Data Nederlandse Kamerleden op straat na hack van leverancier toegangssystemen

De gegevens van Nederlandse Kamerleden liggen op straat na een hack bij ID-ware. Dit bedrijf levert toegangssystemen en toegangspassen voor onder meer de Eerste en Tweede Kamer. De namen, geboortedata en andere pasgegevens van Kamerleden zijn uitgelekt.

In de uitgelekte data, geplaatst op het darkweb, staan onder meer de gegevens van de houders van Rijkspassen, meldt de Volkskrant na onderzoek. Naast de Kamerleden en de ministeries van Justitie en Veiligheid, Defensie, Financiën en Binnenlandse Zaken, komen ook de Politieacademie, Prorail, TNO en Alliander in de uitgelekte data voor. Behalve persoonsgegevens zijn er ook pasfoto's en parafen te vinden in de gegevens, evenals data van studentenpassen.

In een Kamerbrief over de hack is te lezen dat ID-ware in de nacht van 16 op 17 september slachtoffer is geworden van een ransomwareaanval. Daarbij zijn enkele servers onklaar gemaakt en de gegevens van 'iets minder dan 3500 medewerkers van de Rijksoverheid' uitgelekt. De Volkskrant meldt dat een criminele groepering de gijzelsoftware Alphv/BlackCat gebruikte om toegang te krijgen tot de data. Een groot deel van de gegevens is online gezet.

ID-ware levert toegangssystemen en toegangspassen voor verschillende bedrijven en overheden in Nederland en Duitsland. Met de uitgelekte pasgegevens zijn kwaadwillenden in principe in staat om de toegangscontrole bij overheidsinstanties te omzeilen of om zich te identificeren bij verschillende organisaties. Volgens de Volkskrant moeten er inmiddels maatregelen genomen zijn om kwaadwillenden geen kans te geven. ID-ware heeft een extern bedrijf ingeschakeld om de hack te onderzoeken. Daarnaast is er melding gedaan bij de Autoriteit Persoonsgegevens, is te lezen in de Kamerbrief.

IT-banen

Reacties (82)

roawser 7 oktober 2022 16:55

Drie weken geleden al. Ik ben benieuwd naar de reden dat we er nu van horen. Niet omdat ik een verholen anti-overheid sentiment wil aanjagen met suggestieve opmerkingen, maar omdat ik oprecht benieuwd ben naar de redenen. Zodat ik die materie en overwegingen beter snap.

sabas123 @roawser • 8 oktober 2022 12:39

De TU/e heeft ook last van deze hack en daar kregen we ook pas gister over te horen.

sOid @roawser • 7 oktober 2022 17:00

Volgens de Volkskrant moeten er inmiddels maatregelen genomen zijn om kwaadwillenden geen kans te geven.

Mogelijk hierom.

Edit: toevoeging.

Sinds de melding van het incident, heeft NCSC met partners, waaronder de
politie, CISO Rijk, BVA Rijk en BVA’s en CISO’s Eerste en Tweede Kamer, een
onderzoeksteam ingericht om de situatie te analyseren en impact te duiden.
(...)
De personen van wie is vastgesteld dat er gegevens zijn gelekt zijn persoonlijk
geïnformeerd of worden een dezer dagen geïnformeerd.

Bron: https://www.rijksoverheid...rief-hack-bij-id-ware.pdf

[Reactie gewijzigd door sOid op 28 juli 2024 20:48]

Patrick22221 @sOid • 7 oktober 2022 19:57

Zou er ook zoveel moeite worden gedaan als het onze gegevens waren? Of krijg je dan het gebruikelijk van 'wees bedachtzaam en 100 euro'

R4gnax

Privacy

@Patrick22221 • 8 oktober 2022 00:30

Zou er ook zoveel moeite worden gedaan als het onze gegevens waren? Of krijg je dan het gebruikelijk van 'wees bedachtzaam en 100 euro'

Nog steeds beter dan wanneer er in de private sector een lek plaats vindt.
Dan mag je al hard in je handjes knijpen als je überhaupt iets hoort - laat staan een net geformuleerde "wees bedachtzaam."

bzzzt @roawser • 7 oktober 2022 17:06

Het is toch zeker niet abnormaal om bij veiligheidsissues eerst het probleem op te lossen en daarna pas te publiceren?

SunnieNL

@roawser • 7 oktober 2022 17:13

Wij, het volk, hoeft ook niet geinformeerd te worden op het moment dat het niet onze gegevens betreft.

Het bedrijf heeft netjes zijn eigen klanten op de hoogte gebracht (1ste melding) op 21 september en een week later de eerste onderzoeksresultaten gemeld. Of ze ook binnen de 72 uur een AP melding gemaakt hebben zoals verplicht, wordt niet helemaal duidelijk uit de brief (de eerste melding bij de overheid kwam in ieder geval pas na 96 uur als ik het zo lees in de kamerbrief).

DR!5EQ 7 oktober 2022 16:55

Het maakt politici ervan bewust hoe belangrijk privacy is nu het ze zelf treft. Helemaal wanneer je telefoonnummer en woonadres lekt. Ik weet niet of dat in dit geval is gebeurd. Ik vind dit een vervelende gebeurtenis, maar tegelijkertijd worden de juiste mensen nu wel wakker geschud.

PjotterP @DR!5EQ • 7 oktober 2022 17:50

Wat ik niet begrijp is dat men bij de overheid en het parlement ondanks deze risico’s bijvoorbeeld blijft hameren op een groot gekoppeld EPD. Mensen hebben echt groot vertrouwen in IT, soms nogal opportunistisch en niet terecht..

Polderviking

@PjotterP • 7 oktober 2022 17:57

EPD vind ik een vrij rare heuvel om op te sterven. Nut van een overkoepelend medisch dossier lijkt me vrij helder...
Als jij in een ambulance ligt is het wel handig dat ze weten wat ze wel en niet kunnen geven als je zelf ff niet meer meedoet zegmaar.

Het alternatief is dat ze bijvoorbeeld je huisarts bellen. Die dat ook weer gewoon in de computer heeft staan en waar wellicht een stuk minder ogen op security gericht zijn tevens.

[Reactie gewijzigd door Polderviking op 28 juli 2024 20:48]

Verwijderd @Polderviking • 7 oktober 2022 19:39

EPD vind ik een vrij rare heuvel om op te sterven. Nut van een overkoepelend medisch dossier lijkt me vrij helder...
Als jij in een ambulance ligt is het wel handig dat ze weten wat ze wel en niet kunnen geven als je zelf ff niet meer meedoet zegmaar.

Het alternatief is dat ze bijvoorbeeld je huisarts bellen. Die dat ook weer gewoon in de computer heeft staan en waar wellicht een stuk minder ogen op security gericht zijn tevens.

Beetje een aparte redenering, "als je zelf niet meer meedoet"
Hier in Belgie hebben we het EPD, dat door de huisarts beheerd wordt.
Als je naar een ziekenhuis gaat, vraagt de huisarts of je toestemming geeft om de daar behandelende arts gegevens kan inzien uit je EPD.
Dit wordt streng gemonitord, dat alleen personeel dat met die behandeling te maken heeft in dat EPD kan.
Het is niet zo dat als je halsoverkop in een ambulance komt te liggen dat zij in je EPD kunnen,
hoe zie dat voor je als je op vakantie gaat, denk je dat je EPD met je mee gaat?
Denk van niet.

Polderviking

@Verwijderd • 8 oktober 2022 01:58

Omdat je situaties kan bedenken waar het EPD niet werkt betekend natuurlijk niet gelijk dat het hele principe fout is.
Ik zit 99.99 procent van de tijd in Nederland en de kans dat ik dus gewoon hier zorg nodig heb lijkt me statistisch het meest voor de hand liggen.

Beetje een aparte redenering, "als je zelf niet meer meedoet"

Wat is daar raar aan? Kans is toch betrekkelijk groot dat als jij in een ambulance ligt je niet kan praten?

[Reactie gewijzigd door Polderviking op 28 juli 2024 20:48]

Verwijderd @Polderviking • 8 oktober 2022 09:07

Omdat je situaties kan bedenken waar het EPD niet werkt betekend natuurlijk niet gelijk dat het hele principe fout is.
Ik zit 99.99 procent van de tijd in Nederland en de kans dat ik dus gewoon hier zorg nodig heb lijkt me statistisch het meest voor de hand liggen.

[...]

Wat is daar raar aan? Kans is toch betrekkelijk groot dat als jij in een ambulance ligt je niet kan praten?

Als je in een ambulance ligt is de nood aan de man, dan is er geen tijd te verliezen door het EPD door te nemen, lijkt mij.
Dan worden de eerste zorgen gegeven.
Daarbij is de kans klein dat je de huisarts te pakken krijgt, dit lukt alleen tussen 8 - 17.00 uur, s' avonds en in het weekend al helemaal niet.

Het.Draakje @Polderviking • 7 oktober 2022 20:05

Als ik in een Nederlandse ambulance lig, dan kan je er zeker op vertrouwen dat

1) Ze maar moeten hopen dat ze me meteen kunnen identificeren (want ik heb mijn paspoort niet bij me, bij het joggen). Identificatie van personen is wel het laatste waar het ambulance personeel (of trauma-helicopter) zich zorgen over maakt.

2) mijn gegevens zijn sowieso niet beschikbaar (omdat ik in het buitenland woon).

Het EPD is bedoeld voor de reguliere zorg en niet voor noodhulp. Als men eerst even het patiëntendossier gaat zitten lezen is men tijd aan het verspillen.

Polderviking

@Het.Draakje • 8 oktober 2022 02:12

Goede punten, dus dan wordt 't niet in de ambulance gebruikt.

Maar zie nogsteeds niet hoe het inherent beter is als die info alleen bij je huisarts te vinden dan in een centraal register staat.
Bij laatstgenoemde lijkt me toegang het best te auditen.

Sterker nog in de praktijk staat het al verkapt centraal want de meeste zorgverleners zitten gewoon bij een of andere servicevelener. En die servicen weer tig zorgverleners als ze daar in gespecialiseerd zijn. Hebben ook systemen waar data allemaal uit kan vloeien.

Het.Draakje @Polderviking • 8 oktober 2022 06:57

Als de informatie alleen bij mijn huisarts is, dan hoef ik me geen zorgen te maken als een huisarts in Limburg gehackt wordt.

Toen ik nog in Nederland woonde, heb ik geen enkele keer een melding gekregen dat iemand in mijn dossier zat en waarom. Hoezo: auditen? Je bedoelt zeker dat het ziekenhuis e.e.a. audit. https://www.security.nl/posting/689864/ en https://www.autoriteitper...ng-pati%C3%ABntendossiers En dat zijn zomaar twee gevallen waar het dus niet afdoende gebeurd. Ik betwijfel of dat bij kleinere zorgverleners opeens wel goed georganiseerd is.

Een zorgverzekeraar heeft inzage in mijn operatie voor mijn gebroken been, maar niet mijn allergie voor verdovingsmiddel a. En weten wellicht dat ik een psychose heb. Welke, dat weten ze niet (en gaat ze ook überhaupt niet aan).

William_H @Polderviking • 7 oktober 2022 21:52

Er zijn gewoon protocollen voor als ze die info niet hebben. Mensen stierven niet bij bosjes omdat er vroeger geen EPD was. Drogrede dus om een EPD in te voeren uit angst.

[Reactie gewijzigd door William_H op 28 juli 2024 20:48]

Polderviking

@William_H • 8 oktober 2022 01:59

Tjah. Vroeger.
Vroeger hadden we ook geen internet nodig.

Hoezo angst. Denk je dat de bilderberg groep achter het EDP zit en ze dat voor de great reset nodig hebben ofzo?

[Reactie gewijzigd door Polderviking op 28 juli 2024 20:48]

William_H @Polderviking • 8 oktober 2022 02:08

Je reageert met algemeenheden. Niemand ontkent dat, maar er is ook geen oorzakelijk verband gelegd ooit met een EPD. De zorg is wel alleen maar duurder geworden. Niet bewezen/oorzakelijk verband, maar velen verwijten dit door de hogere administratieve lasten veroorzaakt door zaken als een EPD. Misschien had de zorg dus wel beter geweest zonder EPD, want meer geld over voor zorgverbetering aan het bed.
Ook geen bewezen punt, maar net zo'n dooddoener als zeggen dat "de zorg" beter is dan vroeger, zonder te verduidelijken hoe dat gekomen is (wel of niet door EPD).

[Reactie gewijzigd door William_H op 28 juli 2024 20:48]

Polderviking

@William_H • 8 oktober 2022 02:15

Je vind dat ik met doodoeners strooi, maar jou beredenering is klaar bij "vroeger hadden we het ook niet nodig".

William_H @Polderviking • 8 oktober 2022 02:20

Helaas is dat gewoon een feit, gezien de protocollen die er zijn in de zorg bij noodgevallen.
De angstredenering die er gevoerd bij de invoering dat in noodgevallen het nodig is om een EPD te hebben is een FUD argument.

jhnddy @William_H • 8 oktober 2022 10:04

Mag ik je er aan herinneren dat er vroeger duizenden secretaresses met grote archiefkasten en ponskaartjes hun tijd aan het vullen waren? En dat we die duizenden fte's nu niet meer nodig hebben omdat 1-2 baliemedewerkers nu het werken van 10 kunnen doen?

Natuurlijk kost het ook ontwikkeltijd om een systeem te maken, maar ik durf toch wel te beweren dat automatisering goedkoper is.

William_H @jhnddy • 8 oktober 2022 11:57

Je reageert op een andere opmerking van mij, maar inhoudelijk denk ik dat je de voorlaatste bedoeld.
Ik ben mij bewust van het verschil met vroeger, maar ik heb nog nooit bewijzen gezien dat de kosten effectief lager zijn. Er waren zeker geen duizenden medewerkers nodig voor het papierenarchief. En daar voor in de plaats zijn allemaal dure mensen gekomen van IT bedrijven. Om nog maar niet te spreken van alle systemen waar artsen en verpleegkundigen tegenwoordig doorheen moeten worstelen om iets simpels als medicijnen te geven. Dus de vraag is of het wel allemaal efficiënter is geworden, ook vanuit kosten.
De roep vanuit het veld om lagere administratieve lasten is denk ik niet voor niks.

poststamp @Polderviking • 7 oktober 2022 19:26

Het is ook heel handig als bijvoorbeeld verzekeringsmaatschappijen en banken je gelekte data kunnen inzien, dat is een uitstekend middel voor risicoanalyse om toegang tot diensten te beperken of voor hogere kosten aan te bieden.

Polderviking

@poststamp • 8 oktober 2022 01:55

Als je zorgverzekeraar uberhaupt zo'n risicoprofiel van je mag maken en daar je premie op mag aanpassen hebben we al verloren als maatschapij.
En dat kunnen ze dus ook als je geen EPD hebt maar je huisharts klikt op een ransomware linkje.
Of New York Pizza heeft weer ergens een login laten slingeren waardoor ze kunnen zien dat je minstens 2x per week een pizza vreet.

[Reactie gewijzigd door Polderviking op 28 juli 2024 20:48]

comecme @poststamp • 8 oktober 2022 15:50

Je zorgverzekeraar weet in ieder geval al welke medicijnen je gebruikt en welke behandelingen je in het ziekenhuis hebt gehad.

Dus je zou zeggen dat ze al prima in staat zijn om een risicoprofiel te maken.

Maar dat doen ze niet omdat ze dat niet mogen.

ramdejong74 @comecme • 8 oktober 2022 22:42

Dat doen ze keus wel, ze laten het alleen niet merken

PjotterP @Polderviking • 7 oktober 2022 22:17

[Reactie gewijzigd door PjotterP op 28 juli 2024 20:48]

schrikbeeld @PjotterP • 7 oktober 2022 19:33

Als je het over een EPD hebt... we hebben al een EPD en dat wordt beheerd door de zorgverzekeraars, die weten letterlijk je gehele ziektegeschiedenis.

Ravi0li @DR!5EQ • 7 oktober 2022 17:03

High Tech Campus in Eindhoven is ook gelekt, van waaruit communicatie meldt dat de volgende zaken mogelijk gelekt zijn:

Voornaam
Achternaam
Initialen
Mailadres
Organisatienaam
Mobiel telefoonnummer
Pasfoto

[Reactie gewijzigd door Ravi0li op 28 juli 2024 20:48]

HKLM_ @Ravi0li • 7 oktober 2022 17:38

De gegevens die op menig Linkedin profiel te vinden zijn dus

William_H @HKLM_ • 7 oktober 2022 21:50

En? Dat betekend nog niet dat je die info mag scrapenvan LinkedIn! En sommige mensen hebben die data wel degelijk afgeschermd voor bepaalde contacten (publiek, 1e lijn contact, 2de lijns etc.).
Dit is een hele lijst met dit soort gegevens in één. Die zou je nooit van LinkedIn kunnen halen, want dat kost teveel moeite. Vandaar dat het nut had voor deze crackers om die data te stelen. Anders hadden ze wel een scrapen via LinkedIn het werk laten doen.

fastedje @Ravi0li • 7 oktober 2022 21:29

Dan vraag ik me af waarom ik hier nog geen melding van heb ontvangen, wellicht is maar een deel van de database gelekt?

Verwijderd 7 oktober 2022 18:00

Ik zie dit als een mogelijk goed ding...
Natuurlijk is een datalek vervelend, al helemaal voor de getroffenen.

Dit lek heeft meerdere gevolgen:
- Politici hebben nu een stuk duidelijker hoe naar een datalek is voor de getroffenen.
. - Zullen ze nu ook beter nadenken over hun sleepnet plannen?
. - Zullen ze nu eindelijk meer geld opzij leggen voor de onderbetaalde AP en dergelijke?
. - Eindelijk actie tegen datamining?
- Politici moeten nu voorzichtiger zijn met hun uitspraken.
. - Geen onzinnige/nare uitspraken meer die mensen kwetsen
. - Krijgen we nu eindelijk fatsoenlijke debatten met echte inhoud?
. - Realisatie dat ze een publieke functie bekleden?
- Koppelen aan criminele activiteiten? (Afhankelijk van wat er precies nog meer is uitgelekt)
. - Mogelijk kan deze gelekte informatie gebruikt worden om corruptie/incompetentie op te sporen?
. - Onderzoek naar politieke beïnvloeding door georganiseerde misdaad?
- Negatief kan zijn beïnvloeding/bedreiging door criminelen/individuen.
. - Hier hard op terugslaan, indien criminele inmenging, hard vervolgen met zware straffen.

En natuurlijk interessant om te zien hoe snel en hoe adequaat op dit lek gereageerd word...

Verwijderd @Verwijderd • 7 oktober 2022 21:58

Niet alle punten die je aangeeft zie ik als "Positief" zoals "- Politici moeten nu voorzichtiger zijn met hun uitspraken.". Politici zouden moeten kunnen zeggen wat je denken en vinden zonder angst op represailles.

Toegegeven als je soms ziet wat voor onzin sommige politici uitslaan zou je hier wel een censuur willen toepassen maar we hebben met zijn alle afgesproken dat we dat niet gaan doen.

Verwijderd @Verwijderd • 7 oktober 2022 23:01

Natuurlijk, politici moeten inhoudelijk niet gelimiteerd worden aan hun uitspraken.
Maar als me moet kiezen uit "alle moslims moeten weg" en "We willen moslim extremisten weren", zou ik na dit lek toch wel meer voor nummer 2 kiezen...

magician2000 @Verwijderd • 7 oktober 2022 22:06

Met als ultieme politieke reactie een één of andere wet die onze privacy verder inperkt en verder niets oplost...?

Voor de rest, eens, een aantal punten dacht ik ook meteen aan.

Verwijderd @magician2000 • 7 oktober 2022 23:09

Waarom zou de reactie zijn om privacy in te perken?
Als getroffene zou ik juist denken "Waarom hadden ze deze informatie überhaupt in het systeem?"

Ze tasten privacy aan zodra er terrorisme of georganiseerde misdaad gebeurt.
(Of dat nou een false-flag operatie is met thermite en/of romeo's, dat maakt dan even niet uit

)

Sandwalker

7 oktober 2022 16:57

Sowieso apart dat de pasuitgever die persoonsgegevens nodig heeft. Die data had best gecompartimenteerd kunnen zijn, waardoor de pasverstrekker alleen een hash heeft, of alleen een id en een key set.

[Reactie gewijzigd door Sandwalker op 28 juli 2024 20:48]

Ro ofzo @Sandwalker • 7 oktober 2022 17:14

Gevolgen
De persoonsgegevens die aanwezig zijn bij het bedrijf beperken zich tot de voor productie van de kaart noodzakelijke gegevens: naam, geboortedatum, geslacht, rijkspasnummer en pasfoto. Voor de meeste pasgebruikers zal dit, als toch blijkt dat deze gelekt zijn, een beperkte impact hebben, waarbij met name aan het risico van gebruik bij phishing moet worden gedacht. Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen.

Met de gelekte informatie kan geen pas worden gefabriceerd die toegang tot gebouwen geeft, het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-ware.

Bron: de kamerbrief

Verwijderd @Sandwalker • 7 oktober 2022 21:52

Precies en dat noemen ze "tokenization"

rob12424 7 oktober 2022 19:24

Beste wat je in zo'n geval kunt doen: lijsten kopiëren, aanpassen en op internet dumpen en het "flooden" oftewel mensen kunnen moeilijker achterhalen welke info het orgineel is. En de info wordt zo minder waard. In sommige gevallen kun je er nog voor kiezen om bepaalde info niet te wijzigen zodat ze denken dat de lijst wel nog echt is. (Bijvoorbeeld info over het Catshuis) of het verkeerde huisnummer in de straat (als er toch al info is bijvoorbeeld foto's van het huis van Kaag. Weet je wel de straat maar nog niet het huisnummer.

Verwijderd @rob12424 • 7 oktober 2022 21:47

Lijkt me een gevaarlijk idee om zomaar verkeerde adres gegevens rond te strooien en dat is ook wel bewezen in Covid tijd toen er demonstranten voor verkeerde huis adressen stonden te gillen in Den Haag.

SPee 7 oktober 2022 22:42

Betreft dit de gegevens van de personen die momenteel actief in het systeem staan?
Of vallen hieronder ook oude gegevens van personen die XX tijd geleden in het systeem stonden?

Craftynl @SPee • 8 oktober 2022 09:12

Geen stres Koos, jij bent niet gelekt

digital8 8 oktober 2022 13:23

Waar haal je deze onzin vandaan.?

Met de uitgelekte pasgegevens zijn kwaadwillenden in principe in staat om de toegangscontrole bij overheidsinstanties te omzeilen

Er zijn namelijk geen encryptie sleutels buitgemaakt want dat hebben ze daar niet.

YamatoSan 7 oktober 2022 17:17

Het is te wachten totdat we onze eerste grote data breach krijgen waarin persoonsgegevens tot in de detail van 17 miljoen Nederlanders ergens op een forum van breached komen te staan. Het is niet de vraag of het zal gebeuren, maar wanneer...

Schway @YamatoSan • 7 oktober 2022 18:01

Als je één van de Basisregistraties inkomt zijn we (bijna) allemaal sjaak...
https://www.digitaleoverh...ies/10-basisregistraties/

[Reactie gewijzigd door Schway op 28 juli 2024 20:48]

Serenaii @Schway • 7 oktober 2022 19:29

Hoe zit dat eigenlijk met de BRP? Is er ergens te lezen hoe de implementatie hiervan zit? Voor je het weet is alles nog met SHA-1 geencrypt

aikebah @Serenaii • 7 oktober 2022 20:20

Voor je het weet is alles nog met SHA-1 geencrypt

Jij kan in ieder geval beter eerst op cursus voor je je bezig gaat houden met encryptie. Want SHA-1 gebruik je voor hashing ipv voor encryptie. (OK, als het gaat om betrouwbare verifieerbaarheid liever ook niet meer voor hashing in collision-gevoelige context (bijv password-hashing), maar als het om lager risico bitfoutdetectie gaat is het nog prima bruikbaar)

Serenaii @aikebah • 7 oktober 2022 20:23

Het was niet serieus bedoeld, doe eens lief. Bovendien is het vrijdagavond en het is mijn vakgebied dus het kan voorkomen dat ik het soms door elkaar haal. En dan nog sluit het een de ander niet uit, HMAC kan bijvoorbeeld SHA-1 gebruiken. Maandag ben ik scherper

[Reactie gewijzigd door Serenaii op 28 juli 2024 20:48]

aikebah @Serenaii • 7 oktober 2022 20:33

Klopt dat bij HMAC sha-1 gebruikt kan worden, maar HMAC is dan ook geen encryptie, maar een ondertekening, waarbij encryptie gebruikt wordt.
En was niet vervelend/aanvallend, maar educatief bedoeld dus sorry als het aanvallend overkwam. Er zijn genoeg tweakers die het onderscheid tussen hashing, encryptie en signing (wat over het algemeen een combinatie van hashing en encryptie voor de signature gebruikt) niet kennen schat ik zo in. Voor encryption is het aanhalen van 'voor je het weet is het met 3DES geencrypt' een betere naar mijn idee.

fastedje @Serenaii • 7 oktober 2022 21:37

SHA-1 gebruik je normaal niet meer op password hashes te berekenen, SHA-2(56) is wat je minimaal moet gebruiken. Een hash kan je nooit gebruiken voor versleuting van gegevens, omdat het slechts in één richting werkt. Daarvoor heb je een encryptie algoritme voor nodig, meestal een symmetrische blockcipher zoals AES 128/256.

R4gnax

Privacy

@YamatoSan • 8 oktober 2022 00:34

Het is te wachten totdat we onze eerste grote data breach krijgen waarin persoonsgegevens tot in de detail van 17 miljoen Nederlanders ergens op een forum van breached komen te staan. Het is niet de vraag of het zal gebeuren, maar wanneer...

Nou; je had een korte tijd terug de Colloseum Dental breach.
Daarbij is naar horen zeggen van eigen tandarts klaarblijkelijk gewoon alle data van alle klanten in totaliteit geexfiltreerd geweest; dus NAW gegevens; geboortedatum; verzekeringsgegevens; behandelgegevens; evt. financiële gegevens (betalingen vanaf bankrekeningnummers?); en BSNs.
Dat zijn volledige datasets van, als we even uitgaan van Colloseum's eigen geadverteerde volume; 600.000 behandelingen op jaarbasis, wss ergens tussen de 500.000~700.000 complete data sets van Nederlandse burgers - even rekening houdende met wat variantie voor de mogelijkheid voor meerdere behandelingen per jaar alsmede vertrekkende / nieuw geworven klanten.

Dicht genoeg bij een oh-shit-we-zijn-fucked voor je?

[Reactie gewijzigd door R4gnax op 28 juli 2024 20:48]

Verwijderd 7 oktober 2022 23:30

Die hebben toch ook niets te verbergen. Het kalf ligt al heel lang op de bodem van de put omdat de overheid zich door geen wal laat keren.

Zo dat waren toch een inkoppertje en twee aangepast gezegdes.

Lanfear89 @RoestVrijStaal • 7 oktober 2022 16:50

Dat zeg je nu wel heel makkelijk, alsof de AP de magische 'catch-all' oplossing is, verrassing, dat is het niet.

Ik verwacht eerder dat er meer interesse komt in een minimale standaard wat IT beveiliging & backups betreft

Bas_f @Lanfear89 • 7 oktober 2022 19:57

Ik zou het meer willen zoeken in de richting van het niet meer onnozel blijven opslaan van al die data.

lenwar

Beveiliging en antivirus
Privacy

@Bas_f • 8 oktober 2022 18:45

Het niet opslaan van gegevens van toegangspassen? Hoe zie je dat voor je? Dat iemand bij de ingang de toegangspas vergelijkt met de persoon die hem draagt?

Bas_f @lenwar • 8 oktober 2022 20:09

Nee. Je hoeft niet alle data blijvend op te slaan. Eenmaal de identiteit geverifieerd, kan er volstaan worden met een uniek pasnummer wat toegang biedt. Adresgegevens (of nog meer) van de paseigenaar zijn helemaal niet relevant meer.

lenwar

Beveiliging en antivirus
Privacy

@Bas_f • 9 oktober 2022 19:35

Dat ligt er aan natuurlijk. Bij het controlerende apparaat inderdaad niet. (De computer die het pasje controleert en de tourniquet al dan niet opent)
Maar die apparaten moeten gevoed worden met informatie.

Stel dat persoon abc zijn of haar pasje is vergeten of dat er een pas geblokkeerd moet worden.

Als persoon abc zegt: “mijn pas is gestolen”, dan weet die persoon uiteraard niet dat pasnummer 98765 van hem/haar is.
Het pasnummer dient ten alle tijden aan een natuurlijk persoon gekoppeld te zijn.

oef! @RoestVrijStaal • 7 oktober 2022 16:51

Ik zie hier weinig relatie met de AP. En super is het al helemaal niet, dit is een clusterfuck van jewelste.

Bender @RoestVrijStaal • 7 oktober 2022 17:53

Je weet dat het AP enkel achteraf onderzoek doet waar nodig?

Het is in geen enkele vorm een beveiliging van data?

wildhagen

Cybercrime
Hackers
Overheid
Beveiliging en antivirus
Privacy

@RoestVrijStaal • 7 oktober 2022 16:53

Super? Jij vind het super dat prive-informatie van mensen naar buiten komt? Met alle risico vandien, voor hen én hun gezin/familie?

Zeker op mensen in dit soort posities wil je dat niet hebben, gezien de risico's van mensen die deze info wellicht gaan gebruiken om eigen rechter te spelen. Kijk naar wat er bij de woning van minister van der Wal gebeurde bijvoorbeeld. En dan nu dus voor álle bewindslieden, én kamerleden van zowel de 1e als 2e kamer.

Nee, dit is verre van super.

Iblies @wildhagen • 7 oktober 2022 18:43

Nee, dit is verre van super.

Je verschilt niet veel van mening met @RoestVrijStaal

Ik hoop dat dit kamerleden aan het denken zet.

Ik blijf het overigens gek vinden dat kamerleden nog steeds met smartphones over het terrein lopen en zelfs lukraak tijdens debatten druk aan het appen zijn.

Volksvertegenwoordigers zouden aparte toestellen moeten krijgen waar geen enkele app op staat behalve die noodzakelijk zijn en voor de rest gebruik je maar de browser.

De fingerprint die via dergelijke toestellen af kunt halen is potentieel veel gevaarlijk dan de gegevens die nu zichtbaar zijn,
dat kun je zelf in elkaar knutselen met open-source data.

Smartphones zijn allang het paard van troje en je krijgt zelfs de garantie van Iphone niet meer,
nieuws: Apple zet Lockdown-modus in iOS 16 en macOS 13 in tegen cyberaanvallen

De optie is voor een kleine groep gebruikers die te maken heeft met geavanceerde cyberaanvallen. Het gaat daarbij om bescherming tegen spyware van onder meer de NSO Group, waartegen Apple een rechtszaak heeft lopen. Het gaat ook om andere door landen gesponsorde spywareaanvallen, zegt de fabrikant.

En er wordt heel gek de NSO group aangehaald,
alleen het OS is per default niet veilig, de lockdown geeft je wat extra zekerheid wat ook geen zekerheid is,
nieuws: 'Websites kunnen Lockdown-modus in iOS 16 eenvoudig detecteren'

"Het is een compromis dat gemaakt wordt. Voor sommigen is het aanvaardbaar, maar voor anderen kan deze vorm van fingerprinting een duidelijk risico met zich meebrengen", stelt de man op Twitter. Hij verwijst naar het ip-adres dat websites verzamelen van bezoekers, in combinatie met de informatie die ze vrijgeven dat de Lockdown-modus actief is.

Dus wat dat betreft heeft @RoestVrijStaal gelijk,
kamerleden moeten eens hard gaan nadenken dat privacy een belangrijk goed is, en voor de een zelfs belangrijker dan de ander, en voor sommige beroepen heb je simpelweg geen keus zoals kamerleden en bijbehorende omgeving.

Alleen blijft het me verbazen dat ze zelf zo laconiek mee omgaan totdat het te laat is en verkeerde punten gaan adresseren. Ze zouden ict als geheel moeten bekijken met alle bijbehorende zwakke punten en hoe dat zoveel mogelijk te beperken,

en dan is die smartphone een veel groter potentieel gevaar dan de gegevens van de pasjes.

Verwijderd @Iblies • 7 oktober 2022 22:13

[...]

Je verschilt niet veel van mening met @RoestVrijStaal

[...]

Ik blijf het overigens gek vinden dat kamerleden nog steeds met smartphones over het terrein lopen en zelfs lukraak tijdens debatten druk aan het appen zijn.

Volksvertegenwoordigers zouden aparte toestellen moeten krijgen waar geen enkele app op staat behalve die noodzakelijk zijn en voor de rest gebruik je maar de browser.

Dat "appen" doen ze met hun fractie, zo worden ze tijdens debatten continu gebriefd door hun medewerkers.

RoestVrijStaal @Verwijderd • 10 oktober 2022 01:03

[...]
Dat "appen" doen ze met hun fractie, zo worden ze tijdens debatten continu gebriefd door hun medewerkers.

Dat lijkt mij kwats, want die fractiemedewerkers kunnen zelf ook live de debatten in diverse zalen volgen. Anders wel het verslag van hun kamerleden die daar zitten teruglezen.

Hoogstens misschien de vraag aan fractiemedewerkers in trant van "Kan je X en Y uitzoeken?" of "Geef mij de cijfers van Z van jaar 20XX". Maar dat lijken me niet WhatsApp-berichten die continu verstuurd hoeven te worden...

Verwijderd @RoestVrijStaal • 10 oktober 2022 09:33

[...]
Dat lijkt mij kwats, want die fractiemedewerkers kunnen zelf ook live de debatten in diverse zalen volgen. Anders wel het verslag van hun kamerleden die daar zitten teruglezen.

Hoogstens misschien de vraag aan fractiemedewerkers in trant van "Kan je X en Y uitzoeken?" of "Geef mij de cijfers van Z van jaar 20XX". Maar dat lijken me niet WhatsApp-berichten die continu verstuurd hoeven te worden...

Heb enkele jaren gelden een rondleiding gehad in de tweede kamer, daar werd die vraag gesteld waarom bewinds personen zoveel en langdurig met hun telefoon of ipad bezig waren.
Zij krijgen informatie die ze tijdens het debat nodig hebben via die kanalen aangeleverd, van hun fractier medewerkers, zij doen opzoek werk tijdens een debat.
Denk jij dat zij alle jaartalen datums, feiten, etc uit hun hoofd kennen?

RoestVrijStaal @wildhagen • 7 oktober 2022 18:03

@wildhagen @Lanfear89 @oef! @Bergen

Mijn indruk van bewindslieden, kamerleden e.d. is dat er bij iedere casus minimaal één keer een clusterfuck moet gebeuren of doden en/of gewonden moeten vallen voordat er daadwerkelijk iets gaat gebeuren.

Dit incident is puur een (ITIL-)escalatie zodat men eens fatsoenlijk erover nadenkt, handelt en een standaard neerzet.

Ik zeg ook nergens dat het AP preventief werkt. maar er is melding gemaakt bij het AP en dat duurt vaak te lang.

[Reactie gewijzigd door RoestVrijStaal op 28 juli 2024 20:48]

Flavius @supersnathan94 • 7 oktober 2022 17:10

Ik las in de Kamerbrief waar naar gelinkt wordt het volgende: "[...] Tot nu toe is bekend dat van bijna 3500 medewerkers van Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart. [...]" Er wordt niet expliciet gesproken over adressen, maar gezien er wel over een thuisbezorgservice wordt gesproken, bevreemd het mij niet waarom er ook adressen bij het bedrijf bekend zijn (en dus steelbaar zijn).

Bergen @Flavius • 7 oktober 2022 17:25

Prima dat ze de adresgegevens nodig hebben om de pas thuis te bezorgen, maar na verzending kunnen die gegevens dus worden gewist.

Transportman @Bergen • 7 oktober 2022 17:38

Totdat vervolgens een keer nagekeken moet worden waar de pas heen verzonden is, omdat die niet aangekomen is of iets. Maar dat zou allemaal voorkomen kunnen worden, de passen kunnen op een beperkt aantal locaties gebruikt worden, laat de pas naar één van die locaties gestuurd worden om daar opgehaald te worden door de ontvanger.

supersnathan94 @Flavius • 7 oktober 2022 17:17

Ja dat begrijp ik, maar beetje nutteloos iets niet waar? Je moet toch naar de fysieke locatie om de pas te kunnen gebruiken, dus laat dat lekker daar bezorgen. Heb je dit dus iig nooit.

Ik heb dit bij klanten ook altijd. Pas ligt of klaar bij de receptie of je moet even een foto laten maken daar ter plekke en dat je er dan een dag later eentje krijgt, op locatie.

Juist bij dit soort “instellingen” verwacht je toch dat die gegevens überhaupt niet extern worden gedeeld voor dit soort triviale zaken? Nu is het een hack, maar wat als het gewoon een medewerker was geweest?

Iemand die de verzendlabels op moet plakken kan namelijk ook gewoon zelf het lijstje bijhouden en verkopen bijvoorbeeld. Heb je geen hack voor nodig. Er zijn veel te veel variabelen in de keten om dit soort informatie naar een dergelijke partij op te sturen.

kodak

Hack
Cybercrime
Beveiliging en antivirus
Privacy
Hackers

@supersnathan94 • 8 oktober 2022 10:08

Dat een mogelijkheid jou nutteloos lijkt is alleen geen reden om dan anderen maar te beschuldigen dat ze niet nagedacht hebben.

Je kan niet stellen dat er veel mogelijkheden zijn om te doen alsof die te veel risico zijn, en dan niet te kijken dat mogelijkheden ook passen bij wat iemand wil en nog goed uit komt.

Als je zou stellen dat je benieuwd bent welke keuzes zijn gemaakt en waarom, dan zou dat een prima discussie zijn. Maar zomaar gaan beschuldigen is niet redelijk.

supersnathan94 @kodak • 8 oktober 2022 11:18

Dat een mogelijkheid jou nutteloos lijkt is alleen geen reden om dan anderen maar te beschuldigen dat ze niet nagedacht hebben.

Je kan niet stellen dat er veel mogelijkheden zijn om te doen alsof die te veel risico zijn, en dan niet te kijken dat mogelijkheden ook passen bij wat iemand wil en nog goed uit komt.

Bij wat iemand wil en goed uitkomt? Het gaat om een toegangspas. Er is nul reden om die naar iemand thuis op te sturen ipv naar de locatie waar diegene gaat werken.

kodak

Hack
Cybercrime
Beveiliging en antivirus
Privacy
Hackers

@supersnathan94 • 8 oktober 2022 12:08

Jij meent dat er 0 redenen zouden zijn. Dat wil niet zeggen dat het voor een ander op gaat. Want dat jij geen redenen kan of wil bedenken of accepteren wil niet zeggen dat een ander dus maar dezelfde redenen of mening heeft.

supersnathan94 @kodak • 8 oktober 2022 12:25

Ik zet hem expres even hard in hier he dat snap je denk ik ondertussen wel.

Er is natuurlijk een reden dat partijen als dit het aanbieden. Zonder vraag geen aanbod, want ook dit kost gewoon geld.

Punt is alleen, dit is een fysiek geleverd iets wat je nodig hebt als je op een specifieke locatie bent en verder niet. Als je voor het eerst naar die locatie gaat kun je ook daar die pas ophalen nietwaar? Heel normaal, want dat doen vrij veel bedrijven.

Daarom durf ik vrij stellig te zijn in mijn stelling dat het vrijwel nul toegevoegde waarde heeft om het thuis te laten bezorgen, maar wel veel risico’s met zich meebrengt. Zeker voor high profile targets als kamerleden. Dan ga je niet overal met je adres lopen zwaaien toch?

Maar Change my mind. Als je wel een goede reden weet. Laat maar horen.

kodak

Hack
Cybercrime
Beveiliging en antivirus
Privacy
Hackers

@supersnathan94 • 9 oktober 2022 23:31

Te makkelijk om achteraf te stellen dat je het opzettelijk hard inzet. Want je probeert nog steeds om het punt heen te draaien dat het niet om jou mening gaat wanneer wel of niet nagedacht is, of dat er redelijke overwegingen zijn. Je doet net alsof een ander jou moet overtuigen voordat er redelijke argumenten zijn, terwijl het andermans gegevens zijn en de ander hoe dan ook redelijke argumenten kan hebben, zelfs al ben jij het er niet mee eens. Je lijkt daarbij niet eens moeite te doen om andere argumenten te bedenken door steeds je eigen overweging te noemen. Als je gaat beschuldigen dan kom je eerst zelf met redelijke onderbouwing, dat is niet aan een ander zodat jij je beschuldiging lekker simpel kan proberen te laten staan.

Orac @Flavius • 7 oktober 2022 18:03

Waarom moet zo'n pas thuis bezorgd worden? Gewoon persoonlijk ophalen op de locatie waar je werkt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (82)

Sorteer op:

Weergave: