Criminelen hebben covid-19-testdata van 1,4 miljoen Parijzenaars gestolen

Bij een aanval op een niet nader aangeduide 'dienst voor het delen van bestanden' hebben criminelen de covid-19-testgegevens van Parijse ziekenhuizen in handen gekregen. Het gaat om testdata van 1,4 miljoen personen.

De gestolen gegevens betreffen de identiteit, het burgerservicenummer en de contactgegevens van de geteste personen, evenals de identiteit en contactgegevens van de gezondheidsmedewerkers die de test uitvoerden en de kenmerken en het resultaat van de uitgevoerde test. Het zou verder gaan om tests die medio 2020 zijn uitgevoerd in ziekenhuizen in Parijs.

Het gaat niet om andere medische gegevens dan de gegevens die verband houden met de uitvoering van de test, benadrukt de Assistance publique-Hôpitaux de Paris, een overkoepelende organisatie van ziekenhuizen in de regio van Parijs.

De organisatie meldt verder dat het landelijke screeningsinformatiesysteem SI-DEP niet getroffen is door de aanval. De inbraak vond plaats bij een dienst voor het delen van bestanden die wordt gehost en gebruikt door Assistance publique-Hôpitaux de Paris. De organisatie meldt in september 2020 'zeer incidenteel' gebruikgemaakt te hebben van deze dienst.

De diefstal werd op 12 september ontdekt, na een recente inbreuk op de beveiliging van de tool voor het delen van de bestanden. De toegang tot de dienst is daarna afgesloten en de organisatie heeft het datalek gemeld bij de vereiste instanties, zoals de Franse privacyautoriteit Nationale Commissie voor Informatica en Vrijheden.

Covid-19-testlocatie in Parijs, bron: APHP

Reacties (70)

Muna34 16 september 2021 08:56

Persoonlijk denk ik dat dit soort aanvallen alleen maar erger worden. Het zal voor de aanvallers alleen maar makkelijker worden omdat onze data op veel meer plekken aanwezig gaat zijn.

Als je een vakantie boekt naar Spanje bijvoorbeeld dan moet je echt eng veel persoonlijke data opgeven op de website van de spaanse overheid. Ik vind dit echt een slechte ontwikkeling. Het is zelfs verplicht, anders kan je niet op vakantie. Ik kwam dit tegen toen ik iemand hielp die niet helemaal snapte hoe dit werkte.

Ik zie dat er op steeds meer plekken gevraagd wordt om gegevens die deze instanties helemaal niet nodig hebben. Zo moet je woon, adres, naam gegevens invullen, waar je geweest bent, waar je naartoe gaat. Ik heb namelijk sterkte twijfels bij de verwerking van deze gegevens.

Daarmee hoop ik ook dat deze onzin (en daarmee bedoel ik het belachelijk politiek circus) vrij snel voorbij is en je weer op een normale manier door het land en naar plekken/events toe kan. Het demissionair kabinet is echt een grap.

[Reactie gewijzigd door Muna34 op 24 juli 2024 10:45]

EmbarrassedBit @Muna34 • 16 september 2021 11:57

Dat ga je altijd hebben. Privacy is een issue waar veel mensen om zeggen te geven, maar (waarschuwing: controversiële mening) qua issue is eigenlijk een vorm van coping-gedrag of Ersatz-activisme. Het fundamentele probleem is het inherent verlies van autonomie in een moderne samenleving, het feit dat individuen en groepen onderworpen worden aan machtsoperaties waar ze geen vat op hebben.

Maar als je dat identificeert als het fundamenteel probleem, dan geef je impliciet ook aan dat een fundamentele en collectieve benadering vereist is die durft ingaan tegen de (kortetermijn)logica van organisationele bureaucratieën. Een dergelijke benadering is taboe in een moderne samenleving.

In plaats daarvan krijg je de promotie van "privacy" als een Ersatz-activisme. "Ersatz" omdat het het verlies van autonomie in de moderne samenleving behapbaar maakt (net zoals Ersatz-brood brood behapbaar maakte tijdens de oorlog, het alternatief was geen brood en dus niets om te behappen), burgers en consumenten voorhoudt dat er "dingen zijn die ze kunnen doen" of die de organisatie zelf doet, maar fundamenteel niets verandert. "Privacy" is nl. een voorbeeld van een issue dat zich heel goed laat reduceren tot een gestandaardiseerde set van sub-issues en bijhorende oplossingen, ook wel bekend als "solutionisme".

De impliciete premisse van het privacy-paradigma is dan ook dat het nooit een harde grens vormt voor wat een organisationele bureaucratie kan doen. Die wil X doen, een privacy-activist lijst de manier op waarop dat een "schending van de privacy" vormt, en een privacy-consultant (niet zelden dezelfde persoon) maakt een checklist van dingetjes die ze moeten/kunnen doen zodat er geen schending van de privacy meer is. Als ze voldoende items kunnen afvinken, dan hebben ze moreel het recht om te zeggen dat ze "je privacy respecteren". Maar als de organisatie complex genoeg is, dan zijn er altijd wel privacygevaarlijke praktijken die niet voorzien werden door de consultant. Principes zoals data-minimalisatie zijn goed, maar het instinct van moderne organisaties blijft om voor data-maximalisatie te gaan. Data-minimalisatie qua AVG-principe zal overigens steeds meer onder druk komen te staan, gezien het economisch kortetermijnpotentieel van de opportuniteiten die data-maximalisatie biedt.

De gemiddelde burger is gelukkig cynisch genoeg om niets te verwachten op het vlak van privacy-bescherming. Gevaarlijker zijn mensen met hoge verwachtingen maar weinig ervaring/kennis m.b.t. hoe het er in veel organisaties aan toe gaat. Het gevaarlijkst van al zijn de privacy-activisten. Die zijn namelijk zo professioneel en emotioneel geïnvesteerd in de notie dat het privacy-paradigma een legitieme benadering is omdat dat de enige "realistische" oplossing is (dat is enkel zo als je de moderniteit niet in vraag durft te stellen) dat ze altijd meer en meer regulering zullen eisen, omdat symptoombestrijding het enige is dat het privacy-paradigma kan bevatten. Daarmee spelen ze uiteraard volledig in de kaart van de grote spelers voor wie de marginale kost van altijd meer compliance relatief laag is.

Beter is om er niet voor te proberen te zorgen dat de privacy van burgers beschermd is, het zo libertair mogelijk laten etteren. Op die manier creëer je lage verwachtingen en beseffen mensen dat de enige goede manier om je privé-gegevens te beschermen is om ze niet te delen met anderen. Dat heeft uiteraard een economische kost, maar iedereen moet voor zich maar weten hoeveel ze met cybercriminelen willen delen. En de maatschappij past zich daar op termijn ook aan aan. De écht privacy-gevoelige dingen worden dan gewoon niet meer online gedaan, terwijl elke cybercrimineel het wat mij betreft mag weten wanneer ik een smartphone-hoesje gekocht heb op eBay.

[Reactie gewijzigd door EmbarrassedBit op 24 juli 2024 10:45]

kodak

Beveiliging en antivirus
Privacy

@EmbarrassedBit • 16 september 2021 12:46

Aangezien mensen gegevens geven omdat ze daar zelf iets aan menen te hebben gaat je bewering dat als ze er maar genoeg last van hebben ze niet meer geven niet zomaar op. Ten eerste omdat niet iedereen het als een extra last gaat ervaren (ze hebben er bijvoorbeeld al heel veel last van) en ten tweede omdat er last van hebben niet weg neemt dat ze bijvoorbeeld wel die test belangrijker vinden. Mensen zoeken niet alleen oplossingen die jij hoopt of verwacht, dat doen ze nu al niet. Daarbij ontbreekt in je stelling dat veel mensen waarschijnlijk niet eens willen dat het te veel mis gaat. Het enige logische is dus stoppen met doen alsof er maar een oplossing is en behalve klagen ook zelf verantwoordelijkheid nemen. Bijvoorbeeld door je af te vragen waarom je over een ander cynisch bent terwijl je het ondertussen kennelijk prima vond om ze wel je persoonsgegevens te geven.

EmbarrassedBit @kodak • 16 september 2021 13:24

Zoals ik dus schreef: de samenleving past zich aan aan het feit dat mensen leren dat ze niet op institutioneel-procedurele waarborgen moeten rekenen om zich te beschermen tegen de gevolgen van de permanente uitbreiding van technologie. Privacy-activisme impliceert dat dat mogelijk is. Privacy-cynisme daarentegen dat het een op voorhand verloren strijd is. Hoe meer je namelijk alles digitaal wil integreren, hoe meer opportuniteiten je creëert voor criminelen. Dat wil ook zeggen dat je niet meer de vrijheid hebt om niet permanent deel te nemen aan de wapenwedloop met de criminaliteit. Op een gegeven moment wordt de prijs zo hoog dat een normaal persoon (iemand die niet lijdt aan tech-ideologie, het idee dat eindeloze digitale integratie onvermijdelijk en dus normatief is) denkt: "Nou ja, dit hoef ik niet noodzakelijk altijd overal met mijn smartphone te kunnen regelen..." En als genoeg mensen die ervaring hebben, dan gaat het opnieuw mogelijk worden om die dingen op niet-digitale wijze te doen.

Anecdote: als ik in Iran een binnenlands vliegtuigticket koop, dan check ik eerst de prijzen online via http (export encryptie naar Iran verboden door Amerikaanse sancties) en koop ik ze nadien in een reisbureau ergens in de stad (Amerikaanse kaartnetwerken eveneens verboden, plus zoals aangehaald geen https). Dan kan je tegenwerpen: dat is economisch inefficiënt. Vast. Maar daardoor is men collectief wel beschermd tegen de inefficiënties van een digitaal geïntegreerde economie waar veel digitale criminaliteit te plegen valt.

Je ziet het uiteraard niet, maar in elke zak beschuit die je in de Albert Heijn koopt zit de prijs van een ransomware-aanval verrekend. Zou het economisch niet efficiënter zijn om minder digitaal geïntegreerd te werken? Daar is geen abstract antwoord op, maar we hebben wel een bias naar het overschatten van de efficiënties van digitale integratie en het onderschatten van de kosten van de negatieve externaliteiten ervan. Zo ook met privacy: we weten dat er constant persoonlijke gegevens gestolen worden, maar impliciet concludeert men altijd dat er een of andere maatregel had moeten genomen worden waardoor deze diefstal niet plaats gevonden had. Dat is een onderschatting van de kosten, want het is natuurlijk veel moeilijker om vooraf te voorzien waar je kwetsbaar bent. En het overschat de efficiënties van privacy-bescherming, want met veel van die informatie die buit gemaakt wordt valt in de praktijk weinig of niets te doen.

Dus zoals ik schreef: de banale dingen mogen cybercriminelen weten. Voor de gevoelige informatie zal het opnieuw mogelijk worden om ze op minder digitaal geïntegreerde manier te verwerken, zodat ze ze niet te weten komen.

Polydeukes @EmbarrassedBit • 16 september 2021 16:40

Voor de gevoelige informatie zal het opnieuw mogelijk worden om ze op minder digitaal geïntegreerde manier te verwerken, zodat ze ze niet te weten komen.

Ik kan er naast zitten, maar heb de indruk dat je hier een vrij wetenschappelijke benadering aanhangt en mijn vraag is dan ook tweeledig:

1) Hoe haalbaar is dit in de praktijk van nu of nabije toekomst?
2) Kun je daar een praktisch voorbeeld of implementatie van noemen?

Want "minder digitaal geïntegreerd" vind ik nogal abstract en klinkt in mijn oren ook nogal utopisch en zelfs anti-tech. Of stel je voor om terug te keren naar de papieren kaartenbak op het gemeentehuis voor je persoonsgegevens of papieren bankafschriften voor je financiële administratie? Waar deze gegevens overigens voor het grijpen liggen voor de klassieke crimineel gespecialiseerd in proletarisch winkelen.

EmbarrassedBit @Polydeukes • 21 september 2021 15:56

Het einde van de Wet van Moore i.c.m. escalerende en elkaar versterkende politieke, economische, milieu-, gezondheids- en veiligheidscrisissen gaat er voor zorgen dat de toekomst zelf wel zal uitwijzen welke vorm het allemaal concreet aanneemt. Als computatie weer even duur wordt als vroeger, worden de hedendaagse relatieve inefficiënties nl. opnieuw relatief efficiënt.

DaMightyWackO @Muna34 • 16 september 2021 09:26

Ik heb mij nooit ongemakkelijk gevoeld bij het opgeven van gegevens bij een vage webshop. Ik ga ervanuit dat deze ooit openbaar worden en de info is beperkt (gebruik geen creditcard). Echter kreeg ik nu voor het eerst twijfel bij het invullen van het EU Digital Passenger Locator Form voor mijn vakantie naar Italië. Wat een bult info van al mijn gezinsleden, op een on-professioneel ogende website.Ik wilde toch echt graag op vakantie zonder een risico te nemen dat ik toch ergens werd tegengehouden. Vervelende situatie, waar ik ook niet snel een oplossing voor zie.

Beakzz @DaMightyWackO • 16 september 2021 10:55

Lekker hoor dat ene grote samenwerkende Europa. Zolang de politiek ons al niet als Europeaan kan zien (dus dat elke land in de EU je thuis kan zijn) gaat de gemiddelde burger er ook nooit in geloven.

Ik had geen idee dat dit moest als je naar Spanje of Italië gaat dus ík ben oprecht verbaast dat dit als Europeaan ook moet.

pepsiblik @Beakzz • 16 september 2021 11:04

Dit moet ook wanneer je vanuit een ander EU land naar Nederland of Belgie gaat. De lidstaten wilde elk controle houden dus werd dit niet naar EU niveau geheven om het makkelijker te maken.

Dauthi @pepsiblik • 16 september 2021 11:19

Behoorlijk ironisch dan dat de retoriek totaal niet aansluit bij de realiteit. Afgezien van de grenscontroles van de Belgen tussen Maart en Juni 2020, is er vrijwel geen enkele vorm van controle geweest. Zeker niet vanuit Nederlandse kant, wel werd er steeds om het hardst geschreeuwd dat er van alles gecontroleerd zou gaan worden.

De Europese politiek bezigt wat betreft een angstcultuur.

pepsiblik @Dauthi • 16 september 2021 19:34

Je moet eens via de haven of een vlieghaven binnenkomen. Dan wordt er echt gecontroleerd. En nogmaals, dit is niet Europa, dit zijn de nationale overheden. Als het aan Rutte en die floepert in Belgie had gelegen was Europa helemaal niet open gegaan deze zomer. Het was allemaal moeilijk en men scheet in de broek voor nieuwe besmettingen bij terugkomst van vakantie.

Dauthi @pepsiblik • 16 september 2021 20:46

Het is nooit dicht geweest, dat is zeg maar het hele punt.

jaapdraad @pepsiblik • 17 september 2021 15:05

Mijn zoon in in augustus op en neer van Schiphol naar Kroatië gevlogen.
Uiteraard alle papierwerk QR codes en ander "gezeik" netjes geregeld van te voren.
Hij heeft echter behalve zijn paspoort en boarding pass helemaal NIETS hoeven laten zijn.
Zowel op de heen als op de terugreis.
Wij waren zelf met de auto met overnachtingen in Munchen, Ljubljana en Salzburg.
Alleen in München werd bij receptie van het hotel gevraagd of we ingeënt waren zonder de noodzaak bewijs te overleggen.

Kevinp @DaMightyWackO • 16 september 2021 09:49

Heb je ooit een ESTA voor Amerika aangevraagd. Van facebook profielen to twitter etc etc.

Een slechte website, het betalen is een drama. En de vragen zijn soms zo lastig opgesteld dat een niet native engelse spreker er echt moeite mee heeft.

Ook is niet duidelijk wat optioneel is. (zoals facebook).

Daarnaast moet je één verblijfplaats op geven, maar kan je vervolgend wel 3 jaarmee het land in op verschillende plekken...

Verwijderd @Kevinp • 16 september 2021 11:14

Sowieso zijn Amerikaanse formulieren een ramp in het algemeen.

Bv Australië, maar ook Nieuw-Zeeland, merendeel van de ZO Aziatische landen etc hebben dat veel beter voor elkaar.

The Zep Man

Beveiliging en antivirus
Privacy

@DaMightyWackO • 16 september 2021 09:51

Ik heb mij nooit ongemakkelijk gevoeld bij het opgeven van gegevens bij een vage webshop. Ik ga ervanuit dat deze ooit openbaar worden en de info is beperkt (gebruik geen creditcard).

Waarom maak je je druk om een creditcard? Dat is informatie die het makkelijkst te vervangen is, met het minste risico voor jou. Kredietkaartmaatschappijen zetten alles op alles om frauduleuze transacties te voorkomen en vergoeden. Dat is immers hun bestaansrecht.

Bij iDEAL en handmatige bankoverschrijving loop je meer risico.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 10:45]

Omer @DaMightyWackO • 16 september 2021 12:06

Ik heb dat ding óók moeten invullen vorige maand, toen we naar Italië gingen. Maar in Italië zelf (of waar dan ook) heeft niemand naar dat ding gevraagd. Tja.

himlims_ @Muna34 • 16 september 2021 09:05

precies dit - en je 'moet' het invullen. nu vul ik steeds vaker onzin data in, wanneer ik denk dat het niet relevant is. Echter loop je dan soms weer vast, zo kon pakketje geaddresseerd aan "broer van sinterklaas" niet bij pickup punt afhalen [..]

litebyte @himlims_ • 16 september 2021 09:55

Het probleem is dat het niet hoeft en dat je altijd een soort 'clowneske De Jonge' uitleg krijgt als je er wat van zegt. Het hoeft niet maar aan derden legt de overheid dwang op om het er door te drukken.

De overheid verschuift de verantwoordelijkheid naar derden, niet alleen m.b.t. het verzamelen van privacy gevoelige data, maar ook de bescherming ervan en de controle hierop. Als politiek kan je dan je handen electoraal nog enigszins schoonhouden als je wordt verweten er Chinese praktijken er op na te houden (weet u nog, begin 2020 toen er in het westen zo verbaast en ook met 'big brother' afschuw werd gereageerd op het feit dat Chinezen overal hun telefoon/app moesten tonen om ergens binnen te komen ivm covid...)

[Reactie gewijzigd door litebyte op 24 juli 2024 10:45]

OxWax @himlims_ • 16 september 2021 09:56

precies dit - en je 'moet' het invullen. nu vul ik steeds vaker onzin data in, wanneer ik denk dat het niet relevant is. Echter loop je dan soms weer vast, zo kon pakketje geaddresseerd aan "broer van sinterklaas" niet bij pickup punt afhalen [..]

herkenbaar

ronvboven @Muna34 • 16 september 2021 09:27

Ik heb het gevoel dat waar aanpak van terrorisme of criminaliteit stagneerde tgv open grenzen, corona de mogelijkheid bood weer grip te krijgen op internationale en nationale bewegingen, door meer sociale controle, vaccinatiepassen controle, enz.
Daarom zullen volgens mij er nog steeds beperkingen van kracht blijven, niet alleen bij ons...

litebyte @Muna34 • 16 september 2021 09:47

Data is het vaak toverwoord voor (schijn)veiligheid. Waarom moeten al mijn vluchtgegevens door de KLM gedeeld worden met de VS als ik naar Japan vlieg?

sympa @litebyte • 16 september 2021 11:24

Omdat de VS machtig zijn, en er in het vliegtuig ook wel eens een Amerikaan zou kunnen zitten.

tilburgs82 @Muna34 • 16 september 2021 10:58

Het is zelfs verplicht, anders kan je niet op vakantie.

Prima toch? Als niemand meer op vakantie gaat, komen ze er vanzelf op terug.

stresstak @tilburgs82 • 16 september 2021 15:13

[...]
Als niemand meer op vakantie gaat, komen ze er vanzelf op terug.

En dat is meteen het probleem. De saamhorigheid ontbreekt. Ik vlieg niet, heb geen kinderen en geen auto en beperk mezelf dus.
En god, god, wat is de wereld nu beter.. Vervolgens gaan mn buren twee a drie keer op reis.

gooos @Muna34 • 16 september 2021 11:03

Dergelijke covid gerelateerde databases zijn natuurlijk wel bijzonder mooie doelwitten om in 1 klap de gegevens van heel veel personen tegelijkertijd in handen te krijgen.

DR!5EQ @Muna34 • 16 september 2021 13:23

Ik heb toevallig net zelf zo'n formulier ingevuld waarvan ik het resterende 48 uur voor vertrek kan invullen. Ik heb vluchtgegevens, mijn persoonsgegevens en verblijfplaats moeten opgeven. Ik zie het probleem niet zo. Als je er vanuit gaat dat je gegevens een keer zullen lekken, maak je het jezelf een stuk makkelijker ipv te zeggen dat je dan maar niet op vakantie gaat. Voor het overgrote deel ben ik het wel met je eens.

divvid @DR!5EQ • 16 september 2021 14:36

Blijft bizar, onlangs ook alles ingevuld on op de plaats van bestemming er achter te komen dat het hotel overbooked was. Op de bonnefooi een b&b genomen. Die gegevens zijn dus weer nergens bekend behalve op een papiertje in de b&b. Je kan er een film van maken….

jvvv 16 september 2021 08:54

Vraag me altijd af hoe die zaken zijn opgeslagen. Spreekt men van een database of gewoon een excel sheet? Het laatste zou me niet verbazen.... Een database kan je toch eenvoudig dichtimerren en users bepaalde read/write toegang geven.

fapkonijntje @jvvv • 16 september 2021 09:16

Een database is ook niet heilig hoor.

JustFogMaxi @fapkonijntje • 16 september 2021 09:18

Ik snap nog steeds niet dat mensen DB direct aan het internet hangen... daar zet je toch een webservice voor?

Bender @JustFogMaxi • 16 september 2021 09:58

En een webservice hangt niet aan het internet? Die hark je toch net zo goed leeg.

ToolkiT @Bender • 16 september 2021 10:14

Als je die service limited access tot de DB geeft verminder je iig de kans op het binnenharken van alle data..

Verwijderd @Bender • 16 september 2021 11:19

Een webservice hoeft in principe alleen maar dan de verificatie terug te krijgen (een soort ja/nee principe) of wat ingevoerd is klopt en verder hooguit inputrechten zonder uitvoeringsrechten vanuit de tabel. Ja, er bestaat nog een koppeling maar veel minder bruikbaar.

Bender @Verwijderd • 16 september 2021 11:43

Natuurlijk, maar wie zegt dat dat in dit geval het geval is dat dit voldoende is. Je kunt wel limieten opleggen maar als je daarmee je doel niet bereikt dan ben je nog niet heel ver.

Umbrah @JustFogMaxi • 16 september 2021 09:44

End die is niet lek te krijgen? Het is een constante keten van "ergens hangt wel iets aan het internet". Zelfs als je het geheel 100% afsluit, en alleen via een virtuele desktop er bij kan gaan komen, zul je zien: https://www.ncsc.nl/actue...-kwetsbare-citrix-servers

Blam. De manier waarop je bij de virtuele desktop (de enige brug van internet naar de data is virtueel muis/toetsenbord) software, zoals citrix, defect is.

De kracht van moderne informatietechnologie ZEKER in een geval als een pandemie is geweldig: je kan heel snel met heel veel mensen samenwerken aan een probleem, en zo heeft de hele internationale wetenschappelijke community dan ook samen gewerkt om:

- Een behandel plan te bedenken voor mensen die ziek zijn
- Medicijnen te vinden die niet werken, wel werken, of wel werken maar met bijwerkingen
- bewegingen van het virus te lokaliseren om maatregelen op af te stemmen
- Resultaten van elders in de wereld toe weten te passen op andere locaties
etc, etc...

Mensen die nu met het virus in het ziekenhuis behandelen zijn er doorgaans sneller bovenop dan de 'eerste generatie' en liggen minder lang in het ziekenhuis, terwijl gevaarlijke medicijnen zoals ivermectine en chloroquine die eerst veelbelovend bleken (immers is wetenschap het proces van tot andere conclusies komen) naar het mythe/slechts in enkele scenario's-putje zijn gestuurd. Dat is ook hoe de vaccins zo snel goedgekeurd konden worden. In plaats van kleine, lokale klinische tests, zijn er mega zware internationale trials geweest waar een budget + computing cluster tegenaan is gezet die zelden gezien zijn: er zijn geen snellere stappen gemaakt op de post-stage2 voorwaardelijke goedkeuring (maar dan is de zekerheid al hoger dan dat de wetenschappelijke zekerheid op het bestaan van zwaarte kracht is) na, er is gewoon met meer techniek en internationale samenwerking dan ooit in de geschiedenis van onze diersoort er aan gewerkt.

En ja. Dat is allemaal informatie technologie geweest die dat mogelijk heeft gemaakt. En dat is moeilijk, en helaas heeft niet altijd iedereen het beste voor.

Puur op inbreuk gelet is de meest veilige informatie uitwisselingsmethode nog altijd 'sneakernet': mannetje wat van A naar B gaat met een gegevensdrager/usb-stickie. Niet altijd even praktisch, en in deze hele probleemstelling, heb je bovendien nooit genoeg mannetjes. Ergens moeten dus dingen (via internet, er is geen niet-internet, alles peered op den duur wel met elkaar/gaat via multi-carriers) op elkaar aangesloten worden. En dan kan je nog zo goed encrypten, met MFA, en andere zaken werken (tot het niveau dat het amper bruikbaar is), maar ergens is altijd wel een lek. Ik deel de mening: "een DB aan het internet is niet slim" puur vanuit een "DB software is bekend" (zei het dat ze indirect altijd wel wat peeren met het internet al is er nog zoveel firewall en airgapping tussen), maar de data zelf is wel degelijk aan het internet. En dan is er ineens een lek in een CPU, een memory manager, een framework als OpenSSL, een populaire REST-api, een framework als Flask, of zelfs iets "KVM"-achtigs als Citrix: en je hele database is veilig... maar je data ligt op straat.

Het versimpelen van "hang er even een webservice voor" is wat... beperkt.

surfin @Umbrah • 16 september 2021 11:25

Zou je het overgrote deel van het probleem niet oplossen door de data te pseudonimiseren? (ipv Frank Jansen - 16-20-1981 - vaccin 1 op datum x - vaccin 2 op datum y - test 1 datum - test 1 resultaat - etc) Zou je toch 99% van het probleem oplossen door Frank Janssen te vervangen voor "P12345"

en dan nog een wel (erg) goed versleutelde/beveiligde database waar dan de daadwerkelijke namen in te vinden zijn.

Het overgrote deel van al het zoeken kan op de normaal beveiligde database gedaan worden, pas als je dingen met de persoon moet bespreken/informeren oid heb je toegang tot de speciale database nodig.

Of denk ik nu te simpel?

Kevinp @jvvv • 16 september 2021 09:50

Je moet gewoon end 2 end encryptie gebruiken. En ja ook dat is niet heilig als de key ooit lekt. Maar dan kan je zoveel data stelen als je wilt. Maar is de data gewoon onleesbaar (in basis).

n3z @Kevinp • 16 september 2021 10:01

Dit is wat er veel wordt gebruikt in cybersecurity oplossingen als je gaat connecten van A naar B. Alles end to end ecrypted. Als je dan ook nog eens password-less privileged management doet dan maak je het ze al erg moeilijk.

Mastofun @jvvv • 16 september 2021 09:12

covid stond voor de deur, het moest rap rap gaan en mocht geen geld kosten. Of toch zo weinig mogelijk.

[Reactie gewijzigd door Mastofun op 24 juli 2024 10:45]

[Yellow] @Mastofun • 16 september 2021 12:37

Doet me altijd denken aan het volgende: Je mag 2 dingen kiezen uit de volgende 3:
- You can have it fast
- You can have good quality
- You can have it cheap

Mastofun @[Yellow] • 16 september 2021 13:05

Enkel cheap graag

R4gnax

Privacy

@jvvv • 16 september 2021 09:41

Vraag me altijd af hoe die zaken zijn opgeslagen. Spreekt men van een database of gewoon een excel sheet? Het laatste zou me niet verbazen...

Het ging hier om een 'niet nader aangeduide dienst voor het delen van bestanden' die wordt 'gehost en gebruikt' door de getroffen organisatie zelf. Bij gebruik van zulke taal mag je geriefelijk aannemen dat het dus niet om een database ging maar om bijv. een portaaldienst met mogelijkheden voor file-opslag, zoals bijv. Sharepoint.

[Reactie gewijzigd door R4gnax op 24 juli 2024 10:45]

capronicus @jvvv • 16 september 2021 12:01

Uit ervaring met het supporteren van verschillende overheidsdiensten kan ik je bevestigen dat veel van die "databases" inderdaad gewoon excel bestandjes zijn.

De coronatracing gebeurt hier in België alvast op die manier, alles in gigantische excel bestandjes

.
Nu dacht ik wel dat het achterliggend uiteindelijk in een database gegoten wordt, maar zover heb ik mij nu ook niet verdiept.

Zaanone 16 september 2021 08:48

Hebben mensen hier steken laten vallen of is het echt zo moeilijk om al deze data versleuteld op te slaan? (Oprechte vraag, ik ben een leek).

Edit: zoals ik het lees zijn er namelijk gewoon plain-text gegevens gestolen.

[Reactie gewijzigd door Zaanone op 24 juli 2024 10:45]

Byron010 @Zaanone • 16 september 2021 09:19

Data versleuteld opslaan is niet moeilijk, maar het kost wel wat. Zowel aan werk-uren om het (goed) op te zetten, als rekenkracht voor het versleutelen. Maarja die kosten zijn minimaal tegenover de geleden schade door zo'n lek.

Het brengt verder ook werk voor het ontsleutelen, en het garandeert geen veiligheid. Het is 1 van de mogelijke beveiligingslagen.

[Reactie gewijzigd door Byron010 op 24 juli 2024 10:45]

R4gnax

Privacy

@Byron010 • 16 september 2021 09:38

Data versleuteld opslaan is niet moeilijk, maar het kost wel wat. Zowel aan werk-uren om het (goed) op te zetten, als rekenkracht voor het versleutelen.

Het goed opzetten komt neer op een bestaande encryptie-bibliotheek gebruiken in je software.
De rekenkracht is verwaarloosbaar. Encryptie en decryptie wordt ook on-the-fly door je browser gebruikt elke keer als je op een https:// url een webpagina opvraagt. En daar gaat zelf jouw kleine thuis PC niet peentjes van staan te zweten.

Byron010 @R4gnax • 16 september 2021 09:56

Ik zie het goed opzetten van een beveiligingslaag toch echt wat belangrijker.. je wilt niet blind een bestaand package gaan gebruiken, eerst moet er onderzoek gedaan worden naar de meest geschikte oplossing, vervolgens implementatie, testen en verificatie.

En rekenkracht verwaarloosbaar? wellicht om 1 set aan gevens te versleutelen maar het is een totaal ander verhaal wanneer 1,4 miljoen records versleuteld (en weer terug leesbaar) moeten worden. Ik zou dat iedergeval niet op mijn kleine thuis PC willen doen. Je wilt met deze gegevens ook geen public decryptie key dus dit moet allemaal server-sided gebeuren.

Heidistein @Byron010 • 16 september 2021 10:35

Sinds jou processor gewoonhardwareversneld AES dingen kan, doet jou laptopje thuis gewoon ettelijke megabytes per seconde versleutelen. Die 1,4 megarecords is in een paar seconden gepiept.
Komt nog wel wat randzaken omheen, maar qua versleuteling is het een peulenschil voor jou laptopje thuis.
[mono]
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256 cbc 167131.43k 169623.88k 164654.23k 145471.91k 129763.48k 148168.35k
[/mono]

[Reactie gewijzigd door Heidistein op 24 juli 2024 10:45]

MiesvanderLippe @Zaanone • 16 september 2021 09:17

Hoe verwerk je versleutelde informatie in een applicatie? Ergens moet de sleutel liggen. Afhankelijk van hoe de organisatie gehackt is en de applicatie geschreven is, is het triviaal die erbij te zoeken. Een versleutelde database maakt het ook onmogelijk om te zoeken, filteren op de gegevens die versleuteld zijn. Je wil uiteindelijk toch de Martin van Hameren die geboren is op 21-06-1991 vinden, of iemand met het BSN nummer 0123908234. Of iedereen met hartklachten etc etc.

Biebel 16 september 2021 08:56

waarom slaan ze dit zo lang op? wat is het nut daarvan?

redslow @Biebel • 16 september 2021 09:16

Mocht persoon binnen afzienbare tijd weer terug komen met COVID klachten en persoon test bv voor de 2e keer positief dan geeft dat weer informatie voor de behandeling en ook voor de medische aanpak/kan men een Trent zien of niet.

Toekomstig onderzoek over dit virus of hoe anderen virussen aan te pakken.

Zie ook dat de gegevens van de persoon die de testen afnamen er ook bijzaten. Dat is ook voor de interne werk efficiënt te beoordelen.

Dus ja. Zijn redenen om dit te bewaren.

Edit: zag gegevens medewerker later.

[Reactie gewijzigd door redslow op 24 juli 2024 10:45]

EmbeddedPower @Biebel • 16 september 2021 09:31

De enige manier om te voorkomen dat opgeslagen gegevens worden gestolen is ze niet op te slaan. Het is heus niet zo dat gegevens na een bepaalde tijd weggegooid worden. Er bestaan altijd backups, en misschien was het ook handig om de gegevens even op een test-server op te slaan, of welke reden dan ook.

absrnd 16 september 2021 09:23

Zolang de getroffene, waarvan de gegevens gestolen zijn, niet het bedrijf of instantie kan aanklagen voor eventueel een financiële vergoeding,
zal er niets veranderen, en er altijd achter de feiten aangelopen worden.

Ik weet zeker dat er figuren en instanties zijn, die al die persoonlijke data opkopen en aan het opslaan zijn, zodat voor iedere geregistreerde burger op deze globe, gegevens te koop zullen zijn.

Kevinp @absrnd • 16 september 2021 09:53

De overheid zal wel zeggen het is een spoed klus geweest. Ondanks dat ze al wisten dat de kans groot was dat ze dit nodig hadden.
We gingen ook vaccineren en toen moesten we mensen opleiden, terwijl IK al wel in juli wist dat er mogelijk al in oktober (vorig jaar) vaccinaties waren.

De overheid kijkt zo ver als hun neus lang is. Misschien is het maar goed dat we een pinokio als MP hebben kan hij iig nog iets vooruit kijken.

cadsite 16 september 2021 09:49

Ik vraag me af wat het doel is van deze gegevensdiefstal.
Wie is hier iets mee?

OxWax @cadsite • 16 september 2021 09:55

identiteit, het burgerservicenummer en de contactgegevens van de geteste personen

credit card fraude? ID fraude? Vast nog wel meer 'interessante' dingen mee te doen.

himlims_ 16 september 2021 08:51

mooi he; hoe overheden bedrijven waarschuwen over matige/slechte IT beveiliging [..] wel zuur voor die personen wiens data op straat ligt. gebeurd inmiddels zo vaak, dat je als consument niet eens meer kunt herleiden bij welke lek jouw data gelekt is/misbruikt wordt.

Bulkzooi 16 september 2021 09:50

Tjeetje..
Dit lijkt wel een infomarcial voor het National screening information system (SI-DEP).

Ze hebben het eigen tooltje in licentie genomen, of gekocht, en beheren hun eigen infrastructuur. Toen is met verzenden naar de verzekeraars de data onderschept. Het betreft niet, uitdrukkelijk niet, het National screening information system (SI-DEP) maar het tooltje dat gebreached was, draaiende op de infrastructuur.

Alsof ze een aankoop binnengesmokkeld hebben en nu blijkt dat ze het paard van Troje binnen hebben gehaald. lol, gaat gewoon over een FTP tooltje of zo.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 10:45]

joo5ty 16 september 2021 11:04

tip.....altijd en overal niet je echte achternaam gebruiken, behalve bij officiele instanties zoals de gemeente, verzekeraars, belastingdienst, bank, etc.
Maar al je online shoppen of online registraties/accounts lekker wat anders verzinnen...totaal niet nodig.

Roel911 @joo5ty • 16 september 2021 12:23

De echte initialen en achternaam zijn bij een webwinkel bekend zodra er betaald wordt. Dit is in ieder geval zo bij een bank & creditcardbetaling. Bij Paypal volgens mij alleen het e-mailadres, wat een alias kan zijn.

Groningerkoek @joo5ty • 16 september 2021 13:46

Klinkt leuk, maar dat werkt ook niet overal. als mijn achternaam, niet op mijn pakketje staat weet de postbode hier niet waar die het moet afleveren.

gooos 16 september 2021 11:05

Ergens wel slecht dat een recente inbraak pas een inbraak van een jaar geleden aan het licht heeft gebracht. Dan vraag je je toch af hoeveel ongewenst bezoek er dan in de tussenliggende periode verder nog heeft plaatsgevonden...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (70)

Sorteer op:

Weergave: