Datalek bij smart-cardbedrijf ID-ware treft 21.000 pashouders TU Eindhoven

Er zijn persoonlijke gegevens van naar schatting 21.000 pashouders bij TU Eindhoven gestolen. Criminelen hebben de gegevens buitgemaakt bij een ransomwareaanval op smart-cardbedrijf ID-ware. In de meeste gevallen gaat het om e-mailadressen, woonadressen, namen en woonplaatsen.

In een mail aan getroffen studenten en personeel meldt de universiteit dat de diefstal groter was dan aanvankelijk gedacht. Na de hack bij ID-Ware verscheen er een beperkte dataset op het darkweb, waar ook gegevens tussen staan van een aantal pashouders van TU Eindhoven. Die zijn in het weekend van 8 oktober geïnformeerd.

Uit nader onderzoek blijkt het echter om meer gegevens te gaan, schrijft de universiteit. Welke gegevens er precies zijn gestolen, verschilt per individu. Het gaat vooral om e-mailadressen, woonadressen, namen, geboorteplaatsen en studentennummers. Er zouden geen pasfoto's en wachtwoorden zijn gestolen. TU Eindhoven vraagt de ontvangers van de mail om extra alert te zijn op verdachte mails en identiteitsfraude. De getroffenen kunnen hun pas nog wel blijven gebruiken.

ID-Ware maakt de kaarten die personeel en studenten van de universiteit gebruiken voor het printen van documenten en het krijgen van toegang tot bepaalde gebouwen. Het softwarebedrijf werd afgelopen maand het slachtoffer van een ransomwareaanval. Hoewel het bedrijf weer snel toegang had tot zijn servers, kon het toch niet voorkomen dat de daders ervandoor gingen met gegevens. Daar zitten ook gegevens tussen van duizenden Rijksambtenaren. Volgens ID-Ware zit de hackergroep BlackCat, ook wel bekend als ALPHV, achter de aanval.

IT-banen

Reacties (51)

Zingo 20 oktober 2022 19:33

Ik vraag mij vooral af waarom er zoveel verschillende gegevens bij dat externe bedrijf bekend waren. Waarom hebben ze toegang tot adressen, e-mail adressen, geboorteplaatsen. Die informatie is toch allemaal niet nodig voor een dergelijk pasjes systeem. Daar mag ook echt aandacht voor zijn, waarom wordt dit überhaupt gedeeld.

Houtenklaas @Zingo • 20 oktober 2022 20:04

Dat is inderdaad een uitstekende vraag. De vraag die er bij hoort: Waarom is de data niet vernietigd nadat het gebruikt is om die pas aan te maken. De hoeveelheid data lijkt ook mij veel te uitgebreid om nodig te zijn. Een geboorteplaats heeft niets met een toegangspas te maken en een woonadres ook niet. Uitgifte via een IT desk op de TU, hoe makkelijk kan dat zijn. Een mij bekend bedrijf heeft blanco passen met alleen een pasnummer daarop die in het HR systeem gekoppeld is aan jou als gebruiker. Verlies betekent het blokkeren van dat ID en verder niets. Retoursturen kan met een adres wat er ook op geprint is, een berichten dienst zodat de vinder niet eens weet van welk bedrijf het is. Het is echt niet zo lastig, maar gemak is hier denk ik de grootste vijand ...

BeefHazard @Houtenklaas • 21 oktober 2022 00:59

Ik ben student aan de TU/e en heb bij een andere onderwijsinstelling als servicedesker met ID-Ware gewerkt. De genoemde data is normaal om aan hen door te geven.

Je geboortedatum staat als student op je campuskaart, want die gebruik je samen met een legitimatiebewijs om je te legitimeren bij een tentamen.

Privé mailadres is nodig om informatie te sturen naar eerstejaars, voordat ze een mailadres van de instelling hebben. Dit is normaal in alle instellingen waar ik gewerkt heb.

Het enige dat ik niet helemaal kon plaatsen was geboorteplaats, maar misschien is dat voor een controlevraag oid.

Chiwn

@BeefHazard • 21 oktober 2022 08:19

Dan kunnen ze die data toch nog steeds na uitgifte vernietigen ?

R4gnax

Datalek

@Chiwn • 21 oktober 2022 09:21

Je hebt helemaal gelijk. Maar die gegevens geparkeerd houden is natuurlijk ook 'lekker handig' als er een vervangende kaart uitgegeven moet worden; en bespaart de universiteit de moeite ze weer opnieuw op te moeten sturen als het zover is.

BeefHazard @Chiwn • 21 oktober 2022 13:36

Nee, ID-ware levert namelijk ook een selfserviceportal (federated aan de IAM van de instelling) waarmee eindgebruikers zelf passen kunnen blokkeren en aanvragen. Daarvoor moet men wel data opslaan.

Kan dat slimmer en veiliger? Jazeker! Bijvoorbeeld door identiteiten uit AzureAD/AD FS op te halen. Maar ik heb ID-Ware en hun cardyourself-portal nooit als slim of goed ontworpen ervaren. Eén servicedesk-account voor een hele instelling (geen named users dus) is de regel bij hen. Dat betekent dus dat er ook geen accountability is wanneer data lekt, daar mag wat mij betreft wel eens regelgeving over komen. En de lockout policy voor servicedeskers is iets van 3 wachtwoordpogingen, daarna moet iemand hoger in de boom ze bellen. Het verbaast mij niet dat deze partij zo laks met data is omgegaan.

[Reactie gewijzigd door BeefHazard op 24 juli 2024 04:47]

CoMaestro @BeefHazard • 21 oktober 2022 09:25

Privé mailadres is nodig om informatie te sturen naar eerstejaars, voordat ze een mailadres van de instelling hebben. Dit is normaal in alle instellingen waar ik gewerkt heb.

Dit lijkt me toch iets dat de TU/e nodig heeft? Niet degene die die passen maakt? Of neemt de maker van die passen contact met je op als eerstejaars?

Speedpete @CoMaestro • 21 oktober 2022 09:33

Juist. Meer dan een relatienummer is niet nodig. Zelf als de geboortedatum op de kaart staat, hoeft dat niet in een database bewaard te worden.

Als er een nieuwe kaart nodig is, kan de Universiteit dat aan de dienstverlener doorgeven: "nieuwe kaart voor relatienummer X248583 met deze gegevens ......"

BeefHazard @CoMaestro • 21 oktober 2022 11:15

Klinkt als een goed idee, tot er mensen zijn die geen mail ontvangen en niemand uit kan vinden waar 't mis gaat. Dan roepen we opeens allemaal dat het gewoon uitbesteed moet worden.

mac1987 @Houtenklaas • 20 oktober 2022 20:10

Decentralisatie is ook een vorm van beveiliging. Zo hoeft de pasfabrikant alleen een ID te weten met de benodigde autorisaties en de TU het ID en een medewerker/student nummer, naam en rol. In een ander systeem kan dan studentnummer en natuurlijk persoon worden gekoppeld.
Je ziet echter dat de beweging juist naar centralisatie gaat, met centrale bronnen voor alles (zie ook Common Ground).

Houtenklaas @mac1987 • 20 oktober 2022 22:02

En dat is precies wat ik bedoelde met "gemak". Decentraal is wat meer gedoe. Databases die een unieke identifier moeten hebben om data aan elkaar te kunnen knopen is inderdaad ook mijn wens en gedachte en in mijn optiek de enige juiste manier. Maar alles op één plek is "veel makkelijker, simpeler en goedkoper". En dat geeft helaas vaak de doorslag bij mensen die wat minder security minded zijn maar er wel over mogen beslissen. Mijn keuze is het om daar niet meer over te zeuren, dan word je op een gegeven moment als "zuur" ervaren en bereik je je doel ook niet.

Hoe dan wel? Hopelijk zijn er audits en risk assessments bij bedrijven van enige omvang en dat is een uitstekend plaats om dit soort risico's te benoemen. Wat betekent het als mijn bedrijf met zoiets in het nieuws komt? Wat is de imagoschade en financiële schade? Hoe kan ik dat risico voorkomen? Via die weg kan je wel degelijk het verschil gaan maken. Maar het blijft hoe dan ook een impopulair onderwerp bij bedrijven.

[Reactie gewijzigd door Houtenklaas op 24 juli 2024 04:47]

BLACKfm @Houtenklaas • 21 oktober 2022 13:28

Audits. Dingen waar geen enkel bedrijf tijd voor heeft en 1x per 'periode' voorbij komt waardoor er in de 'hele korte periode daarvoor' even snel alles op orde wordt gemaakt en wat niet gezien mag worden even snel onder een tapijt wordt geschoven. Iemand met een snelle babbel die even de auditeur laat zien hoe alles (lees: die specifiek geprepareerde zaken) goed en wel is.

Voor de rest is het antwoord op de rest van je vragen veelal 'Dat gebeurt ons toch niet', totdat het wel gebeurt, en ook dan verandert er meestal niet veel.

magician2000 @mac1987 • 22 oktober 2022 14:01

Gewoon een printer voor passen aanschaffen zodat het lokaal gedaan kan worden. Risico massaal lekken data nihil omdat data niet heen en weer gestuurd wordt. Onbegrijpelijk dat ze altijd alles maar uit willen besteden.

Nas T @Zingo • 20 oktober 2022 20:40

Het gevolg van "collectieve incompetentie". We hebben ons jarenlang niet gefocust op privacy en bescherming van onze gegevens en vandaag de dag doen we dat mondjesmaat.

Het probleem is drieledig:
1 (de kern van het probleem): bedrijven mogen winst maken met onze gegevens. "Big data" is een toverwoord en het heeft geleid tot veel focus op het vergaren van gegevens en de uitvoering daarvan. Winst is een prikkel tot meer winst. Als winst is data, dan meer winst = meer data.

2 : overheden. Even los van dat onze overheid en IT "niet samengaan" (ik denk deels waar, maar niet relevant voor deze kwestie), hebben we nu gezien hoe de overheid omgaat met onze gegevens. Ik noem SyRI, waar een rechter de overheid moet dwingen om de activiteiten te staken en meer recent het opstappen van het vorige kabinet naar aanleiding van de toeslagenaffaire. Onze overheid, en ik denk dat ze mondiaal gezien competent zijn, is niet competent als het gaat om het beheren van onze gegevens. En behalve dat, is de intentie niet bepaald zuiver, als een rechter misstanden moet stopzetten en een kabinet moet aftreden.

3 : wij, burgers. >99% heeft niet het minste idee wat er allemaal met hun gegevens gebeurt en waar het te vinden is. Enemy of the state is realiteit geworden, of zelfs nog erger. Ik denk dat alleen tweakers en tech-minded mensen een VPN kennen of gebruiken en kritisch staan tegenover cookies.

Dat alles leidt tot collectieve incompetentie. We zijn als maatschappij collectief niet in staat de problemen aan te pakken. Nog sterker: we zijn ons nauwelijks bewust van de achterliggende problematiek, de oorzaak. De vragen die jij stelt, zijn in mijn optiek retorisch. Maar ik denk dat we onszelf moeten afvragen waarom zulke bedrijven überhaupt aan die gegevens kúnnen komen. Ik merk dat de laatste tijd er een telefoonnummer ingevuld dient te worden bij een online account, terwijl een e-mailadres al gegeven wordt. Gelukkig wordt 06-11223344 vaak geaccepteerd.

Zelfs de piratenpartij is mild als het gaat om bescherming van persoonlijke gegevens. Er is meer nodig dan een paar regels, we moeten om naar een compleet insteek. Begin eens met dat bedrijven geen gegevens mogen gebruiken, anders dan noodzakelijk voor de uitvoering van de gevraagde werkzaamheden. Denk aan een adres bij een verzending, als het product niet bij een centraal punt bezorgd wordt. En dat voor elk verzoek van gegevens dit getoetst wordt bij een commissie: zijn de gegevens daadwerkelijk noodzakelijk?

Dit soort veranderingen kunnen leiden tot een vermindering in de verzameling van data, een vermindering in ontwikkeling en gebruik van technieken om data te interpreteren en daarmee ook een vermindering van mogelijkheden van overheden, die zelfs niet zuiver met gegevens omgaan van de eigen burgers.

Anoniem: 1832746 @Nas T • 21 oktober 2022 09:47

Ik denk deels waar, en deels dat er gewoon een groeiende paranoia is die er nooit is geweest. Het 'recht dat niemand je gegevens opslaat' is iets wat nooit heeft bestaan, tot voor kort wist iedereen in een dorp wie iedereen was, waar ze vandaan kwamen, wat ze kochten etc.

Dat hebben we nu op grote schaal toegepast, en nu vinden mensen het een probleem worden. Dat deel kan ik nog begrijpen, maar voor mijn gevoel slaan we als maatschappij nu door de andere kant op. Wat je nu krijgt is dat iedereen anoniem door het leven probeert te gaan, en daarbij zo min mogelijk mensen wilt zien. Thuiswerken, alles bestellen en je leven online lijden beginnen de norm te worden, waarmee je veel meer privacy eist dan dat er ooit is geweest. En in mijn ogen is dat veel meer privacy dan een diersoort als de mens kan hebben, we zijn geen individuele dieren maar groepsdieren, en bij groepsdieren heb je geen absolute privacy.
Dat betekent niet dat we alles op moeten geven, vandaar dat ik het wel deels er mee eens ben, ik denk alleen dat we als maatschappij moeten inzien dat we echt aan het doorschieten zijn. We zijn heel goed in doen alsof we geen dieren zijn, maar dat zijn we wel. En in die zin hele afhankelijke dieren ook.

Nas T @Anoniem: 1832746 • 21 oktober 2022 16:00

Ik denk dat het op grote schaal toepassen per se een probleem is, maar het misbruik van die informatie vooral een probleem is. Ik ben op dit punt zo ver dat ik helemaal niks meer wil delen en er veel aan zal doen om dat te voorkomen. Het liefst zou ik voor elk account een ander e-mailadres maken en bij een volgende bestelling weer een nieuw account maken.

Het verbaast me ook dat er zo weinig of geen "spoofing" oplossingen zijn, waarbij nepdata gegenereerd wordt en naar de verzamelende partijen gaat.

Klaas6544 20 oktober 2022 22:07

Ik heb 8 oktober deze mail ontvangen;

''Beste lezer,

Hackers hebben in september gegevens gestolen bij het smart-cardbedrijf ID-Ware. Daarbij zijn data bemachtigd van meerdere klanten van ID-Ware, waaronder de TU/e. Van de TU/e zijn de NAW-gegevens van zo’n 1800 campuspassen buitgemaakt, waaronder helaas ook die van u. Het risico op misbruik is echter gering. U kunt uw pas gewoon blijven gebruiken.

De gegevens van deze TU/e-campuspassen die de hackers bemachtigd hebben, zijn naam, postadres, TU/e-relatienummer en campuskaartnummer. De gegevensdiefstal leidt niet tot enig risico op misbruik van TU/e-campuskaarten. Er kunnen bijvoorbeeld geen kaarten gekopieerd worden. U kunt uw campuskaart dus gewoon blijven gebruiken. Ook heeft het incident geen impact op het selfservice-account van uw campuskaart.

Wij verwachten verder dat er geen grote risico’s zijn voor u als individu door deze gegevensdiefstal. Desondanks raden we u aan om extra alert te zijn op phishing, oplichting (bijvoorbeeld via nepfacturen) en identiteitsfraude.

ID-Ware heeft de noodzakelijke stappen genomen om te voorkomen dat dergelijke incidenten nog eens kunnen plaatsvinden. Daarnaast gaat de TU/e het incident samen met ID-Ware evalueren om vast te stellen welke aanvullende maatregelen getroffen kunnen worden om te zorgen voor nog betere security.

We vinden het als College van Bestuur van de TU/e belangrijk om u te informeren over dit incident. Als u verdere vragen of zorgen heeft hierover, kunt u contact opnemen met [email] voor meer informatie. ''

SirBlade @Klaas6544 • 21 oktober 2022 00:04

De kaart werd via de post naar je opgestuurd? Of moest je hem ergens ophalen?

Dramatic @SirBlade • 21 oktober 2022 00:34

Ophalen zo ver ik weet, ook als je een nieuwe wilt na verlies

BeefHazard @Dramatic • 21 oktober 2022 01:00

Mijn TU/e campuskaarten zijn allemaal gewoon per post verstuurd. Laatste in 2020 of 21 denk ik.

MixT2311 @BeefHazard • 21 oktober 2022 12:44

In 2022 ook nog steeds via de post (voor werknemers); mijn vrouw heeft hem een maand geleden 'verloren' en een nieuwe gekregen via de post.

Klaas6544 @SirBlade • 21 oktober 2022 09:13

Mijne werd per post verstuurd destijds.

BobV 20 oktober 2022 19:32

Mijn voornaamste vraag hier: waarom heeft dit bedrijf toegang tot zo veel gegevens van de studenten? Die hebben ze zeer waarschijnlijk helemaal niet nodig voor toegangsbeheer. Naam/email-adres zou meer dan voldoende moeten zijn...

KingFrogzz

@BobV • 20 oktober 2022 19:42

Waarom zou zelfs een naam of mail nodig zijn? Ze moeten er gewoon voor zorgen dat er unieke nummers in die passen staan. De universiteit print er een naam en foto op zodat het ding van jou is en koppelt dat nummer aan jouw bevoegdheden. Een scanner leest dan dat nummer uit, en kijkt of je mag doen wat je wil. Dat hele nummer hoeft dan niet van de campus af te gaan, je naam, mailadres, en woonplaats al helemaal niet.

J_van_Ekris @KingFrogzz • 20 oktober 2022 21:41

Waarom zou zelfs een naam of mail nodig zijn? Ze moeten er gewoon voor zorgen dat er unieke nummers in die passen staan. De universiteit print er een naam en foto op zodat het ding van jou is en koppelt dat nummer aan jouw bevoegdheden.

In veel gevallen wordt het als managed service uitbesteed en dan is de personalisatie daar onderdeel van. Kan nog steeds privacyvriendelijk (namelijk na printen van de pas de boel weggooien), maar ik weet niet hoe het organisatorisch/technisch georganiseerd is.

Joecatshoe @KingFrogzz • 20 oktober 2022 19:58

Jammer dat er niet zoiets bestaat. Misschien kunnen ze elke student een unieke string van numerieke karakters geven, waarmee de universiteit de student identificeert binnen de organisatie? Een soort van "leerlingennummer" of iets dergelijk. De technologie zal denkelijk zo ver nog niet staan.

latka @Joecatshoe • 20 oktober 2022 20:55

En het ergste is: zo word er wel gedacht in sommige kringen... Ik ben er mee gestopt om dit soort domme ideeën de kop in te drukken: je wordt gezien als lastpak en je maakt dingen alleen maar moeilijk. Ze moeten het omdraaien en in dit soort gevallen gewoon de toko in kwestie sluiten wegens incompetentie. Dat ruimt iig. een beetje op.

J_van_Ekris @Joecatshoe • 20 oktober 2022 21:40

Misschien kunnen ze elke student een unieke string van numerieke karakters geven, waarmee de universiteit de student identificeert binnen de organisatie? Een soort van "leerlingennummer" of iets dergelijk. De technologie zal denkelijk zo ver nog niet staan.

Dat hadden ze in de jaren 90 al, dat heette toen 'studentennummer', wat handig is als je je examenresultaten op een prikbord wilde publiceren zonder gelijk de mensen die zakken voor aap te zetten.

Anoniem: 1832746 @J_van_Ekris • 21 oktober 2022 09:54

En toch ook in de jaren 90 waren er collegepassen met een naam en foto er op, handig om te controleren of jij wel echt degene bent die het examen maakt.

FreshMaker @Anoniem: 1832746 • 21 oktober 2022 09:58

Het sluit elkaar toch niet uit ?

Het studentennummer samen met naam op de pas, maar alleen softwarematig het nummer 'in' de pas.
De hardware achter de verwerking heeft alleen het nummer maar nodig.

De kaarten zijn niet fysiek gestolen, de datasets zijn overgenomen.
Maar bij een controle van de pas hoort het exterieur, interieur en een IDbewijs over te komen als het nodig mocht blijken bij een examen

Anoniem: 1832746 @FreshMaker • 21 oktober 2022 10:12

Maar dat is het punt wat ik hieronder maak, dan moet je een heel computersysteem op gaan zetten terwijl er een oplossing is: gewoon tekst printen op een kaartje, zonder scherm en zonder scansysteem (met kans op inbraak, developers voor nodig, onderhoud voor nodig, etc.)

Een oplossing die niet afhankelijk is van techniek lijkt me in zo'n situatie nog altijd meer wenselijk dan weer een applicatie er bij.

FreshMaker @Anoniem: 1832746 • 21 oktober 2022 10:16

Steeds meer zaken vereisen een digitale identificatie.
Deuren, liften, printers en zelfs de snoepautomaat.

Allemaal zaken die natuurlijk prima analoog of enkelzijdig in te regel zijn, maar in een omgeving waar alles HiTech is/moet zijn, is het natuurlijk knullig om nog met sleutels en papieren agenda's te moeten werken.

Het grootste probleem hier IS de automatiseringsdrang, dat weten we allemaal wel.

mae-t.net @Anoniem: 1832746 • 21 oktober 2022 15:26

Die naam en foto stonden op de pas, en dat lekt een stuk moeilijker dan wanneer het ergens "in de cloud" staat!

Overigens was er met studentnummers ook wel eens een probleempje. In Delft waren die ongeveer alfabetisch (ik zou het algoritme wel eens willen zien, dat werkte behoorlijk goed), maar dat werd als wat minder handig ervaren toen er een keertje een Van Buren kwam studeren. Want een beetje paparazzi kon dan toch wel proberen om conclusies te trekken (eerste cijfer zal wel een 0 geweest zijn) uit opgehangen uitslagenlijsten.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 04:47]

Dorank @Joecatshoe • 20 oktober 2022 23:08

Kijkt naar een studenten pas van de TUE uit eind jaren negentig....

He verrek...

Maar ik denk dat sommigen hier een kapotte sarcasme meter hebben.

Printen deed je toen met losse magneetstrip kaarten, ik vermoed echter dat die makkelijk te misbruiken zijn met de hardware en kennis van nu (vast toen ook al, maar een magneetkaart schrijver was toen meer hobbiesten werk).

Anoniem: 1832746 @KingFrogzz • 21 oktober 2022 09:52

Dit voelt wel als een high-tech oplossing voor een low-tech probleem. Deze passen worden gebruikt bij bijv. examens om te controleren wie jij bent, die examens worden veel overzien door ouderen. In plaats van een naam moet je nu 1. een heel systeem optuigen waar die gegevens uit te lezen zijn, wat weer extra risico's met zich mee brengt. 2. Ouderen opleiden een scanner te gebruiken. 3. examens worden nog meer afhankelijk van tech, doet het internet het niet dan heb je pech en mag je naar huis.

Het is een hele complexe oplossing voor iets heel simpels. Richten op het niet opslaan van de gegevens lijkt me een betere oplossing dan de IT afdeling 'bezigheidsprojectje zonder echte waarde nummer 1000' te geven.

KingFrogzz

@Anoniem: 1832746 • 21 oktober 2022 10:03

Die ouderen kunnen toch nog wel de naam lezen en foto bekijken die de TUe zelf op die passen print, dat vind ik ook niet het primaire probleem hier. Zo hoeven ze geen scanner aan te raken. Wat ik vooral stuitend vind is dat die gegevens zo lang bewaard zijn gebleven bij het externe bedrijf.

Anoniem: 1832746 @KingFrogzz • 21 oktober 2022 10:10

Maar dan moet je dus als TUe een passen maak infrastructuur op gaan zetten, die je juist hebt uitbesteed. Dan ga je dus van bedrijven vragen steeds meer nevenactiviteiten zelf te doen, iets wat we juist meer aan het opsplitsen zijn omdat dat beter werkt.

In mijn mening is het nog steeds beter de gegevensbewaring te waarborgen dan een veel te complex systeem op te zetten zodat mensen zich veilig voelen en er weer wat werkverschaffing is. Laten we mensen efficient inzetten, niet iemand aannemen om pasjes bij de TUe te printen terwijl diegene er 100x meer kan doen bij een centraal bedrijf

mae-t.net @Anoniem: 1832746 • 21 oktober 2022 15:32

Aan de ene kant is het "not invented here" syndroom slecht, maar aan de andere kant is het inhuren van een extern bedrijf dat vaak ook heel knullige houtje-touwtje oplossingen bouwt, gewoon een blamage voor een Technische Universiteit. Dat heeft in Delft ook vaak genoeg tragikomische situaties opgeleverd. Als de eerste de beste student het beter kan (of als de tweede de beste student het systeem hackt) dan ben je als inkoper niet zo goed bezig geweest.

Zelfs als je geen eigen product in productie neemt, heb je een rijkdom aan kennis onder handbereik om dan tenminste een deugdelijk product in te kopen!

vanaalten 20 oktober 2022 19:44

Nou werk ik op de High Tech Campus in Eindhoven en heb een toegangsbadge die door de campus is uitgegeven - en die gebruiken hetzelfde ID-Ware bedrijf. En toevallig vorige week kreeg ik bericht dat ID-Ware slachtoffer was van een ransomware-aanval... Echter zijn er bij die aanval, volgens de High Tech Campus communicatie, enkel pasfoto's en geen andere gegevens buitgemaakt.

Opmerkelijk. Ik neem even aan dat het om 1 aanval gaat, dan zou ik verwachten dat voor zowel de TUE als HTC dezelfde gegevens buitgemaakt zijn.

knirfie244 @vanaalten • 20 oktober 2022 23:09

Het verschil zit hem er misschien in welke gegevens er voor de verschillende diensten/afnemers worden opgeslagen. Of sowieso welke gegevens beschikbaar zijn. De administratie van de High Tech Campus weet helemaal niet wat mijn adres is: ze hebben een achternaam, voorletter, het bedrijf waar ik voor werk en een foto die ter plekke gemaakt is.

Bij de TU/e krijg je misschien een nieuw pasje thuisgestuurd als je hem kwijt bent, bij HTC moet je hem zelf ophalen op de strip.

Wat ik mij meer af vraag is waarom deze informatie centraal opgeslagen lijkt te staan inplaats van op een server bij de klant.

[Reactie gewijzigd door knirfie244 op 24 juli 2024 04:47]

Groningerkoek @knirfie244 • 20 oktober 2022 23:38

Omdat het zo gemakkelijk is om alles bij een ander in de cloud te stoppen en de klant helemaal geen zin heeft in zo'n eigen server. De klant wil in een portal wat gegevens invullen waarna iemand anders een kaart maakt, en de klant wil niet meer moeite doen dan in een portal af en toe wat toegangsniveau's wijzigen.

BeefHazard @Groningerkoek • 21 oktober 2022 01:10

Ik vind het te makkelijk om de keuze voor outsourcing op gemakzucht af te schuiven. Universiteiten, zeker technische, worden door het kabinet zeer sterk geprikkeld om de bedrijfsvoering klein te houden en vooral bezig te zijn met onderwijs. Als ze zoiets in eigen beheer hebben staan we met z'n allen te roepen dat het zo duur en inefficiënt is.

Sissors @vanaalten • 20 oktober 2022 20:54

Met de vraag of ze van beide hetzelfde hebben opgeslagen. Misschien werd een groter gedeelte uitbesteedt bij de TUE dan bij de HTC bijvoorbeeld?

HeadlessSheep 21 oktober 2022 09:26

Heeft het nut om hierover een klacht in te sturen bij Autoriteit Persoonsgegevens? Het lijkt me dat de AP actie kan ondernemen als er genoeg klachten binnenkomen gok ik.

cedrix5 @HeadlessSheep • 21 oktober 2022 15:22

Ben ik ook benieuwd naar, ik ben geen expert in hoeverre de universiteit hier schuld treft, maar het mag wel onderzocht worden wat mij betreft. Als dienstverlening ook eenzelfde niveau kon bereiken zonder al deze gegevens in een kwetsbare database dan zou AP hier wat in kunnen betekenen.

Dazenet @cedrix5 • 21 oktober 2022 21:13

Reactie van de AP; "Foei, niet meer doen hoor"

Toch maar even een aanvulling

De wetgeving zou gewijzigd moeten worden.
Als blijkt dat er gegevens gedeeld zijn die niet per sé nodig waren en/of de lek/diefstal voortvloeid uit slechte configuratie of nalatigheid, dan zou ieder getroffen individu van elke betrokken instantie of bedrijf standaard een schadevergoeding van 1000 Euro moeten krijgen. In dit geval dus 2000E.

Als naderhand blijkt dat er grove nalatigheid is geweest, opzet of dat er bewijs is dat informatie daadwerkelijk is misbruikt, dan nog eens een betaling van 1000E per persoon, per gebeurtenis.

Bij herhaling van eenzelfde feit wordt het bedrag automatisch verdubbeld.

Ik zie echt niet hoe bedrijven/instanties het anders ooit zullen leren. Dan ga ja maar failliet. Als het zover komt dan heb je het echt aan jezelf te danken. No one is too big too fail.

[Reactie gewijzigd door Dazenet op 24 juli 2024 04:47]

Batch 20 oktober 2022 19:54

Het lijkt bij de Hogeschool Utrecht ook mis te zijn:

https://www.rtvutrecht.nl...trecht-na-hack-op-darkweb

Dazenet 20 oktober 2022 23:28

Van de TU/e zijn de NAW-gegevens van zo’n 1800 campuspassen buitgemaakt, waaronder helaas ook die van u. Het risico op misbruik is echter gering

Dus, Naam, Adres en Woomplaats gegevens. Verder ook nog de naam van de Universiteit en natuurlijk het email-adres (volgens het artikel). Hoe kan iemand met droge ogen stellen dat de kans op misbruik gering is? Dat is wel heel erg veel informatie die gebruikt en misbruikt kan worden.

ID-Ware heeft de noodzakelijke stappen genomen om te voorkomen dat dergelijke incidenten nog eens kunnen plaatsvinden. Daarnaast gaat de TU/e het incident samen met ID-Ware evalueren om vast te stellen welke aanvullende maatregelen getroffen kunnen worden om te zorgen voor nog betere security.

Beetje laat om daar nu aandacht aan te besteden, vinden jullie ook niet? Weet je wat...we gaan dit als goede Nederlanders lekker gezellig evalueren onder het genot van een kopje koffie met een gebakje (uiteraard op kosten van de Universiteit), dan kunnen we de schuld afschuiven op het bedrijf, wat vervolgens bij hoog en laag zal beweren dat het volkomen per-ongeluk is gegaan en dat het echt waar nooit meer zal gebeuren.

Keihard afstraffen die handel. Ongecodeerde persoonlijke informatie bewaren waar je helemaal geen recht op hebt, en ook de Universiteit voor het ongeoorloofd delen van informatie zonder daar een geldige wettige reden voor te hebben.

Dit is elke dag hetzelfde verhaal en er wordt niets aan gedaan. De Nederlandse regering (en ook die van andere landen) moeten zich de ogen uit hun hoofd schamen...maar ja... ze hebben er zelf ook profijt van. Dat mag je alleen niet hardop zeggen want dan ben je een complot denker.

knirfie244 @Dazenet • 21 oktober 2022 11:48

[...]

Dus, Naam, Adres en Woomplaats gegevens. Verder ook nog de naam van de Universiteit en natuurlijk het email-adres (volgens het artikel). Hoe kan iemand met droge ogen stellen dat de kans op misbruik gering is? Dat is wel heel erg veel informatie die gebruikt en misbruikt kan worden.

NAW is van heel veel mensen ook gewoon in het telefoonboek te vinden. Universiteit kan je vaak wel op LinkedIn/Facebook/etc vinden, of op de website van de universiteit als je in een club zit of een keer ergens aan meegedaan hebt. Email adres is meestal simpel te beredeneren als je eenmaal weet hoe een specifiek bedrijf/instantie hun email adressen aan maakt.

In andere woorden, er is geen informatie buitgemaakt die voor de meeste getroffenen niet op een andere manier te achterhalen is. En dus informatie waar op elk moment "misbruik" van gemaakt kan worden of deze breach nou gebeurt was of niet... Echter valt er met alleen NAW niet heel veel te doen.

Dit staat overigens los van het feit dat bedrijven inderdaad wel beter met persoonlijke gegevens zouden moeten om gaan.

[Reactie gewijzigd door knirfie244 op 24 juli 2024 04:47]

Dazenet @knirfie244 • 21 oktober 2022 21:00

Toch wel een ietwat simpele redenatie.

Wie staat er vandaag de dag nog in het telefoonboek? Bestaat dat nog?
Dat is toch wel het eerste waar je jezelf uit laat verwijderen als je een beetje bij de tijd bent.

Je kan pas iets anders vinden als je informatie hebt om mee te zoeken. Leuk dat je op LinkdIn kan zoeken, maar dan zal je toch eerst die N van de NAW moeten hebben.

En dus informatie waar op elk moment "misbruik" van gemaakt kan worden of deze breach nou gebeurt was of niet

Ehm...de informatie is al misbruikt. Het had nooit in die database moeten staan.

Welk emailadres iemand gebruikt weet jij ook niet, en dan sla je ook nog eens de spijker op zijn kop door aan te geven dat zij die dit soort databases misbruiken ook niet dom zijn en natuurlijk heel goed weten hoe ze de verschillende "per ongeluk gelekte of door-een-foutje-in-de-configuratie" verkregen informatie kunnen samenvoegen.

Dit staat overigens los van het feit dat bedrijven inderdaad wel beter met persoonlijke gegevens zouden moeten om gaan.

Dat is waar, maar het is velen malen belangrijker dat mensen zelf beter met hun persoonlijke gegevens omgaan en, nóg belangrijker, met de gegevens van anderen.

Coach4All 21 oktober 2022 09:45

Ben benieuwd hoe en wat er gelekt is van parkeer/toegang passen van werknemers van bedrijven op het terrein van de TU/e...

Heb daar ook gewerkt en ben wel benieuwd of er historische gegevens buitgemaakt zijn...

Op dit item kan niet meer gereageerd worden.

Datalek bij smart-cardbedrijf ID-ware treft 21.000 pashouders TU Eindhoven

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: