Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online

Een hacker heeft gestolen gegevens van studenten en medewerkers van de Hogeschool van Arnhem en Nijmegen online gezet. Volgens de hacker wilde de hogeschool het gevraagde losgeld niet betalen. Het gaat onder andere om plaintextwachtwoorden.

Een criminele hacker die zichzelf 'masterballz' noemt, zegt tegen RTL Nieuws dat hij 10.000 euro aan losgeld vroeg om de gegevens niet te verspreiden. Omdat betaling uitbleef, besloot hij de data te verspreiden via 'een populaire downloaddienst'.

RTL heeft de gegevens ingezien en geverifieerd. Volgens RTL-journalist Daniël Verlaan gaat het om een dump van een server van de HAN, met namen, adressen, e-mail, 06-nummers en 'soms ook plaintextwachtwoorden'. Het gaat om gegevens van honderdduizenden mensen; zowel huidige studenten als oud-studenten, medewerkers en mensen die interesse hadden in een studie.

De data is onder andere afkomstig uit contactformulieren. Sommige gegevens komen uit 2009. Masterballz claimt dat de HAN een makkelijk doelwit was. De crimineel kreeg toegang tot een server die 'verschillende grote kwetsbaarheden' had. Hij claimt ook dat er 'nog steeds van alles openstaat'

Een woordvoerder van de HAN zegt niet op de hoogte te zijn van de publicatie van de gestolen gegevens, maar bevestigt dat de hacker daarmee heeft gedreigd. De HAN zegt dat het geëiste bedrag van 10.000 euro niet klopt, maar om welk bedrag het dan wel zou gaan, zegt de hogeschool niet. Volgens de woordvoerder wordt er binnen het lopende onderzoek nog gekeken naar welke gegevens er precies uitgelekt zijn.

Volgens de HAN worden getroffen personen 'zo snel mogelijk' geïnformeerd. De hogeschool maakte vorige week melding van een datalek bij de Autoriteit Persoonsgegevens nadat het op de hoogte was van de hack. Ook heeft de hogeschool Fox-IT ingeschakeld voor verder onderzoek.

Reacties (229)

LiquoriceTwist 7 september 2021 13:59

Nog een paar leuke toevoegingen waar ik achter ben gekomen met een collega van mij die ook oud-student is van de HAN;

De log-in server was tot twee dagen geleden un-encrypted en je kreeg plaintext je response terug van de webserver. Hier stonden plaintext je inloggegevens in.
De log-in endpoint voor het studentenportaal is makkelijk uit te lezen, dit staat namelijk ergens in een exception.
Als je je wachtwoord aan wilt passen krijg je plaintext je oude & nieuwe wachtwoord terug middels een unencrypted URL
Er is een account voor het inloggen bij het studentensysteem die voor test-doeleinden gebruikt wordt die makkelijk te vinden is
Er is ergens een github-account gekoppeld aan één van de inlogsystemen die een heel simpel wachtwoord heeft

En dit zijn gewoon een paar simpele dingen die je kan vinden met inspect-element. Natuurlijk zou je voor sommige dingen iets meer nodig moeten hebben zoals Postman, maar het feit dat je er zo makkelijk bij kan komen is wel redelijk dramatisch.

[Reactie gewijzigd door LiquoriceTwist op 23 juli 2024 20:09]

R4gnax

Datalek
Networking en security
Privacy

@LiquoriceTwist • 7 september 2021 14:14

Wow. Daar word ik eventjes toch wel stil van.
Dit is wat je crimineel nalatig zou mogen noemen, denk ik.

Sando @R4gnax • 7 september 2021 15:57

Wat ik vroeger al zag en tegenwoordig nog steeds vaak hoor is dat er in dergelijke situaties een chronisch geldgebrek is. Geen geld. Geen budget. Veel leunt op docenten die er wat uren aan mogen besteden als fijne afleiding van hun volledige aanstelling.

Tegelijk betaalde ik iets van €1500 per jaar. Volgens mij is dat tegenwoordig iets van €2100 per jaar. En de belastingbetaler doet daar nog €7000 per jaar per leerling bij.

De hoeveelheid les die ik kreeg zou bij een perfect passend rooster in een 3-daagse schoolweek passen. Daarbij deed ik ook nog een half jaar stage, en een half jaar afstuderen, waarbij ik geen kosten voor de school maakte maar wel schoolgeld bleef betalen.

Als zo'n instelling dan €36.000 per student ontvangt voor effectief 75 werkweken les, waarom is er dan nooit budget ergens voor? Dat is €12.000 per week per klas van 25 leerlingen. En daar zat geen gratis kopietje (iets van vroeger) of gratis kopje koffie bij.

[Reactie gewijzigd door Sando op 23 juli 2024 20:09]

SpiceWorm @Sando • 7 september 2021 21:04

Ik heb mij er ook altijd over verbaasd waar al dat geld blijft.

Katth @SpiceWorm • 8 september 2021 08:54

Loonkosten.

Er moeten niet alleen docenten betaald worden, maar een hele grote groep mensen is ondersteunend personeel zoals o.a. IT en Marketing.

Ik weet van uit eigen ervaring dat op Saxion er ook teveel "managers" rondlopen en de bedrijfscultuur is niet eentje waar je als werknemer snel hart voor de zaak van krijgt. Dus doen wat je moet doen en aan het eind v/d maand je handje ophouden voor uitstekende arbeidsvoorwaarden.

Ook zitten veel hogescholen in schitterende panden. Die moeten ook betaald worden.

Casplantje @Katth • 8 september 2021 09:56

Dit nieuwsbericht is wel direct gevolg van nalatigheid van ondersteunend personeel, namelijk die van IT. Nou vermoed ik dat de verantwoordelijke manager ondertussen op het matje is geroepen, en dat het in dit geval wel op een manier opgelost wordt voor de nabije toekomst, maar eigenlijk horen dit soort dingen in beeld te komen voordat het een probleem is.

SpiceWorm @Katth • 11 september 2021 19:08

Idd loonkosten.

Maar 48k per 25 studenten per maand, zou je toch zomaar 10 voltijd docenten voor in moeten kunnen huren zou ik zeggen. Ik weet dat ik op mijn HBO opleiding we lang geen 10 voltijd docenten hadden per 25 studenten.

Terrestrial @Sando • 7 september 2021 22:04

Misschien bij een klein basis schooltje dat IT door docenten geregeld wordt maar niet bij zo'n grote instelling. En inderdaad het is letterlijk crimineel om op deze manier met gegevens van medewerkers en studenten om te gaan. Je mag hopen dat dit soort instellingen is een boete gaan krijgen, IT niet goed voor elkaar alle vormen van winst meteen inleveren.

Kastermaster @Sando • 8 september 2021 08:09

Het probleem is dat scholen tegenwoordig gemanaged worden als bedrijven. Dat maakt dat er vooral ingezet wordt op korte termijn (uiterlijke zaken, dikke rapportages) en minder op lange termijn. Daardoor gaat er niet zelden te weinig aandacht naar de student. De Correspondent schreef er een mooi stuk over. Ict-beveiliging hoort daar overigens ook niet bij, want is te onzichtbaar.

[Reactie gewijzigd door Kastermaster op 23 juli 2024 20:09]

Juice2000 @Kastermaster • 13 september 2021 12:56

Thanks, heel goed stuk van de Correspondent, aanrader.

Tintel

Privacy

@Sando • 8 september 2021 12:09

waarbij ik geen kosten voor de school maakte maar wel schoolgeld bleef betalen.

Terwijl jij stage loopt of afstudeert moeten de docenten nog wel betaald worden. Eigenlijk loopt alles gewoon door.
Verder is het niet alleen les geven maar ook les voorbereiden en beoordelen wat docenten doen.

Ik heb zelf gewerkt voor een onderwijsinstelling waar echt plenty geld beschikbaar was (is). En het waren niet de docenten die de ICT 'erbij' deden. Maar zelfs met plenty geld heb je niet altijd de beste mensen en/of het kost nog veel meer geld om al bestaande software te herschrijven indien deze niet zo robuust/veilig blijkt te zijn.

Troepje @Sando • 8 september 2021 16:46

Geen geld is synoniem voor geen prioriteit, dus ik vind de term nalatigheid best correct in deze. Overigens vergeet je ook nog de overheidssteun wat volgens mij ook nog gegeven wordt per afgestudeerde oid. Er is dus best wel een bak geld te verdelen, het is gewoon een keus om het niet te besteden aan een veilige infrastructuur.

robvanwijk

Privacy

@Sando • 8 september 2021 18:25

De hoeveelheid les die ik kreeg zou bij een perfect passend rooster in een 3-daagse schoolweek passen.

En ik neem aan dat je ook nog flink wat huiswerk en proefwerken/tentamens (welk woord wordt op het HBO gebruikt??) moest doen. Vergeet niet dat die zowel voorbereid als afgenomen als nagekeken moeten worden.

Daarbij deed ik ook nog een half jaar stage, en een half jaar afstuderen, waarbij ik geen kosten voor de school maakte maar wel schoolgeld bleef betalen.

In dat halve jaar stage had je geen stagebegeleider waar je elke week je vorderingen mee moest bespreken en die een oogje in het zeil hield dat je ook echt iets leerde bij je stagebedrijf (en niet als "gewone", maar veel goedkopere, werknemer behandeld werd)? Voordat jij zelfs maar aan je stage begon heeft jouw school bovendien al een boel geld uitgegeven aan het beoordelen van die stage (is het niveau hoog genoeg, is het relevant voor je studie, weet het bedrijf wat er van ze verwacht wordt, ...) en ook in de beoordeling ervan gaat een boel tijd zitten.

Al deze zelfde punten gelden dubbel en dwars ook voor je afstuderen.

(Nou weet ik niet eens op welke school jij gezeten hebt, dus het zou best kunnen dat jij de pech had op een school te zitten die alle bochten afsneed en alle kantjes eraf liep. Bovenstaande gaat er vanuit dat ze hun werk, op zijn minst, redelijk deden. Als ze geaccrediteerd zijn (als je een erkend diploma hebt gekregen) dan zou dat het geval moeten zijn.)

jannesbeterams @R4gnax • 7 september 2021 14:19

Het grappige is dat ik destijds op dezelfde HAN heb geleerd dat dit echt not done is

. Wat arrogantie al niet kan doen...

Polydeukes @jannesbeterams • 7 september 2021 15:38

De docenten die voor de klas staan zijn andere mensen dan die de (technische) IT beheren, laat staan de functioneel beheerders van (onderwijs)applicaties. Dat zijn in het (hoger) onderwijs vaak compleet gescheiden werelden. Dus kennis die in het onderwijs zit en aan studenten wordt geleerd, is (mogelijk) niet aanwezig bij de IT beheerorganisatie. En traditioneel (niet alleen in het onderwijs maar op heel veel plekken) wil men (directie/bestuur) pas investeren in veilige IT nadat het een keer is misgegaan. Men spendeert het benodigde geld liever aan tastbare zaken in het onderwijs die direct waarde opleveren aan de student, dan aan ontastbare en ingewikkelde IT beveiliging. Pijnlijk, zorgelijk, en erg dom, maar waar.

Ik zag en zie het bij ons ook hoor, maar gelukkig is men inmiddels wakker (na de ransomware-rel bij de universiteit van Maastricht). En nu zie je bij ons weer veel academiedirecties en docenten mopperen dat er veel te veel geld naar IT gaat, wat beter in het onderwijs geïnvesteerd had kunnen worden

jannesbeterams @Polydeukes • 7 september 2021 18:59

Ik had in ieder geval docenten die erover meepraten en tamelijk trots op waren. Snap ook wel dat de uiteindelijke verantwoordelijkheid niet bij hen zit, maar je zou zeggen dat ze zelf ook weleens onderzoeken wat ze onder hun eigen neus krijgen. Het arrogante komt dan ook precies vanaf de sfeer die er altijd hing. Wij zijn de beste in alles.

Maar goed fair point natuurlijk. Ik kan zelf alleen maar zeggen dat ik mijn best doe mijn eigen spul allemaal veilig te hebben. Vaak is precies dat wat onder je neus ligt onzichtbaar.

Xthemes.us @Polydeukes • 8 september 2021 02:36

Ik heb hier jaren terug een IT-opleiding gevolgd en de docenten waren trots op hoe goed hun systeem werkte een hoe het gebruikt werd binnen de HAN.
Dezelfde docenten wisten me echter ook te vertellen dat je nooit een unsalted wachtwoord moet opslaan. Een al helemaal nooit wachtwoorden moet versturen.

teek2

@jannesbeterams • 7 september 2021 14:35

Ook wel jammer dat geen van de studenten die dit aangeleerd krijgt opvalt dat de systemen die ze zelf gebruiken niet ok zijn

Ik zou zeggen, vorm een red en een blue team van studenten. Of iig een red team, en dan de sysadmins als blue team. Gemiste kans, of tenminste, ik zou hem nu pakken oh HAN management, dan haal je nog wat goeds uit dit drama.

[Reactie gewijzigd door teek2 op 23 juli 2024 20:09]

jopiek @teek2 • 7 september 2021 15:17

Een hogeschool is heel bureaucratisch, denk maar niet dat de docenten ICT iets gevraagd wordt... Dus ook al heb je de kennis in huis en kunnen docenten ism studenten mooi pentesten en zo, denk maar niet dat dat toegelaten wordt door ICT.

Hobbit13 @jopiek • 7 september 2021 15:38

Ik verwacht dat docenten informatica net zo hard een klant zijn van de ICT dienst dan elke andere docent. Ze houden zich bezig met tentamens maken, leerdoelen opstellen enz. Hebben echt geen tijd om faciliterende ICT systemen te gaan bouwen of reviewen.

De HAN is een enorm grote en complexe organisatie, het merendeel van de ICT zal zeer professioneel opgezet zijn (het is bv verre van triviaal om voor een duizend man in één gebouw goede WiFi te leveren), maar er zullen ook systemen zijn die na fusies / overnames etc tussen wal en schip vallen, met alle risico's van dien.

Praat het niet goed, maar ben bang dat de HAN hierin ook niet slechter is dan "gemiddeld".

lamaa1 @Hobbit13 • 7 september 2021 16:33

Bij de HAN heb ik als student eenmaal een pentest mogen uitvoeren op een live systeem. Dus het wordt wel degelijk gedaan, Op wat voor een systemen en of wat daar is uitgekomen mag ik uiteraard niet zeggen. Maar het is juist voor studenten ook informatief om het op een live omgeving te pentesten i.p.v. een VM die al zo lek is als een mandje.

teek2

@Hobbit13 • 7 september 2021 15:47

Bij docenten informatica kan dat (pentesting, red teaming, etc) toch gewoon deel van de lesstof zijn? Sterker nog, het ligt echt super voor de hand. Je moet wel echt veel desinteresse in je vak hebben om dit onder je neus te laten gebeuren. Tenminste, ik vind dit hele drama erg moeilijk te verdedigen als er ook informatica wordt gegeven. Een mode gerelateerd opleiding, of een meubelmakers college, die hebben een beter excuus.

[Reactie gewijzigd door teek2 op 23 juli 2024 20:09]

Sander_1988 @teek2 • 7 september 2021 16:12

Gaan we dan ook de leraren van de modeopleiding verantwoordelijk maken voor het feit dat de kantinejuffrouw een gedateerd truitje aanheeft, of die van de meubelmakersopleiding voor elke stoel waar iemand doorheen zakt?

Is de docent elektrotechniek verantwoordelijk voor de kortsluiting die in een ander gebouw plaatsvindt?

Moet de docent van de koksopleiding erop toezien dat men zich in de kantine aan de voedselveiligheidsvoorschriften houdt? Ook wanneer deze zelf de kantine nooit bezoekt?

Je voorstel klinkt leuk en spannend, maar het effect lijkt me averechts. Er komt verantwoordelijkheid terecht bij mensen zonder zeggenschap, en de mensen mét zeggenschap kunnen de verantwoordelijkheid van zich afschuiven.

teek2

@Sander_1988 • 7 september 2021 16:20

Ik heb het niet over formele verantwoordelijkheid, ik heb het over een rijke leeromgeving waar je studenten wat leren en tegelijkertijd meehelpen je infrastructuur veiliger te krijgen. Als dat niet lukt, dan is dat niemand's schuld. Maar het is toch een gemiste kans om het niet te proberen. Bovendien scheelt het de leraar tijd, hij hoeft geen lesstof te verzinnen, er ligt een heel netwerk klaar voor inspectie. En ik reageerde op het argument leraren "Hebben echt geen tijd om faciliterende ICT systemen te gaan bouwen of reviewen. ".

Maar goed, het hoeft allemaal niet, het zijn maar suggesties om er met een matig budget (want dat hebben scholen weet ik uit ervaring) toch nog wat van te maken. Wat ze nu doen werkt iig niet.

[Reactie gewijzigd door teek2 op 23 juli 2024 20:09]

teek2

@Sander_1988 • 7 september 2021 16:17

Nou, als je elektromonteurs opleidt dan verwacht ik niet dat er in je lokaal een stopcontact los hangt, zonder aarde met alle contacten eruit en een kraan erboven.

En we hebben het niet over de persoon in de kantine, we hebben het over een leraar, de persoon die de nieuwe generatie opleidt. Op een modeopleiding verwacht ik idd wel dat die er een beetje "modieus" uitziet ja, maar goed, als dat niet zo is, valt er niet direct data in verkeerde handen dus dat is ook gelijk weer een matige analogie. Al zou je de studenten deze persoon best een make over kunnen laten aanbieden?

[Reactie gewijzigd door teek2 op 23 juli 2024 20:09]

dikkechaap @Sander_1988 • 8 september 2021 10:06

Waarom zou de docent van de koksopleiding de kantine nooit bezoeken? -> Ik neem aan dat de informatica docenten ook gebruik maken van deze systemen. Dat betekent niet dat ze hier verantwoordelijkheid voor dragen, of zouden moeten dragen, maar een tikkeltje genant is het natuurlijk wel. We weten natuurlijk niet of (en door wie) hiervoor gewaarschuwd is, maar dit is echt extreem nalatig. Juist als onderwijsinstelling moet je inmiddels toch doordrongen zijn van het belang van IT-veiligheid. Reken maar dat alle universiteiten intern aan de bel hebben getrokken na de aanval op Maastricht.

Ik denk overigens dat er in de kantine van Rentokil vrij weinig muizen rondlopen.

Jossoben @Sander_1988 • 8 september 2021 13:08

lolbroek, ik zit op de han en de docenten informatica houden zich weldegelijk bezig met de systemen die wij als studenten (en docenten ook) gebruiken.
Of ik het goede zaak vind is een tweede..

johanneslol @jopiek • 7 september 2021 16:14

Ik kom bij Windesheim weg, maar daar helpen de It docenten wel delijk bij het ontwerp enz.

jopiek @johanneslol • 7 september 2021 16:28

Aantal ICT-ers daar deden ook de deeltijd HBO-ICT opleiding.

teek2

@jopiek • 7 september 2021 15:18

Ik vind dat ICT nu even weinig te zeggen heeft, ze hebben hun kans gehad om te laten zien wat ze waard zijn. Ik zou me nu even nederig opstellen en openstaan voor nieuwe dingen.

Hoe dan ook, er moet toch iets veranderen daar, dan maar gelijk de hele cultuur die dit in stand heeft gehouden, lijkt me.

[Reactie gewijzigd door teek2 op 23 juli 2024 20:09]

winwiz

@jopiek • 7 september 2021 15:44

Ik werk op een hogeschool, en er worden zeer regelmatig pentesten gedaan door een gerenommeerde externe partij zowel fysiek als digitaal. Tevens doet de ICT opleiding zelf via een project dit soort pentesten. Verder is er een toegangkelijke manier om gevonden kwetsbaarheden te melden. Dit soort meldingen gaan direct door naar het security team voor onderzoek en wordt serieus geclassificeerd en afgehandeld.

Vinnie.1234 @teek2 • 7 september 2021 15:33

Dat is zeker wel gebeurd, er is zelf vaak gebruik van gemaakt op manieren die de HAN niet leuk vond... Dus de HAN wist dat deze kwetsbaarheden er in zaten...

thomasv @jannesbeterams • 7 september 2021 14:29

Hangt er vanaf of dit systeem door de HAN gemaakt is. Dat jij iets van een docent/studie geleerd hebt betekend nog niet dat dit aan de "management" kant gecontroleerd wordt bij de partij die een dergelijke applicatie voor de HAN maakt. Ik zou het niet arrogantie willen noemen, maar nalatig is het wel, zowel van de partij die dit dus gemaakt heeft (die zouden echt wel beter moeten weten) en van de HAN in het opstellen en toetsen van beveiliging(seisen) omtrent de applicatie.

[Reactie gewijzigd door thomasv op 23 juli 2024 20:09]

LiquoriceTwist @thomasv • 7 september 2021 14:32

Zover ik weet (ik kan het ook fout hebben) werden de in-house systemen zoals, ISAS, online.han.nl e.d. door senioren binnen de ICA (Informatie en Communciatie-Academie) beheerd. Er waren ook systeembeheerders op school, maar het was een samenwerking met leraren.

Nu moet ik wel zeggen dat de meesten die er mee bezig waren nogal van den ouden garden waren. Dit was voor mij ook al een tijd geleden. Dus ik durf niet te zeggen of het nog steeds dezelfde leraren betreft. Maar ik hoop toch wel echt dat ze het nu beter voor elkaar gaan maken.

Erulezz @LiquoriceTwist • 7 september 2021 14:41

Ik weet nog dat een leraar erg trots was op zijn iSAS systeem want dat was volledig op SQL gebaseerd, dus ook de frontend.. liet een keer zien hoe hij met 1 query de pagina kon genereren. Dacht toen al wtf.. ben verder niet in discussie gegaan dat SQL daar niet echt voor bedoeld was

Weet iemand nog hoe die “taal” werd genoemd door hun? Kan het mij niet meer herinneren..

x6Pnda @Erulezz • 7 september 2021 15:45

Je kan veel zeggen over isas maar in isas heeft nooit een lek gezeten als een van weinige systemen binnen de HAN. Over SAS (de voorganger) kan ik dat niet zeggen though lol

LiquoriceTwist @x6Pnda • 7 september 2021 17:06

iSAS was ook wel nodig, I mean. Daar stonden je cijfers ook in en daar werden je cijfers ook in aangepast. Als dat zo lek als een mandje was dan was iedereen afgestudeerd met een 10.

jopiek @LiquoriceTwist • 7 september 2021 19:06

Was eigenlijk SIS, dat is door ICA docenten ontwikkeld. Ooit gebruikte de hele HAN het. Toen is men overgestapt op Alluris (wat nu onder beheer van Topicus valt). Of de ux daarmee beter geworden is vraag ik me af. Docenten kunnen m.i. verder veel te veel zien van willekeurige HAN studenten. Dat was bij SIS beter geregeld. SAS en iSAS worden voor zo ver ik weet vrijwel enkel door AIM (wat vroeger ICA heette) gebruikt. Werkte altijd betrouwbaar en zonder hick-ups omdat men het actief monitorde en problemen meestal voor was.

jopiek @x6Pnda • 7 september 2021 16:25

Nee de heren die dat ontwikkelen weten ook wel wat ze doen. Bijv beoordelen van afstudeerders werkt(e) perfect in iSAS, maar rest van de HAN doet het nog met excelletjes die tien keer heen en weer gemaild worden.

x6Pnda @jopiek • 14 september 2021 18:23

Zeker! Features worden langzaam toegevoegd maar alles wat toegevoegd wordt, werkt ook gewoon. Als ze nu alleen een UI update nog doen zodat het wat frisser eruit ziet dan is het helemaal top. Je kan veel over de ICT docenten zeggen maar onder de twijfelachtige interesse in UI zit wel kennis van applicaties ontwikkelen en security. (Misschien ook omdat bijna iedereen in het werkveld werkt of gewerkt heeft)

jopiek @x6Pnda • 15 september 2021 20:59

Ja is ook zeker een manco, zijn wel uitzonderingen die soms ook weer terug gaan naar bedrijfsleven en hopelijk dan met nog meer ervaring weer terugkomen. Eigenlijk zou je vooral deeltijddocent moeten zijn, maar vaak is juist dat aan de bedrijfskant lastiger. Dus vrijwel alle docenten die deeltijd lesgeven hebben eigen consultancy toko of zo er naast. Soms gaat ook dat wel weer eens ten koste van docentschap.

En natuurlijk is er een CMD opleiding met UX focus, maar daar mist vaak weer de technische diepgang.

[Reactie gewijzigd door jopiek op 23 juli 2024 20:09]

Turtle @Erulezz • 7 september 2021 14:55

Je hebt het toch niet over "volledig communicatie georiënteerde data modellering"?
Met de legendarische "Existentie postulerende feit type expressie"... Soort Normaliseren met omwegen

Erulezz @Turtle • 7 september 2021 15:34

FCO-IM…… bedankt…. Er komen weer heel veel nare herinneringen terug

SideShow118 @Erulezz • 7 september 2021 16:37

Mijn hemel red mij.

Ik word gemiddeld nog 1x per jaar zwetend wakker dat ik die vakken FCO-IM en dat Imagine systeem vak niet gehaald heb en nog moet herkansen. En ondertussen ben ik al een jaar of 9 afgestudeerd daar.

[Reactie gewijzigd door SideShow118 op 23 juli 2024 20:09]

Le Mol @Turtle • 7 september 2021 15:20

Ha, die had ik al heel lang niet meer gehoord de Existentie postulerende feit type expressie

[Reactie gewijzigd door Le Mol op 23 juli 2024 20:09]

davince72 @Turtle • 7 september 2021 19:58

FCO-NIAM......bad memories again ;-)

tmagus @Erulezz • 7 september 2021 14:53

In Oracle heb je Apex die op een redelijke snelle en eenvoudige manier frontend kan opzetten.

Lizard

@Erulezz • 7 september 2021 15:07

In een grijs verleden was het Delphi geloof ik.
Of dat nog steeds zo is weet ik niet, ben al een hele tijd student af.

thomasv @Erulezz • 7 september 2021 15:11

Klinkt ook een beetje als Ingress Database, waar je je hele applicatie binnen de database bewaarde (erg bijzonder systeem, zachtgezegd). Dat was echter niet SQL geloof ik.

[Reactie gewijzigd door thomasv op 23 juli 2024 20:09]

jopiek @Erulezz • 7 september 2021 16:22

Haha en Eddy had nog gelijk ook! Het zat super degelijk in elkaar, alleen de UX was voor verbetering vatbaar soms maar het werkte wel. Alluris is nauwelijks een vervanger te noemen…

Neshfi @Erulezz • 7 september 2021 14:55

Ik weet precies wie jij bedoeld. Heet dat ding van hem niet iets van Imagine ofzo? God wat was hij daar trots op.

jopiek @Erulezz • 7 september 2021 16:32

Uncle Bob ziet een database dan ook gewoon als een I/O device, SQL is volgens hem onnodige ballast

jopiek @thomasv • 7 september 2021 15:18

HAN maakt vrijwel niks, kopen ze in van derden. En ze onderhandelen slecht, o.a. de leeromgeving ligt er elke september bijna dagelijks uit, hoezo SLA meenemen in aanbesteding?!

YopY @jannesbeterams • 7 september 2021 14:55

Bij de loodgieter lekt het ook, zullen we maar zeggen.

...maar dit is wel heel erg.

Leraje @jannesbeterams • 7 september 2021 16:14

De docenten binnen een opleiding hebben niets te zeggen over hoe de overkoepelende organisatie hun IT regelt, helaas.

LiquoriceTwist @R4gnax • 7 september 2021 14:19

Ik was zelf ook heel erg geschrokken, mijn collega heeft gelijk een mail eruit gedaan met de instructies hoe of wat. Ik ga natuurlijk niet specifiek zeggen hoe je dingen kan achterhalen, dan wakker ik het vuur alleen maar aan.

Maar ik vind het wel ontzettend balen, ik en mijn collega zijn beiden gedupeerden. Gelukkig is het niet zo ernstig dat mijn BSN op straat ligt. Maar kom op, het is niet eens zoveel werk om een hash over je web-responses te gooien.

Neshfi @LiquoriceTwist • 7 september 2021 15:18

Kun je misschien wel delen hoe we kunnen checken of we onder de gedupeerde vallen? Ben zelf een oud student, maar ben niet op de hoogte gebracht door de HAN.

Gezien dat zij nog steeds ontkennen dat er ook login gegevens zijn gestolen, ga ik er niet vanuit dat ik ook maar iets van hulp van hun kant hoef te verwachten... Had ook niks anders verwacht van de HAN...

jopiek @Neshfi • 7 september 2021 16:26

De info staat op han.nl/hack

[Reactie gewijzigd door jopiek op 23 juli 2024 20:09]

LiquoriceTwist @Neshfi • 7 september 2021 15:21

Zover ik weet gaat het om iedereen die afgestudeerd is sinds 2009. Verdere details weet ik ook niet. Ik heb dit via-via van een langstudeerder gehoord die het dan weer van een leraar gehoord heeft. Dus zover ik weet is dat eigenlijk iedereen de dupe is. Er wordt als het goed is wel met iedereen contact opgenomen, tijdsindicatie is er helaas nog niet wanneer dit gaat gebeuren.

jdh009 @LiquoriceTwist • 7 september 2021 15:30

Op de radio (Radio 1 nieuws) werd ook gemeld dat de gegevens van niet studenten gelekt waren. Als je gegevens had achtergelaten via het contactformulier e.d. dan is er een kans dat je er dus ook bij zit. Hopelijk wordt er snel een kopie in haveibeenpwned gezet.

[Reactie gewijzigd door jdh009 op 23 juli 2024 20:09]

GeroldM @R4gnax • 7 september 2021 19:32

Klinkt eerder als: een handige harrie heeft het jaren terug opgezet, en er is daarna nooit budget vrijgemaakt om het systeem te verbeteren/beveiligen.

Ben het verder wel met je eens dat het niet bepaalt slim is om zo'n website online te hebben staan. Scholen zijn wat dit betreft een rare wanboel. Wanneer er iets werkt, dan word het gelijk behandelt alsof het een spreekwoordelijk roodharig stiefkind is. Er mag geen cent meer aan worden uitgegeven.

Tenminste, dat is mijn ervaring. Dat wil niet zeggen dat alle scholen dezelfde mindset hebben, maar dat zijn dan eerder de uitzonderingen dan de regel.

jannesbeterams @LiquoriceTwist • 7 september 2021 14:13

Als oud student geen mailtje gehad dat dit gebeurt is, vanuit mij totaal het laatste nog niet over gezegd. Mag aannemen dat de HAN hier heel diep door het stof voor moet gaan, wat een onkunde.

Tomatoman @jannesbeterams • 7 september 2021 14:28

Volgens mij is het niet zo moeilijk voor de HAN om alle gedupeerden per e-mail te benaderen. Al hun e-mailadressen zijn al online klaargezet.

Anoniem: 532949 @Tomatoman • 7 september 2021 15:13

Heeft iemand een idee waar ik de data kan vinden? zou wel ff willen checken wat er van mij is uitgelekt

jdh009 @Anoniem: 532949 • 7 september 2021 15:36

Zulke linkjes mogen hier helaas niet gedeeld worden, maar ben zelf ook heel benieuwd. Ik ben nooit student geweest echter wel interesse gehad in studies/cursussen en daarvoor gegevens voor achtergelaten zodat ik meer informatie erover opgestuurd kreeg. Een collega van mij die oud-student is heeft zelf nog geen bericht ontvangen.

Lisadr @LiquoriceTwist • 7 september 2021 14:35

HAN CISO en interim CISO hebben beiden wat jaren ervaring als security officers. Je zou verwachten dat ze hun zaken op orde hebben.

Polydeukes @Lisadr • 7 september 2021 15:50

Ik ken de situatie bij de HAN niet, dus wat ik hieronder zeg is puur ter illustratie.

Een CISO opereert op strategisch/tactisch niveau, en is voor operationele risico's afhankelijk van input van de technisch en functioneel beheerders om precies te weten wat er draait, wat de status van alle systemen is, wat de zwakke plekken zijn en waar nog legacy draait. Voor SaaS diensten is het nog lastiger om in control te zijn, daar ben je afhankelijk van contracten met leveranciers. Natuurlijk is een CISO eindverantwoordelijk en mag hij afgrekend worden op dit soort falen, maar wellicht was hij/zij niet op de hoogte van dit specifieke lek. het zal je verbazen, maar soms worden managers bewust onwetend gehouden. Ik ken genoeg verhalen van onkundige beheerders die wat aanrommelen en hobbyen en daar heel stil over blijven om hun onkunde te verbergen.

Om een analogie te gebruiken:
Je kunt moeilijk een fietsband plakken of vervangen, als je niet weet dat deze lek is. Als je maar 1 of 2 fietsen hebt die je dagelijks gebruikt en goed laat onderhouden door kundige fietsenmakers, dan is de kans op lekrijden klein en als het toch gebeurt heb je dat al snel door. Maar CISO's zijn verantwoordelijk voor honderden tot soms wel duizenden "fietsen", oude en nieuwe, regelmatig worden er fietsen vervangen en blijven de oude nog even staan om later op te ruimen. Er zijn tientallen fietsenmakers in dienst, die niet altijd van elkaar weten met welke fiets ze bezig zijn en welke fiets nog onderhouden moet worden. En zo worden er wel een fietsen vergeten, of bewust in een hoekje verstopt.

Ja, een CISO moet het overzicht hebben, maar de praktijk is vaak weerbarstiger.

Lisadr @Polydeukes • 7 september 2021 19:17

Een CISO hoort een ISMS, controles en regie te hebben. Hij hoort risico's te managen op strategisch, tactisch en operationele niveau en heeft op elke niveau beleid en mensen voor de uitvoering.

Om jouw fietsvoorbeeld te gebruiken. Een CISO hoort een Plan Do Check Act te hebben om te weten hoeveel fietsen er zijn en te zorgen dat er periodiek elke fiets gecontroleerd gaat worden op een lekke band. Is een fietsband te oud en versleten waardoor de risico op lekkage hoger is, dan hoort de band vervangen te worden. Hij moet niet afwachten totdat iemand hem/haar komt vertellen dat er een lekke band is. Het hoort proactief en gestructureerd te gebeuren.

Probleem is dat veel CISO's en organisaties de kennis niet hebben en reactief zijn. Ook gebruiken veel organisatie de naam CISO terwijl iemand geen CISO is, maar eerder een team-lead security.

Polydeukes @Lisadr • 8 september 2021 16:07

Ik ben het met je eens hoor, dat hoort een CISO allemaal te hebben en te doen.

Nu de praktijk (bij veel hoge scholen, en waarschijnlijk ook bedrijven): jarenlang is er geen of nauwelijks aandacht en geld geweest voor security en privacy. Systemen en applicaties werden zonder regie aangekocht of (zelf) ontwikkeld en aan elkaar geknoopt. Er is meestal geen overzicht en geen inzicht.

Inmiddels is men doordrongen van het nut en noodzaak van Privacy & Security en krijgt de CISO-rol steeds vaker een plek op het juiste niveau in genoemde organisaties. Zo'n nieuw aangetreden CISO treft dan dus een (ik chargeer even) digitale puinhoop aan. Dat heb je niet 1-2-3 opgelost met een paar pagina's beleid en een PDCA-proces. De grote crux zit hem erin dat mensen (medewerkers) zich gaan gedragen naar dit beleid. Dat kost heel. veel. tijd.

Dus ja, zou moeten, maar de praktijk is weerbarstiger.

x6Pnda @LiquoriceTwist • 7 september 2021 15:49

Klopt deels maar een groot deel van de communicatie gaat sinds 2 jaar via Microsoft (oauth2). Nu zijn er nog inderdaad een aantal portalen waar dit niet zo gaat maar ze waren in ieder geval bezig maar bureaucratie vertraagd alles zoals gewoonlijk lol

LiquoriceTwist @x6Pnda • 7 september 2021 15:51

Ja klopt, zag inderdaad dat er nu o.a. met Azure wordt gewerkt en Microsoft's inlogportaal. Maar de oude systemen, waar je dus nog steeds met je oude gegeven op kon inloggen, maken nog gebruik van hun oude IT-infra.

SgtElPotato @LiquoriceTwist • 7 september 2021 14:34

En dan met een slap excuus komen dat het om oude wachtwoorden zou gaan die verlopen zijn. Ze zijn hun complete geloofwaardigheid kwijt. Dit is gewoon amateurisme van de bovenste plank, maar helaas iets wat we zeker nog vaker zullen gaan zien..

MISTERAMD @LiquoriceTwist • 7 september 2021 15:09

Hier word ik stil van. Dat dit anno 2021 (sinds 2009) en tevens nog niet is verstrengd of aangepast, doet menig wenkbrauwen fronsen. Je zou toch gaan denken, dat als er hier en daar lekken worden publiekelijk gemaakt (Have I Been Pwned website), dat je toch aan de IT van de (hoge)school gaat vragen om eens de beveiliging te gaan controleren zodat de naam van de (hoge)school niet in een slecht daglicht zal worden gezet binnen de kortste termijn. De meeste denken altijd 'wij zijn onhackbaar' tot de dag dat je naam in het nieuws komt... Dan is het veel te laat natuurlijk...

TrekVogel @LiquoriceTwist • 7 september 2021 17:26

Dan mag de boete die ze krijgen wel iets meer dan die 10k zijn. Maar uiteindelijk zullen de werknemers en studenten daar alleen maar de dupe van worden dus misschien kunnen we een alternatieve straf bedenken?

R4gnax

Datalek
Networking en security
Privacy

@TrekVogel • 8 september 2021 09:55

Dan mag de boete die ze krijgen wel iets meer dan die 10k zijn. Maar uiteindelijk zullen de werknemers en studenten daar alleen maar de dupe van worden dus misschien kunnen we een alternatieve straf bedenken?

Het verantwoordelijke management onder curatele stellen.
Niet ontslaan; maar gewoon elke grote beslissingsbevoegdheid ontnemen, voor een periode van - zeg - 5 jaar of zo? In elk geval: afdoende tijd totdat de aangestelde bewindvoering het beleid in zake de IT-infrastructuur gecorrigeerd heeft.
En uiteraard gedurende die periode het loon gedwongen terug schalen. Je hebt immers geen beslissingsbevoegdheid meer; en je draagt zelf het risico daarvan niet meer, dus dan hoef je er ook niet voor beloond te worden. Gewoon terug naar de schaal voor productie-werk.

hoi1234 @LiquoriceTwist • 7 september 2021 19:13

Sterker nog, van een oude klasgenoot heb ik zelfs begrepen dat twee docenten meermaals gewaarschuwd hebben voor dergelijke beveiligingsproblemen. Daar is dus absoluut niks mee gedaan.

Overigens gingen er ook al meerdere jaren geruchten de ronde, dat tweedejaars flink op hun kop gehad hebben voor het vinden van een beveiligingsprobleem op de schoolsite. Zij moesten notabene dergelijke beveiligingsissues zoeken voor een vak dat zij volgde. Dergelijk beleid spreekt ook boekdelen natuurlijk. "Geen hulp accepteren en alles zelf, maar misschien wel hartstikke fout willen doen".

[Reactie gewijzigd door hoi1234 op 23 juli 2024 20:09]

kodak

Networking en security
Datalek
Hack
Nederland
Privacy

@LiquoriceTwist • 7 september 2021 19:35

Dan mogen studenten nu hopen dat de gevonden punten waar jullie niet zeker van zijn of die nu opgelost zijn door jullie ook aan HAN duidelijk zijn gemaakt? Dat iets opgelost lijkt hoeft namelijk niet te betekenen dat ze ook alles daarvan nu weten.

LiquoriceTwist @kodak • 7 september 2021 19:38

In een andere reactie heb ik aangegeven dat wij een mail hebben gedaan naar de HAN. Dus ze zijn er in ieder geval nu van op de hoogte.

N1ckk 7 september 2021 13:14

Vooral heel vervelend voor de mensen in deze datafile. Al is het alleen maar om je persoonlijke gegevens die ineens op straat lijken te liggen. In hoeverre is de HAN aansprakelijk hier? Ik vraag me dat oprecht af, wordt daar onderzoek naar gedaan?

Arnoud Engelfriet @N1ckk • 7 september 2021 13:29

Dit is natuurlijk een overtreding van de AVG, en de Autoriteit Persoonsgegevens kan daar dus onderzoek naar doen. Je kunt ook als getroffen persoon de HAN aansprakelijk stellen voor je schade. De kneep zit hem erin dat je schade moeilijk hard te maken is. Dit gaat niet om concreet op geld waardeerbare schade (een deuk in je laptop, je auto in de prak, een half ingestorte muur) maar om abstracte schade.

Ik zou het een goed idee vinden (roep dit al jaren, maar ja) als we schadestaffels invoeren: een gelekt emailadres geeft recht op 5 euro vergoeding, tenzij meer schade kan worden aangetoond. Gewoon, als prikkel om je beveiliging op orde te hebben. Want nu kan de CISO roepen "hoezo hebben wij nog 100.000 mailadressen uit 2009, dat is 5 ton aansprakelijkheid die boven ons hoofd hangt".

B_FORCE @Arnoud Engelfriet • 7 september 2021 14:18

Waarom zo lastig?

Als ik een bedrijf heb moet mijn bedrijf aan allerlei voorschriften voldoen ivm algemene veiligheid, brandveiligheid, ARBO en op dit moment ook corona veiligheid.
Daarnaast worden daar in sommige gevallen ook verplichte cursussen in gegeven.
Denk bv verplichten veiligheidscursussen voor bepaalde vakgebieden.
Mensen zijn in die gevallen dan ook verplicht hun certificaat te kunnen tonen.

Er vinden regelmatig controles op dit gebied plaats. In sommige werkgebieden met hoog risico zelfs ZEER regelmatig. Immers, veiligheid boven alles.
Daarnaast heeft de werknemer in dit geval ook alle rechten mocht er desondanks iets fout gaan als deze
regels niet worden nageleefd.

Net als een rijbewijs, waarbij iedereen verplicht een cursus moet volgen om de algemene veiligheid op de weg te waarborgen.

Voor het internet is het nog steeds het wilde westen.
In plaats van dat er actief gecontroleerd wordt zoals de eerder genoemde voorschriften, moet de slachtoffer maar weer zelf juridische stappen ondernemen.
Wat meestal leidt tot wederom totaal onzinnig gesoebat tussen slachtoffer, bedrijf, rechters en advocaten.
Buiten het financiële plaatje, betekend dat per definitie dat de schade altijd al geleden is.

Ik vind het minstens 10-15 jaar totaal absurd dat hier geen actieve controle en verplichte cursussen op zijn zoals dat wel is met alle andere voorbeelden.
Elke andere vorm blijft dweilen met de kraan open.

N1ckk @Arnoud Engelfriet • 7 september 2021 13:33

Hoi Arnoud, dank voor je uitleg. Je laatste punt vind ik erg sterk trouwens en je hebt gelijk... Als bedrijfskundige geloof ik er in dat dit de corporate molens meteen zouden doen draaien. Als je in deze casus mailadres + naam + telefoonnummer zou optellen dan zou het een flinke liability op de balans zijn voor de HAN denk ik.

R4gnax

Datalek
Networking en security
Privacy

@Arnoud Engelfriet • 7 september 2021 13:43

Ik zou het een goed idee vinden (roep dit al jaren, maar ja) als we schadestaffels invoeren: een gelekt emailadres geeft recht op 5 euro vergoeding, tenzij meer schade kan worden aangetoond. Gewoon, als prikkel om je beveiliging op orde te hebben. Want nu kan de CISO roepen "hoezo hebben wij nog 100.000 mailadressen uit 2009, dat is 5 ton aansprakelijkheid die boven ons hoofd hangt".

Weet je; dat is eigenlijk een verdomd goed idee. Het enige nadeel met zulke staffels is dat je dan wellicht bedrijven hebt die het iets te makkelijk gewoon als afschrijving gaan zien, maar als de schaal maar groot genoeg is, dan maakt het wss. toch nog wel indruk.

En sowieso is het beter naar de getroffenen toe; die nu eigenlijk in de praktijk gezien gewoon het nakijken hebben. Ja; je kunt emotionele schade gaan claimen - stress en slapeloze nachten piekeren omdat je niet weet wat er nu met je gegevens gaat gebeuren - maar ook dat moet helemaal via het gerecht en is de rompslomp eigenlijk ook gewoon niet waard.

[Reactie gewijzigd door R4gnax op 23 juli 2024 20:09]

MalleEppie71 @Arnoud Engelfriet • 7 september 2021 13:48

Interessant idee. Het begint natuurlijk bij het feit dat de hacker met z'n (digitale) handen van andermans spullen af moet blijven (dit is duidelijk geen ethische hacker). Zou je de te betalen schadevergoeding dan ook rechtstreeks aan de hacker willen opleggen als deze veroordeeld wordt? Dat zou pas een goede prikkel zijn om dit soort 'commerciële' hacks te voorkomen?

Arnoud Engelfriet @MalleEppie71 • 7 september 2021 15:18

Aan de hacker? Nee, aan de organisatie die zich liet hacken. (En oké, geen schadevergoeding als de hack overmacht was.) Het gaat erom dat organisaties moeten beseffen dat persoonsgegevens een liability zijn, radioactief afval in plaats van "het nieuwe goud" of gewoon nog een Excelbestand op de G: schijf. Dit staat geheel los van de vraag hoe om te gaan met crimineel hacken en gelegenheidscriminelen op dat vlak.

FilipRot @Arnoud Engelfriet • 7 september 2021 14:32

Interessant idee, ik maak even 250.000 accounts aan op alle mogelijke websites en ik word slapend rijk.

FreezeXJ @FilipRot • 7 september 2021 16:41

Tja, alleen als je adres gelekt wordt natuurlijk, en daarna (zodra ik merk dat jij dat doet) ga ik jou even spoofen, want je gegevens zijn toch al gelekt

Van de andere kant, denk ik ook: doe maar, want als bedrijven maar klakkeloos gegevens van users accepteren zonder vorm van verificatie/beveiliging (behalve voor datamining-purposes) dan zijn ze misschien ook wel gewoon stom bezig.

Let wel: het zou dan moeten gaan om prive-gegevens die verder niet zichtbaar zijn voor anderen, dus je hobbyforum waar je gewoon een Flipje11@gmail.com adres achterlaat lijkt me niet echt ernstig in overtreding (wellicht een paar centen schade). Anders is het als je hele naam en schoolgeschiedenis zomaar lekt, dat bewaart een site/instelling bewust, en daar dienen ze ook passende beveiliging voor te regelen. Ook als het hele systeem al 10 jaar prima draait. Dan bouwen ze maar wat nieuws, of verwijderen ze die data.

FilipRot @FreezeXJ • 9 september 2021 12:01

Het was maar een hyperbool om aan te duiden dat bedrijven niet de eerste schuldige mogen worden. Het zijn nog altijd de hackers en criminelen (en vaak ook bedenkelijke bedrijven) die de gegevens daarna misbruiken die de grootste schuldigen zijn.

En er is uiteraard een groot verschil in welke data er werd gestolen. Adresgegevens en telefoonnummers stonden vroeger ook gewoon in de telefoongids, En als een gebruiker zijn password op 100 verschillende websites gebruikt dan ga je vroeg of laat in de problemen komen.

Anonymoussaurus

Datalek

@N1ckk • 7 september 2021 13:17

Ik ben bang dat er niets bijzonders zal gebeuren (misschien een tik op de vingers, want "foei hoor!"). Er moet vaak eerst iets kwalijks gebeuren voordat er actie ondernomen wordt wat betreft beveiliging. "Tsja, hadden we toch maar niet moeten doen. Gaan we toch maar alle wachtwoorden versleuteld opslaan." onder het mom van beter laat dan nooit.

Sircuri @N1ckk • 7 september 2021 17:07

Je zou ze kunnen aanspreken op het niet correct afschermen van gevoelige gegevens. Uiteindelijk heeft die hacker gechanteerd en data openbaar gemaakt. Laten we dat laatste ook niet even vergeten aub!!

rneeft

7 september 2021 13:14

plaintextwachtwoorden man man man... Gaan hier mensen nog voor worden opgepakt? Of misschien wordt het tijd dat wachtwoord opslaan in plain text strafbaar wordt bij wet.

Anoniem: 1657372 @rneeft • 7 september 2021 13:22

En natuurlijk meteen weer op Tweakers: die mensen moeten de bak in. Dat wordt schrikbarend vaak geroepen bij dit soort berichten, maar als je er even over nadenkt zie je wel dat IT'ers als enige hoofdelijk aansprakelijk maken voor hun werk meer problemen oplevert dan het oplost toch?

Sowieso moet je dan bepalen of het alleen plain text wachtwoorden zijn, of als je een typefout maakt en daardoor gegevens gelekt worden je ook de bak in gaat (samen met je leidinggevende omdat die de typefout niet heeft gezien). Want dat is ook een hele simpele fout, maar als zulke foutjes je hele leven kapot kunnen maken gok ik dat developers heel snel omscholen of miljoenen gaan vragen om een brakke app in elkaar te tikken.

Die drang voor vergelding vind ik zelf wel zorgelijk. Waarom moet iemand altijd de gevangenis in, wat hebben wij daar aan? Veel minder IT'ers, veel meer belastinggeld wat gaat naar overvolle gevangenissen met mensen die daar hoogstwaarschijnlijk slechter uitkomen (ze gaan er in voor een slordigheid, maar komen daar in contact met mensen die doelbewust criminaliteit uitvoeren). Nee leuk concept, maar laten we het daar bij houden: een concept in de krotten van het internet.

rneeft

@Anoniem: 1657372 • 7 september 2021 14:08

Ik ben zelf developer en als mij gevraagd wordt om wachtwoorden in plain text op te slaan doe ik dat gewoon niet. Je bent een profesional, developers krijgen (volgens mij) goed betaald, dus als mijn werkgever zo iets wilt moeten dan gaan ze maar opzoek naar een ander. Zo iets simpels als wachtwoord opslaan, man hash die bende. My part MD5 (hoe fout dat ook is) maar dat is nog altijd beter dan gewoon plain text, dit kan mijn moeder zelfs lezen! (MD5 dan niet)

.oisyn Moderator Devschuur® @rneeft • 7 september 2021 15:13

Ik ben zelf developer en als mij gevraagd wordt om wachtwoorden in plain text op te slaan doe ik dat gewoon niet

Ja, nu ja. Zou je dat 15 jaar geleden ook gezegd hebben? Bedenk dat dit systeem dus al in 2009 in werking was.

Ik ben ook developer, en ik hang nu al 20+ jaar op tweakers rond, en wat ik daaruit opmaak is dat het besef van veiligheid toen echt niet zo groot was als dat het nu is. Vooral begin jaren '00, men deed eigenlijk maar wat zonder besef van security, en nieuwsberichten over datahacks waren er nog een stuk minder. Natuurlijk wist goed geschoold personeel wel hoe het moest, maar de gemiddelde websitebouwer liet de beveiliging van gegevens gewoon over aan de database zelf. De industrie bestond in die tijd sowieso natuurlijk ook veel uit hobbyisten die maar wat aanmodderden. Anderzijds kan ik me niet herinneren dat dit onderwerp op de HBO ter sprake kwam (afgezien van de wiskundige theorieën achter cryptografie).

Maar nu, naar jarenlang om de oren te zijn geslagen van nieuwsberichten over gestolen persoonsgegevens, en een sowieso verbeterde wetgeving omtrent bescherming van diezelfde persoonsgegevens, is het besef van gegevensbeveiliging bij IT'ers enorm veel groeter dan toen en zie ik ook veel meer dat de developers zelf hun verantwoordelijkheid nemen, zoals jij nu ook doet. Maar dat is nu. En absoluut niet bedoeld als kritiek op jou als persoon, ik ken je verder niet

, maar ik denk dat er in die tijd weinig devs waren die een dergelijk standpunt zouden innemen.

[Reactie gewijzigd door .oisyn op 23 juli 2024 20:09]

Arnoud Engelfriet @.oisyn • 7 september 2021 15:31

Helemaal mee eens. Weten we eigenlijk wát voor systeem dit was, waarom zitten er gegevens van 2009 tot nu in zo'n triviaal systeem? Was dit een datadump, een vaag backup proces, een zelfgeklust nieuwsbriefsysteem voor alumni, een Wordpressplugin voor een contactformulier die zelf kopietjes wegschrijft?

Ik zit ermee dat ik niet snap waarom wachtwoorden in zo'n bestand komen te staan. Bij welk systeem van een hogeschool heb je honderdduizend users maar te weinig high profile om daar fatsoenlijke beveiliging op te zetten?

nuclear314 @Anoniem: 1657372 • 7 september 2021 13:39

Ik ben het deels met je eens en wil ook nog wat toevoegen aan deze reactie. Vaak (lees: de meeste beheerders/IT'ers) hebben IT'ers het beste voor met de opstellingen en gegevens, maar worden ze gewoon gedwarsboomd door managers of bestuurders die de hand op de knip houden. Hierdoor zou een IT'er soms wel vernieuwing of verbeteringen door willen voeren, maar worden ze gewoon afgeschoten met de tekst: "Hier is geen geld voor en ALLES WERKT TOCH..." wat belachelijk en woeding ten overvloeden boven brengt. Het zouden niet de IT'ers moeten zijn die een boete zouden moeten krijgen, maar de managers en bestuurders die moedwillig de veiligheid van medewerkers en in dit geval scholieren in het gedrang brengen.

Anoniem: 1657372 @nuclear314 • 7 september 2021 13:44

Deels wel mee eens, deels niet. Managers worden door IT'ers vaak opgegooid als de boeman, maar het is een feit dat een bedrijf een beperkt budget heeft om mee te werken. Bij de grotere bedrijven misschien niet helemaal van toepassing, maar soms kan wat een IT'er ziet als 'het moet' wel net zo veel geld kosten dat eigenlijk het hele project het niet waard is.

In een ideale wereld zou je onbeperkt geld hebben, en ik snap dat er voor de IT'ers gewoon de makkelijke optie is om af te geven op hun manager. Maar ik vind dat ook vaak wel juist het afschuiven van verantwoordelijkheid, je hebt zeker slechte managers maar het is echt niet zo dat alle managers er zijn om die IT'ers lekker uit te knijpen natuurlijk

StarZ

@Anoniem: 1657372 • 7 september 2021 14:13

Als je basale veiligheid niet kunt uitvoeren omdat je budget het niet toelaat kun je wellicht het project niet doen voor het budget.

HansvDr @Anoniem: 1657372 • 7 september 2021 13:52

Ik ken ook genoeg IT-ers die de schijterig zijn om om budget te vragen en dan maar roepen dat er geen budget is want dat zei pietje van verder op.....

Oyxl @Anoniem: 1657372 • 7 september 2021 14:08

Maar issues worden, zeker door projectmanagers, eigenlijk nooit serieus genoeg benaderd, omdat budgettering plaats vindt vóór de constatering dat het anders moet, die budgettering vaak onbespreekbaar is (en per definitie op de helft van de daadwerkelijke schatting is begroot, zodat men mag starten met het project, anders is het namelijk te duur). Vervolgens begint alle politiek, waardoor het alleen nog gaat om de decharge en niet meer om de inhoud.

Maar wat ik zelf, dus anekdotisch, vaak meemaak is dat constateringen door engineers keihard worden genegeerd (gemanaged) en achter worden gelaten voor de beheerorganisatie, welke vaak geen geld mag kosten.

Carda @Oyxl • 7 september 2021 15:58

Ik vind het zo raar dat managers de werknemers negeren die ze zelf hebben aangenomen omdat ze goed zijn in wat ze doen..

Maar helaas gebeurt dat veel te vaak.Tegenwoordig wordt dat gelukkig meer afgestraft dan vroeger, nu kun je als werknemer (in de IT) vaak simpel wat anders vinden.

Wat ik wel vind is dat engineers soms wel iets beter de problemen moeten beschrijven en onderbouwen zodat de manager hier naar zijn managers wat meer mee kan. Want soms is het ook gewoon dat de manager wel wil maar ook niet mag.

Oyxl @Carda • 7 september 2021 16:05

Eens, helaas is de gemiddelde ITer erg slecht in het opstellen van een coherente samenvatting van het probleem, de gevolgen en potentiële oplossingen (alsmede de businesscase) en ook dat speelt mee. De vertaling vanuit de techniek verloopt vaak moeizaam.

Ce tan @nuclear314 • 7 september 2021 13:49

Ook mee eens, behalve dat het dan (juridisch en technisch) erg complex wordt om de juiste verantwoordelijke(n) te vinden.

Kort en goed: mensen en bedrijven moeten hun verantwoordelijkheid nemen, maar straffen is zelden tot nooit een goede oplossing voor een probleem. Veel belangrijker is het het blijven opvoeden van iedereen die hier mee te maken heeft. (eigenlijk dus iedereen, want ook gebruikers kun je opvoeden om altijd verschillende (gegenereerde) wachtwoorden te gebruiken). En waar mogelijk 2fa toe te passen ... etc.

Polydeukes @nuclear314 • 7 september 2021 15:57

Deels eens. Maar waar niemand het over heeft zijn de onkundige IT'ers (ja die zijn er ook, zeker in de wat minder goedbetaalde IT-banen zoals bij de overheid/onderwijs) die bewust hun managers onwetend houden om hun eigen onkunde verborgen te houden, of misschien nog erger: zelf niet weten dat ze onkundig zijn.
Dus altijd alles afschuiven op slecht management vind ik wat te makkelijk (hoewel dat natuurlijk ook voorkomt).

Het zijn altijd de uitzonderingen (managers of mensen uit de operatie) die voor problemen zorgen en voor dit soort nieuwsberichten zorgen. Waar mensen werken worden fouten gemaakt. Hoe je daar mee omgaat bepaalt je succes.

pixeled

@Anoniem: 1657372 • 7 september 2021 13:46

Hij zegt toch ook niet dat specifiek de IT'ers de bak in moeten? Of dat hij vind dat zij hoofdelijk aansprakelijk zijn?

.oisyn Moderator Devschuur® @pixeled • 7 september 2021 13:52

Het feit dat ie roept dat er mensen de bak in moeten, impliceert dat er sowieso individuën aansprakelijk gesteld moeten worden, ipv de rechtspersoon het bedrijf. En wie is er dan verantwoordelijk? De opdrachtgever zonder verstand van zaken?

Vlizzjeffrey @.oisyn • 7 september 2021 14:02

Maar hij roept nergens dat er mensen de bak in moeten, dat impliceerd de reageerder op zijn post ja, maar dat heeft hij nooit gezegd.

.oisyn Moderator Devschuur® @Vlizzjeffrey • 7 september 2021 14:03

Klopt hij zei dat er mensen moeten worden opgepakt, en dat het strafbaar moet worden bij wet. Dan heb je in het strafrecht twee keuzes: geldboete en/of gevangenisstraf. Maar mijn punt staat of valt niet bij gevangenisstraf, dus ik zie niet wat dat verandert aan deze subdiscussie.

[Reactie gewijzigd door .oisyn op 23 juli 2024 20:09]

SgtElPotato @.oisyn • 7 september 2021 14:27

De eindverantwoordelijke van het project, is dat de ICT'er dan is dat zo, als je zo amateuristisch omgaat met gegevens behoor je imho niet eens thuis in deze wereld.

Als er duidelijk gedocumenteerd of gecommuniceerd is dat dit een gevaar was maar het toch opgeleverd moest worden dan is de HAN aansprakelijk en degene die dit project geleidt heeft. En deels ook de ICT'er, maar dat kan worden geschaard onder de omstandigheden / werkdruk etc. lijkt me..

We kunnen wel gaan roepen er moet (n)iemand de bak in, maar dat kun je pas beoordelen bij een onderzoek, en niet met de oppervlakkige informatie die wij krijgen bij een nieuwsbericht.

Onder de streep is er tenslotte iemand verantwoordelijk voor dit gebeuren en zal iemand de consequenties onder ogen moeten zien.

RazorBlade72nd @SgtElPotato • 7 september 2021 17:08

@SgtElPotato Uiteindelijk is er natuurlijk altijd iemand eindverantwoordelijk. Dit kan de directeur zijn maar ik verwacht niet dat die ook maar enig idee heeft wat er speelt. Vaak zijn de mensen die de meeste verantwoordelijkheid dragen ook de mensen die het minste verstand hebben van IT.

Ik heb meermaals ernstige beveiligingsproblemen gemeld bij managers maar die doen daar doorgaans heel weinig mee. Vaak vinden ze het al lang best als het probleem niet op het lijstje van de audits staat. Zeker bij overheid en semioverheid kan het ze doorgaans weinig schelen. Immers er is geen enkele prikkel om daar wel op te letten. Ik sprak hier ooit over met de directeur van een semi overheidsinstelling en ik vroeg hem wat er moest gebeuren als het allemaal mis ging. Zijn reactie was dat er dan een bordje op de deur werd geplaats met de tekst "wegens omstandigheden tijdelijk gesloten". Dat was naar zijn mening een stuk goedkoper dan de oplossingen waar ik mee kwam. Ga er maar vanuit dat de directeur van deze hogeschool er volgend jaar ook gewoon nog zit.

murkienl @Anoniem: 1657372 • 7 september 2021 13:44

Een (typ)foutje valt te herleiden. Wachtwoorden plaintext opslaan is net even wat anders en valt in mijn ogen dan ook niet met elkaar te vergelijken. Celstraf is misschien wel een beetje extreem, maar zwaardere consequenties dan een tik op de vingers is wel op z'n plaats lijkt me. Misschien niet de IT'er persoonlijk maar de werkgever wel degelijk. En dan niet altijd alleen financieel maar op vlakken die de werkgever raken. Als een werkgever (publiek) geld zat heeft is financieel straffen niet altijd het meest effectief.

robvanwijk

Privacy

@murkienl • 8 september 2021 18:06

Een (typ)foutje valt te herleiden. Wachtwoorden plaintext opslaan is net even wat anders

In dit geval: ja. In het algemeen: nee.

Denk aan de request logs van een website. Iemand heeft ervoor gezorgd dat het veld "password" altijd gemaskeerd wordt (op welke manier precies is even niet belangrijk). Vervolgens voegt iemand anders (die niet eens aan de logging gedacht heeft) een nieuw formulier toe en noemt het veld "pwd". Wie gooi je dan de bak in? Of wat als er bij het aanpassen van een wachtwoord velden "old_password" en "new_password" verstuurd worden? (En bij js-vrije versie ook nog een "new_password_confirmation"?)

Dat je database een kolom met plaintext wachtwoorden heeft is anno 2021 onverklaarbaar. Maar dat er in het algemeen ergens plaintext wachtwoorden terecht komen, dat kan wel degelijk het geval van een typefout of een andere onbenulligheid zijn.

murkienl @robvanwijk • 8 september 2021 22:29

Ik begrijp je uitleg maar er zit wel een logisch verschil in het in plaintext verzenden van een password welke vervolgens wel versleuteld wordt opgeslagen en wachtwoorden plaintext in de database zetten. Het een zou door kunnen voor een fout het ander zou in mijn ogen echt fout handelen genoemd kunnen worden. Maar ik begrijp ook dat het lang niet altijd zo zwart-wit is.

T.C @Anoniem: 1657372 • 7 september 2021 13:52

Van mij hoeven die mensen niet de bak in, dat is inderdaad een beetje overdreven.
Alleen is er nu ook geen incentive om beveiliging serieus te nemen, als er een lek is kost het de werkgever in het ergste geval een beetje geld.

Na een dergelijk lek moet onderzocht worden hoe het mogelijk was.
Wanneer het een (ernstig) verwijtbaar lek is, moet nader onderzoek gedaan worden naar:

Het traject dat geleid heeft tot het lek.
Wie accountable was voor het lek. (Hoeft niet de programmeur/IT-er te zijn, kan ook de leidinggevende zijn.)
Wie heeft besloten de persoonsgegevens in de eerste plaats op te slaan en voor hoe lang deze opgeslagen worden.

Wanneer de werkgever dan een boete van 10% van de omzet moet betalen, zouden de verantwoordelijken een boete van 10% moeten betalen.
(Of iets in die trant)

Nu komen de verantwoordelijke er mee weg zonder consequenties.

telenut @T.C • 7 september 2021 14:05

Dat is dan aan het bedrijf zelf om de sanctie voor de verantwoordelijken te bepalen lijkt me...

Vlizzjeffrey @Anoniem: 1657372 • 7 september 2021 14:01

Maar er is helemaal niemand in dit hele topic die zegt dat ze de bak in moeten.

gimbal @Anoniem: 1657372 • 7 september 2021 14:07

Een verplichte cursus security awareness zou straf genoeg moeten zijn inderdaad. Want een straf is zo'n cursus zeker weten...

FreezeXJ @gimbal • 7 september 2021 16:30

Lijkt me nuttiger dan menig meeting over het zoveelste beleidsplan, en nog minder slaapverwekkend ook.

Nas T @Anoniem: 1657372 • 7 september 2021 14:11

Die drang voor vergelding vind ik zelf wel zorgelijk. Waarom moet iemand altijd de gevangenis in, wat hebben wij daar aan?

Niks. Nog sterker: minder zelfs. Gevangenen kosten namelijk veel geld: €250 per dag, zo'n €90.000 per jaar. Nederlandse rechters straffen al relatief streng ten opzichte van Europa. Desondanks zijn er genoeg berichten over "slappe" "linkse" rechters, aangesteld door een bepaalde politieke partij, enzovoort.

Een rechter dient niet te straffen. Een rechter dient een maatregel op te leggen die helpt. Als een week plantsoenendienst beter helpt dan een maand achter de tralies, dan is de keuze makkelijk. Er is geen overtuigend bewijs dat strenger straffen werkt. De wil om strenger te straffen vind ik barbaars, iets wat misschien eerder hoort bij de middeleeuwen, waar de toegepaste straffen niet bepaald proportioneel waren ...
Dus ik hoop altijd maar dat groepen toch een keer goed nadenken in plaats van roepen dat het strenger moet. Dat gebeurt namelijk al.

YopY @Anoniem: 1657372 • 7 september 2021 15:00

D'r zullen zeker mensen op het matje geroepen moeten worden, want dit is een geval criminele nalatigheid. Als gevolg van deze hack kunnen alle betrokken personen het doel worden van bijv. phishing-aanvallen, en in een paar gevallen zullen die succesvol zijn. Een paar zullen hetzelfde e-mail en wachtwoord elders gebruiken, die kunnen hun accounts kwijt raken. Als er ook BSN's in stonden dan konden mensen slachtoffer worden van identiteitsdiefstal.

Doordat ze nalatig waren in hun beveiliging en het up to date houden of vervangen van de software (want dit gaat meer dan tien jaar terug), zijn er nu gegevens van honderdduizenden personen op het internet; de schade die daaruit voortvloeit zal lastig te traceren zijn, maar er zullen veel gevallen zijn van irritatie tot zware financiële schade. En daar moet iemand voor verantwoordelijk gehouden worden. Het zal lastig worden om concrete schade te claimen, maar als afschrikwekkend effect moeten ze zeker gestraft worden. Dit gaat de samenleving - en natuurlijk de honderdduizenden die hierdoor getroffen zijn - veel geld kosten en leed veroorzaken.

GertMenkel

Hack
Networking en security

@Anoniem: 1657372 • 7 september 2021 15:50

Bij een lek van deze omvang mag er eerlijk gezegd wel ingegrepen worden. Een flinke boete van het AP, en vervolgens eventueel een onderzoek naar criminele nalatigheid. De data protection officer van HAN heeft volgens zijn LinkedIn al tien jaar ervaring, en in die tien jaar is blijkbaar nog nooit gekeken naar de beveiliging van dit systeem of is er nog nooit iets mee gedaan. Aangezien dit systeem uit een vorig decennium komt, vind ik dat toch erg bedroevend, helemaal voor een opleiding die nota bene een cursus data protection officer aanbiedt.

Ik vind het persoonlijk verzwarend dat een instituut dat opleidingen verzorgt om dit probleem te voorkomen, zelf zulke enorme fouten heeft gemaakt. Van mij hoeft er niemand naar de gevangenis, maar iemand in de top moet nalatig zijn geweest of iemand onderaan de keten heeft gelogen, anders was dit probleem nooit voorgekomen. Desnoods verplicht je de verantwoordelijken om de HAN-cursus te volgen die ze vertelt hoe ze hun baan moeten doen.

Als er niemand aansprakelijk wordt gesteld, is dit zo ongeveer wat er gaat gebeuren: HAN krijgt een boete van het AP (als het AP tijd kan krijgen om dit te onderzoeken), HAN publiceert een huilie-huilie-artikel over hoe dit ten koste gaat van de arme studenten en medewerkers (zie het HagaZiekenhuis), iedereen gromt even door en er verandert onder de streep geen hol. De boete wordt, net zoals bijna alles wat met opleidingen te maken heeft, vooral door ons eigen overheidsgeld betaald en als de kranten echt zeuren, verplaatst de top zich naar de top van een groot bedrijf.

De suggestie dat IT'ers hoofdelijk aansprakelijk zouden zijn, gaat natuurlijk alleen op bij kleine bedrijfjes waar maar één of twee mensen in de IT werken. We hebben het hier over een instelling met een losse CISO en DPA die betaald krijgen om dit soort problemen te voorkomen. Als je voor die verantwoordelijkheid betaald wordt, vind ik dat je er ook aansprakelijk voor moet zijn.

Er is hier natuurlijk maar één persoon dat in de bak moet gaan, en dat is de eikel die de data heeft binnengeharkt en het HAN hiermee probeerde af te persen. Dat is toch op zijn minst computervredebreuk en afpersing, waar rechters een behoorlijke gevangenisstraf of boete voor kunnen toewijzen.

Geim @rneeft • 7 september 2021 13:24

Is al strafbaar bij wet: nieuws: Duits bedrijf krijgt boete wegens opslaan wachtwoorden in platte tekst
en
https://autoriteitpersoon...ging-van-persoonsgegevens

GertMenkel

Hack
Networking en security

@rneeft • 7 september 2021 15:29

Volgens de AVG dient ieder bedrijf dat persoonsgegevens verwerkt daar "moderne beveiligingstechniek" voor gebruiken. Door ongehashte wachtwoorden te gebruiken, is de HAN hier duidelijk in overtreding van de AVG. Dat betekent dat ook verouderde technieken (MD5 wachtwoordhashes bijvoorbeeld) al verboden zijn.

Daar staat geen gevangenisstraf op, maar hopelijk volgt er wel een flinke boete van het AP. Het is nu natuurlijk de vraag of die boete er komt, want het AP moet eerst onderzoek doen en heeft veel te weinig budget, personeel en tijd om alle nodige onderzoeken uit te voeren.

Accretion 7 september 2021 13:15

Kan ik aan een Hogeschool een "vergeet verzoek" sturen en kunnen ze daar dan ook aan voldoen?

Natuurlijk is het daar eigenlijk al te laat voor, maar weet niet of zij zomaar al je data kunnen verwijderen.

Anonymoussaurus

Datalek

@Accretion • 7 september 2021 13:18

Dat kan, maar nogal nutteloos als je nog student of medewerker bent op de hogeschool. Zelfs als je geen student meer bent, mag de hogeschool specifieke data nog X aantal jaar opslaan (want is wettelijk verplicht, zoals cijferlijsten als ik het goed heb). Volgens mij is het 15 jaar in sommige gevallen.

To_Tall

@Accretion • 7 september 2021 13:32

Als de data in een script stond om de gegevens te migreren van server 1 naar server twee. Dan kan je wel uit een db gehaald worden maar gegevens staan dan altijd nog buiten zicht van de medewerkers die je moeten verwijderen.

Wil niet zeggen dat dit ook in dit geval ook zo is gelopen. Ook kan je niet uit een backup gehaald worden. Alleen in de Active db. Als de hacker dan een backup overhaalt en je gegevens naar boven weet te halen. Ben je ook de pineut.

masterwillems @Accretion • 7 september 2021 13:20

Zal vast kunnen maar vraag mij dan af of je diploma gegevens ook worden verwijdert.

Rik. @masterwillems • 7 september 2021 13:23

Je diploma wordt bij DUO geregistreerd en is daar ook ten alle tijden in te zien. Ik verwacht dus dat het laten verwijderen van je gegevens verder geen invloed heeft

GekkePrutser @Rik. • 7 september 2021 14:04

Waar kan je dit opvragen dan? Ik kwam er pas achter dat mijn diploma gedrukt met op zeer plakkerige inkt (wordt denk ik na jaren plakkerig) waardoor de letters zijn gaan plakken aan de plastic map waar ik hem in bewaarde. Hierdoor zijn sommige letters van het papier losgetrokken

Ik heb de onderwijsinstantie gemaild maar die weigeren het om te ruilen ("Een diploma wordt maar eenmalig verstrekt").

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 20:09]

Cheesy @GekkePrutser • 7 september 2021 14:12

Hier op MijnOverheid:
https://mijn.overheid.nl/onderwijs/diploma/

En hier op Mijn DUO:
https://mijn.duo.nl/particulier/portaal/diplomaregister/

[Reactie gewijzigd door Cheesy op 23 juli 2024 20:09]

GekkePrutser @Cheesy • 7 september 2021 14:17

Bedankt!! Dit ga ik straks ff checken (moet mijn digid ff zoeken

)

Ik had zelfs nog nooit van DUO gehoord. Maar ik woon al vele jaren in het buitenland. Zo te zien is dat wat vroeger de "informatiseringsbank" heette.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 20:09]

rgvk @GekkePrutser • 7 september 2021 16:04

Let wel, het betreft niet een scan van uw diploma, maar een ietwat generiek digitaal uittreksel van uw diploma. Wel een officieel geldig bewijsstuk, maar niet het origineel.

ELD @Cheesy • 7 september 2021 14:48

Dat register is niet compleet, zeker voor een ouder diploma.

Rik. @GekkePrutser • 8 september 2021 08:44

Je kunt op de site van DUO sowieso je diploma inzien (tenzij het van voor een bepaald jaar is). Dit is dan wel een digitale versie, en je kunt voor een bepaald bedrag ook nog een papieren versie aanvragen

SunnieNL

@masterwillems • 7 september 2021 13:23

Nee, die zijn bij de overheid geregistreerd.

Groningerkoek @Accretion • 7 september 2021 13:19

https://www.inspectie-oe....ad-archiefbeheer-scholen/

Hugo! 7 september 2021 13:16

Ben zelf oud student en baal natuurlijk als een stekker. Wat ik me voornamelijk afvraag, waarom plain text wachtwoorden??? In leerjaar 1 wordt dit je al afgeleerd. Daarbij ben ik blij dat ik tot nu toe nog niks hoor over BSN want deze heeft de HAN ook tot haar beschikking (gehad).

headphoneguy @Hugo! • 7 september 2021 13:23

Als oud student vraag ik mij ook af of ik kan inzien, al dan niet op aanvraag, welke gegevens van mij in de systemen van de HAN zitten en of deze bij de datalek zijn gelekt. Ik hou de berichtgeving van de HAN in de gaten. Als oud student zullen ze mij hiervan vast op de hoogte brengen.

nuclear314 @headphoneguy • 7 september 2021 13:34

Ik kan zelf als oud student van de HAN spreken dat ik niet op de hoogte ben gesteld van de HAN over dit datalek. Ik heb het via via moeten horen namelijk. Het lijkt er op dat alleen huidige studenten zijn geïnformeerd over het lek.

GertMenkel

Hack
Networking en security

@nuclear314 • 7 september 2021 15:31

Als je hier wat mee wilt doen, kun je dit altijd melden bij de Autoriteit Persoonsgegevens. Als je door dit lek bent getroffen en ze je niet op de hoogte hebben gebracht, hebben ze namelijk hun verplichting verzaakt.

rgvk @GertMenkel • 7 september 2021 16:07

Een klacht indienen dan duurt het 6 maanden voor het behandeld wordt, me dunkt dat de HAN zelf wel sneller is dan dat.

R4gnax

Datalek
Networking en security
Privacy

@headphoneguy • 7 september 2021 13:54

Als oud student vraag ik mij ook af of ik kan inzien, al dan niet op aanvraag, welke gegevens van mij in de systemen van de HAN zitten en of deze bij de datalek zijn gelekt.

De HAN had bij het ingaan van de AVG al had moeten inventariseren over welke gegevens zij reeds beschikte; met welk doel deze verwerkt werden; wat de stand van aanwezige waarborgen was (zowel technische beveiliging als procesmatige, dus) en of deze nog aan de AVG voldeden; etc. etc. etc.

Gezien dit voorval is het overduidelijk dat ze daar veel te weinig (of, wie weet; compleet geen ) moeite in hebben gestoken.

Wat doet je denken dat een rapport wat je nu opvraagt inzake welke gegevens over jou zij nog ter beschikking hebben, correct en compleet zou zijn? Je kunt er gif op innemen dat dat ook gewoon een incomplete broddelbende zal zijn.

[Reactie gewijzigd door R4gnax op 23 juli 2024 20:09]

GertMenkel

Hack
Networking en security

@headphoneguy • 7 september 2021 15:24

Ongeacht of je wel of niet in het lek genoemd bent, kun je eisen alle persoonsgegevens die ze van jou hebben in te zien onder de AVG. Ze hebben 30 dagen om daarop te reageren, maar mogen wel bepaalde informatie opvragen om te verifiëren dat je bent wie je zegt dat je bent. Je moet ook op kunnen vragen hoe ze je gegevens beschermen en een lijst van bedrijven waar je gegevens allemaal mee gedeeld worden.

Blijkt later dat ze gegevens weg hebben gelaten, dan is dat wettelijk gezien grond voor een klacht en ook een boete als je dit bij het AP meldt.

De naleving van dit gedeelte van de AVG (welke voortvloeit uit de GDPR) is soms bedroevend slecht, maar hopelijk hebben ze nu hun lesje wel geleerd.

R4gnax

Datalek
Networking en security
Privacy

@GertMenkel • 8 september 2021 10:09

de AVG (welke voortvloeit uit de GDPR)

Klein detail: de AVG vloeit niet voort uit de GDPR. De AVG is de GDPR.

De engelse naam voor die EU verordening is de General Data Protection Regulation (GDPR).
De nederlandse naam is de Algemene Verordening Gegevensbescherming (AVG).

Bij een EU verordening is deze direct zelf wet. Er is dan geen implementatie in nationale wetgeving zoals bij een EU richtlijn het geval is. De AVG is dus niet een afgeleidde.

[Reactie gewijzigd door R4gnax op 23 juli 2024 20:09]

GertMenkel

Hack
Networking en security

@R4gnax • 8 september 2021 11:35

Je hebt gelijk, ik was in de war door al die afkortingen.

AVG is inderdaad de naam die we voor de GDPR gebruiken in Nederland, maar ik was in de veronderstelling dat de specifieke Nederlandse bepalingen niet direct een vertaling van de GDPR zijn.

Na nader onderzoek lijkt dat te zitten in het verschil tussen de AVG en de UAVG (uitvoeringswet AVG). De UAVG bevat de Nederlandse bepalingen, de AVG is een naam voor de GDPR.

Ik heb zelf het gevoel dat in veel onlinediscussies naar de AVG wordt verwezen terwijl de UAVG wordt bedoeld, ik zal proberen daar vanaf nu beter op te letten.

Aiii @Hugo! • 7 september 2021 13:38

Gezien de oude leeftijd van de data kan het best zijn dat er in die tijd nog weinig met encryptie gedaan werd. Toen ik daar student was, waren databases nog in Access, leerden we klassiek ASP en programmeerden we Pascal in Delphi, dus wat dat betreft waren ze nou niet bepaald actueel, zelfs voor die tijd.

Nu heb ik de rest van de data niet ingezien, dus wie weet welke data het betreft en wat de bron is, maar als het data uit midden 2000-er jaren is, dan zou het gebrek aan encryptie mij nou niet enorm verbazen. Het zou zelfs gewoon een oude excel-sheet kunnen zijn geweest van een enkele adminstratie-medewerker op een gedeelde schijf, immers.

JJ Le Funk @Aiii • 7 september 2021 14:50

plain text wachtwoorden in databases was rond 2001 al bekend als 'not done' bij software ontwikkeling en iets om snel op te lossen. Vervolgens is het eindeloos bewaren van deze gegevens een apart verwijtbaat probleem.

peize9 @Hugo! • 7 september 2021 13:21

Als je student van de HAN bent/was zou ik een advocaat raadplegen. Dit moet toch op een manier nalatig zijn.

Hugo! @peize9 • 7 september 2021 13:59

Eerst maar is afwachten of mijn data er daadwerkelijk tussen zit, ook lijkt me dit aanvechten als collectief beter. Laatste woord is er nog niet over gezegd.

ToolkiT @peize9 • 7 september 2021 15:22

Dat is het zeker, zie ook de reactie van Arnoud Engelfriet maar het quantificeren van de schade is lastig..

rgvk @peize9 • 7 september 2021 16:08

Onzin, je weet überhaupt niet of je tot de gedupeerden behoort en je wilt al een advocaat raadplegen?

Stufipower 7 september 2021 13:12

Plaintext wachtwoorden

Finger @Stufipower • 7 september 2021 13:13

Zou strafbaar moeten worden zo om te gaan met persoonsgegevens.

R4gnax

Datalek
Networking en security
Privacy

@Finger • 7 september 2021 13:35

Zou strafbaar moeten worden zo om te gaan met persoonsgegevens.

Het is strafbaar. Met een administratieve geldboete.
Wat denk je dat die boetes van de AP zijn?

Als je refereert aan het verder criminaliseren en aanmaken van een strafblad bij dit soort zaken.
Hey; op zich mee eens, maar vziw kan een rechtspersoon geen strafblad hebben.

Misschien eens tijd om dat wel mogelijk te maken zodat er een gedegen paper-trail is waarmee recidivisten bij herhaling harder gestraft kunnen worden; of er in extreme gevallen zaken kunnen volgen zoals het verplicht ontbinden van een onderneming die het keer op keer op keer verziekt.

[Reactie gewijzigd door R4gnax op 23 juli 2024 20:09]

Flumer @R4gnax • 7 september 2021 20:24

Zou het straffen van individuele personen het probleem van datalekken echt kunnen oplossen? Op het niveau van de organisatie is er dan nog steeds geen prikkel om dataprotectie op orde te hebben.

Ik ben benieuwd wat er gebeurd als datalekken dmv vooraf vastgestelde boetes wordt geprijsd. Geen idee wat redelijk zou zijn, maar de prijs zou hierin kunnen variëren naar de ernst van de gestolen gegevens. Bijvoorbeeld:
Voornaam: € 1,00
Achternaam: € 2,00
Telefoonnr: € 5,00
Mailadres: € 5,00
BSN: € 50,00
Scan ID-bewijs: € 200,00

In een ideale wereld zou deze lijst niet als boete systeem werken, maar als schadevergoeding worden betaald aan de gedupeerden.

Op deze manier zou je toch verwachten dat het belang van een goede beveiliging ook doordringt tot in de bestuurskamer.

robvanwijk

Privacy

@Flumer • 8 september 2021 17:50

Ik ben benieuwd wat er gebeurd als datalekken dmv vooraf vastgestelde boetes wordt geprijsd.

Als de boetes hoog genoeg zijn om echt af te schrikken dan ben ik bang dat dit niet leidt tot betere beveiliging maar tot een lagere bereidheid om lekken te melden. Want ja, je kunt alleen een boete krijgen als bekend is dat je gelekt hebt.
Oh, en er gaat vast een of andere organisatie zijn die al zijn data "beveiligd" met rot13 en dan claimt dat er alleen data is uitgelekt "die tot een naam te herleiden is", maar geen daadwerkelijke "naam" en ze dus geen boete zouden moeten krijgen. Je moet niet onderschatten hoeveel moeite mensen willen doen om een probleem niet op te lossen als ze voor de helft van die moeite het probleem écht op hadden kunnen lossen...

Flumer @robvanwijk • 10 september 2021 11:03

Je maakt een goed punt. Wellicht zou je een lek dat vrijwillig wordt gemeld een significante korting op de boete kunnen geven. Een beetje zoals de inkeerregeling voor belastingontduiking destijds.

Roel911 7 september 2021 13:14

Wanneer gaan ze eens enforcen dat er bijvoorbeeld een smartcard gebruikt wordt. Beter een sleutel dan wachtwoorden.

To_Tall

@Roel911 • 7 september 2021 13:29

Waarom een smartcard? 2FA kan ook op andere manieren zoals TOTP. Of minder veilige manier via sms.

Smartcard klinkt leuk maar is erg kostbaar om deze te beheren. En elke x jaar te vervangen. TOTP is veel sneller en makkelijker te implementeren. En bied afdoende beveiliging.

Evdpol @To_Tall • 7 september 2021 13:41

De HAN gebruikt al schoolpassen, misschien die gebruiken, want daar zit toch al iets van nfc op om gebouwen binnen te komen/kunnen.

[Reactie gewijzigd door Evdpol op 23 juli 2024 20:09]

NLDViane @Evdpol • 7 september 2021 13:58

Niet om gebouwen binnen te komen, maar wel om van de printers gebruik te maken of voor de automaten

Maar, hoe verwacht je dat een laptop die NFC-chip gaat lezen om in te loggen op de roostersite? Of de ouderwetse computerkast die helemaal geen draadloze verbindingsmogelijkheden heeft?

Evdpol @NLDViane • 7 september 2021 14:12

dat is wel vreemd want toen ik erop zat konden we met die pas het gebouw binnen door het voor het kastje langs te halen...

en dat lezen gaat door een nfc reader aan te bieden...? of een app op de telefoon die vraagt om goedkeuring, door een nfc pas langs je nfc geschikte telefoon te halen?

eventueel zou die app ook zonder nfc kunnen maar dan moet je aan de hand van goedkeuring gaan werken...

[Reactie gewijzigd door Evdpol op 23 juli 2024 20:09]

To_Tall

@Evdpol • 7 september 2021 14:23

Niet iedereen heeft een telefoon met NFC. Ook niet iedereen heeft een smartcard reader.

Pasjes langs een kastje op de uni halen is heel wat anders dan dit ook te implementeren in de computer systemen dat is hele andere sport. Interventie is ook nog eens kostbaar.

AW_Bos

7 september 2021 13:16

Gezien het plaintext wachtwoorden zijn, en sommige gegevens uit 2009 stammen. Dan doet mij dit eerder denken aan een lek wat er ruim een decennia in zit, en hoogstwaarschijnlijk zelfs een verouderd script waarnaar jaren niet naar is omgekeken.

[Reactie gewijzigd door AW_Bos op 23 juli 2024 20:09]

3raser @AW_Bos • 7 september 2021 13:25

Zou het bewaren van die gegevens nog een doel hebben gehad? Volgens de AVG mag je gegevens helemaal niet zo lang bewaren als het geen enkel doel dient.

De verouderde server met gebrekkige beveiliging, de plaintext wachtwoorden... Misschien moeten er maar een paar boetes worden uitgedeeld om weer eens wat mensen wakker te schudden.

rgvk @3raser • 7 september 2021 16:13

Grote kans dat niemand wist dat die data er überhaupt was.

Toevallig had ik het vanmiddag met collega's over de termijn voor het archiveren van tentamens, zien we toevallig op de kast een doos staan met toetsen van 10 jaar geleden die eigenlijk gearchiveerd had moeten zijn maar waarvan de termijn al lang en breed is verlopen en zo in de papierversnipperaar kan, dat zal met digitale data niet anders zijn. Iets is zo over het hoofd gezien kan ik me voorstellen.

[Reactie gewijzigd door rgvk op 23 juli 2024 20:09]

R4gnax

Datalek
Networking en security
Privacy

@AW_Bos • 7 september 2021 13:50

Gezien het plaintext wachtwoorden zijn, en sommige gegevens uit 2009 stammen. Dan doet mij dit eerder denken aan een lek wat er ruim een decennia in zit, en hoogstwaarschijnlijk zelfs een verouderd script waarnaar jaren niet naar is omgekeken.

Dat zou dan per definitie al een harde overtreding van de AVG geweest zijn, want men is verplicht geweest om voorafgaand aan het in werking treden en actief handhaven een inventarisatie te maken van de bestaande in beheer zijnde gegevens en bedrijfsprocessen om deze te toetsen aan de AVG en om de administratie er van op orde te maken. Zeker een organisatie op de schaal van de HAN zou verplicht zijn geweest een administratie bij te houden van alle gegevens; voor welk doel ze bewaard werden; tot wanneer; etc.

Hierbij had onherroepelijk op moeten vallen dat bijv. wachtwoorden in plain text werden opgeslagen.

Dit is dus gewoon een geval van compleet mis-management. Hopelijk zijn er mogelijkheden om de verantwoordelijken binnen de organisatie hoofdelijk aansprakelijk te stellen zodat de juiste personen hiervoor gaan bloeden; ipv de hele school te pakken (en dus indirect alle studenten te pakken middels verhoging college-gelden; vermindering budget voor onderwijsmiddelen; etc.) maar ik vrees van niet.

Brahiewahiewa @R4gnax • 7 september 2021 14:42

... zodat de juiste personen hiervoor gaan bloeden...

Wat is dat nou weer voor primitieve gedachte? We leven toch niet meer in de tijd van de mensenoffers aan de goden? Het is een maatschappelijk probleem dat data te veel bewaard wordt en te makkelijk toegankelijk is. Dat moeten we als maatschappij oplossen. Willekeurig mensen oppakken die niet handig genoeg zijn om hun onschuld aan te tonen leidt niet tot die gewenste maatschappelijke verandering

R4gnax

Datalek
Networking en security
Privacy

@Brahiewahiewa • 7 september 2021 17:15

Wat is dat nou weer voor primitieve gedachte? We leven toch niet meer in de tijd van de mensenoffers aan de goden?

Het is een zegswijze. Betekent niet dat je letterlijk iemand een mes in z'n buik gaat steken.

skrall 7 september 2021 13:15

En dit is precies waarom ik het altijd met lede ogen aankijk als iemand zijn/haar account "beveiligt" met steeds hetzelfde wachtwoord.

Anonymoussaurus

Datalek

@skrall • 7 september 2021 13:19

Ik kan het je nog leuker vertellen: ik ken best wat security studenten die hetzelfde wachtwoord gebruiken (of niks laten genereren, maar heel veel moeite gaan doen om er zelf een te bedenken). Dan zou je toch beter moeten weten.

kraanwagen 7 september 2021 13:24

Aan de ene kant begrijp ik dat die school niet wil betalen. Maar de schade voor degene die in de databanken staan, is nu mogelijk veel hoger. Daar komt die school toch niet mee weg?

Twinks @kraanwagen • 7 september 2021 14:50

Ja gezien de fouten die ze hebben gemaakt lijkt 10.000 euro niet veel te zijn maar ja wie zegt het dat ze na betalen er vanaf zijn?

Op dit item kan niet meer gereageerd worden.

Hacker zet persoonsgegevens waaronder plaintextwachtwoorden HAN online

Lees meer

Reacties (229)

Sorteer op:

Weergave: