Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek

Volkswagen meldt dat de informatie van meer dan 3,3 miljoen van zijn Amerikaanse en Canadese klanten op straat ligt na een lek bij een verkoper. Het gaat om namen, adressen, e-mailadressen en telefoonnummers, maar van 90.000 mensen zijn ook de betaalgegevens uitgelekt.

Bij de groep van 90.000 mensen gaat het om kredietwaardigheidsbeoordelingen, rijbewijsnummers, geboortedata en burgerservicenummers. Volkswagen treedt met de informatie naar buiten, maar stelt dat het probleem lag bij een verkopende partij. De identiteit van die verkopende partij, wordt bewust niet genoemd in de brief en ook niet op aanvraag van TechCrunch.

De gegevens waren toegankelijk tussen augustus 2019 tot mei 2021 en waren bedoeld voor gebruik bij verkoop en marketing. Hoe het lek heeft kunnen ontstaan vanuit een technisch oogpunt, vertelt Volkswagen niet.

Het bedrijf gaat de getroffen personen op de hoogte stellen en mensen in de subgroep van 90.000 krijgen hulp bij en verzekering tegen identiteitsdiefstal aangeboden. Ook stelt het de 'toepasselijke autoriteiten' op de hoogte en heeft het externe securitydeskundigen in de arm genomen om de zaak af te handelen.

Reacties (70)

wildhagen

Datalek
Networking en security

13 juni 2021 11:33

Volkswagen meldt dat de informatie van meer dan 3,3 miljoen van zijn Amerikaanse klanten op straat ligt na een lek bij een verkoper.

Het gaat niet alleen om Amerikaanse klanten, ook data van VW-klanten uit Canada is gelekt, volgens CNN. Zie https://edition.cnn.com/2...er-information/index.html

Het schijnt dan vooral om Audi-rijders te gaan, één van de merken binnen het VW-concern.

basseytje @wildhagen • 13 juni 2021 11:48

Canada ligt toch ook in Amerika? Dus in deze zin gaat het daadwerkelijk over Amerikaanse klanten.

OT: dit is weer de zoveelste datalek, maar dit is wel voor het eerst dat ik zie dat de mensen die getroffen zijn met betaalgegevens, hier hulp bij krijgen. Wordt dit dan door VW betaald?

Keypunchie @basseytje • 13 juni 2021 11:50

In dagelijks Nederlands taalgebruik is Amerika de aanduiding voor "De Verenigde Staten van Amerika" en als men over het continent wat wil zeggen dan zegt men "Noord-Amerika".

Is dat volkomen logisch? Misschien niet, maar het is wel de praktijk.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 23:18]

Travelan @Keypunchie • 13 juni 2021 12:18

Is een nieuwsbericht 'dagelijks' taakgebruik? Ik heb liever geen feitelijk foutieve informatie in mijn nieuwsberichten. We hebben al genoeg nep-nieuws.

KoffieAnanas @Travelan • 13 juni 2021 13:30

Het is gangbaar taalgebruik, ook in nieuwsmedia, ook in de serieuze kranten.

Als je al zo strikt wil zijn, waarom mag Joost weten, maar goed, dan omvat Amerika in totaal 35 landen.

Geen idee waarom je zo apart reageert, maar onder nepnieuws verstaan ik iets anders dan de Verenigde Staten Amerika noemen. Dat is namelijk gebruikelijk en niks neps aan.

Ik krijg bij je reacties een middelbare schoolgevoel, lang geleden voor mij. Het beter denken te weten, maar de plank volledig misslaan.

[Reactie gewijzigd door KoffieAnanas op 24 juli 2024 23:18]

svane @Travelan • 13 juni 2021 14:04

...taakgebruik...

Zou jij a.u.b. geen nep-nieuws willen verspreiden in de comments?

Keypunchie @Travelan • 13 juni 2021 15:15

Ja, een nieuwsbericht is bij uitstek een voorbeeld van alledaags taalgebruik.

En er is niks feitelijk foutiefs aan. Dit zijn nou eenmaal de eigennamen, die men gebruikt.

Misschien is het een regionalisme, dat je het zo gek vind, maar het komt nogal pedant over.

CAPSLOCK2000

Networking en security
Datalek

@Keypunchie • 14 juni 2021 11:17

Ja, een nieuwsbericht is bij uitstek een voorbeeld van alledaags taalgebruik.

En er is niks feitelijk foutiefs aan. Dit zijn nou eenmaal de eigennamen, die men gebruikt.

Misschien is het een regionalisme, dat je het zo gek vind, maar het komt nogal pedant over.

Misschien is het een kwestie van verwachtingen. Ik verwacht van journalisten dat het bedreven schrijvers zijn die zich specialiseren in duidelijk communiceren. Een nieuwsbericht dat verkeerd begrepen wordt is immers nutteloos. De exacte woordkeuze speelt daarbij een grote rol. Een verkeerd woord kan al snel tot verkeerde conclusies leiden, zeker onder een breed publiek. We hebben hier een prima voorbeeld. Een net iets andere formulering had alle onduidelijkheid voorkomen. Uiteraard is het niet de enige overweging, te veel detail is ook niet goed.

Mijn verwachting is dat journalisten al hun woorden wegen en dat er een redactie is die dat ook nog een keer doet. Natuurlijk heeft dat in praktijk z'n beperkingen, maar de verwachting van kwaliteit is er wel.

Neem nu het woord 'alledaags'. Strict genomen betekent 'alledaags' niet meer dan dat het veel voorkomt. Maar het heeft een connotatie van 'normaal' en dus ook van 'niet bijzonder goed'. Een journalist is een professionele schrijver en van professionals verwacht ik meer dan 'normaal'.

Persoonlijk vind ik het duidelijk genoeg dat er "Amerikaanse en Canadese" staat, de meeste mensen zullen dan wel begrijpen dat het om de VS gaat en "Verenigde Staten van Amerika" uitschrijven is wat lang voor een titel.

witstert @Keypunchie • 13 juni 2021 15:19

Correct.

wildhagen

Datalek
Networking en security

@basseytje • 13 juni 2021 11:50

Canada ligt toch ook in Amerika? Dus in deze zin gaat het daadwerkelijk over Amerikaanse klanten.

Met "Amerika" wordt doorgaans de VS bedoeld. En Canada hoort daar dus niet bij

OT: dit is weer de zoveelste datalek, maar dit is wel voor het eerst dat ik zie dat de mensen die getroffen zijn met betaalgegevens, hier hulp bij krijgen. Wordt dit dan door VW betaald?

Ja hoor, dat staat toch gewoon in het artikel?

Het bedrijf gaat de getroffen personen op de hoogte stellen en mensen in de subgroep van 90.000 krijgen hulp bij en verzekering tegen identiteitsdiefstal aangeboden.

VW sluit dus een verzekering af die getroffen mensen moet helpen in geval van bijvoorbeeld identiteitsfraude of andere vormen van fraude nav dit datalek.

Travelan @wildhagen • 13 juni 2021 12:17

Tja, schrijf dan gewoon de Verenigde Staten, en niet Amerika. Het is iets anders, en als mensen dat elders foutief gebruiken, betekent niet dat we dan maar foutief nieuws moeten brengen.

KoffieAnanas @Travelan • 13 juni 2021 13:25

Als je schrijft Amerikaanse klanten dan doelt men gangbaar op klanten uit Amerika, het land Amerika, niet het continent. In Europa is het onderscheid eenduidig. In het geval van Amerika niet en daar val je terug op wat gangbaar taalgebruik is. In dit geval is het gangbaar dat de het land Amerika wordt bedoeld.

Het is niet foutief om Amerika te gebruiken voor het land.

Als we dan toch gaan corrigeren, zul je het zelf ook goed moeten doen.

Amerika als continent omvat Noord-, Midden- en Zuid-Amerika. Als we jouw mening erop nahouden, dan zijn dus klanten getroffen in al deze landen, dat zijn er 35 volgens Wikipedia.

supersnathan94

Datalek

@KoffieAnanas • 13 juni 2021 15:31

Het land Amerika bestaat niet. Het is metonymie. Men bedoelt daarbij eigenlijk altijd de VS. Daar is het een synoniem van.

Als Canada er dus ook onder valt is het dus breder dan “Amerika”.

In het geval van het supercontinent “Amerika” hebben we het inderdaad over 35 landen verdeelt over de 2 continenten noord- en zuid-amerika.

Aangezien het hier alleen om de VS en canada gaat, gaat het hier dus sowieso niet over het supercontinent, want midden en zuid zijn niet “betrokken”. Derhalve vallen we terug op “Amerika” als synoniem voor de VS.

Het is niet foutief om Amerika te gebruiken voor het land.

Nee, alleen is het wel “fout” om Canada dan niet ook te vermelden. Daarmee is het dus niet “alleen” Amerika. Het is ook niet “per se” noord-amerika, want groenland valt daar bijvoorbeeld ook onder.

De feitelijke onjuistheid is dan ook niet dat Amerika wordt gebruikt, maar dat Canada niet wordt genoemd.

[Reactie gewijzigd door supersnathan94 op 24 juli 2024 23:18]

Redstone @supersnathan94 • 13 juni 2021 16:08

midden Amerika is geen continent.

[Reactie gewijzigd door Redstone op 24 juli 2024 23:18]

supersnathan94

Datalek

@Redstone • 13 juni 2021 20:53

Ik zie het. “Midden amerika” valt onder “noord”.

Ik pas het aan.

witstert @wildhagen • 13 juni 2021 15:22

"offered assistance and insurance against identity theft". Does not specifically say that VW/Audi is providing insurance. Why is it not part of the terms and conditions in the registration process?

Blokker_1999

Datalek
Networking en security

@basseytje • 13 juni 2021 11:50

Wanneer we het hebben over Amerika in het dagelijks taalgebruik, dan hebben we het over het algemeen over de Verenigde Staten van Amerika. En daar hoort Canada niet bij. En als je het hebt over het continent, dan heb je het over veel meer landen dan alleen de VSA en Canada.

humpus @basseytje • 14 juni 2021 09:40

Latijns-Amerika ligt ook in Amerika. Zijn zij ook getroffen dan?

Al aangehaald door supersnathan94

[Reactie gewijzigd door humpus op 24 juli 2024 23:18]

humpus @wildhagen • 14 juni 2021 09:45

Dit mag echt wel verduidelijkt worden in het nieuwsbericht. Volkswagen Group is een groot concern met veel merken. Zeg dan op z'n minst dat het concern getroffen is, met de vermelding dat eigenaars van verschillende Volkswagenmerken getroffen zijn.

Als je Volkswagen schrijft (zonder Group), heb je het over het merk Volkswagen, niet het concern.

djpsycho82

13 juni 2021 12:55

Ik ben sinds 2 maand bezig al mijn accounts (die ik in google passwords opgeslagen heb) te verwijderen. Door dit soort berichten werd ik getriggerd. Datalekken lijken per maand toe te nemen. Een korte blik in mijn passwords bleek dat ik meer dan 300 accounts had... 300 potentiele risico's van datalekken, plus de accounts die ik vergeten ben omdat ik ze niet opgeslagen had. Nu 2 maand verder is dat aantal gelukkig gezakt naar rondom 150 account. Hierin zitten ook heel veel lokale accounts en accounts van mijn vrouw welke ik niet meetel, dus de werkelijke teller staat ondertussen vrij laag.

Toch zijn veel websites verzot op je informatie. Een pakket bestellen kan prima zonder je gegevens achter te laten op een website, maar ik had de gewoonte ontwikkeld om toch maar een account aan te maken, onder het mom: "mocht er iets fout gaan". Dit is eigenlijk onzin, een factuur in je mail of als pdf is al voldoende bewijsmateriaal mocht er iets aan de hand zijn met je product. Bepaalde accounts hou ik bewust actief, neem bijvoorbeeld tweakers of grotere bestel websites, puur uit gemak bewust risico lopen vind ik geen probleem.

Maar wat mij opvalt is dat het bij best veel organisaties bijna onmogelijk is je data snel en simpel te (laten) verwijderen. Voorbeeld: ibood.com of museumjaarkaart. Na een aantal mailwisselingen afgelopen 2 maand, bestaat mijn account nog steeds en juist dit soort organisaties geven me weinig vertrouwen op gebied van beveiliging. Op moment dat er een datalek onstaat hebben ze mijn gegevens.

Daarbij ben ik ook benieuwd naar de datalekken die niet in het nieuws komen. Sommige partijen zullen het vast voor elkaar krijgen om het buiten de media te houden, wat nog gevaarlijker is in mijn optiek.

CodeCaster @djpsycho82 • 13 juni 2021 13:52

Denk niet dat je niet in een gebruikerstabel staat wanneer je "anoniem" of zonder account ergens iets bestelt.

Vaak wordt er dan onder water alsnog een gebruikersaccount aangemaakt en je adres- en betaalgegevens bewaard, al is het alleen maar omdat bepaalde gegevens bewaard moeten blijven voor de Belastingdienst.

Dat dit account dan toevallig een null-wachtwoord heeft, of een vlaggetje "IsGuest", doet niets af aan de lekbaarheid van die gegevens.

djpsycho82

@CodeCaster • 14 juni 2021 07:36

Dat weet ik, maar ik denk dat de kans kleiner is dat ook die gegevens meegaan in een datalek. Maar je hebt gelijk, ze houden zeker data van je bij wanneer je iets bestelt. Tja, ik probeer mijn best te doen maar helemaal waterdicht is geen enkele manier van online shoppen denk ik.

batjes

Networking en security

@djpsycho82 • 13 juni 2021 14:35

Gelukkig hou ik zelf sinds ik het internet op kroop het systeem aan dat ik verschillende communities en activiteiten online van elkaar gescheiden houd. Waar mogelijk laat ik ook geen persoonlijke gegevens achter. Een Bol.com, Azerty hebben mijn adres bv wel, maar mijn naam dan weer niet (interesseert ze echt niet als je een andere naam opgeeft). Ik denk dat alleen de overheid met DigiD en Microsoft/Google het wel "weten". Verder weten andere partijen uitsluitend wat benodigd is.

Je kan bij de meeste winkels ook prima een nep adres instellen en dan bij de bestelling een alternatief adres opgeven en daar je daadwerkelijke adres opgeven. Dan komt die info meestal niet direct aan je account te hangen, maar aan de bestelling.

Als ik zie hoe sommige mensen bij random websites al die velden naar waarheid invullen, moet ik altijd even een beetje cringen... Waarom? Het is vrijwel nergens nodig.

[Reactie gewijzigd door batjes op 24 juli 2024 23:18]

Zomaareenmening @batjes • 13 juni 2021 14:42

Vooral handig als je het pakje op het postkantoor moet ophalen ondat je niet huis was. Terwijl je een andere naam had opgegeven en ze vervolgens om je legitimatie vragen..

WillySis @djpsycho82 • 13 juni 2021 16:17

Volgens de AVG heb je het recht van verwijderen. Dat mag nooit langer dan een maand duren. Als je account na een klacht nog meer dan een week bestaat, dan is men duidelijk in overtreding en kan je dat bij de AP melden. Die komen om in dit soort meldingen, maar ze worden wel gebundeld en als er veel klachten over een bedrijf binnen komen wordt er wel degelijk actie ondernomen. Bij het opvragen van je gegevens geld hetzelfde.

Het aantal datalekken dat niet gemeld wordt is binnen Europa niet zo heel groot. De boetes op niet melden zijn zo hoog dat men het risico niet snel zal nemen.

Ik kom ook nog steeds veel websites tegen waar het verplicht is een account aan te maken, of waar voor een simpele bestelling onnodig veel gegevens worden gevraagd die verplicht ingevuld moeten worden. Volgens de AVG moet je ook zonder account kunnen bestellen en mag men alleen noodzakelijke gegevens van de klant vragen. Een telefoon nummer is vaak verplicht (om te kunnen controleren), maar als men al een e-mail adres heeft is dat bijvoorbeeld beslist niet nodig.
Bij bestellingen die volledig per e-mail worden afgehandeld blijft het opgeven van een adres en telefoon.nr vaak verplicht.

Wij vragen alleen een email adres en een wachtwoord. Beiden worden gehashed opgeslagen. Aankopen vanuit de app verlopen via Apple of Google Pay en verder hebben wij niets nodig. Wanneer er boekjes worden besteld hebben we natuurlijk wel een fysiek adres nodig, maar geboortedag en telefoonnr zijn echt overbodig. De geboortedag wordt vaak gevraagd om te beoordelen of de klant wel gerechtigd is (oud genoeg) om te bestellen, maar is echt overbodig. Leeftijd is daarbij lang niet het enige criterium. Was men niet gerechtigd, dan is er altijd wel iemand die het binnen 30 dagen terug kan sturen.

redtails @djpsycho82 • 13 juni 2021 17:08

Hou SVP in gedachte dat als je een pakket bestelt zonder een account te maken, dat het bedrijf alsnog je Naam + adres + bankgegevens op hun PC hebben staan.

Het niet hebben van accounts maakt u helaas niet resistent tegen datalekken

MiesvanderLippe @djpsycho82 • 13 juni 2021 17:27

Nu staan je gegevens met een ‘is_active: false’ in de dump, ach.

Het hoort niet, maar het is wel.

poststamp 13 juni 2021 11:29

Volgens mij wordt het hoog tijd om anders om te gaan met persoonsgegevens, dit is het zoveelste datalek. Het zou nog beter zijn om digitale opslag ervan te verbieden en over te stappen op schrijfwerk dan op deze manier door te gaan. Sowieso, wat moet je met kredietwaardigheidsbeoordelingen nadat de wagen verkocht is, gewoon verwijderen nadat het zijn doel gediend heeft.

bytemaster460 @poststamp • 13 juni 2021 11:44

In Nederland en veel landen in europa is dat goed geregeld. Niet iedereen mag bijvoorbeeld BSNs verwerken, alleen instanties die dat volgens de wet echt nodig hebben.
Gegevens bijhouden op papier heeft weer andere nadelen waar we niet op zitten te wachten.

Blokker_1999

Datalek
Networking en security

@poststamp • 13 juni 2021 11:48

Net niet. Mocht later blijken dat er toch iets mis is met de kredietwaardigheid, of mocht die persoon met de noorderzon verdwijnen omdat het een oplichter is met gestolen gegevens, dan wil je wel net weer kunnen aantonen wat jij ontvangen hebt en gebruikt hebt om de controle uit te voeren. Net zoals je bijv. facturen en andere financiele data hier bij ons niet zomaar snel mag verwijderen maar een bewaarplicht hebt, is er ook in de VS heel veel dat je moet of gewoon al maar wenst te bewaren voor het geval er problemen ontstaan.

En hoe wil je anders omgaan met persoonsgegevens? Zullen we dan direct maar het internet afschaffen? Ja, dit is het zoveelste datalek, en dat zal er, spijtig genoeg, niet op beteren. We willen steeds sneller geholpen worden, steeds sneller dingen weten en vragen daarom ook maar alles gewoon digitaal aan. En daar zijn we allemaal schuldig aan. Ook hier op deze site zie je mensen hun ongenoegen uiten wanneer iets niet snel genoeg gaat. Ook wij bestellen wel eens iets online en laten dan onze gegevens achter. Wil je digitale opslag verbieden? Haal je telefoon maar weer boven voor postorders te doen.

Oh, en komt je pakje dan niet aan? Das dan pech, want we mogen niets digitaal opslaan en kunnen dus ook geen track en trace meer doen want een pakketje volgen? Neen, dat kan niet, want dat bevat persoonsgegevens.

Iblies @Blokker_1999 • 13 juni 2021 18:42

Een oplossing dat alles oplost bestaat niet, echter…..

men kan ook wettelijk vastleggen dat na x-aantal maanden gegevens worden verwijderd. Al zou er iets worden gestolen dan nog blijft het beperkt tot cliënte van x-aantal maanden.

Alleen heb je dan grootmachten als google en facebook die leven van data, van wieg tot graf wat krankjorum is.

Zelfs voor financiële transacties kun je bij bepaalde bedragen by default twee-traps maken behalve als je anders aangeeft. Al zijn de gegevens dan weg, dan wordt er sneller signaal afgegeven dat er iets mis is en dat er sneller achterhaald kan worden waar de oorzaak kan liggen.

SCS2 @Blokker_1999 • 13 juni 2021 18:49

Oh, en komt je pakje dan niet aan? Das dan pech, want we mogen niets digitaal opslaan en kunnen dus ook geen track en trace meer doen want een pakketje volgen? Neen, dat kan niet, want dat bevat persoonsgegevens.

Deels heb ik daar al last van. We versturen en ontvangen meerdere pakketten per dag.
Helaas staat er tegenwoordig steeds minder info in de pakketdienst email.
Ik kan vaak niet meer achterhalen welke tracecode waarbij hoort....

oef! @poststamp • 13 juni 2021 12:17

Het zou nog beter zijn om digitale opslag ervan te verbieden en over te stappen op schrijfwerk dan op deze manier door te gaan.

De gevolgen hiervan zijn extreem ingrijpend. Je moet hierbij ook naar het grotere plaatje kijken zoals de staat en de gezondheidszorg. Alles weer op papier vastleggen kost erg veel geld en vertraagt het openbare leven.

Alxndr

13 juni 2021 11:31

Als je rijbewijs en bsn nummer ook op straat liggen dan je volgens mij wel behoorlijk fucked, zeker die laatste krijg je niet zomaar een nieuwe voor toch? En hoe werkt de verzekering tegen identiteits diefstal? Misschien leuk voor een plus artikel?

The Zep Man

Datalek
Networking en security

@Alxndr • 13 juni 2021 11:38

Als je rijbewijs en bsn nummer ook op straat liggen dan je volgens mij wel behoorlijk fucked, zeker die laatste krijg je niet zomaar een nieuwe voor toch?

Even in de aanname dat je spreekt over de Nederlandse situatie (omdat een BSN vergelijkbaar is met een Amerikaanse 'social security 'number', maar niet hetzelfde is): nee, je krijgt niet zomaar een nieuw BSN.

Het probleem in Nederland is dan ook niet dat het naar is voor een burger als diens BSN uitlekt. Dat is slechts een symptoom. Het probleem is dat het BSN als identificatiegegeven gebruikt wordt als authenticatiefactor binnen en door de overheid.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 23:18]

Alxndr

@The Zep Man • 13 juni 2021 12:11

Ik ken het verschil, maar volgde enkel de terminologie van het artikel

Vreemd om in een artikel over Amerikanen voor de Nederlandse term bsn te kiezen, bij Social security zullen de meeste lezers zich toch ook wel een voorstelling kunnen maken.

The Zep Man

Datalek
Networking en security

@Alxndr • 13 juni 2021 12:18

Ik ken het verschil, maar volgde enkel de terminologie van het artikel

Begrijp ik. Daarom maakte ik het expliciet.

Voor Amerikanen zijn er omstandigheden waarin een verzoek tot een nieuw SSN gehonoreerd kan worden.

When a person has been a victim of identity theft, and his/her Social Security number continues to be problematic.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 23:18]

R4gnax

Datalek
Networking en security

@The Zep Man • 13 juni 2021 14:56

[...]
Begrijp ik. Daarom maakte ik het expliciet.

Voor Amerikanen zijn er omstandigheden waarin een verzoek tot een nieuw SSN gehonoreerd kan worden.

Yep. En juist dat type uitzondering heeft Nederland niet. Hier kom je in principe alleen voor een nieuw BSN in aanmerking als je in een getuigenbeschermingsprogramma zit.

SCS2 @R4gnax • 13 juni 2021 18:53

Dat wist ik niet.

Mooie verhaallijn?:
Na jaren lastig gevallen te zijn na identiteitsfraude, besluit een man om met een crimineel te gaan samenwerken, zodat hij hem daarna kan aangeven en van het getuigenbeschermingsprogramma gebruik kan maken om een nieuwe BSN aan te vragen .....

Alxndr

@SCS2 • 13 juni 2021 19:15

als justitie niet zo vaak zou blunderen met het openbaar maken van gegevens, zou dat idd de beste optie zijn.

Blokker_1999

Datalek
Networking en security

@Alxndr • 13 juni 2021 11:42

Mede daarom dat VW automatisch een verzekering inzet voor mensen die getroffen zijn. Als zij de komende jaren met identiteitsdiefstal te maken krijgen en er daardoor schulden ontstaan voor die personen, dan zal die verzekering tussenkomen.

Alxndr

@Blokker_1999 • 13 juni 2021 12:07

Snap ik en "netjes" van ze (dwz op het eerste gezicht niet meer dan normaal, maar weet niet of het juridisch verplicht is)

Het lijkt me wel dat dit dwijlen met een gesprongen leiding is, totdat je iemands "ben" ongeldig verklaard en vervangt. Met deze gegevens (van) alles (online) afsluiten, dus de claims zullen binnen blijven stromen toch? Afgezien dat je er dan ook makkelijk misbruik van zou kunnen maken (als wraak/manier om je eigen genoegdoening te claimen)

phYzar 13 juni 2021 11:30

Hoe is een rijbewijsnummer of BSN relevant voor verkoop en marketing?

Blokker_1999

Datalek
Networking en security

@phYzar • 13 juni 2021 11:38

Kredietwaardigheidscontrole. Als je in de VS een wagen wenst aan te kopen dan zal men nakijken of jij wel oer de nodige financiële middelen beschikt, of dat jij geregistreerd staat als een slechte betaler. Daar heb je persoonlijke informatie voor nodig van die persoon en in de VS is dat dus je rijbewijs (wat daar ook als ID kaart dient) en je sociale zekerheidsnummer. Die informatie wordt doorgestuurd naar een kredietbureau dat een controle uitvoert en goed- of afkeurt.

errieman @Blokker_1999 • 13 juni 2021 14:08

Wat moet de verkoper dan met je SSN? Dan kan je beter aan de klant vragen om betrouwbaar bewijs te leveren dat diegene het kan betalen als dat het enige is wat ze nodig hebben. Al dan niet via een kredietbureau. Dan hoeven de bedrijven onderling geen gevoelige persoonlijke informatie door te sturen en dan ligt je SSN minder snel op straat.

sprankel @errieman • 13 juni 2021 14:54

Aan klanten met veel geld ga je geen instapwagen voorstellen & vica versa. Voor de verkoper is het dus zeer intressant om te weten hoeveel een koper te besteden heeft zodat die meteen de koper naar het "juiste model" kan duwen. Als je een evenement doet met hapjes en champagne om je nieuw luxe wagen voor te stellen, dan wil je niet dat het daar vol loopt met mensen die zelfs de instapper niet kunnen kopen. Dat is nu eenmaal hoe onze economie werkt, doorsnee burger gaat ook echt niet even bij de Ferarri dealer een testritje gaan doen.

Daarnaast is de US een totaal andere automarkt, nieuwe wagens worden bijna uitsluitend uit stock verkocht en bijna uitsluitend op krediet. Dat wilt zeggen dat de auto verkoper daar vooral kredieten verkoopt waarbij die kredieten de money maker zijn, de auto zelf is bijzaak geworden. Dus een autoverkoper in de US is wat we hier een verdoken kredietonderhandelaar zouden noemen vergelijkbaar met verdoken verzekeringsmakelaars die verzekeringen bij je telefoon verkopen beter gekend als de telefoonverkoper.

Gezien de wagen uit stock word verkocht moet je dat echt zien als iemand wandeld eens toevallig binnen bij een dealer en die komt een uur later alles geregeld met een auto buiten op krediet gekocht zonder met iemand buiten de dealer (bank, verzekering, whatever) contact te hebben gehad. Sommige staten laten zelfs toe dat je de eerste maand na aankoop zonder nummerplaat rijd.

In de EU zijn al dat soort praktijken niet toegestaan, ook niet bij de telefoons (weinig controle op) maar de US is het land van freedom boven alles inclusief mas shootings & krediet crisissen. Die freedom houd dus oa in dat ze daar op een uurtje of zelfs een half uurtje een nieuwe auto kopen en daar geen restricties rond willen.

[Reactie gewijzigd door sprankel op 24 juli 2024 23:18]

bytemaster460 @phYzar • 13 juni 2021 11:41

In Europa is dat veel beter geregeld dat dat soort gegevens niet zomaar verwerkt mogen worden door Jan en alleman. In de VS is dat allemaal veel minder strict.

jpsch @phYzar • 13 juni 2021 12:16

Voor marketing in ieder geval niet.

Marrtijn 13 juni 2021 11:32

Het wordt tijd voor bizarre straffen op datalekken. Gewoon een ton schadevergoeding per slachtoffer.

Moet je eens kijken hoe snel het stopt.

Blokker_1999

Datalek
Networking en security

@Marrtijn • 13 juni 2021 11:39

Niet. Vele datalekken ontstaan door menselijke fouten. En met zo een maatregel bekom je alleen maar dat bedrijven failliet gaan, want menselijke fouten kan je nu eenmaal niet uitsluiten.

En wat wil je bekomen met dat ton?

The Zep Man

Datalek
Networking en security

@Blokker_1999 • 13 juni 2021 11:41

Niet. Vele datalekken ontstaan door menselijke fouten. En met zo een maatregel bekom je alleen maar dat bedrijven failliet gaan, want menselijke fouten kan je nu eenmaal niet uitsluiten.

Wat is er mis met faillissement door onzorgvuldig met de spullen (informatie) van een ander om te gaan? Waar een gat is in een vrije markt zal vanzelf een andere organisatie het opvullen.

Overigens denk ik dat het effectiever zal zijn om verantwoordelijken persoonlijk strafrechtelijk te vervolgen bij nalatigheid, vanaf het niveau dat een beslissing genomen is tot en met het hoogst verantwoordelijke niveau.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 23:18]

Blokker_1999

Datalek
Networking en security

@The Zep Man • 13 juni 2021 11:57

Omdat je niet van fouten leert op die manier. Je maakt een fout, bedrijf failliet, vele mensen op straat die allemaal een nieuwe job mogen gaan zoeken en niemand die van zijn fout leert.

Er is een reden waarom een zogenaamde "no blame culture" net de beste oplossing is om fouten zo snel mogelijk op te sporen, problemen te verhelpen en procedures aan te passen. In zo een setting durven mensen naar voren komen met fouten en is er ruimte voor verbetering. Wil dat zeggen dat mensen nooit gestraft worden in zulke setting? Natuurlijk niet. Wanneer je opzettelijk fouten maakt, wanneer je met opzet nalatig bent, de procedures negeert, foutieve informatie aanlevert, ... dan zal je wel degelijk gestraft worden. Maar dan spreken we ook niet meer over per ongeluk maar net met opzet.

En wat is onzorgvuldig omspringen met gegevens? Een persoon die zijn ontvangers in Cc zit ipv Bcc, dat is een fout die snel gemaakt is, maar je hebt wel direct een datalek te pakken bijvoorbeeld. Een kleine vergissing die snel gemaakt is. Maar als je daar enkele honderden mensen in zet kan het je ineens tientallen miljoenen gaan kosten, iets wat kleine ondernemingen of bijvoorbeeld vrijetijdsverenigingen helemaal niet kunnen ophoesten.

Jij spreekt over onzorgvuldigheid en nalatigheid. Maar soms schieten procedures te kort, soms gaat het gewoon om fouten. Soms gaat het gewoon om iemand die ergens een komma vergeten is. Is dat onzorgvuldig? Of is dat gewoon menselijk?

Wanneer er opzet in het spel is, wanneer er sprake is van grove nalatigheid. Absoluut, aanpakken die handel. Maar dat is niet wat Marrtijn schrijft.

The Zep Man

Datalek
Networking en security

@Blokker_1999 • 13 juni 2021 13:30

Omdat je niet van fouten leert op die manier. Je maakt een fout, bedrijf failliet, vele mensen op straat die allemaal een nieuwe job mogen gaan zoeken en niemand die van zijn fout leert.

Want die kennis verdwijnt opeens? Het ene bedrijf leert niet van de ondergang van de ander? Ex-werknemers nemen geen kennis mee?

Jij spreekt over onzorgvuldigheid en nalatigheid. Maar soms schieten procedures te kort, soms gaat het gewoon om fouten. Soms gaat het gewoon om iemand die ergens een komma vergeten is. Is dat onzorgvuldig? Of is dat gewoon menselijk?

Dat is voor een rechter om te beoordelen.

Onder de huidige regels en omgang verandert er juist niets. Zolang beveiliging van gegevens van een ander onderdeel blijft van een kostenbatenanalyse, zal het altijd verliezen. Het wordt tijd om op te houden met bedrijven te knuffelen als ze over de schreef gaan.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 23:18]

CAPSLOCK2000

Networking en security
Datalek

@The Zep Man • 14 juni 2021 11:24

Wat is er mis met faillissement door onzorgvuldig met de spullen (informatie) van een ander om te gaan?

Het zou niet zo moeten zijn, maar bij een failliesement maak ik me altijd zorgen over wat er met de opgeslagen gegevens gebeurt. Data is geld waard en een executeur zal proberen om zo veel mogelijk waarde uit de failliete boedel te halen, bijvoorbeeld door de data te verkopen.
De GDPR zou daar een stokje voor moeten steken maar ik ben bang dat dat niet veel gaat helpen, zeker niet bij bedrijven buiten Europa. Het is haast niet te controleren en tegen de tijd dat het ontdekt wordt is de overtreder al lang failliet en verdwenen.

Dat soort overwegingen kunnen geen grote factor zijn, je moet er van uit kunnen gaan dat de wet werkt. Maar pragmatisch gezien maak ik me bij ieder failliesement zorgen over de data.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 23:18]

Marrtijn @Blokker_1999 • 13 juni 2021 11:45

Menselijke fouten kan je inderdaad niet uitsluiten, maar ik heb vergieten gezien die minder lekken. Boetes zijn de enige manier waarop bedrijven blijkbaar van hun fouten kunnen leren. Als ze failliet gaan is dat alleen maar mooi, hadden ze maar hun QA op orde moeten hebben.

Zo lang het lekken van data goedkoper is dan het beveiligen van data, zal dit blijven gebeuren.

Edit: En in dit geval, het is inderdaad bizar dat de Volkswagen-groep nog niet kapotgeprocedeerd is.

[Reactie gewijzigd door Marrtijn op 24 juli 2024 23:18]

Blokker_1999

Datalek
Networking en security

@Marrtijn • 13 juni 2021 11:59

Dus als morgen de schaakclub zijn wekelijkse nieuwsbrief uitstuurt en de verantwoordelijk zet per ongeluk iedereen in Cc ipv in Bcc moet die schaakclub maar opgedoekt worden en mogen de beheerd de rest van hun leven die schulden gaan afbetalen. Leuke houding heb je dan.

Marrtijn @Blokker_1999 • 13 juni 2021 12:09

Jij weet net zo goed dat dit niet om de kleine schaakclub gaat, maar prima, dan maken we er 0.01% van de omzet van. De arme schaakclub en de kleine ondernemer gaan niet failliet, maar de multinationals mogen dokken. Ik wil hier best flexibel in zijn.

[Reactie gewijzigd door Marrtijn op 24 juli 2024 23:18]

bytemaster460 @Marrtijn • 13 juni 2021 11:46

Dan gaan bedrijven stoppen met registreren en dan mag je voor de kleinste dienst bij de notaris een document op laten maken om correctheid van gegevens te garanderen. Daar zit ook niemand op te wachten.

hankee 13 juni 2021 11:48

Wat ik me vaak afvraag is waarom we gegevens als BSN en dergelijke niet gewoon openbaar maken. Dan zijn deze ook nooit meer te misbruiken.

Langzamerhand kun je van alle hacks/lekken de gegevens bij elkaar gaan schrapen en heb je van heel veel Nederlanders een volle dataset met informatie. Het lijkt me dat met zoveel informatie op straat een BSN eigenlijk al nooit meer ergens echt als bewijs voor kan dienen.

hackerhater @hankee • 13 juni 2021 12:39

Inderdaad. Het uitlekken van een BSN zou niks uitmaken als het BSN alleen maar een uniek nummer was van de overheid. Puur bedoeld om onderscheid te maken tussen Piekje Puk uit Amstelveen en Pietje Puk uit Enschede.

Een uniek nummer die zegt wie je bent, maar verder geen waarde heeft.

supersnathan94

Datalek

13 juni 2021 11:28

De gegeven waren toegankelijk tussen augustus 2019 tot mei 2021 en waren bedoeld voor gebruik bij verkoop en marketing.

Anderhalf jaar ja? Dat is wel echt ff heel stom. Als ik het zo lees was dit dus by design.

DutchKevv @supersnathan94 • 13 juni 2021 11:36

En waarom lees jij 'by design'?

Omdat er 'verkoop' instaat, of omdat er een tijd notatie staat 'anderhalf jaar'?

supersnathan94

Datalek

@DutchKevv • 13 juni 2021 13:17

Oa omdat er staat verkoop. Ws dealernetwerk waar gegevens uitgewisseld worden.

Ook omdat er staat marketing. Waarschijnlijk hadden partners die gegevens dus “nodig” voor marketing doeleinden.

DutchKevv @supersnathan94 • 13 juni 2021 14:18

Dank voor het antwoorden.

Maar als er staat verkoop en ze zijn gehackt, kunnen ze niks meer verkopen toch? Dan geven ze het gratis weg...

Vraag me soms gewoon af waarom zoveel mensen iets als 'by design' zien

GerritGekke 13 juni 2021 11:30

Schering en inslag

tijd voor hardere sancties?

wildhagen

Datalek
Networking en security

@GerritGekke • 13 juni 2021 11:48

Harder straffen helpt niet, het is vooral de pakkans die omhoog moet. Dat helpt veel meer, want als de kans dat je gepakt is 90+ procent is, is het veel minder aantrekkelijk om dit te doen, dan wanneer je celstraf boven het hoofd hangt, maar de kans dat je gepakt wordt minder dan 1 procent is.

En helaas is de pakkans bij ransomware gewoon érg laag, het heeft gewoon een vrij lage prioriteit, en de kans dat iemand gepakt wordt is sowieso laag, omdat ze vaak in landen zitten die niet echt heel erg mee willen aan onderzoeken, laat staan uitlevering van verdachten enzo...

Alleen bij high-profile zaken, zoals ransomware-aanvallen op overheden of instanties als ziekenhuizen, zie je nog wel eens wat verhoogde opsporings-activiveit. Maar bij commerciele bedrijven veel minder.

locke960 13 juni 2021 15:25

het probleem lag bij een verkopende partij

Dat zie ik toch een beetje anders.
Waarom krijgt een dealer/verkoper zomaar toegang tot de gegevens van 3,3 miljoen VAG klanten?
99,9% heeft totaal geen relatie met die dealer/verkoper.

Ik begrijp dat soms toegang nodig kan zijn ivm. reparaties op 'vreemde' auto's, maar dat is iets heel anders dan bulk toegang.

[Reactie gewijzigd door locke960 op 24 juli 2024 23:18]

Op dit item kan niet meer gereageerd worden.

Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek

Lees meer

Verbod op losgeldbetalingen

Reacties (70)

Lees meer

Verbod op losgeldbetalingen

Reacties (70)

Sorteer op:

Weergave: