te ontcijferen. Zo niet dan wordt het aan een crimineel orgaan doorverkocht die hier wel wat mee kan, waaronder organisaties van landen die niet zo nauw zijn gesteld op de privacy van inwoners van andere landen.
Dit gaat niet om een discussie over nuance, dit is basale wiskunde, dat geld net zo goed hier in het westen als in de grootste dictatuur. Als ik jouw (of wie dan ook) een correct geencrypt bestand geef dan is dat niet meer en niet minder dan een volledig random stream aan data. Zoals bytemaster460 correct aangeeft, als het allemaal magisch te kraken was en de overheid stiekem supercomputers heeft van een kaliber waar we nog niet eens van kunnen dromen... dan zouden ze niet zo veel ruzieen over verplichte "backdoors".
Ligt er aan, als je het zo leest dan hebben ze 30.000 samples aan data die ze met elkaar kunnen vergelijken. Kwestie van de juiste kennis om de samples van elkaar te scheiden en de techniek die gebruikt is. Dit verlaagd alweer de nodige rekenkracht al zal dat nogsteeds een flinke machine zijn.
Punt is dat het *random* is, er is niks te vergelijken. Alles wat je kunt doen is het brute forcen, en op een normale huis tuin en keuze computer heb je het over vele malen de heat death of the universe.
One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kT, where T is the absolute temperature of the system and k is the Boltzman constant. (Stick with me; the physics lesson is almost over.)

Given that k = 1.38×10-16 erg/°Kelvin, and that the ambient temperature of the universe is 3.2°Kelvin, an ideal computer running at 3.2°K would consume 4.4×10-16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.

Now, the annual energy output of our sun is about 1.21×1041 ergs. This is enough to power about 2.7×1056 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all its energy for 32 years, without any loss, we could power a computer to count up to 2192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.

But that’s just one star, and a measly one at that. A typical supernova releases something like 1051 ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.

These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.
Soms zijn er truuks die je kunt uitvoeren die het een stuk realistischer maken, stel je voor dat je weet dat de data enkel een nederlands telefoon nummer is of zo, dan zijn er met sommige encrypties handigere opties (niet met AES symmetrische encryptie volgens mij), maar over het algemeen zijn zaken enkel te hacken omdat de encryptie fout was geïmplementeerd (of de verkeerde encryptie voor de verkeerde zaak was gekozen).

[Reactie gewijzigd door David Mulder op 16 april 2021 23:21]

Oké duidelijk, snap nu eindelijk wat jullie nou eigenlijk bedoelen.
Voor iedere Windows-pc kun je bitlocker inzetten. Er zijn nergens bronnen waaruit blijkt dat men dat gekraakt heeft, laat staan versleutelingen met bijv. Veracrypt.
Er zijn nergens bronnen waaruit blijkt dat men dat gekraakt heeft
Je kijkt met je neus!
Al wat ouder document:
https://deepsec.net/docs/...s_GPUs_Elena_Agostini.pdf
https://blog.elcomsoft.co...tecting-your-system-disk/
https://www.youtube.com/watch?v=gue6suh7ZlM

Bitlocker is niet 1 methode, het is de naam van een collectie methoden. Afhankelijk van welke gebruikt wordt, is het makkelijker of moeilijker te decrypten. Als de TPM chip wordt gebruikt is het een heel stuk moeilijker! Sommige noemen het 'infeasible', maar die gaan er van uit dat je hoogstens een paar GPUs gebruikt. Niet bv. een hele cryptofarm en er wordt best veel vernieuwd binnen die hackers/decryptie gemeenschap. Je kan bv. ook FPGAs gebruiken of zelfs ASICs hiervoor ontwikkelen die het alleen maar efficiënter maken. En er zijn zat hackers die voor geen goud voor een overheidsinstantie zouden willen werken (direct of indirect), daarnaast zouden ze buiten die instanties veel beter kunnen verdienen, zeker als ze het illegale circuit in gaan.

Niets is veilig, het enige wat je kan doen is op basis van de waarde van de data, de moeilijkheidsgraad verhogen om de beveiliging te doorbreken.
Al deze attacks zijn gebaseerd op brute-force-attacks. Het mag geen verrassing zijn dat je met een zwak wachtwoord meer risico loopt. Dat weten we allemaal. Een slot op de deur werkt ook niet als je 'm vergeet op slot te doen, of de sleutel onder de deurmat stopt.

Als je wel een sterk wachtwoord hebt (of TPM hebt aanstaan), dan zie ik nog steeds geen bron waar dit gekraakt wordt.

Je opmerking over een hele cryptofarm is niet echt accuraat. Een 256 bit key bruteforcen is echt een stuk moeilijker dan je 't hier laat lijken. 256 bits geeft 1.1579209e+77 mogelijkheden.

Ter vergelijking: er wordt geschat dat er 10^78 to 10^82 atomen in het observeerbare universum zijn, die tel je niet zo 123.

Om aan te geven hoeveel energie dat kost:
Now, the annual energy output of our sun is about 1.21×10^41 ergs. This is enough to power about 2.7×10^56 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all its energy for 32 years, without any loss, we could power a computer to count up to 2^192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.
Het verschil tussen een matig password en een goede key, is zo immens groot, dat je deze echt niet met elkaar mag vergelijken. Zo lang we niet weten welke methode hier gebruikt is, valt er niks te zeggen over de kraakbaarheid.
Maar hou er rekening me dat default bitlocker encryptie niet 256bit is.
@Arloid heeft gewoon gelijk, het is een kwestie van tijd voordat ze die encryptie kunnen kraken.

Encryptie is niet gebouwd op het feit dat het niet te kraken is, dat is namelijk (nog) niet te doen. Encryptie is gebouwd op het feit dat het heel veel werk is om te kraken. Over tijd worden de computers sneller en dus kost het minder tijd om te kraken.

Encryptie is vrij veilig totdat er een fout wordt gevonden in het algoritme om de aanval te versnellen of de computers veel sneller worden. Encryptie is niet de perfecte beveiliging, het is bedoeld om heel erg te vertragen.
De vraag is alleen wat je ermee bereikt als een supercomputer 40 jaar bezig is met het kraken van een harde schijf met 30,000 belastingdocumenten. Dus ja, theoretisch is alles te kraken maar dat “gewoon” kraken blijkt in de praktijk nogal tegen te vallen.
Je mist mijn punt.

Vroeger dachten mensen ook dat bepaalde encryptie methodes veilig waren, toen werden er problemen in de algoritmes ondekt en was het niet zo veilig meer. Dit kan ook gewoon gebeuren met de huidige standaarden.

Ook zullen quantumcomputers en andere innovaties misschien de mogelijkheid/kracht gaan bieden om dit wel in een redelijk tijdspanne te kunnen. Oftewel het is gewoon een kwestie van tijd, hoeveel tijd is onzeker.

Maar je verstoppen achter encryptie als perfecte beveiligingstandaard is gewoon dom omdat encryptie daarvoor niet gemaakt is. Encryptie is niet perfect.
Ik denk dat je mijn punt mist. Er werd gezegd dat encryptie “gewoon” te kraken is. Het zal best dat dat in de toekomst gemakkelijker wordt, maar om nu te zeggen dat encryptie gewoon te kraken is slaat nergens op. Er moet nog heel veel gebeuren voordat we encryptie gewoon kunnen kraken.
Hoewel het natuurlijk theoretisch mogelijk is om elke encryptie te kraken, moet niet vergeten worden dat dit ook onwijs veel geld kan kosten en daarnaast ook tijd (en tijd is geld). Ik ga hier net als jij doet dan toch maar even buiten wat realistisch is:

Jij hebt het over quantumcomputers en mogelijke andere innovaties, maar hoe lang duurt het voor deze überhaupt beschikbaar zijn voor petty hackers? Jaren en jaren, waarschijnlijk zelfs decennia. Oké, super tof het is ontwikkelt. In plaats van de 2k jaar die het duurt om het nu te kraken is er nog maar bijv. 20 jaar nodig om deze bestanden te kraken. Hoeveel later zijn we dan? Is het nog wel realistisch om op jouw manier een dergelijk debat te voeren?

Bovendien hoeveel moet het hen wel niet kosten om deze middelen aan te schaffen?
Hoeveel moet het hen wel niet kosten om dergelijke computers te draaien om dergelijke bestanden te kraken?

Een paar andere random toevoegingen:
In die tijd zullen ook nieuwe encryption innovaties hebben plaatsgevonden, dus zal dan niet voor nieuwere data (of oudere data met nieuwe encryptie) het probleem gewoon verschuiven in tijd?
Het is zelfs mogelijk dat de gestolen data bij de dief vernietigd kan worden voordat het gekraakt is.

Dan nog de vraag aan jou: wat is dan wel een perfect beveiligingsmiddel of standaard? en hoeveel scheelt dit van de niet perfecte encryptie qua standaard?

Maar he, in theorie is alles mogelijk; Ik fantaseer ook graag. Ik ben ook zeker benieuwd wat voor veranderingen een quantumcomputer gaat brengen.
Ik denk dat je even naar de reactie van David Mulder moet kijken... en dan bedenken dat een groot deel van de telefoonnummers met 06 of 00316 zal beginnen, En zeker in het laatste geval heb je al best wat info over de encryptie. Als er ook een apart veld voor tussenvoegsels is gebruikt dan wordt het nog makkelijker, aangezien het aantal tussenvoegsels (inclusief buitenlandse) beperkt is. Maar nog veel belangrijker de gemiddelde frequentie van tussenvoegsels in Nederlandse databases te achterhalen is.
En voor de duidelijkheid ik heb nog nooit een database meegemaakt waarbij de tabel en kolom namen encrypted waren. Dit maakt het makkelijk om te weten wat voor data is versleuteld.
Met wat slimme analyses wordt de versleuteling in ieder geval deels al gebroken in dit soort gevallen.
Natuurlijk zijn er trucs toe te passen en geluk kan ook een rolspelen als je een beetje creatief algoritme ontwerpt. Een probleem blijft echter nog steeds dat het nog maar de vraag is wat de waarde van de inhoud van het encrypte is naar het verloop van die tijd voor die persoon die het hackt, want het kraken van dergelijk gegevens zal in ieder geval niet snel gaan; zie de vele reacties van andere Tweakers. Natuurlijk zijn er genoeg documenten die hun waarde en dergelijke behouden, maar blijft nog steeds een afgezet tegen de kosten die geïnvesteerd moeten worden om het te kraken.

Jouw comment blijft valide, maar mijn eerdere comment was vooral kritiek op Randomguy369 en zijn benadering van deze discussie door te zeggen een encryptie niet perfect is (ofcourse, maar wat wel?) en in de toekomst dit allemaal anders is (ja, maar andere dingen zijn t.z.t ook anders).
Tot de supercomputer die volgende week/maand/jaar op de markt komt en het binnen 24 uur kan. Bij sommige gestolen data zijn daar nu al zorgen over. Bij sommige data hoeft het het geen probleem te zijn om die jaren te bewaren tot het eenvoudig te kraken is. Er zijn ook vermoedens dat geheime diensten massaal data bewaren die vandaag nog niet kraakbaar is maar over een X periode wel.

[Reactie gewijzigd door ninjazx9r98 op 17 april 2021 15:10]

Klopt, maar we hebben het hier over 30.000 brieven van de gemeente en niet over de procedure om kernraketten te lanceren. Men heeft deze gegevens versleuteld met een in de nabije toekomst niet of nauwelijks te kraken versleuteling. Dan heb je er aan gedaan wat op dit moment mogelijk is. Iedere andere vorm van beveiliging van de gegevens is kwetsbaarder. Een brandkast of archiefkast heb je sneller open.
Een kwestie van tijd kan ook simpelweg een nieuw ontdekte kwetsbaarheid betekenen natuurlijk. Nee, zodra gegevens, beveiligd of niet, in verkeerde handen vallen is er eerder de vraag of de beveiliging opweegt tegen de waarde van de data (tegen de tijd dat deze gekraakt kan worden) dan te doen alsof die data onkraakbaar is.
Dat klopt, alleen moet de data wel hééél waardevol als je een poging gaat doen om AES te kraken.
Het ging mij om de simpele uitspraak “encryptie is gewoon te kraken”. Het is niet gewoon te kraken. Daar moet je heel zwaar geschut voor meebrengen als je het hebt over professionele encryptie.
Hoe zit dat als de schijf met bitlocker is beveiligd. Bij ons altijd vervelend wanneer we een Lenovo-update uitvoeren bij onze Lenovo M920Q achteraf bij reboot altijd de bitlocker scherm tevoorschijn komt en we dus in Azure de code moeten opzoeken. Hoe werkt dat. Kan me voorstellen wanneer hij deze ergens inplugt er een bitlocker scherm moet komen ?
Je vergeet de factor tijd. Wat vandaag niet gekraakt kan worden kan dat morgen, overmorgen of volgend jaar wel. Het is dan afhankelijk van de data of dat een probleem is of niet.
Nee die vergeet ik niet. Jij hebt het over “gewoon” kraken. Een supercomputer enkele tientallen jaren laten rekenen noem ik niet “gewoon kraken”. Daarnaast wordt er nu ook al weer gewerkt aan algoritmes die ook door quantumcomputers niet zomaar gekraakt kunnen worden. Encryptie blijft dus een kat en muis spel.
Een disk die vandaag gestolen wordt heeft niet een algoritme waar nu nog aan gewerkt wordt. Als ik de disk nu steel en in een kast leg dan komt daar geen beter en nieuwer algorithme op en kan ik over vijf of tien jaar proberen te kraken met technieken waar we dan de beschikking over hebben. Dat is de factor tijd die je vergeet, een algoritme uit het verleden met de techniek van vandaag.
Alleen zorgt die factor tijd er ook voor dat die data waardeloos wordt. Er is geen hond die nog gaat betalen voor jaren oude gemeentelijke belastingdata. Als je zo gaat denken kun je nergens meer data opslaan. Niet analoog en niet digitaal. We zullen dus een bepaald risico moeten aanvaarden en dan is het risico met professionele versleuteling het kleinst.
Probeer jij maar een een harde schijf te kraken die beveiligd is met BitLocker of LUKS. Het enige dat je kunt doen is afwachten tot daar praktische exploits voor worden gevonden.

Dik kans dat dit nog zó lang duurt dat het gros van de mensen wiens gegevens op die schijf staan op een begeven moment is overleden en hun gegevens daarmee waarschijnlijk grotendeels waardeloos worden.
Liever bitlocker dan LUKS :+ Met wat geluk is het gekoppeld aan een online MS account.
Nog een beetje extra geluk en wat social engineering en/of MITM en je kan daarbij komen.
Is dat niet misschien 'lost in translation' en eigenlijk een HDD geweest die in een MFP heeft gezeten? Die dingen slaan ook alles op wat er wordt gescanned namelijk op de schijf lokaal, ook als de scan daarna naar een netwerkmap wordt gestuurd of een e-mailadres.
Die wissen doorgaans alles na x tijd, om vollopen te voorkomen. Meestal is x een dag.
Dat zal je tegenvallen, afhankelijk van de MFP, bevatten ze soms jaren aan data. Bijvoorbeeld HP, Ricoh, Lexmark en xerox MFP’s hebben zulke schrijven aanwezig. In sommige gevallen is er encryptie aanwezig op de HDD. In enkele gevallen wordt het automatisch opgeslagen en in sommige gevallen gaat het om een ‘store to disk’ functionaliteit.
Op de meeste moderne mfp's (ik heb voornamelijk kennis van moderne Xerox, maar neem aan dat de rest hetzelfde doet) zijn de hdd's aes encrypted. Verder worden ook standaard alle opdrachten die verwerkt zijn overschreven (meerdere malen overschrijven is in te stellen). Daarnaast kan de schijf (nja, niet de hele schijf, maar de jobdata partitie) ook nog periodiek extra overschreven worden.
Niettemin zou ik mfp's altijd als een risicofactor zien in m'n netwerk. Bij veel organisaties gaan printjobs/scan jobs nog steeds unencrypted over de lijn. Ook is het niet heel lastig om tegen de receptioniste te zeggen dat je even langskomt voor de printstoring, eenmaal bij de machine even een geprepareerde router/rpi/whatever tussen printer en netwerk, en je hebt alle data die je wil hebben.
Wordt er nog van ldap gebruik gemaakt om even makkelijk email adressen van je collega's te zoeken is er ook meteen een account met AD toegang incl wachtwoord, en zo kan ik nog wel even doorgaan.

Oftewel aparte vlans, 802.1x en de netwerkpoorten vooral niet vertrouwen.
Is dat niet misschien 'lost in translation' en eigenlijk een HDD geweest die in een MFP heeft gezeten? Die dingen slaan ook alles op wat er wordt gescanned namelijk op de schijf lokaal, ook als de scan daarna naar een netwerkmap wordt gestuurd of een e-mailadres.
Ik zou niet raar opkijken als het 'lost in garbage was'; MFP wordt weggedaan, iemand vindt dat jammer maar heeft geen ruimte om het hele ding op z'n kamer te zetten en schroeft de HDD en RAM eruit. Paar dagen later realiseert iemand (anders) zich dat er misschien wel scans gecached zijn op het apparaat (of misschien wijst de vuilverwerker ze op de correcte procedure om zo'n MFP aan te bieden) en komen ze er bij het datavernietigen achter dat de schijf ontbreekt uit het apparaat.

Dat ze weten dat het 30.000 mensen betreft is dan wel weer knap!
Tot slot zijn er geen gegevens of documenten verloren gegaan door de diefstal. Eerder opgestuurde poststukken hoeven dus niet opnieuw te worden gestuurd.
Dit kan natuurlijk ook gewoon betekenen dat de originele poststukken nog aanwezig zijn, en dat het werk verricht tot nu toe gewoon opnieuw kan worden gedaan.
Er staat in de brief niet dat de gedigitaliseerde data ook al ergens anders is opgeslagen.
Ik mag hopen dat poststukken van een jaar geleden toch echt al lang op hun plaats zijn gekomen. Een computer om ze digitaal op te slaan is een beetje zinloos, die horen gewoon in een DMS te zitten zodat alle betrokkenen binnen de dienst deze kunnen raadplegen, maar ook zodat de nodige backups gemaakt kunnen worden. Als je ze puur gaat digitaliseren en ze dan enkel op die computer laat staan dan ben je gewoon met bezigheidstherapie voor 1 persoon bezig.
Jep, maar waarom wordt er specifiek een schijf uit een specifieke pc gestolen. Lijkt mij dat je dan nog zoveel encryptie hebt en versleuteling. Het is mij een iets te gericht target. Oftewel ze weten de beveiliging of kennen iemand die hem weet. Want waarom ga je anders specifiek deze schijf stelen. Als je weet wat er op staat heb je de info waarschijnlijk gezien en als je de info gezien hebt, heb je er toen ook bij kunnen komen.

Dit lijkt mij een inside job of een gerelateerde inside job
In mijn beheerderstijd rond 2000, werden er regelmatig geheugenmodules , hardeschijven, CD-branders uit PC's of zelfs hele PC's ontvreemd. Toendertijd was het "beveiligen" van PC's met een hangslot niet abnormaal. Ook nu hoeft het de dieven niet te gaan om de data. Misschien was het wel een harde schijf van 8TB, waarvan zij dachten die beter te kunnen gebruiken in hun thuisPC of te kunnen verkopen voor een vriendenprijsje.
Ik gok dat dit weleens een van de oudste computers van de gemeente geweest kan zijn, iets met scanners wat al jaren draait en alleen voor digitaliseren gebruikt wordt is nou niet iets was snel vervangen wordt zolang het nog werkt.
Schrik iig niet wanneer over een paar dagen blijkt dat die postkamerpc een enorm verouderd OS draaide waar toevallig de scanner nog wel mee werkte en zolang het niet "aan internet" hangt ziet men de noodzaak om zo'n single task machine te vervangen gewoon vaak niet.
Zo'n ding kan tot in de eeuwigheid gedigitaliseerde documenten het systeem in duwen.
De technische kennis van de briefschrijvende wethouder acht ik ook niet op hetzelfde level als een random nerd hier op Tweakers, hij verwoord ook maar wat hij van "IT" te horen heeft gekregen en communiceert dat naar buiten. Sowieso gaat het om een klein jaar aan inkomende poststukken, bizar dat dat blijft hangen op de schijf van een postkamer scan bak.
Het kan ook gewoon een raid server zijn geweest, daar zou best 2-4 harddisks in raid kunnen draaien zodat er weinig risico op dataverlies is bij falen. Hoe de data dan gefractureerd is maakt dan eigenlijk niet zo heel veel uit, die knipsels plakken ze weer bij elkaar met eventuele andere gelekte data.

Blijft wel hopen dat die data echt tot de laatste bit aan gort versnipperd is, heb eigenlijk niet zo'n vertrouwen meer in ambtelijk beleid.

[Reactie gewijzigd door Arloid op 16 april 2021 21:34]

Men geeft aan dat je data desalniettemin niet veilig is. Dus hoewel de schijf encrypted is, wilt men niet aangeven wat voor encrypted, maar gezien de opmerking dat je data toch misbruikt kan worden geeft aan dat de encryptie zeer beperkt is.

Buiten dat dus publieke gevoelige data 9 maanden op deze schijf staat, is deze ook niet eens fatsoenlijk digitaal noch hardware matig beveiligd. Dit zijn toch weer eens drie flinke flaters op een rij.

Wanneer gaan we de individuen verantwoordelijk houden voor wat hier gebeurd is? Hardware dat slecht ingesteld is, hardware waar dieven zomaar mee weg kunnen lopen, dit geeft toch wel weer veel vertrouwen in de overheid.
Ik geloof hier echt niks van. Dus iemand heeft dus ingebroken, een desktop gezocht, deze geopend en daaruit 1 harddisk er uit geschroefd, en toen weer vertrokken? En men weet exact wat er op deze disk staat?
Ik vermoed in een serverruimte een raid 5 opstelling, en de schijft er gewoon uitgetrokken.

[Reactie gewijzigd door Mel33 op 16 april 2021 20:17]

Vergeef me als dit een "wooosh" is, maar in dat geval kan er toch niets noemenswaardigs van data van dat RAID-lid gehaald worden? Vooral niet als de schijf ook nog versleuteld was zoals aangegeven.
dit riekt meer naar een rogue admin die de disk heeft doorverkocht en dan natuurlijk ook met de decrypty sleutels er bij.

Welke inbreker of gelegenheids dief pakt er nu een disk uit een pc als je de hele pc / server zo mee kan nemen.
denk je nu echt dat de belastingsdienst encryptie gebruikt?
dat weet ik wel zeker,

laatste keer dat ik inlogde was de site toch echt HTTPS
At-rest disk encryptie is wel heel wat anders dan HTTP transport encryptie
denk je nu echt dat de belastingsdienst encryptie gebruikt?
het is een humor vraag neem ik aan, krijg je een humor antwoord.
Is dat dan de Authenticatie die erop zit, ...bij een raid opstelling misschien?
in een serverruimte een raid 5 opstelling, en de schijft er gewoon uitgetrokken.
Er staat schijf, niet schijven. Zonder de de data van minstens één andere disk kan je niets met een enkele schijf uit een raid5 array en valt er ook niets te rebuilden.

Ik verwacht daarnaast niet dat ze met raid5 aanklooien op hun servers (laat staan raid5 met 3 disks) 8)7 . Vanuit het bericht lijkt het om een standalone scratchdisk te gaan.

[Reactie gewijzigd door SirNobax op 16 april 2021 20:39]

Dit is waarschijnlijk gewoon een pc die onderdeel is van de scanstraat voor een DMS welke gewoon niet geleegd wordt. Iemand die op de hoogte was van de inhoud heeft zijn kans gegrepen.
Raid 5 gaat niet werken, dan heb je minimaal 3 schijven nodig.
Raid 1 kan wel.
Misschien wel een externe harde schijf, zou wel logischer zijn. Zou wel duidelijker verwoord kunnen worden inderdaad :)
Het document leest
een harde schijf is gestolen uit een computer die wordt gebruikt
.
Extern zou logischer zijn idd, maar doet niet vermoeden.
Met voorbedachte rade gestolen denk ik zo.

[Reactie gewijzigd door Xfade op 16 april 2021 20:22]

Ja dat lees ik er ook in. Het ruikt zelfs eerder naar "bewijslast weghalen" dan naar info vergaren, het weghalen van deze specifieke hardware.
Maar ze zeggen dat de data niet verloren is en documenten niet opnieuw verzonden hoeven te worden.

Dus als het om bewijslast weghalen ging dan is dat mislukt.
Een usb kabel verwijderen uit de computer zie ik daar ook nog wel onder vallen. Neemt niet weg dat dit express wel vaag omschreven kan zijn.
En die zou ook gewoon gejat kunnen zijn omdat iemand een externe harde schijf zag liggen en wilde hebben. Geeneens vanwege de data die er misschien op staat. Misschien is het ding al lang geformatteerd.
Weten wat er op een disk staat zou wel heel normaal moeten zijn als ze hun zaakjes -blijkbaar niet de beveiliging- enigszins op orde hebben.
Dat is veel te kort door de bocht. Het kan bv. prima zo zijn dat wat ze hebben ingescant met die PC nu in een database zit, maar niet in die database staat door welk werkstation dat is ingescant en of het wel door de Belastingdienst Amsterdam is ingescand. Het kan dan wel even duren voordat je dat exact boven water hebt. Ik weet niet exact hoe dat technisch inelkaar steekt, maar zo weet jij dat ook niet...

Zeg, werk jij niet bij een toko die twee weken geleden juist een half miljoen boete kreeg ivm. het niet tijdig melden van een datalek> Pot... Ketel... ;-)
Nee, werk ik niet... bovendien snap ik niet wat je kort door de bocht vindt.

Normaal gesproken weet je waar dingen centraal opgeslagen worden en weet je wie er toegang geeft tot die data...zo weet je, bv, dat alleen rol x toegang heeft tot data y...hoe groot het aantal x is maakt niet uitz je kan het dus pinpointen.

Ik weet idd niet de details, en ik pretendeerde dat ook niet...wat ik simpelweg zei is; normaal gesproken weet je waar bepaalde date is opgeslagen en wie daar toegang tot heeft. Dat is security 101....dus ik snap niet goed wat je nu probeert te zeggen.
Gelegenheid maakt de dief? Er zijn verschillende redenen te bedenken en verschillende opties van wat er exact gebeurd is. Zonder meer details is het evenwel allemaal speculatie.

Dat men weet om welke documenten het gaat is op zich niet zo vreemd. Met een goed documentenbeheersysteem kan je die ze identificeren. Alle documenten geupload van computer X sinds de datum dat die computer wordt ingezet voor deze specifieke taak danwel de laatste keer dat deze een clean install heeft gehad. Beetje DMS kan je zo een lijst geven.
"Gelegenheid maakt de dief" gebruik je als je makkelijk kunt scoren, bv een portenmonnee in een openstaande onbewaakte tas zien zitten en dan besluit je dat dit je geluksdag is. Een pc openschroeven is geen "gelegenheid."
Ik geloof het wel. Zo ken ik een geval van iemand die in een bankfiliaal inbrak en een PC meenam. Nu verjaard. Bij de vraag "was er ook een pinautomaat?" doodleuk het antwoord "oh ja, klopt, niet aan gedacht, ik had gewoon een nieuwe computer nodig". lol

Dit zou best een geval kunnen zijn van "hey 16TB, dat heb ik nodig" en thuis formatteren terwijl iedereen zich druk maakt over de (versleutelde) gegevens.
grote kans dat er iemand bewijs wou vernietigen
Kan ook een medewerker van die afdeling zijn geweest he. Als die zonder toestemming een harde schijf meeneemt dan is dat evengoed diefstal.
Waarom zou het om de inhoud van de disk gaan? Het zal de eerste keer niet zijn dat er gewoon disks worden gestolen omdat de dief disks wil hebben. Er staat trouwens niet dat er ingebroken is. Hoe weet jij dat er ingebroken is?

[Reactie gewijzigd door K-aroq op 16 april 2021 21:21]

Hot Swappable disk uit de afdelingsserver?
Geen idee hoe het daar geregeld is, maar kan me er iets bij voorstellen.
Ik zou ook meer aan een GGD-gevalletje dus interne diefstal van gegevens gedacht hebben. Als de ruimte met pasjes toegankelijk is kunnen de logfiles van het pasjessysteem een aardige verwijzing bieden naar de dader. Maar ja, als...
Waarom word deze data unencrypted opgeslagen?

Edit: Blijkbaar over de authenticatie gelezen.

[Reactie gewijzigd door pekeltje op 16 april 2021 20:22]

Waar haal jij uit dat de data niet encrypted is? De brief zelf is geschreven door iemand die niet technisch is maar lijkt er net op te hinten dat encryptie mogelijks wel aanwezig is.
Ik mag toch hopen dat er bij een issue als dit een technisch iemand meeschrijft? Anders is er een andere goede reden om boos te worden. Door de vage omschrijving wordt er veel onrust veroorzaakt. Ook is mij niet duidelijk wat er mis is met openheid in dezen.
Maar misschien heeft een communicatiejurk m/v geleerd dat je beter een dag later met details kan komen, dan zijn er al weer andere headlines, en is jouw gepruts deels uit het zicht.
Als je een techneut laat meeschrijven is het voor 99% van de bevolking een vage omschrijving.
Er staat "meeschrijven", niet "schrijven", ik denk dat je overdrijft.
Waar haal jij uit dat de data niet encrypted is? De brief zelf is geschreven door iemand die niet technisch is maar lijkt er net op te hinten dat encryptie mogelijks wel aanwezig is.
Waar haal jij uit de dat de data wel encrypted is? Kans is m.i. groot dat de opsteller van de brief gevraagd heeft: "Is de data encrypted?" en het antwoord was: "Nee, die was niet encrypted maar er zat wel authenticatiebeveiliging op". De opsteller van de brief weet dan weer niet dat authenticatiebeveiliging even effectief is als een bordje "verboden toegang"
Maar maak je dat uit op? Er staat dat er authenticatiebeveiliging op zit, dus dan kan je er vanuit gaan dat het wel encrypted zal zijn.
Waarom zouden ze dan de term authenticatiebeveiliging noemen en geen versleutelde data of encrypted data?
omdat de brief overduidelijk niet door iemand met veel IT-kennis is opgemaakt :-)
Of juist wel?

Ik lees het voornamelijk als damage control
De gestolen harde schijf beschikt over authenticatiebeveiliging, maar de gemeente behandelt de diefstal als een datalek conform de voorschriften van de Autoriteit Persoonsgegevens.
En uit de brief:
De schijf is voorzien van authenticatie-beveiliging en de gegevens kunnen niet zonder meer worden uitgelezen. Gelet op het risico dat de beveiliging is of wordt omzeild en de gegevens kunnen worden doorverkocht of gebruikt voor oplichting en (identiteits)fraude, wordt de diefstal van de schijf behandeld als een data-lek conform de voorschriften van de Autoriteit Persoonsgegevens.
Ik neem aan dat ze met 'authenticatiebeveiliging' een vorm van versleuteling bedoelen, maar wie weet. ;)

[Reactie gewijzigd door The Zep Man op 16 april 2021 20:15]

Authenticatiebeveiliging klinkt meer als Windows schijven waar je rechten op moet claimen (en waarvan we ook allemaal weten dat dit heel eenvoudig is). Anders hadden ze wel versleutelde data of encrypted data gebruikt. Dus ik zou er helemaal niet zo maar vanuit gaan dat ze versleutelde data bedoelen. Hopelijk geven ze snel wat meer duidelijkheid.
Dat lijkt mij ook. Als de data versleuteld was, dan hadden ze dat wel in het persbericht gezicht.
Nu is het waarschijnlijk een schijf met NTFS authenticatie.

Het is een brief naar de gemeenteraad. Ze hopen waarschijnlijk dat de raadsleden hiermee genoegen nemen en denken dat het dan niet gelezen kan worden door derden.
Inderdaad zeg. Wij kunnen op onze laptops niet eens iets wegschrijven naar een externe schijf die niet encrypted is. Deze is dan automatisch alleen read only.
Waar zie je dat? Je moet het artikel even goed lezen (neem meer dan die 5 minuten de tijd aub).

Het klinkt als een externe schijf met vingerafdrukscanner of een code. Ben benieuwd of er nog wat meer gedetailleerde info naar buiten gaat komen.
neen hoor, de HD is uit een pc gehaald (die laatste werd gebruikt om te scannen). daar staat geen vingerafdrukscanner op gok ik.
Op 7 april 2021 is geconstateerd dat in het pand van Belastingen Amsterdam aan de Herikerbergweg een harde schijf is gestolen uit een computer die wordt gebruikt voor het scannen van inkomende poststukken.
misschien je eigen tip ter harte nemen ;-)
https://amsterdam.raadsin...20Belastingen%20Amsterdam

[Reactie gewijzigd door Yoshi op 16 april 2021 21:15]

Het weekend daarvoor was nogal lang, Goede vrijdag, Pasen en dan op woensdag concluderen dat er iets ontvreemd is.
Vrijdag vrij, daaropvolgende maandag ook, zo heb je 4 dagen de tijd om in een leeg kantoor een schijf te jatten.
Nette reactie, voor de verandering vergeleken met de landelijke belastingdienst. Laat zien dat er echt nog wel kundig mensen bij de overheid actief zijn.

Slim ook om niet te beschrijven hoe dit is gedaan, want waarschijnlijk een standaard opstelling die men eerst overal moet aanpassen?

En natuurlijk blijft het ook weer een bevestiging dat er nog altijd veel dingen fout gaan bij de Belastingdienst omgang met belastingbetalers, maar dat is niet het meest noemenswaardige aan dit nieuws.

[Reactie gewijzigd door Cio op 16 april 2021 20:36]

Niet dat het veel uitmaakt, maar dit betrof de gemeente Amsterdam (woz, honden, touristenbelasting ed) en niet de belastingdienst.
Nee, goede opmerking. Het is geen verandering t.o.v. eerdere reacties, maar een voorbeeld van hoe het ook kan.
Wel jammer ik zou wel meer willen weten. Er is vast meer te zeggen over de risico's. Gaat het om een bitlocker schijf of daarnaast nog encryptie van de applicatie? Als dat in orde is is er toch niet zoveel aan de hand behalve hardware diefstal?

Vraag voor de encryptie specialisten hier; Theoretisch, als je encryptie type sterk genoeg is, de methode volwassen genoeg dat er geen backdoors (bekend) zijn, en je sleutel lang genoeg dan is je data toch gewoon veilig, zelfs open en bloot in het publieke domein

Tenminste daar ga ik wel vanuit bij het opslaan van mijn eigen data. De backup externe harde schijf in de storage box op het industrieterrein. Als je die hebt zou je er theoretisch niets mee moeten kunnen behalve een disk wipe en de hardware gebruiken om er nieuwe porno op op te slaan.

[Reactie gewijzigd door Zwaai Haai op 16 april 2021 20:33]

Je data is veilig tot er een probleem gevonden wordt in de gebruikte encryptie of tot er snellere/betere computers komen die de encryptie relatief snel kunnen kraken. Uiteindelijk is het een kwestie van tijd.
Talloze contactgegevens, kopieën van identiteitskaarten en zorgpolisbladen behoren, als ze zijn meegestuurd, eveneens tot de buit.
Met kopieën van identitietskaarten kun je ontzettend veel narigheid uithalen en wel zodanig dat je het leven van iemand flink zuur kan maken.

Veilige kopie identiteitsbewijs

Geeft u toch een kopie af? Help dan misbruik van uw identiteitsgegevens voorkomen. U moet bijvoorbeeld uw burgerservicenummer afdekken of doorstrepen.

Een veilige kopie van uw identiteitsbewijs maakt u zo:

Maak in de kopie uw burgerservicenummer onleesbaar, ook in de cijferreeks onderaan.
Schrijf op de kopie dat het een kopie is.
Schrijf op de kopie voor welke instantie of welk product de kopie is bedoeld.
Schrijf op de kopie de datum waarop u de kopie afgeeft.


Bron: https://www.rijksoverheid...komen-met-kopie-id-bewijs
Die veilige kopie geldt bijv. voor afgifte in hotels of bij het huren van een auto. De Belastingdienst moet juist de volledige ID-bewijzen vastleggen.
authenticatiebeveiliging
Elk zinnig file systeem heeft authenticatie beveiliging (zoals ugo rechten en/of ACLs), echter is dat geen encryptie en kan in de meeste gevallen heel simpel de authenticatie beveiliging worden omzeilt.
De kans is groot dat het een Windows bak is met BitLocker aan (mag ik zo hopen), maar dat kan zo te zien ook decrypted worden, wordt wel wat lastiger als je de TPM chip niet meeneemt. Het voelt aan als iemand die niet goed weet wat hij/zij aan het doen is of het juist exact weten.
Dat had ik ook in gedachten, de standaard MS bitlocker. Inderdaad, zonder toegang tot het moederbord wordt dat lastig maar niet onmogelijk. Niets is onmogelijk als je genoeg tijd en geld hebt.
Natuurlijk kan het, de vraag is dat het waard? En ik denk dat je meer geld met de gebruikte computer resources kan verdienden als je ze anders inzet en het qua legaliteit een heel stuk minder lastig zou zijn. Tenzij er op die disk toevallig data staat die significant meer waard is dan de doorsnee persoonlijke info.
Gaat het nou om een externe harde schijf of is de schijf uit een computer of server gehaald?
Als er inderdaad volledige verzoeken om kwijtschelding tussen zitten dan betreft de gestolen info wel wat meer dan in de opsomming is opgenomen.

Een volledig verzoek om kwijtschelding bestaat uit: huurspecificaties, inkomensspecificaties, beschikkingen van de belastingdienst (toeslagen en inkomstenbelasting), volledig bankafschriften van een maand of 3, zorgpolis en informatie over voertuigen van mensen.

Dat alles bij elkaar kan voor veel meer ellende zorgen dan een gemiddeld datalek dat bestaat uit wat contactgegevens.
Het houdt niet op, niet vanzelf...
Even ter verduidelijking:
Het gaat hier om de gemeentelijke belastingen, niet om de belastingdienst.
Dit n.a.v. een aantal reacties die e.e.a. door elkaar halen.

Verder natuurlijk uitzonderlijk slordig om data op een harde schijf zo toegankelijk te maken.

Edit: ik doel op het feit dat data en harddisks nooit zomaar toegankelijk zijn dat het meegenomen kan worden.

[Reactie gewijzigd door TimFelten op 17 april 2021 09:06]


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True