Harde schijf met data van 30.000 mensen gestolen uit belastingpand Amsterdam

Uit een pand van de dienst Belastingen Amsterdam is een harde schijf gestolen die wordt gebruikt bij het scannen van binnengekomen poststukken. Dat meldt wethouder Victor Everhardt aan de gemeenteraad. De harde schijf bevat data van ongeveer 30.000 belastingplichtigen.

De Amsterdamse wethouder voor Financiën en Economische Zaken, Victor Everhardt, schrijft in een brief dat de ontvreemde harde schijf scans bevat van toegestuurde documenten die dateren uit de periode juli 2020 tot en met maart 2021, van ongeveer 30.000 belastingplichtigen.

De schijf bevat heel wat soorten documenten waaronder bezwaren, aangiftes en verzoeken om kwijtschelding. Talloze contactgegevens, kopieën van identiteitskaarten en zorgpolisbladen behoren, als ze zijn meegestuurd, eveneens tot de buit. De gestolen harde schijf beschikt over authenticatiebeveiliging, maar de gemeente behandelt de diefstal als een datalek conform de voorschriften van de Autoriteit Persoonsgegevens. Op 7 april is aangifte gedaan bij de politie, dat aan een onderzoek is begonnen.

Alle betrokken belastingplichtigen waarvan er informatie op de ontvreemde harde schijf stond, krijgen vanaf 19 april een brief toegestuurd waarin het incident wordt meegedeeld, alsook de risico’s die zij hierdoor lopen. In deze brief zal volgens Everhardt ook vermeld staan dat de betrokkenen Belastingen Amsterdam kunnen contacteren om na te gaan welke persoonlijke documenten in hun geval op de gestolen harde schijf staan. De gedupeerden krijgen in de brief ook adviezen mee om potentieel toekomstig misbruik van hun gegevens te herkennen en te voorkomen. Everhardt meldt in zijn brief dat er geen gegevens verloren zijn gegaan en dat eerder opgestuurde poststukken niet opnieuw opgestuurd hoeven worden.

IT-banen

Reacties (141)

141

135

Wijzig sortering

Blokker_1999

Politiek en recht
Datalek

16 april 2021 20:15

Als je de brief zelf leest lijkt er een kans te zijn dat de schijf voorzien was van encryptie

De schijf is voorzien van authenticatie-beveiliging en de gegevens kunnen niet zonder meer worden uitgelezen. Gelet op het risico dat de beveiliging is of wordt omzeild en de gegevens kunnen worden doorverkocht of gebruikt voor oplichting en (identiteits)fraude, wordt de diefstal van de schijf behandeld als een data-lek conform de voorschriften van de Autoriteit Persoonsgegevens.

Daarnaast gaat het hier niet om een externe schijf, maar om een schijf die intern in een PC zat dewelke werd gebruikt voor het scannen van deze documenten:

Op 7 april 2021 is geconstateerd dat in het pand van Belastingen Amsterdam aan de Herikerbergweg een harde schijf is gestolen uit een computer die wordt gebruikt voor het scannen van inkomende poststukken.

Waarom de schijf gestolen is, is uiteraard een raadsel en er wordt ook geen antwoord gegeven op waarom documenten op de computer zijn blijven staan. Het lijkt me dat de procedures daar misschien te kort zijn geschoten daar je zulke documenten zo snel mogelijk op de juiste plaats wenst te krijgen (bijv. een documentsysteem) waarna de lokale kopie kan verwijderd worden. De brief geeft wel aan dat er geen gegevens verloren zijn gegaan wat aantoont dat ze dus op deze computer eigenlijk niet meer nodig waren.

locke960 @Blokker_1999 • 16 april 2021 20:45

Authenticatiebeveiliging hoeft niet automatisch encryptie te betekenen, maar het lijkt me we logisch.

En hoewel die informatie als geruststelling bedoeld is ("het loopt wel los"), knaagt er toch iets.
Hoe aannemelijk is het dat iemand zichzelf wilde verrijken door een harde schijf uit een PC te schroeven, ergens op een kantoor van de belastingdienst? Dat is een activiteit met een hoog risico en een geringe opbrengst. Dat scenario lijkt me niet geloofwaardig.

Het lijkt mij dan waarschijnlijker dat iemand gericht uit was op de informatie op die schijf. Misschien dat die persoon niet wist dat de schijf beveiligd was, maar het kan ook betekenen dat de dader dat wel wist en over een manier beschikt om de beveiliging te omzeilen. Dan zijn de gegevens dus 'echt' gelekt/gestolen.

biteMark @locke960 • 17 april 2021 11:09

Hoe wist die persoon überhaupt op welke harde schijf in welke pc die gegevens stonden? En hoe heeft deze persoon toegang gekregen tot die hardware?

Kan het ook iemand van binnen de organisatie zijn geweest die met die gegevens werkt maar misschien niet wist dat ze ook ergens anders opgeslagen waren?

erikmeuk3 @biteMark • 17 april 2021 14:53

Een schijf volgens de voorschriften wissen kost veel tijd.
Dat is ook de reden, dat ze vaak mechanisch vernietigd worden.
Gebruikte spullen op de plank laten liggen, is een risico.
Je moet ze in een kluis bewaren.
Om aan te tonen dat je er veilig mee om gaat, is alles geregistreerd.
Als dan het vernietigings-bedrijf komt en er ontbreekt een schijf.
Dan kijk je in het logboek en weet je uit wel toestel de schijf kwam.

Urk

@locke960 • 16 april 2021 22:19

Of dat iemand die gegevens gewoon kwijt wilde raken. Dat kan ook al voldoende zijn. Maar zou alleen zin hebben als ze niet ook nog in een ander systeem staan, wat dus al niet aannemelijk is...

RAAF12 @locke960 • 17 april 2021 02:56

Of de schijf zat in een bay die je er zo uit kan trekken. Werd ook veel gebruikt door zaken die de HD na werktijd mee naar huis namen. Kap van PC openschroeven kost niet meer dan een minuut. Een inside job tijdens de middagpauze? Ik fantaseer maar wat.

bierschuit @locke960 • 17 april 2021 10:45

Misschien diefstal in opdracht? Dat gebeurd met kunst ook.
Zal me niets verbazen dat er partijen/mogendheden zijn die bepaalde informatie willen weten en het dan op een vuile manier proberen te verkrijgen.
Ik voel het zelf aan als deels complot denken, vergezocht, maar ik geloof niet dat het altijd het criminele circuit is. Alle beetjes informatie over iemand bij elkaar gesprokkeld maken het beeld van een individu steeds completer...

Arloid @Blokker_1999 • 16 april 2021 20:47

Encryptie is helaas gewoon te kraken, vanaf het moment dat deze schijf ergens wordt ingeplugd is het eigenlijk een kwestie van tijd. Wordt de inhoud met of zonder Encryptie online gezet dan kan je er eigenlijk op wachten tot deze misbruikt wordt.

Die gegevens hebben ze inmiddels bemachtigd, of het nou een week, maand of 10 jaar duurt die gegevens en dus privacy gevoelige data hebben ze op een gegeven moment gekraakt.

bytemaster460 @Arloid • 16 april 2021 21:01

Gewoon te kraken? Ja, als je het met WinZip of WinRar versleutelt. Menig versleuteling gebruikt AES en dan wens ik je veel succes.
Veiligheidsdiensten doen er alles aan om wetten te laten veranderen om encryptie te verzwakken en jij komt hier even vertellen dat encryptie gewoon te kraken is.

Prince @bytemaster460 • 16 april 2021 21:19

Winrar => AES-256
Winzip => AES-128 of AES-256 afhankelijk van keuze

Als je spreekt over de winzip die je in de jaren 19xx kon downloaden, ja die zijn met paar 100 miljoenen hashes per seconde te bruteforcen in een paar uren/dagen/weken afhankelijk van de rekenkracht dat je er tegenaan gooit en de lengte van het wachtwoord.

GertMenkel @Prince • 16 april 2021 21:41

Er zijn voor zowel .rar als . ip implementatieproblemen bekend waardoor veel archieven alsnog veel sneller gekraakt kunnen worden dan AES zou doen vermoeden. Er is bijvoorbeeld een known plaintext-aanval bekend voor ZIP-gecomprimeerde bestanden die maar enkele bekende bytes nodig hebben (denk aan de header van een document). Ook het RAR-format heeft een implementatieprobleem waarmee het mogelijk is om op moderne hardware binnen een maand een archief te kraken, al kan ik de blog post waar de details werden beschreven niet direct terugvinden.

Hoewel AES nog perfect veilig is, moet de software die het algoritme implementeert ook perfect veilig zijn. Archiefsoftware is goed in het kleinmaken van bestanden, maar als je versleuteling wilt toepassen, ben je toch beter versleutelingssoftware gemaakt voor dat gebruik, gebruiken.

bytemaster460 @Prince • 16 april 2021 21:29

Je hebt gelijk, ik bedoelde eigenlijk de passwordprotectie, maar dat staat los van de encryptie.

sjun @Prince • 16 april 2021 22:15

Het zal me niet verbazen als het om een ge-Bitlocker-de schijf gaat. Als het een uit een pc verwijderde schijf betreft. Opmerkelijk toch dat zulke documenten niet meteen vanuit de scans op een zwaar beveiligde netwerkschijf geparkeerd werden zodat bij lokale ontvreemding van materiaal geen klantgegevens ontvreemd hadden kunnen worden.

Waterfietser @sjun • 16 april 2021 22:24

"Opmerkelijk toch dat zulke documenten niet meteen vanuit de scans op een zwaar beveiligde netwerkschijf geparkeerd werden zodat bij lokale ontvreemding van materiaal geen klantgegevens ontvreemd hadden kunnen worden."

Dat dus.

We zijn met man en macht bezig met het beveiligen van data, en dan blijven scans van 30.000 mensen (dat is niet 1 weekje scannen, maar maanden werk wat bij elkaar op 1 plek wordt opgeslagen. Wie krijgt hier de AVG/AP boete van, de belastingbetaler uiteindelijk weer dus. En daarom wordt er zo weinig naar gekeken.

Als je als bedrijf wordt aangesproken op je beleid krijg je miljoenenboete, en als de "gemeente" iets verkeerd doet, ach ja het is belastinggeld.

Verwijderd @Waterfietser • 16 april 2021 23:57

Zag gister kamerlid van der Plas, die wilde een appgroep in Whatsapp om lekker snel alle150 kamerleden te informeren.... het is ook wel dweilen met de kraan open bij de overheid.

mikesmit @Verwijderd • 17 april 2021 07:36

Een app groep met 150 man. Dat word een hoop vage filmpjes en stickers

sympa @Waterfietser • 17 april 2021 20:48

En dan kom je document alsnog in een tmp-directory, in een swapile, een bestandje-om-het-te-kunnen-uploaden. Bestandje meteen gewist maar de datablokken zijn er nog.
Het is heel lastig om te zorgen dat iets geen sporen achterlaat op een computer.

Cergorach @bytemaster460 • 16 april 2021 21:33

AES is geen magisch wondermiddel dat opeens decryptie onmogelijk maakt. AES is er in verschillende smaken die meer of minder makkelijk te decrypten zijn. Iets decrypten is altijd mogelijk. Het ligt er alleen aan hoeveel tijd/resources je er aan wil besteden.

In dit geval hebben we het over een disk uit een computer, welke waarschijnlijk ook het OS bevat, je weet dus al een gedeelte van wat er op die disk staat en waarschijnlijk ook meer dan dat. BitLocker maakt bv. gebruik van AES, maar dat is ook te decrypten (afhankelijk van de gekozen methode van encryptie), zeker als je de fysieke disk in bezit heb. Kijk eens naar John the Ripper, Bitcracker, Hashcat, etc. En bedenk dan dat er enorme farms zijn met duizenden/tienduizenden moderne videokaarten die crytocurrency aan het minen zijn. Die zouden ook kunnen werken aan een decryptie...

De vraag is of de potentiële prive gegevens van 30.000 mensen het waard is om de boel te decrypten op die manier of dat ze er beter Etherium mee kunnen minen...

Sfynx @Cergorach • 16 april 2021 22:12

AES is geen magisch wondermiddel dat opeens decryptie onmogelijk maakt. AES is er in verschillende smaken die meer of minder makkelijk te decrypten zijn. Iets decrypten is altijd mogelijk. Het ligt er alleen aan hoeveel tijd/resources je er aan wil besteden.

Het hele doel van AES is om decryptie zonder de sleutel onmogelijk te maken. In de praktijk kan je iets wat met AES is versleuteld dus ook niet decrypten zonder de sleutel. Ook AES-128 niet, de op papier zwakste vorm.
Tijd en resources zijn hierin niet relevant, want die zijn er nooit genoeg, en al helemaal niet om iets te kunnen decrypten voordat de informatie zelf irrelevant is geworden.

De key space is zo immens groot, het maakt niet uit hoeveel videokaarten je daaraan laat werken. Het enige waar je op kan hopen is dat iemand een fout heeft gemaakt, maar als het algoritme volgens de specificaties is geïmplementeerd met een goede sleutel, succes ermee

[Reactie gewijzigd door Sfynx op 23 juli 2024 20:22]

Arloid @bytemaster460 • 16 april 2021 21:18

Ik ga hier niet een discussie voeren over de nuance van één woord dat in het verkeerde keelgat schiet. Denk dat ik niet hoef uit te leggen dat sommige criminelen decryptie vaardigheden en de middelen hebben om complexere algoritmes dan een .zip bestand te ontcijferen. Zo niet dan wordt het aan een crimineel orgaan doorverkocht die hier wel wat mee kan, waaronder organisaties van landen die niet zo nauw zijn gesteld op de privacy van inwoners van andere landen.

David Mulder @Arloid • 16 april 2021 21:37

Dit gaat niet om een discussie over nuance, dit is basale wiskunde, dat geld net zo goed hier in het westen als in de grootste dictatuur. Als ik jouw (of wie dan ook) een correct geencrypt bestand geef dan is dat niet meer en niet minder dan een volledig random stream aan data. Zoals bytemaster460 correct aangeeft, als het allemaal magisch te kraken was en de overheid stiekem supercomputers heeft van een kaliber waar we nog niet eens van kunnen dromen... dan zouden ze niet zo veel ruzieen over verplichte "backdoors".

Arloid @David Mulder • 16 april 2021 21:56

Ligt er aan, als je het zo leest dan hebben ze 30.000 samples aan data die ze met elkaar kunnen vergelijken. Kwestie van de juiste kennis om de samples van elkaar te scheiden en de techniek die gebruikt is. Dit verlaagd alweer de nodige rekenkracht al zal dat nogsteeds een flinke machine zijn.

David Mulder @Arloid • 16 april 2021 23:21

Punt is dat het *random* is, er is niks te vergelijken. Alles wat je kunt doen is het brute forcen, en op een normale huis tuin en keuze computer heb je het over vele malen de heat death of the universe.

quote: https://www.schneier.com/...9/09/the_doghouse_cr.html
One of the consequences of the second law of thermodynamics is that a certain amount of energy is necessary to represent information. To record a single bit by changing the state of a system requires an amount of energy no less than kT, where T is the absolute temperature of the system and k is the Boltzman constant. (Stick with me; the physics lesson is almost over.)

Given that k = 1.38×10-16 erg/°Kelvin, and that the ambient temperature of the universe is 3.2°Kelvin, an ideal computer running at 3.2°K would consume 4.4×10-16 ergs every time it set or cleared a bit. To run a computer any colder than the cosmic background radiation would require extra energy to run a heat pump.

Now, the annual energy output of our sun is about 1.21×1041 ergs. This is enough to power about 2.7×1056 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all its energy for 32 years, without any loss, we could power a computer to count up to 2192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.

But that’s just one star, and a measly one at that. A typical supernova releases something like 1051 ergs. (About a hundred times as much energy would be released in the form of neutrinos, but let them go for now.) If all of this energy could be channeled into a single orgy of computation, a 219-bit counter could be cycled through all of its states.

These numbers have nothing to do with the technology of the devices; they are the maximums that thermodynamics will allow. And they strongly imply that brute-force attacks against 256-bit keys will be infeasible until computers are built from something other than matter and occupy something other than space.

Soms zijn er truuks die je kunt uitvoeren die het een stuk realistischer maken, stel je voor dat je weet dat de data enkel een nederlands telefoon nummer is of zo, dan zijn er met sommige encrypties handigere opties (niet met AES symmetrische encryptie volgens mij), maar over het algemeen zijn zaken enkel te hacken omdat de encryptie fout was geïmplementeerd (of de verkeerde encryptie voor de verkeerde zaak was gekozen).

[Reactie gewijzigd door David Mulder op 23 juli 2024 20:22]

Arloid @David Mulder • 16 april 2021 23:54

Oké duidelijk, snap nu eindelijk wat jullie nou eigenlijk bedoelen.

bytemaster460 @Arloid • 16 april 2021 21:28

Voor iedere Windows-pc kun je bitlocker inzetten. Er zijn nergens bronnen waaruit blijkt dat men dat gekraakt heeft, laat staan versleutelingen met bijv. Veracrypt.

Cergorach @bytemaster460 • 16 april 2021 21:45

Er zijn nergens bronnen waaruit blijkt dat men dat gekraakt heeft

Je kijkt met je neus!
Al wat ouder document:
https://deepsec.net/docs/...s_GPUs_Elena_Agostini.pdf
https://blog.elcomsoft.co...tecting-your-system-disk/
https://www.youtube.com/watch?v=gue6suh7ZlM

Bitlocker is niet 1 methode, het is de naam van een collectie methoden. Afhankelijk van welke gebruikt wordt, is het makkelijker of moeilijker te decrypten. Als de TPM chip wordt gebruikt is het een heel stuk moeilijker! Sommige noemen het 'infeasible', maar die gaan er van uit dat je hoogstens een paar GPUs gebruikt. Niet bv. een hele cryptofarm en er wordt best veel vernieuwd binnen die hackers/decryptie gemeenschap. Je kan bv. ook FPGAs gebruiken of zelfs ASICs hiervoor ontwikkelen die het alleen maar efficiënter maken. En er zijn zat hackers die voor geen goud voor een overheidsinstantie zouden willen werken (direct of indirect), daarnaast zouden ze buiten die instanties veel beter kunnen verdienen, zeker als ze het illegale circuit in gaan.

Niets is veilig, het enige wat je kan doen is op basis van de waarde van de data, de moeilijkheidsgraad verhogen om de beveiliging te doorbreken.

svane @Cergorach • 17 april 2021 09:28

Al deze attacks zijn gebaseerd op brute-force-attacks. Het mag geen verrassing zijn dat je met een zwak wachtwoord meer risico loopt. Dat weten we allemaal. Een slot op de deur werkt ook niet als je 'm vergeet op slot te doen, of de sleutel onder de deurmat stopt.

Als je wel een sterk wachtwoord hebt (of TPM hebt aanstaan), dan zie ik nog steeds geen bron waar dit gekraakt wordt.

Je opmerking over een hele cryptofarm is niet echt accuraat. Een 256 bit key bruteforcen is echt een stuk moeilijker dan je 't hier laat lijken. 256 bits geeft 1.1579209e+77 mogelijkheden.

Ter vergelijking: er wordt geschat dat er 10^78 to 10^82 atomen in het observeerbare universum zijn, die tel je niet zo 123.

Om aan te geven hoeveel energie dat kost:

Now, the annual energy output of our sun is about 1.21×10^41 ergs. This is enough to power about 2.7×10^56 single bit changes on our ideal computer; enough state changes to put a 187-bit counter through all its values. If we built a Dyson sphere around the sun and captured all its energy for 32 years, without any loss, we could power a computer to count up to 2^192. Of course, it wouldn’t have the energy left over to perform any useful calculations with this counter.

Het verschil tussen een matig password en een goede key, is zo immens groot, dat je deze echt niet met elkaar mag vergelijken. Zo lang we niet weten welke methode hier gebruikt is, valt er niks te zeggen over de kraakbaarheid.

Cergorach @svane • 17 april 2021 19:07

Maar hou er rekening me dat default bitlocker encryptie niet 256bit is.

Horatius @bytemaster460 • 16 april 2021 22:06

@Arloid heeft gewoon gelijk, het is een kwestie van tijd voordat ze die encryptie kunnen kraken.

Encryptie is niet gebouwd op het feit dat het niet te kraken is, dat is namelijk (nog) niet te doen. Encryptie is gebouwd op het feit dat het heel veel werk is om te kraken. Over tijd worden de computers sneller en dus kost het minder tijd om te kraken.

Encryptie is vrij veilig totdat er een fout wordt gevonden in het algoritme om de aanval te versnellen of de computers veel sneller worden. Encryptie is niet de perfecte beveiliging, het is bedoeld om heel erg te vertragen.

bytemaster460 @Horatius • 16 april 2021 22:10

De vraag is alleen wat je ermee bereikt als een supercomputer 40 jaar bezig is met het kraken van een harde schijf met 30,000 belastingdocumenten. Dus ja, theoretisch is alles te kraken maar dat “gewoon” kraken blijkt in de praktijk nogal tegen te vallen.

Horatius @bytemaster460 • 16 april 2021 22:15

Je mist mijn punt.

Vroeger dachten mensen ook dat bepaalde encryptie methodes veilig waren, toen werden er problemen in de algoritmes ondekt en was het niet zo veilig meer. Dit kan ook gewoon gebeuren met de huidige standaarden.

Ook zullen quantumcomputers en andere innovaties misschien de mogelijkheid/kracht gaan bieden om dit wel in een redelijk tijdspanne te kunnen. Oftewel het is gewoon een kwestie van tijd, hoeveel tijd is onzeker.

Maar je verstoppen achter encryptie als perfecte beveiligingstandaard is gewoon dom omdat encryptie daarvoor niet gemaakt is. Encryptie is niet perfect.

bytemaster460 @Horatius • 17 april 2021 10:55

Ik denk dat je mijn punt mist. Er werd gezegd dat encryptie “gewoon” te kraken is. Het zal best dat dat in de toekomst gemakkelijker wordt, maar om nu te zeggen dat encryptie gewoon te kraken is slaat nergens op. Er moet nog heel veel gebeuren voordat we encryptie gewoon kunnen kraken.

Backxs @Horatius • 17 april 2021 11:11

Hoewel het natuurlijk theoretisch mogelijk is om elke encryptie te kraken, moet niet vergeten worden dat dit ook onwijs veel geld kan kosten en daarnaast ook tijd (en tijd is geld). Ik ga hier net als jij doet dan toch maar even buiten wat realistisch is:

Jij hebt het over quantumcomputers en mogelijke andere innovaties, maar hoe lang duurt het voor deze überhaupt beschikbaar zijn voor petty hackers? Jaren en jaren, waarschijnlijk zelfs decennia. Oké, super tof het is ontwikkelt. In plaats van de 2k jaar die het duurt om het nu te kraken is er nog maar bijv. 20 jaar nodig om deze bestanden te kraken. Hoeveel later zijn we dan? Is het nog wel realistisch om op jouw manier een dergelijk debat te voeren?

Bovendien hoeveel moet het hen wel niet kosten om deze middelen aan te schaffen?
Hoeveel moet het hen wel niet kosten om dergelijke computers te draaien om dergelijke bestanden te kraken?

Een paar andere random toevoegingen:
In die tijd zullen ook nieuwe encryption innovaties hebben plaatsgevonden, dus zal dan niet voor nieuwere data (of oudere data met nieuwe encryptie) het probleem gewoon verschuiven in tijd?
Het is zelfs mogelijk dat de gestolen data bij de dief vernietigd kan worden voordat het gekraakt is.

Dan nog de vraag aan jou: wat is dan wel een perfect beveiligingsmiddel of standaard? en hoeveel scheelt dit van de niet perfecte encryptie qua standaard?

Maar he, in theorie is alles mogelijk; Ik fantaseer ook graag. Ik ben ook zeker benieuwd wat voor veranderingen een quantumcomputer gaat brengen.

dnrb @Backxs • 17 april 2021 20:28

Ik denk dat je even naar de reactie van David Mulder moet kijken... en dan bedenken dat een groot deel van de telefoonnummers met 06 of 00316 zal beginnen, En zeker in het laatste geval heb je al best wat info over de encryptie. Als er ook een apart veld voor tussenvoegsels is gebruikt dan wordt het nog makkelijker, aangezien het aantal tussenvoegsels (inclusief buitenlandse) beperkt is. Maar nog veel belangrijker de gemiddelde frequentie van tussenvoegsels in Nederlandse databases te achterhalen is.
En voor de duidelijkheid ik heb nog nooit een database meegemaakt waarbij de tabel en kolom namen encrypted waren. Dit maakt het makkelijk om te weten wat voor data is versleuteld.
Met wat slimme analyses wordt de versleuteling in ieder geval deels al gebroken in dit soort gevallen.

Backxs @dnrb • 18 april 2021 13:29

Natuurlijk zijn er trucs toe te passen en geluk kan ook een rolspelen als je een beetje creatief algoritme ontwerpt. Een probleem blijft echter nog steeds dat het nog maar de vraag is wat de waarde van de inhoud van het encrypte is naar het verloop van die tijd voor die persoon die het hackt, want het kraken van dergelijk gegevens zal in ieder geval niet snel gaan; zie de vele reacties van andere Tweakers. Natuurlijk zijn er genoeg documenten die hun waarde en dergelijke behouden, maar blijft nog steeds een afgezet tegen de kosten die geïnvesteerd moeten worden om het te kraken.

Jouw comment blijft valide, maar mijn eerdere comment was vooral kritiek op Randomguy369 en zijn benadering van deze discussie door te zeggen een encryptie niet perfect is (ofcourse, maar wat wel?) en in de toekomst dit allemaal anders is (ja, maar andere dingen zijn t.z.t ook anders).

ninjazx9r98 @bytemaster460 • 17 april 2021 13:05

Tot de supercomputer die volgende week/maand/jaar op de markt komt en het binnen 24 uur kan. Bij sommige gestolen data zijn daar nu al zorgen over. Bij sommige data hoeft het het geen probleem te zijn om die jaren te bewaren tot het eenvoudig te kraken is. Er zijn ook vermoedens dat geheime diensten massaal data bewaren die vandaag nog niet kraakbaar is maar over een X periode wel.

[Reactie gewijzigd door ninjazx9r98 op 23 juli 2024 20:22]

bytemaster460 @ninjazx9r98 • 17 april 2021 13:55

Klopt, maar we hebben het hier over 30.000 brieven van de gemeente en niet over de procedure om kernraketten te lanceren. Men heeft deze gegevens versleuteld met een in de nabije toekomst niet of nauwelijks te kraken versleuteling. Dan heb je er aan gedaan wat op dit moment mogelijk is. Iedere andere vorm van beveiliging van de gegevens is kwetsbaarder. Een brandkast of archiefkast heb je sneller open.

Mathi159 @bytemaster460 • 16 april 2021 21:32

Een kwestie van tijd kan ook simpelweg een nieuw ontdekte kwetsbaarheid betekenen natuurlijk. Nee, zodra gegevens, beveiligd of niet, in verkeerde handen vallen is er eerder de vraag of de beveiliging opweegt tegen de waarde van de data (tegen de tijd dat deze gekraakt kan worden) dan te doen alsof die data onkraakbaar is.

bytemaster460 @Mathi159 • 16 april 2021 21:43

Dat klopt, alleen moet de data wel hééél waardevol als je een poging gaat doen om AES te kraken.
Het ging mij om de simpele uitspraak “encryptie is gewoon te kraken”. Het is niet gewoon te kraken. Daar moet je heel zwaar geschut voor meebrengen als je het hebt over professionele encryptie.

theduke1989 @bytemaster460 • 17 april 2021 10:13

Hoe zit dat als de schijf met bitlocker is beveiligd. Bij ons altijd vervelend wanneer we een Lenovo-update uitvoeren bij onze Lenovo M920Q achteraf bij reboot altijd de bitlocker scherm tevoorschijn komt en we dus in Azure de code moeten opzoeken. Hoe werkt dat. Kan me voorstellen wanneer hij deze ergens inplugt er een bitlocker scherm moet komen ?

ninjazx9r98 @bytemaster460 • 17 april 2021 13:01

Je vergeet de factor tijd. Wat vandaag niet gekraakt kan worden kan dat morgen, overmorgen of volgend jaar wel. Het is dan afhankelijk van de data of dat een probleem is of niet.

bytemaster460 @ninjazx9r98 • 17 april 2021 13:51

Nee die vergeet ik niet. Jij hebt het over “gewoon” kraken. Een supercomputer enkele tientallen jaren laten rekenen noem ik niet “gewoon kraken”. Daarnaast wordt er nu ook al weer gewerkt aan algoritmes die ook door quantumcomputers niet zomaar gekraakt kunnen worden. Encryptie blijft dus een kat en muis spel.

ninjazx9r98 @bytemaster460 • 17 april 2021 15:09

Een disk die vandaag gestolen wordt heeft niet een algoritme waar nu nog aan gewerkt wordt. Als ik de disk nu steel en in een kast leg dan komt daar geen beter en nieuwer algorithme op en kan ik over vijf of tien jaar proberen te kraken met technieken waar we dan de beschikking over hebben. Dat is de factor tijd die je vergeet, een algoritme uit het verleden met de techniek van vandaag.

bytemaster460 @ninjazx9r98 • 17 april 2021 16:34

Alleen zorgt die factor tijd er ook voor dat die data waardeloos wordt. Er is geen hond die nog gaat betalen voor jaren oude gemeentelijke belastingdata. Als je zo gaat denken kun je nergens meer data opslaan. Niet analoog en niet digitaal. We zullen dus een bepaald risico moeten aanvaarden en dan is het risico met professionele versleuteling het kleinst.

Titan_Fox @Arloid • 17 april 2021 09:34

Probeer jij maar een een harde schijf te kraken die beveiligd is met BitLocker of LUKS. Het enige dat je kunt doen is afwachten tot daar praktische exploits voor worden gevonden.

Dik kans dat dit nog zó lang duurt dat het gros van de mensen wiens gegevens op die schijf staan op een begeven moment is overleden en hun gegevens daarmee waarschijnlijk grotendeels waardeloos worden.

osmosis @Titan_Fox • 17 april 2021 11:20

Liever bitlocker dan LUKS

Met wat geluk is het gekoppeld aan een online MS account.
Nog een beetje extra geluk en wat social engineering en/of MITM en je kan daarbij komen.

mrdemc @Blokker_1999 • 16 april 2021 21:00

Is dat niet misschien 'lost in translation' en eigenlijk een HDD geweest die in een MFP heeft gezeten? Die dingen slaan ook alles op wat er wordt gescanned namelijk op de schijf lokaal, ook als de scan daarna naar een netwerkmap wordt gestuurd of een e-mailadres.

TheekAzzaBreek @mrdemc • 16 april 2021 22:13

Die wissen doorgaans alles na x tijd, om vollopen te voorkomen. Meestal is x een dag.

mrdemc @TheekAzzaBreek • 16 april 2021 22:55

Dat zal je tegenvallen, afhankelijk van de MFP, bevatten ze soms jaren aan data. Bijvoorbeeld HP, Ricoh, Lexmark en xerox MFP’s hebben zulke schrijven aanwezig. In sommige gevallen is er encryptie aanwezig op de HDD. In enkele gevallen wordt het automatisch opgeslagen en in sommige gevallen gaat het om een ‘store to disk’ functionaliteit.

derx666 @mrdemc • 17 april 2021 09:06

Op de meeste moderne mfp's (ik heb voornamelijk kennis van moderne Xerox, maar neem aan dat de rest hetzelfde doet) zijn de hdd's aes encrypted. Verder worden ook standaard alle opdrachten die verwerkt zijn overschreven (meerdere malen overschrijven is in te stellen). Daarnaast kan de schijf (nja, niet de hele schijf, maar de jobdata partitie) ook nog periodiek extra overschreven worden.
Niettemin zou ik mfp's altijd als een risicofactor zien in m'n netwerk. Bij veel organisaties gaan printjobs/scan jobs nog steeds unencrypted over de lijn. Ook is het niet heel lastig om tegen de receptioniste te zeggen dat je even langskomt voor de printstoring, eenmaal bij de machine even een geprepareerde router/rpi/whatever tussen printer en netwerk, en je hebt alle data die je wil hebben.
Wordt er nog van ldap gebruik gemaakt om even makkelijk email adressen van je collega's te zoeken is er ook meteen een account met AD toegang incl wachtwoord, en zo kan ik nog wel even doorgaan.

Oftewel aparte vlans, 802.1x en de netwerkpoorten vooral niet vertrouwen.

wankel @mrdemc • 17 april 2021 16:26

Is dat niet misschien 'lost in translation' en eigenlijk een HDD geweest die in een MFP heeft gezeten? Die dingen slaan ook alles op wat er wordt gescanned namelijk op de schijf lokaal, ook als de scan daarna naar een netwerkmap wordt gestuurd of een e-mailadres.

Ik zou niet raar opkijken als het 'lost in garbage was'; MFP wordt weggedaan, iemand vindt dat jammer maar heeft geen ruimte om het hele ding op z'n kamer te zetten en schroeft de HDD en RAM eruit. Paar dagen later realiseert iemand (anders) zich dat er misschien wel scans gecached zijn op het apparaat (of misschien wijst de vuilverwerker ze op de correcte procedure om zo'n MFP aan te bieden) en komen ze er bij het datavernietigen achter dat de schijf ontbreekt uit het apparaat.

Dat ze weten dat het 30.000 mensen betreft is dan wel weer knap!

marlintt @Blokker_1999 • 16 april 2021 20:24

Tot slot zijn er geen gegevens of documenten verloren gegaan door de diefstal. Eerder opgestuurde poststukken hoeven dus niet opnieuw te worden gestuurd.

Dit kan natuurlijk ook gewoon betekenen dat de originele poststukken nog aanwezig zijn, en dat het werk verricht tot nu toe gewoon opnieuw kan worden gedaan.
Er staat in de brief niet dat de gedigitaliseerde data ook al ergens anders is opgeslagen.

Blokker_1999

Politiek en recht
Datalek

@marlintt • 16 april 2021 20:26

Ik mag hopen dat poststukken van een jaar geleden toch echt al lang op hun plaats zijn gekomen. Een computer om ze digitaal op te slaan is een beetje zinloos, die horen gewoon in een DMS te zitten zodat alle betrokkenen binnen de dienst deze kunnen raadplegen, maar ook zodat de nodige backups gemaakt kunnen worden. Als je ze puur gaat digitaliseren en ze dan enkel op die computer laat staan dan ben je gewoon met bezigheidstherapie voor 1 persoon bezig.

rob12424 @Blokker_1999 • 16 april 2021 21:18

Jep, maar waarom wordt er specifiek een schijf uit een specifieke pc gestolen. Lijkt mij dat je dan nog zoveel encryptie hebt en versleuteling. Het is mij een iets te gericht target. Oftewel ze weten de beveiliging of kennen iemand die hem weet. Want waarom ga je anders specifiek deze schijf stelen. Als je weet wat er op staat heb je de info waarschijnlijk gezien en als je de info gezien hebt, heb je er toen ook bij kunnen komen.

Dit lijkt mij een inside job of een gerelateerde inside job

Verwijderd @rob12424 • 16 april 2021 21:31

In mijn beheerderstijd rond 2000, werden er regelmatig geheugenmodules , hardeschijven, CD-branders uit PC's of zelfs hele PC's ontvreemd. Toendertijd was het "beveiligen" van PC's met een hangslot niet abnormaal. Ook nu hoeft het de dieven niet te gaan om de data. Misschien was het wel een harde schijf van 8TB, waarvan zij dachten die beter te kunnen gebruiken in hun thuisPC of te kunnen verkopen voor een vriendenprijsje.

PalingDrone @Blokker_1999 • 16 april 2021 21:11

Ik gok dat dit weleens een van de oudste computers van de gemeente geweest kan zijn, iets met scanners wat al jaren draait en alleen voor digitaliseren gebruikt wordt is nou niet iets was snel vervangen wordt zolang het nog werkt.
Schrik iig niet wanneer over een paar dagen blijkt dat die postkamerpc een enorm verouderd OS draaide waar toevallig de scanner nog wel mee werkte en zolang het niet "aan internet" hangt ziet men de noodzaak om zo'n single task machine te vervangen gewoon vaak niet.
Zo'n ding kan tot in de eeuwigheid gedigitaliseerde documenten het systeem in duwen.
De technische kennis van de briefschrijvende wethouder acht ik ook niet op hetzelfde level als een random nerd hier op Tweakers, hij verwoord ook maar wat hij van "IT" te horen heeft gekregen en communiceert dat naar buiten. Sowieso gaat het om een klein jaar aan inkomende poststukken, bizar dat dat blijft hangen op de schijf van een postkamer scan bak.

Arloid @Blokker_1999 • 16 april 2021 20:38

Het kan ook gewoon een raid server zijn geweest, daar zou best 2-4 harddisks in raid kunnen draaien zodat er weinig risico op dataverlies is bij falen. Hoe de data dan gefractureerd is maakt dan eigenlijk niet zo heel veel uit, die knipsels plakken ze weer bij elkaar met eventuele andere gelekte data.

Blijft wel hopen dat die data echt tot de laatste bit aan gort versnipperd is, heb eigenlijk niet zo'n vertrouwen meer in ambtelijk beleid.

[Reactie gewijzigd door Arloid op 23 juli 2024 20:22]

sourcecode @Blokker_1999 • 16 april 2021 20:59

bitlocker ?

n4m3l355 @Blokker_1999 • 17 april 2021 09:00

Men geeft aan dat je data desalniettemin niet veilig is. Dus hoewel de schijf encrypted is, wilt men niet aangeven wat voor encrypted, maar gezien de opmerking dat je data toch misbruikt kan worden geeft aan dat de encryptie zeer beperkt is.

Buiten dat dus publieke gevoelige data 9 maanden op deze schijf staat, is deze ook niet eens fatsoenlijk digitaal noch hardware matig beveiligd. Dit zijn toch weer eens drie flinke flaters op een rij.

Wanneer gaan we de individuen verantwoordelijk houden voor wat hier gebeurd is? Hardware dat slecht ingesteld is, hardware waar dieven zomaar mee weg kunnen lopen, dit geeft toch wel weer veel vertrouwen in de overheid.

elmuerte 16 april 2021 20:10

Ik geloof hier echt niks van. Dus iemand heeft dus ingebroken, een desktop gezocht, deze geopend en daaruit 1 harddisk er uit geschroefd, en toen weer vertrokken? En men weet exact wat er op deze disk staat?

Mel33 @elmuerte • 16 april 2021 20:16

Ik vermoed in een serverruimte een raid 5 opstelling, en de schijft er gewoon uitgetrokken.

[Reactie gewijzigd door Mel33 op 23 juli 2024 20:22]

robni7 @Mel33 • 16 april 2021 20:27

Vergeef me als dit een "wooosh" is, maar in dat geval kan er toch niets noemenswaardigs van data van dat RAID-lid gehaald worden? Vooral niet als de schijf ook nog versleuteld was zoals aangegeven.

Scriptkid @robni7 • 16 april 2021 21:06

dit riekt meer naar een rogue admin die de disk heeft doorverkocht en dan natuurlijk ook met de decrypty sleutels er bij.

Welke inbreker of gelegenheids dief pakt er nu een disk uit een pc als je de hele pc / server zo mee kan nemen.

veltnet @Scriptkid • 19 april 2021 09:46

denk je nu echt dat de belastingsdienst encryptie gebruikt?

Scriptkid @veltnet • 19 april 2021 10:50

dat weet ik wel zeker,

laatste keer dat ik inlogde was de site toch echt HTTPS

Derkades @Scriptkid • 20 april 2021 23:52

At-rest disk encryptie is wel heel wat anders dan HTTP transport encryptie

Scriptkid @Derkades • 21 april 2021 07:56

denk je nu echt dat de belastingsdienst encryptie gebruikt?

het is een humor vraag neem ik aan, krijg je een humor antwoord.

Mel33 @robni7 • 16 april 2021 20:31

Is dat dan de Authenticatie die erop zit, ...bij een raid opstelling misschien?

SirNobax @Mel33 • 16 april 2021 20:27

in een serverruimte een raid 5 opstelling, en de schijft er gewoon uitgetrokken.

Er staat schijf, niet schijven. Zonder de de data van minstens één andere disk kan je niets met een enkele schijf uit een raid5 array en valt er ook niets te rebuilden.

Ik verwacht daarnaast niet dat ze met raid5 aanklooien op hun servers (laat staan raid5 met 3 disks)

. Vanuit het bericht lijkt het om een standalone scratchdisk te gaan.

[Reactie gewijzigd door SirNobax op 23 juli 2024 20:22]

bytemaster460 @Mel33 • 16 april 2021 21:06

Dit is waarschijnlijk gewoon een pc die onderdeel is van de scanstraat voor een DMS welke gewoon niet geleegd wordt. Iemand die op de hoogte was van de inhoud heeft zijn kans gegrepen.

SpiriTNL

@Mel33 • 16 april 2021 21:08

Raid 5 gaat niet werken, dan heb je minimaal 3 schijven nodig.
Raid 1 kan wel.

Kryziek @elmuerte • 16 april 2021 20:13

Misschien wel een externe harde schijf, zou wel logischer zijn. Zou wel duidelijker verwoord kunnen worden inderdaad

Xfade @Kryziek • 16 april 2021 20:21

Het document leest

een harde schijf is gestolen uit een computer die wordt gebruikt

.
Extern zou logischer zijn idd, maar doet niet vermoeden.
Met voorbedachte rade gestolen denk ik zo.

[Reactie gewijzigd door Xfade op 23 juli 2024 20:22]

Division @Xfade • 16 april 2021 20:30

Ja dat lees ik er ook in. Het ruikt zelfs eerder naar "bewijslast weghalen" dan naar info vergaren, het weghalen van deze specifieke hardware.

maqish @Division • 17 april 2021 08:38

Maar ze zeggen dat de data niet verloren is en documenten niet opnieuw verzonden hoeven te worden.

Dus als het om bewijslast weghalen ging dan is dat mislukt.

supersnathan94

Datalek
Politiek en recht

@Xfade • 17 april 2021 10:57

Een usb kabel verwijderen uit de computer zie ik daar ook nog wel onder vallen. Neemt niet weg dat dit express wel vaag omschreven kan zijn.

K-aroq @Kryziek • 16 april 2021 21:18

En die zou ook gewoon gejat kunnen zijn omdat iemand een externe harde schijf zag liggen en wilde hebben. Geeneens vanwege de data die er misschien op staat. Misschien is het ding al lang geformatteerd.

yvez

@elmuerte • 16 april 2021 20:17

Weten wat er op een disk staat zou wel heel normaal moeten zijn als ze hun zaakjes -blijkbaar niet de beveiliging- enigszins op orde hebben.

Cergorach @yvez • 16 april 2021 20:31

Dat is veel te kort door de bocht. Het kan bv. prima zo zijn dat wat ze hebben ingescant met die PC nu in een database zit, maar niet in die database staat door welk werkstation dat is ingescant en of het wel door de Belastingdienst Amsterdam is ingescand. Het kan dan wel even duren voordat je dat exact boven water hebt. Ik weet niet exact hoe dat technisch inelkaar steekt, maar zo weet jij dat ook niet...

Zeg, werk jij niet bij een toko die twee weken geleden juist een half miljoen boete kreeg ivm. het niet tijdig melden van een datalek> Pot... Ketel... ;-)

yvez

@Cergorach • 16 april 2021 21:56

Nee, werk ik niet... bovendien snap ik niet wat je kort door de bocht vindt.

Normaal gesproken weet je waar dingen centraal opgeslagen worden en weet je wie er toegang geeft tot die data...zo weet je, bv, dat alleen rol x toegang heeft tot data y...hoe groot het aantal x is maakt niet uitz je kan het dus pinpointen.

Ik weet idd niet de details, en ik pretendeerde dat ook niet...wat ik simpelweg zei is; normaal gesproken weet je waar bepaalde date is opgeslagen en wie daar toegang tot heeft. Dat is security 101....dus ik snap niet goed wat je nu probeert te zeggen.

Blokker_1999

Politiek en recht
Datalek

@elmuerte • 16 april 2021 20:18

Gelegenheid maakt de dief? Er zijn verschillende redenen te bedenken en verschillende opties van wat er exact gebeurd is. Zonder meer details is het evenwel allemaal speculatie.

Dat men weet om welke documenten het gaat is op zich niet zo vreemd. Met een goed documentenbeheersysteem kan je die ze identificeren. Alle documenten geupload van computer X sinds de datum dat die computer wordt ingezet voor deze specifieke taak danwel de laatste keer dat deze een clean install heeft gehad. Beetje DMS kan je zo een lijst geven.

theobril @Blokker_1999 • 16 april 2021 21:15

"Gelegenheid maakt de dief" gebruik je als je makkelijk kunt scoren, bv een portenmonnee in een openstaande onbewaakte tas zien zitten en dan besluit je dat dit je geluksdag is. Een pc openschroeven is geen "gelegenheid."

-jacQues- @elmuerte • 16 april 2021 20:31

Ik geloof het wel. Zo ken ik een geval van iemand die in een bankfiliaal inbrak en een PC meenam. Nu verjaard. Bij de vraag "was er ook een pinautomaat?" doodleuk het antwoord "oh ja, klopt, niet aan gedacht, ik had gewoon een nieuwe computer nodig". lol

Dit zou best een geval kunnen zijn van "hey 16TB, dat heb ik nodig" en thuis formatteren terwijl iedereen zich druk maakt over de (versleutelde) gegevens.

dakka @elmuerte • 16 april 2021 21:02

grote kans dat er iemand bewijs wou vernietigen

twiFight @elmuerte • 16 april 2021 21:08

Kan ook een medewerker van die afdeling zijn geweest he. Als die zonder toestemming een harde schijf meeneemt dan is dat evengoed diefstal.

K-aroq @elmuerte • 16 april 2021 21:18

Waarom zou het om de inhoud van de disk gaan? Het zal de eerste keer niet zijn dat er gewoon disks worden gestolen omdat de dief disks wil hebben. Er staat trouwens niet dat er ingebroken is. Hoe weet jij dat er ingebroken is?

[Reactie gewijzigd door K-aroq op 23 juli 2024 20:22]

renevanh @elmuerte • 16 april 2021 22:18

Hot Swappable disk uit de afdelingsserver?
Geen idee hoe het daar geregeld is, maar kan me er iets bij voorstellen.

sjun @elmuerte • 16 april 2021 22:18

Ik zou ook meer aan een GGD-gevalletje dus interne diefstal van gegevens gedacht hebben. Als de ruimte met pasjes toegankelijk is kunnen de logfiles van het pasjessysteem een aardige verwijzing bieden naar de dader. Maar ja, als...

pekeltje 16 april 2021 20:12

Waarom word deze data unencrypted opgeslagen?

Edit: Blijkbaar over de authenticatie gelezen.

[Reactie gewijzigd door pekeltje op 23 juli 2024 20:22]

Blokker_1999

Politiek en recht
Datalek

@pekeltje • 16 april 2021 20:19

Waar haal jij uit dat de data niet encrypted is? De brief zelf is geschreven door iemand die niet technisch is maar lijkt er net op te hinten dat encryptie mogelijks wel aanwezig is.

theobril @Blokker_1999 • 16 april 2021 21:10

Ik mag toch hopen dat er bij een issue als dit een technisch iemand meeschrijft? Anders is er een andere goede reden om boos te worden. Door de vage omschrijving wordt er veel onrust veroorzaakt. Ook is mij niet duidelijk wat er mis is met openheid in dezen.
Maar misschien heeft een communicatiejurk m/v geleerd dat je beter een dag later met details kan komen, dan zijn er al weer andere headlines, en is jouw gepruts deels uit het zicht.

K-aroq @theobril • 16 april 2021 21:16

Als je een techneut laat meeschrijven is het voor 99% van de bevolking een vage omschrijving.

theobril @K-aroq • 16 april 2021 21:20

Er staat "meeschrijven", niet "schrijven", ik denk dat je overdrijft.

Brahiewahiewa @Blokker_1999 • 17 april 2021 14:10

Waar haal jij uit dat de data niet encrypted is? De brief zelf is geschreven door iemand die niet technisch is maar lijkt er net op te hinten dat encryptie mogelijks wel aanwezig is.

Waar haal jij uit de dat de data wel encrypted is? Kans is m.i. groot dat de opsteller van de brief gevraagd heeft: "Is de data encrypted?" en het antwoord was: "Nee, die was niet encrypted maar er zat wel authenticatiebeveiliging op". De opsteller van de brief weet dan weer niet dat authenticatiebeveiliging even effectief is als een bordje "verboden toegang"

AW_Bos

@pekeltje • 16 april 2021 20:16

Maar maak je dat uit op? Er staat dat er authenticatiebeveiliging op zit, dus dan kan je er vanuit gaan dat het wel encrypted zal zijn.

hiostu @AW_Bos • 16 april 2021 20:50

Waarom zouden ze dan de term authenticatiebeveiliging noemen en geen versleutelde data of encrypted data?

Yoshi @hiostu • 16 april 2021 21:14

omdat de brief overduidelijk niet door iemand met veel IT-kennis is opgemaakt :-)

Rolfie

@Yoshi • 17 april 2021 09:41

Of juist wel?

Ik lees het voornamelijk als damage control

The Zep Man

Datalek
Politiek en recht

@pekeltje • 16 april 2021 20:14

De gestolen harde schijf beschikt over authenticatiebeveiliging, maar de gemeente behandelt de diefstal als een datalek conform de voorschriften van de Autoriteit Persoonsgegevens.

En uit de brief:

De schijf is voorzien van authenticatie-beveiliging en de gegevens kunnen niet zonder meer worden uitgelezen. Gelet op het risico dat de beveiliging is of wordt omzeild en de gegevens kunnen worden doorverkocht of gebruikt voor oplichting en (identiteits)fraude, wordt de diefstal van de schijf behandeld als een data-lek conform de voorschriften van de Autoriteit Persoonsgegevens.

Ik neem aan dat ze met 'authenticatiebeveiliging' een vorm van versleuteling bedoelen, maar wie weet.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 20:22]

hiostu @The Zep Man • 16 april 2021 20:50

Authenticatiebeveiliging klinkt meer als Windows schijven waar je rechten op moet claimen (en waarvan we ook allemaal weten dat dit heel eenvoudig is). Anders hadden ze wel versleutelde data of encrypted data gebruikt. Dus ik zou er helemaal niet zo maar vanuit gaan dat ze versleutelde data bedoelen. Hopelijk geven ze snel wat meer duidelijkheid.

mjtdevries @hiostu • 17 april 2021 18:38

Dat lijkt mij ook. Als de data versleuteld was, dan hadden ze dat wel in het persbericht gezicht.
Nu is het waarschijnlijk een schijf met NTFS authenticatie.

Het is een brief naar de gemeenteraad. Ze hopen waarschijnlijk dat de raadsleden hiermee genoegen nemen en denken dat het dan niet gelezen kan worden door derden.

hiostu @pekeltje • 16 april 2021 20:15

Inderdaad zeg. Wij kunnen op onze laptops niet eens iets wegschrijven naar een externe schijf die niet encrypted is. Deze is dan automatisch alleen read only.

Nyarlathotep @pekeltje • 16 april 2021 20:35

Waar zie je dat? Je moet het artikel even goed lezen (neem meer dan die 5 minuten de tijd aub).

Het klinkt als een externe schijf met vingerafdrukscanner of een code. Ben benieuwd of er nog wat meer gedetailleerde info naar buiten gaat komen.

Yoshi @Nyarlathotep • 16 april 2021 21:15

neen hoor, de HD is uit een pc gehaald (die laatste werd gebruikt om te scannen). daar staat geen vingerafdrukscanner op gok ik.

Op 7 april 2021 is geconstateerd dat in het pand van Belastingen Amsterdam aan de Herikerbergweg een harde schijf is gestolen uit een computer die wordt gebruikt voor het scannen van inkomende poststukken.

misschien je eigen tip ter harte nemen ;-)
https://amsterdam.raadsin...20Belastingen%20Amsterdam

[Reactie gewijzigd door Yoshi op 23 juli 2024 20:22]

PalingDrone @Yoshi • 16 april 2021 21:26

Het weekend daarvoor was nogal lang, Goede vrijdag, Pasen en dan op woensdag concluderen dat er iets ontvreemd is.
Vrijdag vrij, daaropvolgende maandag ook, zo heb je 4 dagen de tijd om in een leeg kantoor een schijf te jatten.

Cio 16 april 2021 20:23

Nette reactie, voor de verandering vergeleken met de landelijke belastingdienst. Laat zien dat er echt nog wel kundig mensen bij de overheid actief zijn.

Slim ook om niet te beschrijven hoe dit is gedaan, want waarschijnlijk een standaard opstelling die men eerst overal moet aanpassen?

En natuurlijk blijft het ook weer een bevestiging dat er nog altijd veel dingen fout gaan bij de Belastingdienst omgang met belastingbetalers, maar dat is niet het meest noemenswaardige aan dit nieuws.

[Reactie gewijzigd door Cio op 23 juli 2024 20:22]

Burns @Cio • 16 april 2021 20:30

Niet dat het veel uitmaakt, maar dit betrof de gemeente Amsterdam (woz, honden, touristenbelasting ed) en niet de belastingdienst.

Cio @Burns • 16 april 2021 20:37

Nee, goede opmerking. Het is geen verandering t.o.v. eerdere reacties, maar een voorbeeld van hoe het ook kan.

Zwaai Haai @Cio • 16 april 2021 20:33

Wel jammer ik zou wel meer willen weten. Er is vast meer te zeggen over de risico's. Gaat het om een bitlocker schijf of daarnaast nog encryptie van de applicatie? Als dat in orde is is er toch niet zoveel aan de hand behalve hardware diefstal?

Vraag voor de encryptie specialisten hier; Theoretisch, als je encryptie type sterk genoeg is, de methode volwassen genoeg dat er geen backdoors (bekend) zijn, en je sleutel lang genoeg dan is je data toch gewoon veilig, zelfs open en bloot in het publieke domein

Tenminste daar ga ik wel vanuit bij het opslaan van mijn eigen data. De backup externe harde schijf in de storage box op het industrieterrein. Als je die hebt zou je er theoretisch niets mee moeten kunnen behalve een disk wipe en de hardware gebruiken om er nieuwe porno op op te slaan.

[Reactie gewijzigd door Zwaai Haai op 23 juli 2024 20:22]

ninjazx9r98 @Zwaai Haai • 17 april 2021 13:12

Je data is veilig tot er een probleem gevonden wordt in de gebruikte encryptie of tot er snellere/betere computers komen die de encryptie relatief snel kunnen kraken. Uiteindelijk is het een kwestie van tijd.

Sieginator 16 april 2021 20:27

Talloze contactgegevens, kopieën van identiteitskaarten en zorgpolisbladen behoren, als ze zijn meegestuurd, eveneens tot de buit.

Met kopieën van identitietskaarten kun je ontzettend veel narigheid uithalen en wel zodanig dat je het leven van iemand flink zuur kan maken.

Veilige kopie identiteitsbewijs

Geeft u toch een kopie af? Help dan misbruik van uw identiteitsgegevens voorkomen. U moet bijvoorbeeld uw burgerservicenummer afdekken of doorstrepen.

Een veilige kopie van uw identiteitsbewijs maakt u zo:

Maak in de kopie uw burgerservicenummer onleesbaar, ook in de cijferreeks onderaan.
Schrijf op de kopie dat het een kopie is.
Schrijf op de kopie voor welke instantie of welk product de kopie is bedoeld.
Schrijf op de kopie de datum waarop u de kopie afgeeft.

Bron: https://www.rijksoverheid...komen-met-kopie-id-bewijs

bytemaster460 @Sieginator • 16 april 2021 21:08

Die veilige kopie geldt bijv. voor afgifte in hotels of bij het huren van een auto. De Belastingdienst moet juist de volledige ID-bewijzen vastleggen.

Dorank 16 april 2021 20:33

authenticatiebeveiliging

Elk zinnig file systeem heeft authenticatie beveiliging (zoals ugo rechten en/of ACLs), echter is dat geen encryptie en kan in de meeste gevallen heel simpel de authenticatie beveiliging worden omzeilt.

Cergorach @Dorank • 16 april 2021 20:49

De kans is groot dat het een Windows bak is met BitLocker aan (mag ik zo hopen), maar dat kan zo te zien ook decrypted worden, wordt wel wat lastiger als je de TPM chip niet meeneemt. Het voelt aan als iemand die niet goed weet wat hij/zij aan het doen is of het juist exact weten.

DavidThijs @Cergorach • 16 april 2021 22:15

Dat had ik ook in gedachten, de standaard MS bitlocker. Inderdaad, zonder toegang tot het moederbord wordt dat lastig maar niet onmogelijk. Niets is onmogelijk als je genoeg tijd en geld hebt.

Cergorach @DavidThijs • 16 april 2021 22:21

Natuurlijk kan het, de vraag is dat het waard? En ik denk dat je meer geld met de gebruikte computer resources kan verdienden als je ze anders inzet en het qua legaliteit een heel stuk minder lastig zou zijn. Tenzij er op die disk toevallig data staat die significant meer waard is dan de doorsnee persoonlijke info.

Tornado1.0

16 april 2021 20:11

Gaat het nou om een externe harde schijf of is de schijf uit een computer of server gehaald?

Ralgon 16 april 2021 21:26

Als er inderdaad volledige verzoeken om kwijtschelding tussen zitten dan betreft de gestolen info wel wat meer dan in de opsomming is opgenomen.

Een volledig verzoek om kwijtschelding bestaat uit: huurspecificaties, inkomensspecificaties, beschikkingen van de belastingdienst (toeslagen en inkomstenbelasting), volledig bankafschriften van een maand of 3, zorgpolis en informatie over voertuigen van mensen.

Dat alles bij elkaar kan voor veel meer ellende zorgen dan een gemiddeld datalek dat bestaat uit wat contactgegevens.

Tha_Butcha 16 april 2021 23:31

Het houdt niet op, niet vanzelf...

TimFelten 17 april 2021 09:01

Even ter verduidelijking:
Het gaat hier om de gemeentelijke belastingen, niet om de belastingdienst.
Dit n.a.v. een aantal reacties die e.e.a. door elkaar halen.

Verder natuurlijk uitzonderlijk slordig om data op een harde schijf zo toegankelijk te maken.

Edit: ik doel op het feit dat data en harddisks nooit zomaar toegankelijk zijn dat het meegenomen kan worden.

[Reactie gewijzigd door TimFelten op 23 juli 2024 20:22]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (141)

Sorteer op:

Weergave: