Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Game Mania meldt datalek na ransomware-aanval - update

Winkelketen Game Mania meldt dat het afgelopen maandag doelwit van een ransomware-aanval is geweest. Daarbij wisten de criminelen toegang te krijgen tot een server met persoonsgegevens van klanten.

De aanval op zijn systemen vond volgens Game Mania maandag 10 januari om 3.00 uur 's ochtends plaats. De daders verkregen bij de aanval toegang tot een server met 'bedrijfsinformatie', waaronder persoonsgegevens. Dat gaat om namen, adressen, e-mailadressen en telefoonnummers. Volgens de keten van gamewinkels zijn geen wachtwoorden of betaalgegevens buitgemaakt.

Na het ontdekken van het datalek heeft het bedrijf de getroffen systemen offline gehaald. Inmiddels is het datalek ook gemeld bij de toezichthouders in Nederland en België, zoals de AVG vereist als het om een grote hoeveelheid data of gevoelige gegevens gaat. Game Mania stelt verder de aanval nog te onderzoeken en een 'externe deskundige' in de arm genomen te hebben om de beveiliging van zijn systemen na te lopen.

Het bedrijf wijst klanten op het risico dat criminelen contact proberen op te nemen via mail of sms. Het advies is niet in te gaan op verdachte berichten.

Update, 18.05: Kris Lenaerts, ceo van Game Mania, meldt Tweakers: "Het onderzoek is nog volop bezig en er is nog geen zicht met hoeveel gegevens de daders aan de haal zijn gegaan. We verkiezen om uit voorzorg al onze klanten te informeren. We hebben de klanten waarvan we hun e-mailadressen hebben per mail ingelicht en ook op onze website een pagina met meer informatie gepubliceerd." Lenaerts meldt verder dat er geen hinder is van de ransomware-aanval: "Het datalek veroorzaakt geen hinder voor onze kernactiviteiten. Zowel onze fysieke winkels als webshop zijn operationeel."

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

13-01-2022 • 15:20

75 Linkedin

Submitter: Dennisb1

Reacties (75)

Wijzig sortering
Al met al ben ik tevreden met hoe deze mail als communicatie naar de klanten van GameMania (hierna: GM) is gestuurd. Enerzijds is het drie dagen nadat het datalek is ontdekt, wat voor veel mensen overkomt als "maar dat is toch veel te laat?".
Wat dit betreft ben ik van mening dat dit een zeer gepaste termijn is. GM heeft nu een paar dagen de tijd gehad om een eerste onderzoek te doen van de schade. Dit doet mij denken dat ze niet meteen in paniek zijn geraakt, en de zaak eerst zorgvuldig bekeken.
Drie dagen vind ik ook weer niet té lang, gezien de gegevens wel relatief gevoelig zijn, maar nu ook weer niet zo gevoelig als BSN's, wachtwoorden of betaalgegevens etc. ("gepaste spoed" vind ik hier een mooie uitdrukking voor).

Anderzijds is de email kort maar krachtig opgesteld. Ze winden er geen doekjes om, er wordt direct in de eerste alinea gemeld wanneer dit datalek heeft plaatsgevonden. Ze zijn ook zeer duidelijk over de acties die de klanten worden geacht te ondernemen, wanneer deze gegevens worden misbruikt.

Verder wordt er in de email weinig/niets verteld over wat dit technisch betekent, wat de oorzaak was, of wat ze er zelf op technisch vlak aan gaan doen. Dit zou voor ons Tweakers wellicht zeer nuttige (en belangrijke) informatie zijn, echter kan dit voor de algemene klantengroep van GM voor veel ruis zorgen, en mogelijk onnodige zorgen opwekken.

Hoewel GM wellicht te verwijten valt dat men de beveiliging niet op orde had (wat mijns inziens een waarschijnlijke oorzaak kan zijn), is geen enkele ICT-infrastructuuromgeving waterdicht. Vroeg of laat zal zelfs bij de best beveiligde omgevingen een incident zijn (geen "of" maar "wanneer"). Wat hierin de rol van GM en haar IT-afdeling is, laat ik even in het midden.

Dan nog de mededeling dat de winkelervaring ononderbroken is. Hoewel men hiervan kan denken dat het niet netjes is om dit mede te delen tijdens een incident als dit, is het wel degelijk noodzakelijk. Geeft men dit niet aan, dan kunnen de volgende dingen gebeuren:
- De klantenservice wordt overspoeld met klanten die meer bezorgd zijn over hun mogelijkheid tot het bestellen/aanschaffen of verkopen van producten (en ik kan me voorstellen dat dit er genoeg zijn);
- (Onnodige) onduidelijkheid en onrust wordt veroorzaakt voor zakelijke partners, bijvoorbeeld investeerders;
- Er kan sprake zijn van (grotere) reputatieschade (dan redelijk is), als men twijfels gaat krijgen over de capaciteit om verder te handelen, dan kan dit het vertrouwen aantasten dat GM de zaak onder controle heeft (in hoeverre dit daadwerkelijk ook moge zijn).

Tot slot lees ik dat een aantal mede-Tweakers de betreffende mail niet hebben ontvangen, terwijl ze wel klant zijn. Het enige wat ik hierover kan zeggen is dat ik zelf wél de mail heb ontvangen, en dat er een heel scala aan redenen kan zijn waarom niet iedereen die klant is deze mail krijgt (spamfilter, vertragingen bij de verzendende en/of ontvangende mailhostpartijen, gespreide uitrol om serverbelasting op niveau te houden, etc. ).

Nogmaals, ik ervaar deze manier van oplossen als zeer gepast, gezien de aard van het datalek en het niveau van gevoeligheid.

[Reactie gewijzigd door computer1_up op 13 januari 2022 17:53]

Reageer
Enerzijds is het drie dagen nadat het datalek is ontdekt, wat voor veel mensen overkomt als "maar dat is toch veel te laat?".
Hier ben ik het toch niet mee eens. In 3 dagen kan er een hoop gebeuren. Op dit moment zeggen ze dat er geen wachtwoorden of betaalgegevens gestolen zijn. Maar er zijn wel meer situaties geweest waar later toch meer blijkt gestolen te zijn dan in eerste instantie gedacht is. In die 3 dagen hadden mensen dus voor veiligheid hun wachtwoord al kunnen veranderen voor de zekerheid. Ook kan er in die 3 dagen bepaalde misbruik gemaakt worden. "Sorry meneer/mevrouw uw betaling is toch niet goed gekeurd dus het geld dat u betaalt heeft komt binnen een paar dagen terug. Wij houden uw bestelling nog 2 dagen gereserveerd voor u. Als u binnen 2 dagen x bedrag overmaakt naar valse bankrekening dan krijgt u nig de bestelling".

Er zullen genoeg mensen hier intrappen. Dus gelijk informeren is wel belangrijk ook al hebben ze nog niet alle informatie. Dit kan achteraf ook nog wel gegeven worden. Vooral onder bepaalde omstandigheden zoals Horizon Forbidden West Regalla Edition. Ondertussen is die al lang uitverkocht maar zou deze hack rond die tijd geweest zijn zouden zomaar mensen dus even voor de zekerheid nog een keer betalen.
Reageer
Hier kan ik ook wel inkomen, maar houdt er rekening mee dat té veel communicatie ook schadelijk kan zijn (fear, uncertainty, doubt, wanneer er nog geen dringende reden tot paniek is). Wanneer er geen reden is om te verdenken dat wachtwoorden en/of betaalgegevens gestolen zijn, dan is het de overweging waard om de mededeling een korte tijd uit te stellen, zodat de klanten van GM niet onnodig in paniek raken. Bovendien, als je direct meedeelt dat er mogelijk betaalgegevens/wachtwoorden zijn gestolen, en dan een paar dagen later erop terug komt, kan dit voor meer verwarring zorgen en het kan mogelijk onprofessioneel overkomen (bijvoorbeeld: een gevoel geven dat GM niet in staat is de situatie accuraat in te schatten, wat ertoe kan leiden dat men twijfelt aan de capaciteit van GM om de situatie op te lossen).

Voor beide kanten valt wel iets te zeggen, en het is natuurlijk ook een moeilijke beslissing om op het moment van zo'n incident te maken.
Reageer
Mail 1: we hebben te maken gehad met een hack. We zijn op het moment de situatie aan het onderzoeken. We raden alvast aan om toch uw wachtwoord te veranderen. Mogelijk is het niet nodig maar beter voorkomen dan genezen. Houdt ook rekening mee met potentiële scams zoals nep mails die dus niet van GM komen. Over een paar dagen hopelijk meer informatie.

Mail 2: Uit onze onderzoek ik gebleken dat de wachtwoorden gelukkig niet zijn gestolen. Wel zijn de (gegevens) gestolen. En we hebben het probleem opgelost (mits dit waar is natuurlijk).

Uiteraard natuurlijk iets mooier verwoord. Ik zie hier geen zelf geen problemen in. Het is niet te veel informatie. Ze liegen niet (zoals jij wel suggereerde) maar toch zijn de mensen geïnformeerd en hebben dus een keuze. De kans is inderdaad aanwezig dat dus mensen zinloos hun wachtwoord veranderen. Maar ik zie dit liever dan dat mensen potentieel opgelicht worden door bestellingen die ze niet gedaan hebben of een scam zoals ik hierboven al als voorbeeld gaf.

Maar zoals je zegt het is inderdaad lastig in zo een situatie. Ik weet alleen wel wat mijn voorkeur is. En ja ik help genoeg mensen die er echt geen verstand van hebben dus ik snap zeker ook wel de onnodige angst vermijden. Maar ik zie die mensen zeker ook wel vallen voor een scam. Niet controleren op de emailadres wel echt is. Niet controleren op de website of de betaling echt niet geaccepteerd is (waar mogelijk) of de bestelstatus bekijken. Veel van deze mensen zullen het gewoon betalen. Want ze kennen mijn naam, weter dat ik er besteld heb (helemaal als dit ook nog eens vermeld is met product en prijs). Dus dit moet wel echt zijn.
Reageer
Ze liegen niet (zoals jij wel suggereerde)
Even voor de duidelijkheid, dat suggereerde ik niet.
Reageer
Sorry ik had inderdaad even over het woordje mogelijk gelezen. Maar het punt is wel dat ze het dus kunnen mededelen zonder dat men hier over hoeven te denken dat ze onprofessioneel lijken. Zolang ze duidelijk aangeven dat er niets bekend is en dus dat dit alleen maar voorzorgsmaatregelen zijn.
Reageer
Fijn dat je zo tevreden bent met die mail van Game Mania, maar dit is geen 'goede service', ze zijn simpelweg wettelijk verplicht om getroffenen van een datalek actief op de hoogte te stellen.
De loftrompet steken omdat ze aan die verplichting voldoen is dus een beetje overdreven.

[Reactie gewijzigd door Tc99m op 13 januari 2022 23:52]

Reageer
Wat ze doen is weliswaar wettelijk verplicht, maar ze voeren het veel beter uit dan gemiddeld. Dat is lof waard.
Reageer
Zo'n reactie over een mailtje dat gestuurd is, jij werkt zeker voor Game mania?
Reageer
Nou, nee, maar ik had wat tijd over, en ik vind het belangrijk om de situatie te relativeren.
Reageer
De e-mail die gestuurd is: https://imgur.com/a/hTRILGr

[Reactie gewijzigd door Bld- op 13 januari 2022 15:42]

Reageer
Dat gaat om namen, adressen, e-mailadressen en telefoonnummers.
EN geboortedata (waar ingevuld).

Apart dat ik geen mail heb gehad, maar wel een account heb.
Reageer
Hier ook wel een account maar geen mail.
Mogelijk volgt dat nog in een gespreide uitrol of er is wel duidelijk welke klanten het betreft en alleen die zijn geïnformeerd.
Reageer
Ik heb ook niks gehoord van ze, sta al jaren in het systeem daar, vreemd.
Reageer
Dan kun je het beste de klantenservice bellen om te vragen waarom je nog niet geïnformeerd bent. Dat is ook wat ze aanraden als je wil weten hoe het met gebruik van je persoonsgegevens zit.
Reageer
Hier hetzelfde. Wel account maar geen berichtgeving ontvangen.
Reageer
Zal stapsgewijs gebeuren wss

[Reactie gewijzigd door Gunneh op 13 januari 2022 16:09]

Reageer
Geboortedatum moet je sowieso nooit invullen, dat gaat een winkel niets aan, mits er geen leeftijdsgrens op het product zit. Geboortedatums worden vaak in de zorg gebruikt ter verificatie van jouw als persoon, zelfs telefonisch. Het is dus vrij prive gevoelige data.
Telefoonnummer kan je beter ook weglaten, of een nep nummer invullen indien het niet anders kan.
Bij voorkeur ook nepnamen gebruiken, tenzij het risico dat je het pakketje dan niet meer kan afhalen bij een afhaalpunt, te groot is t.o.v. de prijs van het product.
Reageer
Nu nog een nep adres en je ben helemaal klaar ;).

Maar even serieus. Hun kunnen ook je geboortedatum gebruiken ter verificatie als je telefonisch contact op neemt met ze. Ik weet niet in hoever het kan bij hun maar je wilt ook niet dat iemand zich voordoet als jou omdat ze alleen maar tijdens bellen een naam moeten opgeven en dan een adreswijziging kunnen doorgeven. Of dat je als fraudeur gezien wordt omdat iemand anders via jou naam steeds niet ontvangen pakketen doorgeeft met andere adres erbij. En ze moeten ook controleren voor spellen die een leeftijd erop hebben zitten en niet aan iedereen verkocht mag worden (even los van het feit dat men gewoon kan liegen tijdens het aanmaken van de account). Dan heb je ook (al weet ik niet of dit ook online kan)
Wie kan het ‘USED Games’- systeem gebruiken?
Het systeem is alleen te gebruiken door personen vanaf 18 jaar. Bij iedere transactie waarbij de klant games, accessoires of hardware verkoopt aan Game Mania dient de klant zich te identificeren aan de hand van een geldig legitimatiebewijs
Leuk als dan je naam en geboortedatum niet kloppen. Of als je reserveert en wil ophalen in de winkel.
Of zoals je zelf al aan gaf de gemiste pakketten of direct laat leveren bij een ophaalpunt omdat je toch weet dat je niet thuis ben.

Dus ja echte gegevens opgeven heeft risico's maar nep gegevens dus ook. "Heldesk: Ter verificatie wat is uw geboortedatum?
Jouw antwoord bijvoorbeeld: 7-10-1980
Helpdesk: dat klopt niet, komt geeneens in de buurt.
Jouw antwoord: O ja vergeten dat ik een valse datum had opgegeven"
Als je geluk heb gebeurt er niets. Heb je pech wordt je account geblokkeerd/gewist. Zou helemaal leuk zijn als je bijvoorbeeld belt omdat je nieuwe PS5 of Xbox Series X/S kapot is.
Reageer
Tja totaal afhankelijk van wat je gaat bestellen dus. Toen ik een ps plus aanbieding kocht vond ik al die gegevens die ze vragen totaal onnodig. Alle verplichte onnodige gegevens die ik invul zijn gewoon nep. Als je mijn geld kan accepteren zonder mijn id te controleren, kan je dat ook doen als ik iets retour moet doen. Gewoon via dezelfde weg met dezelfde gegevens.
Reageer
Dat je zegt klopt, maar Game Mania is wel een redelijke uitzondering op dit gebied, daarom zei ik ook "mits er geen leeftijdsgrens op het product zit".

Om wat nuance aan te brengen:
Hun kunnen ook je geboortedatum gebruiken ter verificatie als je telefonisch contact op neemt met ze.
Als telefoonnummer geef je (kwa privacy) sowieso een nr op waarvan duidelijk is dat het niet bestaat, bijv. 1234567890, zodat ze per email contact opnemen ipv telefonisch. En bijna alle webwinkels vragen nooit om een geboortedatum. Game Mania is daar dan wel terecht een uitzondering op, omdat ze veel producten met leeftijdsgrens hebben. Maar als ik er zou bestellen, zou ik niet mijn geboortedatum opgeven, en accepteer ik dus een bepaald risico.
Ik weet niet in hoever het kan bij hun maar je wilt ook niet dat iemand zich voordoet als jou omdat ze alleen maar tijdens bellen een naam moeten opgeven en dan een adreswijziging kunnen
Ik heb het niet over de naam van iemand anders gebruiken, want dan ben je bewust aan het frauderen. Ik heb het over willekeurig verzonnen namen gebruiken.

Bij een adreswijziging horen ze verificatie uit te voeren, zoals klantnr etc. Dan kan een fraudeur/hacker niet weten ook al bezit hij je persoonlijke gegevens. (Als je wel al je echte gegevens doorgeeft, is de kans op fraude juist groter, want hackers kunnen die gegevens stelen en misbruiken.)
En als je het per email doorgeeft, kunnen ze de afzender zien, wat ook als verificatie kan dienen. (Alhoewel bij email die afzender te spoofen is.)
Of dat je als fraudeur gezien wordt omdat iemand anders via jou naam steeds niet ontvangen pakketen doorgeeft met andere adres erbij.
Ik heb het niet over het gebruiken van een adres van iemand anders. Er worden dus geen pakketen doorschoven of iets dergelijks.

Als je iets bestelt, en je zoals gebruikelijk vooruit betaalt, moet de winkel de bestelling gewoon leveren aan het adres. Ze hoeven wat mij betreft niet te weten of de naam wel/niet klopt, tenzij er een leeftijdsgrens op zit. Als ze brievenbus post opsturen, gaat de postbode ook niet wachten en tot iemand open doet, en dan legitimatie eisen om de naam te controleren. Maar let op, dit kan wel gebeuren bij een afhaalpunt, wat ik al eerder aangaf. Doe het daarom niet bij dure producten waarbij je dit risico niet wilt lopen.
Reageer
Ik heb wel een mail ontvangen en ik ben al minstens 10 jaar klant bij GameMania. Ik heb hem om 14:20 binnen gekregen. Hebben andere mensen hun spam map al gecheckt? Misschien is het daar terecht gekomen. Ik heb al vaker gehad dat Outlook daar mijn gewenste mail in stopt.
Reageer
Ik heb wel een mail gehad om 14u55 (België).
Reageer
Hier ook hoor. Jaren lid, geen mail.
Zojuist ook nog even m'n spam en m'n prullenbak doorzocht. Niks te vinden.
Reageer
Als ik het zo lees is het alleen een datalek en geen ransomware. Ze geven nergens aan dat ze geen toegang meer hebben tot hun servers...
Reageer
Mwa, het kan wel natuurlijk, als het ransomware is, kun je ook gewoon die machines uitzetten en je backup terugzetten op andere machines (toch allemaal virtueel tegenwoordig).
Als je daarmee geen betalingsgegevens verliest is het niet echt een probleem, lijkt me.
Reageer
Of ze hebben betaald aan de aanvallers en doen daar geen uitspraak over, of er is een backup teruggezet waarmee de toegang tot de server en de data is hersteld.

[Reactie gewijzigd door dutchgio op 13 januari 2022 16:41]

Reageer
Dus systemen/data wordt gegijzeld? of begrijp ik de term verkeerd (en wikipedia ook)?

De computers van de slachtoffers worden geïnfecteerd zoals ook andere virussen worden verspreid. Bij het heropstarten van de computer krijgt de gebruiker een scherm te zien met een boodschap. In deze boodschap krijgt het slachtoffer te lezen dat zijn of haar computer geblokkeerd werd en pas na betaling weer wordt vrijgegeven. Vaak wordt betaling in cryptomunten geëist.

[Reactie gewijzigd door mgizmo op 13 januari 2022 15:53]

Reageer
Nee, die term klopt wel. Als aanvallers toegang tot die server(s) hebben gekregen en er ransomware op hebben gezet, is daarmee de klantdata die op de servers stond gecompromitteerd en daarmee een datalek.
Je kunt immers niet zeker weten dat die data niet ingezien is of er een kopie gedownload is.

Vervolgens is de server alsnog versleuteld met ransomware. GameMania doet geen uitspraak of het de aanvallers heeft betaald of niet om er weer bij te kunnen, of dat er een backup teruggezet is.
Reageer
Check... Ze melden het "ransomware", maar duiden het niet en verderop wordt over datalek gesproken. Ik zou verwachten dat Tweakers dat navraagt en niet zomaar overneemt. Het kan zomaar zijn dat een communicatiemedewerker "ransomware" verkeerd toepast.
Reageer
Kreeg net netjes de mail van ze binnen inderdaad. Is al een tijd een trend en dit gaan blijven gebeuren deze datalekker. Dus beter dat er zsm geïnformeerd is. Wel goed dat ze willen dat je een melding maakt als je een Phisingmailtje krijgt.
Volledige mail:
Beste klant,

Op maandagochtend 10 januari omstreeks 03u00 werd Game Mania getroffen door een ransomware aanval.

De daders hebben toegang gehad tot een server waarop diverse bedrijfsinformatie staat, waaronder persoonsgegevens. Het gaat om algemene persoonsgegevens zoals naam, adres, e-mailadres en telefoonnummer.
Wachtwoorden en betaalgegevens werden niet gecompromitteerd.

Wat betekent dit voor u?

Als hackers persoonsgegevens hebben, bestaat de kans dat ze die verkopen. Hierdoor bestaat het risico dat cybercriminelen contact met u opnemen via mail of sms met de vraag om geld of om uw wachtwoord te wijzigen. Lijkt een bericht verdacht, ga er niet op in maar meld dit bij de Fraudehelpdesk. Meer informatie om u tegen ‘phishing’ te beschermen vindt u via deze link.

Het datalek veroorzaakt geen hinder voor onze activiteiten. Zowel onze fysieke winkels als webshop zijn operationeel. Onze klanten kunnen van onze diensten gebruik maken zoals gewoonlijk.

Wij onderzoeken momenteel de situatie en proberen die zo snel mogelijk te herstellen. De cyberveiligheid van onze klanten en hun data zijn voor ons heel belangrijk. Wij bieden onze excuses aan voor elk ongemak dat u mogelijks ondervindt.

Bij vragen kunt u terecht op onze website
of via https://www.gamemania.nl/info/datalek

Vriendelijke groeten,

Kris Lenaerts
CEO Game Mania

[Reactie gewijzigd door Kecin op 13 januari 2022 15:27]

Reageer
Ontvang jij ook de nieuwsbrief? Ik niet en ik heb geen mail gehad over dit lek. Ik weet niet of andere mensen die de mail niet ontvangen hebben ook niet de nieuwsbrief ontvangen. Wie weet is dat de reden dat er geen mail ontvangen is.

En toch maar even mijn wachtwoord veranderd, just in case.
Reageer
Ik heb een account van Game Mania en ik krijg notificaties als een favoriet artikel beschikbaar komt als 2e handsje.

Ik heb geen bericht ontvangen over dit lek. Het kan zijn dat het mailtje nog binnekomt, doordat zij veel klanten hebben.
Reageer
Ik krijg niet de nieuwsbrief, maar heb wel netjes deze email gekregen.
Reageer
Ja. Ben geabonneerd op de nieuwsbrief.
Reageer
En dat is dus ook één van de redenen dat ik bijna nooit meer een correct telefoon nummer invul online. Ik moet het nog meemaken dat een webshop/website mijn telefoon nummer eens gebruikt voor iets nuttigs, alleen hackers lijken er daadwerkelijk iets mee te doen.
Reageer
[knip]

Laat maar weer, dit is weer een bevestiging van waarom ik steeds minder op tweakers.net te vinden ben ...

[Reactie gewijzigd door pven op 13 januari 2022 15:42]

Reageer
Ja, dat is gewoon de gebruikelijke gang van zaken. Het onder de pet proberen te houden is strafbaar als ik me niet vergis.
Reageer
Ligt inderdaad bij de wet vast dat een melding bij de Autoriteit Persoonsgegevens (AP) verplicht is als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

En betrokkenen moeten ook geïnformeerd worden ook als het waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer (denk aan misbruik van gegevens, phishing, etc.).

Je zou zelfs nog kunnen argumenteren dat 3 dagen na de aanval al wat laat is, aangezien je die direct bij een datalek moet doen.

Zo'n hulde voor GameMania is dit dus helemaal niet.
Reageer
Je zou zelfs nog kunnen argumenteren dat 3 dagen na de aanval al wat laat is, aangezien je die direct bij een datalek moet doen.
Nope, ze zitten binnen de termijn van 72 uur na ontdekking die vereist is.
https://autoriteitpersoon...ing/meldplicht-datalekken
Reageer
Hier hebben we het over het melden bij AP. Er staat niet een expliciete tijd voor melden aan de klanten / betrokkenen. En dat kan ik me ook goed voorstellen. Afhankelijk van het lek en hoe je het ontdekt hebt, kan het zijn dat de daders nog niet weten dat jij van het lek af weet. Dan is het wellicht handiger om het publiek nog niet in te lichten als de mogelijkheid bestaat dat politie / justitie / cyber security bedrijven er nog achter kunnen komen wie het was.
Reageer
Klopt, het melden aan klanten/betrokkenen is zelfs lang niet altijd nodig.

Maar de guidlines voor het melden van datalekken zegt hier het volgende over:
"Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden
gedaan, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door
haarzelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte
richtsnoeren. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld
wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere
kennisgevingstermijn gerechtvaardigd kan zijn wanneer er passende maatregelen moeten worden
genomen tegen aanhoudende of soortgelijke inbreuken in verband met persoonsgegevens."


Aangezien het in samenwerking met de toezichthouder dient te gebeuren kan het dus pas plaatsvinden na dat het lek gemeld is bij de AP,
Reageer
Wat ik vaak mis bij webshops is dat ze de gegevens van betalingen zonder account oneindig in de database laten staan. Naar mijn weten kan je aan het einde van het boekjaar al deze gegevens loskoppelen van de database en in een archief stoppen (of deze gegevens versleutelen).
Reageer
Dit meen je toch niet serieus of wel?

Na 3 dagen? Dat is toch veel te laat. Dan ook nog met een mail komen dat je allemaal niet weet wat er precies aan de hand is....
Vervolgens ook wijselijk niets zeggen over het lekken van een geboortedatum.
Vervolgens op de hoofdpagina geen enkele boodschap van de hack, maar deze diep op de site weg stoppen
En ook nog zeggen in de mail. Business as usual, niets aan de hand mensen, gewoon doorlopen....
En kom vooral bij ons kopen, dat kan allemaal nog....

Weinig hulde aan in mijn optiek!
Reageer
En jij denkt dat als een lek heeft plaats gevonden je altijd maar in 5 seconden weet wat alle impact is?
Geloof mij even alles nalopen en controleren wat er gebeurt is kost je makkelijk een volle dag en afhankelijk van hoe groot de lek is misschien wel een volle week.
Reageer
Veel hulde aan in mijn optiek.

Waarom? De wet schrijft voor dat Game Mania in het geval van een datalek de Autoriteit Persoonsgegevens (AP) direct dient te informeren. Direct, volgens de norm van de AP, houdt in dat dit binnen een tijdsbestek van 72 uur dient plaats te vinden. Klanten hoeven niet binnen die norm op de hoogte gesteld te worden.

Afhankelijk van complexiteit van de aanval en met name ook "hoe groot is de schade voor klanten" komt een bericht naar ons vaak pas veel later. Het feit dat Game Mania zich niet achter een of andere wet schuil houdt maar meteen zegt "Jongens, we zijn gehackt en dit is wat we nu weten" laat voor mij zien dat ze het 1) serieus nemen en 2) de klant serieus nemen.

"Business as usual, niets aan de hand" vind ik nogal een drogredenering, maar ik heb het idee dat de gang van zaken je frustreert. De Media Markt heeft het een tijd terug ook mogen ondervinden en voor die retailer als voor de Game Mania hoop ik niet dat ze ooit bij een datalek besluiten de verkopen op te schorten (er gemakshalve van uitgaande dat het betaalsysteem niet ook gehackt is).
Reageer
Kleine aanvulling uit de AVG "uiterlijk 72 uur nadat hij er kennis van heeft genomen" dit is wel een belangrijke je moet niet binnen 72 van het lek het melden maar binnen 72 uur dat het lek ontdekt is.
Reageer
Klopt - geen onbelangrijke toevoeging.
Reageer
Waarmee vergelijk je het nu om van hulde te spreken?
Als je het vergelijkt met niet bij de toezichthouder melden dan kan je iedereen die zich wel aan de wet wil houden wel hulde geven.
Als je het vergelijkt met niets tegen de klanten zeggen dan hangt het er wettelijk vanaf wat er precies aan de hand is, wat ze eigenlijk al horen te weten.
Als je het vergelijkt met wat ze kunnen doen: de klanten die waarschijnlijk getroffen zijn persoonlijk op de hoogte stellen, dan laten ze dat kennelijk na.
Als je het vergelijkt met wat ze hadden moeten doen, persoonsgegevens voldoende beschermen, dan had al duidelijk moeten zijn waarom dat wel of niet het geval is voor er iets gebeurde. Terwijl ze dat na dagen kennelijk nog steeds niet weten.
Je kan eerder stellen dat van hulde spreken nogal voorbarig is of wel erg makkelijk gegeven.

[Reactie gewijzigd door kodak op 13 januari 2022 15:48]

Reageer
Fijn, al die mensen die geforceerd een account moesten aanmaken om kans te maken op een PS5 aankoop.

Edit: misschien verwar ik ze met een ander

[Reactie gewijzigd door HenkEisjedies op 13 januari 2022 22:25]

Reageer
Bij gamemania? Daar kon je alleen in de winkel preorderen?

Bedoel je niet coolblue ofzo?
Reageer
Maar denk ook eens aan Gamers4Life. Dat is 'powered by GameMania'.
Reageer
Kreeg zo'n mail vndaag pas binnen. Beetje telaat mocht je t mij vragen,
Reageer
Ze hebben na 60 uur gerapporteerd en hebben wettelijk 72 uur, ze hebben alles volgens de letter van de wet gedaan.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True