Hackers dreigen gegevens van 311.000 Belgische huishoudens openbaar te maken

Het hackerscollectief Medusa dreigt om de gegevens van 311.000 Belgische huishoudens openbaar te maken. De groep heeft die gegevens buitgemaakt bij een hack van afvalbeheermaatschappij Limburg.net in december.

Volgens Limburg.net hebben de hackers vorige maand ingebroken op een oude dataserver en daar documenten gekopieerd. De gegevens zijn van huishoudens uit verschillende plaatsen in de Belgische provincie Limburg. Medusa heeft de organisatie een dag de tijd gegeven om 100.000 euro losgeld te betalen voor de gegevens, zo laat een teller op Medusa's website zien. Betaalt Limburg.net het bedrag niet, dan worden de gegevens gelekt.

Limburg.net is echter niet van plan om te betalen, schrijft VRT. De data stamt uit 2014 en 2015 en is volgens de organisatie 'al openbaar of zeer verouderd'. "De gelekte gegevens zijn de naam, het adres en het rijksregisternummer van het gezinshoofd. Andere gegevens zoals identiteitskaartnummers, wachtwoorden, inloggegevens, rekeningnummers of bankkaartnummers zitten niet in de gekopieerde bestanden", schrijft Limburg.net. De organisatie zegt dat uit het onderzoek gebleken is dat de hackers niet verder zijn doorgedrongen tot de kernsystemen.

De afvalbeheermaatschappij vraagt getroffenen wel om alert te zijn op verdachte situaties. Zo kan het rijksregisternummer worden gebruikt voor identiteitsfraude. Limburg.net zegt dat het de Gegevensbeschermingsautoriteit, de Vlaamse Toezichtscommissie en de politie al op de hoogte heeft gebracht van de hack.

Medusa Limburg.net — De teller op de site van Medusa

IT-banen

Reacties (127)

mrtl 19 januari 2024 13:38

Kun je Limburg.net verantwoordelijk houden voor het niet betalen van deze ransom? Te cheap om je gegevens te beschermen. Het is maar 100.000 euro, betalen en leren van je fouten.

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@mrtl • 19 januari 2024 13:40

Te cheap om je gegevens te beschermen.

Dat is wel heel kort door de bocht. Al langere tijd wordt door diverse partijen waaronder de politie geadviseerd niet te betalen. Het idee hierachter is dat je met betalen de malafide business in stand houdt.

Daarbij biedt betalen geen enkele garantie dat de gegevens toch niet worden gepubliceerd / verkocht (nu of in de toekomst).

[Reactie gewijzigd door Bor op 23 juli 2024 00:28]

HADES2001 @Bor • 19 januari 2024 14:08

klopt maar het is een kosten/baten rekensom. 100.000 is niet veel als je daarmee het lekken van de data voorkomt. Menig bedrijf van die omvang zal het betalen en de imago schade voorkomen. Hackers weten die ook dondersgoed

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@HADES2001 • 19 januari 2024 14:09

100.000 is niet veel als je daarmee het lekken van de data voorkomt.

Het hele punt is dat je niet weet of je met betalen het lekken voorkomt. Er zijn helaas voorbeelden waarbij er na betaling alsnog over werd gegaan tot publicatie of verkoop. Vergeet niet dat je in essentie met criminelen te maken hebt. Die zijn doorgaans wat minder betrouwbaar.

Renoir @Bor • 20 januari 2024 09:59

Ik heb, denk hier op tweakers, wel eens de analyse gelezen dat de criminelen er juist baat bij hebben netjes met je gegevens om te gaan als je betaald. Wanneer je dan wel lekt, stort namelijk hun hele businessmodel in elkaar. Bij een volgende hack zal de gedupeerde dan namelijk minder geneigd zijn te betalen.

Dimmu Borgir @Renoir • 20 januari 2024 17:06

Wanneer je niet betaalt is het ook niet leuk voor hun businessmodel.

Renoir @Dimmu Borgir • 20 januari 2024 17:20

Wel als je daarna inderdaad de gegevens publiceert. Want daarmee is de druk bij het volgende slachtoffer groter om toch te betalen.

Dimmu Borgir @Renoir • 20 januari 2024 19:54

Nu weten ze toch ook dat de gegevens van het vorige slachtoffer gepubliceerd werden én dat de eigen data ook gepubliceerd zullen worden. De druk mag dan al groter zijn dan is het signaal om niet te betalen nog sterker en mocht iedereen zo reageren kunnen ze op zoek naar een nieuw verdienmodel.

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@Renoir • 20 januari 2024 11:49

Dat geldt voor de meer professionele ransomware partijen inderdaad. De meer "hit and run" groeperingen gaan minder goed om met dit soort zaken helaas.

henk pieters @Bor • 20 januari 2024 09:47

Neen, het hele punt is dat wanneer je betaald, je de oorlogskas voor "the bad guys" steeds groter maakt. Daarnaast is de partij die je betaald niet de partij die enige garantie biedt op het vlak van integriteit. Sterker nog je weet zeker dat ze niet op de juiste manier omgaan met je data.

Wat wel zou werken is dat bedrijven verplicht zijn om data die niet nodig is z.s.m. te verwijderen zodat in het geval van een datalek er minimale schade is. Wanneer bedrijven dit niet ingeregeld hebben zou je ze vanuit de EU moeten kunnen beboeten. Het bezit van niet relevante persoonsgebonden informatie zou gewoon verboden moeten worden. Waarom heeft een bioscoop je geboortedatum nodig of waarom moet een internetprovider je geboortestad hebben?

Aldy @henk pieters • 20 januari 2024 14:58

Kijk, dat zou verboden moeten worden: niet relevante persoonsgegevens vragen, dan hoef je ze ook niet later te verwijderen.

Stpan @Aldy • 20 januari 2024 15:00

Is GDPR nou niet in het leven geroepen om 'niet-relevant' niet te mogen verwerken?

henk pieters @Stpan • 20 januari 2024 17:05

Nee hoor, dat is bedacht zodat je recht hebt om data te laten verwijderen en daar een rapport van te krijgen en het verplicht bedrijven te rapporteren. Verder mogen ze gewoon doorgaan met data verzamelen en die te lekken.

Sniels @henk pieters • 22 januari 2024 09:23

Euhm... nee hoor, de GDPR gaat vele malen verder dan alleen het 'recht om vergeten te worden' en het 'recht op inzage'.

Artikel 5 van de GDPR stelt (kort samengevat) de volgende principes:

Lawfulness, fairness and transparency — Processing must be lawful, fair, and transparent to the data subject.
Purpose limitation — You must process data for the legitimate purposes specified explicitly to the data subject when you collected it.
Data minimization — You should collect and process only as much data as absolutely necessary for the purposes specified.
Accuracy — You must keep personal data accurate and up to date.
Storage limitation — You may only store personally identifying data for as long as necessary for the specified purpose.
Integrity and confidentiality — Processing must be done in such a way as to ensure appropriate security, integrity, and confidentiality (e.g. by using encryption).
Accountability — The data controller is responsible for being able to demonstrate GDPR compliance with all of these principles.

https://gdpr.eu/what-is-gdpr/
https://gdpr.eu/article-5-how-to-process-personal-data/

henk pieters @Sniels • 22 januari 2024 17:57

ja mooi dat het er staat maar ondertussen is iedereen GDRP al weer vergeten. En het enige wat nog prettig is voor de burgers is dat je aanspraak kan maken op RTBF (als je geluk hebt) verder zijn er dagelijks datalekken met persoonsgegevens en gebeurt er helemaal niets. bedrijven hebben zich keurig ingedekt.

Sniels @henk pieters • 23 januari 2024 13:58

Dat jij persoonlijk geen vertrouwen in de naleving van een wet hebt, maakt het verhaal niet anders. De GDPR is en blijft (veel) meer dan wat je beweerde.

Overigens wordt er wel degelijk opgetreden tegen bedrijven die onrechmatig data verwerken. Wél rechtmatig verkregen data kan overigens 'gelekt' worden en ook daar kleven consequenties aan.

henk pieters @Aldy • 20 januari 2024 17:04

ik snap dat je zaken niet relevant vindt maar het kan best zijn dat een bioscoop de leeftijd nodig heeft om het aanbod te tonen. Echter wanneer een klant na 3 of 6 maanden geen gebruik meer maakt van de service heeft de data geen zin meer en is de data die er nog van de klant is juist een cost geworden ipv een waarde want hoe meer data er verloren gaat in een lek hoe meer het waard is en hoe meer er moet worden betaald.

Aldy @henk pieters • 20 januari 2024 20:10

Wat betreft de bioscoop kan ik nog inkomen, heb ik ook aan gedacht, maar waarom moet een internetprovider je geboorteplaats weten? Als het verboden wordt om irrelevante info te verzamelen, dan moet de 'verzamelaar' aantonen dat het relevant is en dan valt de internetprovider door de mand.

PomPomPom @Aldy • 22 januari 2024 12:34

Ik denk dat de Autoriteit Persoonsgegevens niet handhaaft op 'onnodige gegevens'.
Stel de bioscoop bewaart jouw aankoopgeschiedenis, betaalwijze en geboorteplaats en ze lekken deze data, dan krijgen ze niet een extra boete omdat ze onnodig geboorteplaats ook hadden geregistreerd.

Dus die manager die moet besluiten of het systeem aangepast moet worden om geen onnodige (of naders gezegd niet-te-verantwoorden) op te slaan, die ziet helemaal geen voordeel in het aanpassen van het systeem.

Aldy @PomPomPom • 22 januari 2024 14:09

Het bewaren van onnodige gegevens valt volgens mij wel degelijk onder AP: In het kort komt de Wet bescherming persoonsgegevens erop neer dat een organisatie slechts díe persoonsgegevens mag verwerken die voor de organisatie aantoonbaar noodzakelijk zijn en waar geen expliciet verbod voor bestaat.
Dat wil dus zeggen dat de bioscoop (maar in ons voorbeeld de internetprovider) de geboorteplaats niet mag bewaren, aangezien dit tegen de AVG is. Maar ook dat was niet eens onze stelling, eigenlijk ging het erover dat ze dit zelfs niet eens mogen vragen, aangezien dit ook nog eens discriminerend kan werken.

Edit: ter verduidelijking. Waar stond jouw wieg, en van je vader en van je moeder? Geen antwoord geven, gaat mij niets aan. Maar dit is wat ik bedoel met kans op discriminatie.

[Reactie gewijzigd door Aldy op 23 juli 2024 00:28]

Timmiejj @HADES2001 • 19 januari 2024 14:46

100.000 is heel veel ten opzichte van 0, want na dit data lek als iemand identiteitsfraude ondervind zal dat op het bordje van die persoon zelf komen, niet op dat van limburg.net

Ik denk dat het met imagoschade wel mee zal vallen. Het is een afvalbedrijf, niet echt een markt waarbij gemeenten maandelijks van afvalverwerker wisselen e.d. en de gewone burger heeft niks te kiezen over wie het afval ophaalt.

Imo ziet limburg.net het zo dat ze hierbij eigenlijk 0 schade lijden dus waarom zouden ze 100k droppen terwijl ze geen schade hebben.

JakkoFourEyes @HADES2001 • 19 januari 2024 16:17

Die imago schade is er toch al op het moment dat dit naar buiten komt.

MrFax @HADES2001 • 20 januari 2024 06:11

Als je de criminelen niks geeft, heeft ransomware ook geen nut meer. Stelen van data wel natuurlijk, want dat kunnen ze wel doorverkopen. Ik denk dat zodra wereldwijd ransomware betalen verboden wordt ransomware langzaam zal verdwijnen.

_Thanatos_ @Bor • 19 januari 2024 15:56

Daarbij biedt betalen geen enkele garantie dat de gegevens toch niet worden gepubliceerd / verkocht (nu of in de toekomst).

Precies, en het feit dat je ze laat winnen, en daarmee motiveert om ergens anders hetzelfde misselijke truukje uit te vreten. Je moet nooit onderhandelen met criminelen, en ze daarmee nooit die macht laten voelen.

The Zep Man

Privacy
België
Politiek en recht

@mrtl • 19 januari 2024 13:41

Kun je Limburg.net verantwoordelijk houden voor het niet betalen van deze ransom? Te cheap om je gegevens te beschermen. Het is maar 100.000 euro, betalen en leren van je fouten.

In die situatie dat die verantwoordelijk wordt gehouden laat die dat uiteindelijk door de klanten betalen. Het is niet alsof er concurrentie is. Ze hoeven dan dus niet te leren van hun fouten, want de klant betaalt de rekening toch wel.

Eigenlijk zou nooit betaald moeten worden om gegevensgijzeling te ontmoedigen ("zonde moeite, want ze betalen toch nooit").

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:28]

RIP-airco @mrtl • 19 januari 2024 13:42

Probleem is dat je met betalen van losgeld de criminaliteit financiert

wildhagen

Cybercrime
Politiek en recht
Privacy

@mrtl • 19 januari 2024 13:43

Betalen wil je niet, want daarmee beloon je dit soort acties. Dan kan je wachten op nog meer aanvallen, want he, ze betalen toch wel. Dan geef je een verkeerd signaal af.

Daarnaast is betalen niet eens een garantie dat de gegevens niet alsnog gepubliceerd worden, want ook dat gebeurt helaas met enige regelmaat: slachtoffer betaalt, maar toch wordt de boel gepubliceerd.

Gwaihir @mrtl • 19 januari 2024 13:49

Leren van je fouten, ja. Verantwoordelijk houden, ook prima.

Maar hoezo "te cheap"? Ik zie liever dat ze die 100k (en de rest van de verzekering die ze wellicht hebben) beschikbaar houden om degenen die identiteitsfraude ondervinden ruim te ondersteunen, dan om die criminelen te sponsoren.

mbbs1024 @Gwaihir • 20 januari 2024 14:33

Dat ondersteunen van degenen die last ondervinden van de fraude zal ook niet gebeuren.
Hoe kan je als burger immers bewijzen dat als iemand fraude pleegt met jouw gegevens, dat die fraude afkomstig is van een bepaalde hack ?

Gwaihir @mbbs1024 • 20 januari 2024 17:29

Die bewijslast zouden we 'ns om moeten draaien, net zoals bij consumentenkoop: raakt een product snel defect, dan moet de fabrikant bewijzen dat het aan de klant lag, niet andersom.

Toch ook nu al wel 'ns gelezen na het lekken van paspoortnummers, dat het vernieuwen van het paspoort vergoed werd.

Probleem bij zo'n preventieve aanpak: er is vast nog niet voorzien in het vernieuwen van een rijksregisternummer? Ook dat lijkt me niet meer van deze tijd. Vertrouwelijke gegevens kunnen lekken, dat is een feit. Dus zou vernieuwen altijd moeten kunnen.

DeTeraarist @mrtl • 19 januari 2024 13:56

Hee Hackers, aan de persoon waar ik op reageert valt goed te verdienen. Het is toch maar 100.000 euro, betaald ie zo. Als er dan betaald is hack je hem nog een keer en kun je weer innen.

D0ubleD0uble @mrtl • 19 januari 2024 13:57

Nee, ze doen hier het juiste. Ze maken een weloverwogen afweging en betalen niet eventjes een ton aan criminelen. Daarbij, dit is een organisatie die werkt in opdracht van de gemeenten. Die worden dus voornamelijk betaald vanuit belastinggelden. Dus eigenlijk zeg je daarmee tegen de slachtoffers "jullie draaien mooi op voor de schade."

Het zou bij wet verboden moeten zijn om losgeld te betalen bij dit soort taferelen.

Verwijderd @D0ubleD0uble • 19 januari 2024 17:02

Nee, ze doen hier het juiste. Ze maken een weloverwogen afweging en betalen niet eventjes een ton aan criminelen. Daarbij, dit is een organisatie die werkt in opdracht van de gemeenten. Die worden dus voornamelijk betaald vanuit belastinggelden. Dus eigenlijk zeg je daarmee tegen de slachtoffers "jullie draaien mooi op voor de schade."

Het zou bij wet verboden moeten zijn om losgeld te betalen bij dit soort taferelen.

De burgers betalen dit door de afval factuur die in veel gemeentes rechtstreeks naar de burgers gaat.

MazDaMan1970 @mrtl • 19 januari 2024 14:02

Ik zou ze juist verantwoordelijk houden, als ze die 100K wel zouden betalen. Never nooit niet moet je afpersers betalen! Zo hou je nl. hun verdienmodel in stand.

nullbyte @mrtl • 19 januari 2024 16:30

Als niemand zou betalen dan zou deze cybercrime niet bestaan. Verantwoordelijk houden voor het niet betalen is geen optie net zoals strafbaar maken van wel betalen dat niet is.

phoenix2149 @mrtl • 19 januari 2024 16:54

Ik vindt dat je nimmer geld moet betalen aan criminelen. Punt uit. Losgeld betalen moet daarom eigenlijk gewoon illegaal zijn (wat het op dit moment niet is)

Een organisatie moet verantwoordelijk worden gehouden voor het veiligstellen van (klant) gegevens. Daar moet een flinke EVG boeten opgelegd worden (en verdelen over klantenbestand) EN schadevergoeding van eventuele schade die de klanten ervaren in de toekomst daardoor.

Dan zullen bedrijven misschien wel eens cybersecurity serieus nemen, want het is nu echt schering en inslag.

redzebrax @mrtl • 19 januari 2024 18:17

volgens Matthias Dobbelaere-Welvaert :
Met de komst van de nieuwe GDPR-regeling, is er een mogelijkheid om klacht neer te leggen om een schadevergoeding te eisen bij een datalek. “Het lek zelf is niet voldoende om een schadevergoeding te eisen. Je moet ook kunnen aantonen dat je schade hebt geleden. In dit geval is die schade wellicht aantoonbaar. Het lijkt me wel duidelijk dat hier zware fouten zijn gemaakt, maar bij de omzetting van de Europese GPDR-wetgeving is er in België beslist dat overheden geen boete kunnen krijgen omdat het anders een vestzak-broekzakoperatie wordt. In dit geval gaat het om een intercommunale dus zou het wellicht wel kunnen. In Nederland kreeg een student 300 euro toegekend van een rechtbank nadat zijn medische gegevens lekte na een hack bij zijn universiteit. In België zijn de boetes die worden uitgesproken nooit hoog. Het blijft meestal bij een waarschuwing.”
Wat verdere details :
Het gaat voornamelijk om documenten van voor de fusie van de 3 intercommunales (2005). Hackers zijn erin geslaagd om persoonsgegevens te kopiëren uit 2014 en 2015. Het betreft adresgegevens met het rijksregisternummer van het gezinshoofd van 311.000 personen die op 1 januari 2014 en/of 1 januari 2015 als gezinshoofd stonden ingeschreven in de volgende gemeenten: Alken, Beringen, Bocholt, Borgloon, Bree, Diepenbeek, Diest, Genk, Halen, Ham, Hamont-Achel, Hasselt, Hechtel-Eksel, Heers, Herk-de-Stad, Heusden-Zolder, Hoeselt, Houthalen-Helchteren, Kinrooi, Kortessem, Leopoldsburg, Lommel, Lummen, Maaseik, Maasmechelen, Meeuwen-Gruitrode, Neerpelt, Nieuwerkerken, Overpelt, Peer, Riemst, Sint -Truiden, Tessenderlo, Tongeren, Zonhoven.
Dus bijlange na niet alle die nu bij Limburg.net zitten, kijk even na vooraleer je een klacht indient. Ik zit bij Limburg.net maar niet in die tijd bij die gemeeentes
nog volgens Matthias,
“Als jouw rijksregisternummer in handen is gevallen van cybercriminelen, vraag je best een nieuw aan,” zegt Dobbelaere-Welvaert. “Dat is een hele logge procedure, maar die rijksregisternummers laten rondslingeren op het Dark Web voor criminelen is ook geen optie. De overheid zou hiervoor een eenvoudige procedure kunnen uitwerken bij datalekken van deze omvang en zelf alles bekostigen. Maar goed, voor het veranderen van 311.000 rijksregisternummers zijn we nog niet klaar, vrees ik.”

[Reactie gewijzigd door redzebrax op 23 juli 2024 00:28]

MonoKid @mrtl • 19 januari 2024 22:27

Als Vlaams Limburger zeg ik: fok dat lawaai, dan mogen ze mijn data publiceren. Geen cent voor die lapzwansen.

flaskk @mrtl • 19 januari 2024 13:43

Gewoon niet betalen, en als Europa moeten we keertje de landen gaan aanpakken waarvandaan deze shit komt.

Laat bijvoorbeeld een Afrikaans land maar eens voelen dat ze heel veel fraudeurs gewoon hun gang laten gaan, boycotten die handel...

_Thanatos_ @flaskk • 19 januari 2024 15:59

Dat is een beetje kort door de bocht. Je kunt niet een heel land verantwoordelijk houden voor een paar rotte appels die daar toevallig vandaan komen. Boycotten gebeurt alleen op grote schaal, bijv bij terroristische en repressieve regimes, en dit is geen schaal die zich daaraan kan meten.

flaskk @_Thanatos_ • 19 januari 2024 16:43

Nee maar als bewust een gedoogd beleid wordt gevoerd door een bepaalde overheid mag deze ook gestraft worden. Het klinkt een beetje gek maar het geld wat ze stelen en dat is hoop komt weer terecht in de economie van dat bepaalde land.

Sietse Vliegen @flaskk • 20 januari 2024 00:49

Wie straf je daar dan mee? De hackers? Nee. De overheid van dat land? Ook niet. Hooguit de bevolking. En welke handel wil jij boycotten? Je ziet dat dat met Rusland al moeilijk genoeg is.

catfish @_Thanatos_ • 19 januari 2024 16:23

Veel spam en hackpogingen komen vanuit landen met een minder ideaal regime.
Ik weet dat het volledig tegen de regels van het internet ingaat, maar misschien moet je de toegang wat aan banden leggen.

mjz2cool @flaskk • 19 januari 2024 17:15

En welke landen moeten ze dan aanpakken? Ze komen overal vandaan, ook in Nederland zitten ze vast en zeker. Bedrijven moeten stoppen met betalen, dan levert dit ook niks meer op.

Timmiejj @flaskk • 19 januari 2024 14:48

1. Welke Afrikaans land?
2. Wat ga je boycotten?

mrmrmr @flaskk • 20 januari 2024 10:17

Rusland, Oekraine en andere Russisch sprekende staten hebben relatief veel internetcriminelen. Er is bij deze "Medusa" aanvallers ook een sterke link met Rusland.

Een land is verantwoordelijk te stellen als ze er niets aan doen, aanmoedigen of toestaan. Het kan zo'n land goed uitkomen dat de "vijand" wordt bestolen, vooral als die juist sancties (om andere redenen) hebben ingesteld. Het komt zulke autoritaire staten wel goed uit.

Noord-Korea is een land waar ransomware en andere criminaliteit als bedrijfsmodel wordt gebruikt.

Criminelen uit Afrikaanse landen zoals Nigeria zijn van oudsher actief met oplichtingspraktijken, deze aanvallen staan bekend onder de naam van de lokale wetgeving die dat verbied: '419' advance fee scam.

Verwijderd @mrtl • 19 januari 2024 15:40

Kun je Limburg.net verantwoordelijk houden voor het niet betalen van deze ransom? Te cheap om je gegevens te beschermen. Het is maar 100.000 euro, betalen en leren van je fouten.

We kunnen Limburg.net verantwoordelijk houden voor dit datalek, hopelijk heeft er iemand de ballen en het geld om alle verantwoordelijken te dagvaarden.

Manderlay1 @Verwijderd • 19 januari 2024 18:25

Idd!! Want ik vond dat men deze morgen er zeer lichtjes over gingen. Dat het al oude data is enzovoort... Zeer relativerend over de zaak. Terwijl ze wel adressen, rijksregisternummer en namen hebben buitgemaakt = alles.

Waarom moeten ze dit allemaal hebben?
Waarom heeft een containerpark het rijksregisternummer nodig?
Waarom slaan ze deze gegevens op?
Waarom houden ze dit zo lang bij?
Waarom werd de data niet gewist als het toch oude data is?
Waar moet men akkoord gaan dat men deze data jaren mag bijhouden?

Nog maar eens een bewijs van slecht beleid en bestuur in Vlaanderen. Moest ik bij de slachtoffers zitten zou ik ze aanklagen.
1) verantwoordelijk stellen voor het lek
2)'omzichtig omspringen met privé gegevens
3) te lang bijhouden van data en vooral de hoeveelheid dat men bijhoudt.

redzebrax @Manderlay1 • 19 januari 2024 20:06

Dit is geen bestuur van Vlaanderen, het zijn privé samenwerkingen/uitbestedingen van gemeenten onder de vorm van een cooperative vennootschap (moest het een overheid zijn, zou die ook trouwens geen boete hiervoor kunnen krijgen in België) . Een coöperatieve kan je evenwel wel terecht aanklagen en daar bestaat wetgeving voor, de vraag is natuurlijk is het sop de kolen waard.
Een individuele aanklacht lijkt me moeilijk, maar misschien via een groep.

[Reactie gewijzigd door redzebrax op 23 juli 2024 00:28]

Manderlay1 @redzebrax • 19 januari 2024 22:11

Volgens mij is limburg.net een intercommunale = bestuurd door de Vlaamse overheid.

https://www.vlaanderen.be...erenigingen-van-gemeenten

Sietse Vliegen @Manderlay1 • 20 januari 2024 00:45

Wettelijke bewaartermijn is 7 jaar met het advies om 10 jaar aan te houden. Daarom moeten ze gegevens dus zo lang bewaren, of jij dat nou leuk vind of niet. Jouw akkoord is ook niet nodig, het feit dat je klant bent is voldoende. Deze wetgeving is in NL en B vergelijkbaar,

Afgezien daarvan moeten ze hun beveiliging natuurlijk wel op orde hebben. Maar welk bedrijf heeft dat echt 100% voor elkaar?

Manderlay1 @Sietse Vliegen • 20 januari 2024 01:05

Het feit dat je nergens anders heen kunt met je afval maakt het wel moeilijk om geen klant te zijn.

Waarom heeft een containerpark mijn rijksregisternummer nodig?
Is een adres en naam niet voldoende?
Andere winkels/diensten hebben mijn rijksregisternummer ook niet nodig tenzij expliciet gevraagd.

lenwar

Privacy
Politiek en recht

@Manderlay1 • 20 januari 2024 07:48

Omdat ze een heffing/dynamisch factuur naar iemand moeten kunnen sturen?

Wat ik zo las op de site is dat je een quotum hebt, op hoeveel afval je per jaar mag aanbieden. Daarboven moet je bijbetalen en krijg je een heffing en een factuur.

Dat moet naar een persoon. Niet naar een adres. Stel dat je met een groep mensen ergens woont en de hoofdbewoner vertrekt. Succes met het vinden/verantwoordelijk houden van die persoon als die er niet meer woont.

Manderlay1 @lenwar • 20 januari 2024 09:10

Als men afval aanbiedt weet men onmiddellijk wie er extra moet betalen en een heffing moet krijgen. Je kunt pas buiten eenmaal alles is betaald. Dus niet nodig hiervoor.

Daarbij als de persoon vertrekt en zich nergens opnieuw inschrijft vind je de persoon ook niet terug.

lenwar

Privacy
Politiek en recht

@Manderlay1 • 20 januari 2024 10:00

https://www.limburg.net/i...ar-vanaf-12-februari-2024

Je krijgt neem ik aan achteraf een factuur aan het einde van het jaar? (Dus met alle extra kilo’s/ophaal-sessies). Of krijg je bij iedere extra lediging een klein faktuur en je mag pas nog een keer wanneer je die betaald hebt?
Dat lijkt me een hele rotte administratie, dat foutgevoelig is (dus dat de ophalers niet per se altijd de laatste/juiste info hebben, met allerlei agressie van dien). Maar goed. Het kan een keus zijn.

Als je zoiets wil kunnen doen moet je, lijkt mij, dat wel aan een persoon kunnen koppelen en niet alleen aan een adres.

Waar ik woon, gaat het helemaal anders. Hier betalen we een vaste heffing aan de gemeente die dat uitgeeft aan het bedrijf dat het ophaalt.

De ophaaldienst weet niet ‘wie’ ik ben. Ze weten alleen dat mijn adres toegang heeft tot bepaalde wijkcontainers en tot de werf/milieustraat.
Ik moet mijn afvalpas ook achterlaten als ik zou verhuizen. De pas hoort bij de woning. Niet bij mij persoonlijk.

Hoe beter we met z’n allen afval scheiden, hoe goedkoper het wordt.

Manderlay1 @lenwar • 20 januari 2024 13:42

Dus een slecht systeem, het kan in andere provincies op een andere manier.

Hier in het containerpark betalen voordat je het verlaat. Nooit facturen ofzo nodig, gewoon een geldautomaat. Is nog minder administratie!

Ophaling is in vuilzakken. Dus ook geen rijksregisternummer nodig.

Ik vind nog altijd dat men teveel gegevens vraagt en die gegevens blijkbaar niet goed beschermen. Ook het minimaliseren van het datalek is niet correct zoals de woordvoerder van limburg.net deed.

Manderlay1 @lenwar • 22 januari 2024 19:10

https://www.vrt.be/vrtnws/nl/2024/01/22/limburg-hack/

Blijkbaar hadden ze daar wel heel veel informatie voor een containerpark

lenwar

Privacy
Politiek en recht

@Manderlay1 • 22 januari 2024 19:29

Euh?
Daar is dan wel wat heel vreemds aan de hand. Ik zou echt geen reden kunnen bedenken waarom dergelijke documenten in bezit zouden zijn van een afvalverwerker… of doen ze meer dan dat??

Schuldaflossing naar het bedrijf zelf zou nog kunnen. Maar het artikel suggereert wel wat meer dan dat…

Raar verhaal

Alfa1970 @mrtl • 19 januari 2024 13:53

Kun je een organisatie verantwoordelijk houden voor een diefstal van zijn eigendom door een derde?
(Vooropgesteld dat er redelijkerwijze voldoende maatregelen zijn genomen om dit te voorkomen).
Kun je een organisatie verantwoordelijk houden voor het niet willen onderhandelen met criminelen/terroristen?
Ik denk van niet.
Het is zelfs mogelijk dat Limburg.net wettelijk gebonden is om niet te onderhandelen.

Het is niet zo dat het gaat om een fysiek uniek goed dat niet vermenigvuldigd kan worden.
Dit is afpersing, en je stelt je open voor langdurige afpersing als je op dit aanbod ingaat.

Daarnaast, zoals in het artikel gemeld zijn de gegevens niet verschrikkelijk geheim en
al redelijk verouderd, dat zal mede de reden zijn waarom het bedrag niet al te hoog is.

Polderviking

@mrtl • 19 januari 2024 14:12

Welk probleem los je daarmee op?

Drwho1

@mrtl • 19 januari 2024 14:23

Het is een intercommunale. Limburg.net draait hoofdzakelijk op gelden ontvangen van de aangesloten gemeenten. Die halen op hun beurt belastingen op bij de inwoners.

Dus als ze zouden betalen dan betalen wij, de slachtoffers, onrechtstreeks de rekening.

Ik ben zelf getroffen partij aangezien mijn woonplaats deel uitmaakt van de buitgemaakte gegevens.

Guru Evi @Drwho1 • 20 januari 2024 03:58

En dit vind ik nu een van de grote problemen - onze overheden hebben geen enkele reden om die data te verzamelen.

Als je als zelfstandige toevallig een foutje maakt en een dag te lang gegevens bewaart legt de AVG een zware boete op terwijl ze zelf nog niet eens 2FA op hun eigen Twitter account hebben. En als zij een fout maken wordt niemand ontslaan, geen enkele regeringsdienst die wordt uit het budget gewist, geen enkele minister of burgemeester die zijn ambt opgeeft, ze geven gewoon meer geld uit die ze via de belasting ophalen.

Vuilnis ophalen kan privaat gedaan worden met niets meer dan mijn adres en een betaalkaart. En als ze mijn klantgegevens verliezen kunnen ze aansprakelijkheid verwachten, en als ze daarom de prijs omhoog moeten schroeven verliezen ze de klant aan concurrenten.

Tec7lol @mrtl • 19 januari 2024 15:08

Ik vind dat je gelijk hebt en ik hoop dat indien de gegevens effectief naar buiten gaan er rechtzaken van voort komen. Men moet de gegevens maar beter beschermen.

Sietse Vliegen @Tec7lol • 20 januari 2024 00:46

Nee, ze moeten die hackers oppakken. Ga je een fysieke winkel aanklagen als daar ingebroken wordt en de computer gejat wordt?

Tec7lol @Sietse Vliegen • 20 januari 2024 00:53

ja, maar daarmee is het probleem natuurlijk niet opgelost, want er staan nog x-duizenden andere in de rij. Je moet deze attacks zien als regen, zonder paraplu wordt je nat en hoe groter je paraplu, hoe droger je blijft.

Sietse Vliegen @Tec7lol • 22 januari 2024 17:59

Als we meer hackers oppakken en flink straffen, wordt die rij korter en wordt hacken een stuk minder aantrekkelijk.

Telkens als we losgeld te betalen komen er steeds meer van die ratten. Als we de winkel straffen helpt dat helemaal niemand. Analoog aan jouw woorden: pas als we iedereen (=vele miljoenen bedrijven) gedwongen hebben om een paraplu te kopen, wordt er niemand meer nat.

Guru Evi @Sietse Vliegen • 20 januari 2024 04:06

Nee, maar je kan een winkel wel aanklagen als ze weten dat ze dingen doen (vb. producten te hoog stapelen) waar ze weten dat mensen gewond kunnen raken, zelfs al is de oorzaak van jouw letsel een dief is die de boel omverduwt, kan de winkel deels of volledig de schuld dragen.

De hackers oppakken is niet zo makkelijk, een degelijke ITer binnenbrengen wel.

MrSnowflake @mrtl • 19 januari 2024 15:29

Limburg net kan wel zeggen we betalen niet. Maar het zijn hun gegevens dan ook niet. Het zijn de persoonsgegevens van mijn familie. En als je in een limburg.net gemeente woont is er geen alternatief.

_Thanatos_ @mrtl • 19 januari 2024 15:50

Kun je de ouders van een ontvoerd kind verantwoordelijk houden voor het niet betalen van het losgeld in ruil voor het leven van het kind?

Wat jij feitelijk doet, is van de slachtoffers de dader maken.

Webgnome @mrtl • 19 januari 2024 20:41

'maar' ?

svennd @mrtl • 20 januari 2024 10:15

mss moeten ze die 100k maar investeren in beveiliging en de schade die ze hierdoor veroorzaken vij de burger gaan terug betalen.
Het probleem bij dit soort toestanden is, enkel de klant verliest, de bedrijven/'dienstverlener' raken er steeds mee weg en de hackers zijn niet vatbaar.

lovly_1 @mrtl • 20 januari 2024 11:33

En dan? Deze som vervolgens weer door te laten rekenen in de te betalen bijdrage?
Klanten zelf zouden limburg.net verantwoordelijk moeten houden voor het niet veilig houden van hun data en vervolgens een schade bedrag claimen.
Een eventuele boete wordt aan een bedrijf opgelegd en daarvan komt niets, maar dan ook niets bij de gedupeerden terecht. En dan is gewoon fout.

mbbs1024 @lovly_1 • 20 januari 2024 15:38

Een schadeclaim kan je maar indienen als je ook effectief schade hebt.
Hoe ga je bewijzen dat als je het slachtoffer bent van identiteitsfraude, dat de oorzaak daarvan ligt bij de hack van limburg.net ?

Dimmu Borgir @mrtl • 20 januari 2024 17:04

Tot je betaalt en de gegevens toch nog online verschijnen... Mooi dat ze niet mee gaan in deze afpersing.

Single_Core @mrtl • 20 januari 2024 22:36

Nooit betalen, er is geen garantie dat deze alsnog niet op straat belanden. (Al is het binnen 2 jaar)
Als er blijft betaald worden dan zal dit blijven gebeuren ...

Awesomo4k @mrtl • 21 januari 2024 13:45

Nog geen bericht van datalek ontvangen... Ook wel apart, niet?

MrXzombie @mrtl • 19 januari 2024 13:42

Kun je Limburg.net verantwoordelijk houden voor het niet betalen van deze ransom? Te cheap om je gegevens te beschermen. Het is maar 100.000 euro, betalen en leren van je fouten.

En dan? Een maand later willen ze nog meer geld …

Gewoon vol inzetten om die puistenkoppen die dit doen voor het gerecht te krijgen, je gaat ze toch niet belonen?

uiltje @Timmiejj • 20 januari 2024 12:29

Mwah, ik zie regelmatig dat er weer een professionele hackbeweging wordt verwacht en blijkt er ergens zo'n jonge hacker of scriptkiddie bezig te zijn. Het maken van een volledig beveiligd systeem is veel lastiger dan het lijkt en gaatjes zijn bijna altijd wel te vinden. Als je dat niet van mij geloofd (25 jaar helpen beveiligen) vraag het dan eens aan een pen-tester. Er is wel professionalisering bezig, maar de kans dat je een "puistenkop" treft is nog steeds groot - eventueel ivm een crimineel circuit natuurlijk.

Geim 19 januari 2024 13:39

Hoe is "al openbaar of zeer verouderd" te rijmen met identiteitsfraude?

BlaDeKke @Geim • 19 januari 2024 13:40

Dit vind ik ook een rare. Je naam en rijksregister nummer verouderd niet.

Waarom is die data er nog als ze verouderd is? Ze geven te kennen er weinig aan te hebben. Maar ze houden het bij voor moest een hacker toch interesse hebben?

[Reactie gewijzigd door BlaDeKke op 23 juli 2024 00:28]

Blokker_1999

België
Politiek en recht
Hack
Privacy

@BlaDeKke • 19 januari 2024 14:49

En dat rijksregisternummer is uiteindelijk zelfs een bijzonder persoonsgegeven net omdat het elke burger woonachtig in Belgie uniek kan identificeren bij de overheid. Je mag het in principe ook niet zomaar delen met bijv. bedrijven omdat het om een gevoelig nummer gaat. En dan zeggen dat het uitlekken ervan geen kwaad kan is eigenlijk zeer ernstig.

F.U.B.A.R @Blokker_1999 • 19 januari 2024 15:03

Op maandag publiceerde VRT NWS nog het artikel Wat is je rijksregisternummer? En waarom moet je daar zo voorzichtig mee zijn?

En amper vier dagen later minimaliseren ze inderdaad dat gevaar.

Tusk @Blokker_1999 • 19 januari 2024 15:32

maar wat moet een afvalverwerker met dat nummer in de eerste plaats? En waar is door de burger toestemming gegeven om dit te delen met deze partij?

Verwijderd @Blokker_1999 • 19 januari 2024 15:39

En dat rijksregisternummer is uiteindelijk zelfs een bijzonder persoonsgegeven net omdat het elke burger woonachtig in Belgie uniek kan identificeren bij de overheid. Je mag het in principe ook niet zomaar delen met bijv. bedrijven omdat het om een gevoelig nummer gaat. En dan zeggen dat het uitlekken ervan geen kwaad kan is eigenlijk zeer ernstig.

"Je mag het in principe niet zomaar delen met bedrijven omdat het een gevoelig nummer gaat".
Als je om een bijv. telefoonabonnement gaat kun je niet anders dan je eID kaart met rijksregisternummer afgeven, die dan gescand word.
Het is nog maar de vraag of het rechtmatig is dat limburg.net de beschikking heeft over rijksregisternummers.

mbbs1024 @Verwijderd • 20 januari 2024 15:43

Ik woon niet in Limburg, maar in mijn streek wordt ook je id kaart uitgelezen als je gebruik maakt van het recyclagepark om er vuilnis te gaan dumpen.

Op die manier wordt de toegang tot het gemeentelijke recyclagepark beperkt tot de inwoners van de gemeente, zodat gemeenten die bvb iets goedkopere tarieven hebben dan een nabijgelegen gemeente, niet moeten opdraaien voor de verwerkingskosten van niet inwoners.

Ook wordt er een gedifferentiëerde aanrekening van kosten toegepast, per jaar is de eerste fractie gratis, tot aan een bepaald volume betaal je een beperkt bedrag, en boven een bepaald volume betaal je een hogere verwerkingskost.
En dat wordt in een database bijgehouden, zodat men je correct kan faktureren.

[Reactie gewijzigd door mbbs1024 op 23 juli 2024 00:28]

Byron010 @BlaDeKke • 19 januari 2024 14:01

Ik weet niet hoe dat in Belgie is, maar in Nederland hebben bedrijven (ook ZZPers) een bewaarplicht van 7-10 jaar voor financiele administratie bijvoorbeeld.

Hoe lang moet u uw administratie bewaren voor de btw: 7 of 10 jaar?

U bent verplicht uw administratie 7 jaar te bewaren. Gegevens over onroerende zaken en rechten op onroerende zaken moet u 10 jaar bewaren.

Voor het bepalen van de start van de bewaartermijn gebruikt u de actuele waarde van een gegeven. Zolang gegevens actueel blijven, horen zij bij de administratie. Vervalt de actualiteitswaarde? Dan begint de bewaartermijn. Bijvoorbeeld: een leasecontract dat 4 jaar loopt, bewaart u gedurende deze periode van 4 jaar in uw administratie. Pas na deze periode begint de bewaartermijn van 7 jaar.

https://www.belastingdien...en/administratie_bewaren/

thutex @BlaDeKke • 19 januari 2024 15:02

nog een leukere: is het niet wettelijk verplicht om data te verwijderen zodra deze "verouderd" is?
dus als ze zelf zeggen dat die verouderd is, dan zeggen ze letterlijk ook dat ze de GDPR niet gerespecteerd hebben...

en zoals al gezegd... naam en RRN zijn zaken die niet "verouderen" en tesamen met adresgegevens wel eens makkelijk zouden kunnen zorgen voor verdere informatie en/of identiteitsfraude.

maar er zal waarschijnlijk weer geen enkele "gewone mens" zijn die dit gaat aankaarten en limburgnet zal aanklagen voor die schendingen... nee, we gaan ons gewoon weer erbij neerleggen as usual

Bor Coördinator Frontpage Admins / FP Powermod

Cybercrime

@Geim • 19 januari 2024 13:42

Al openbaar op zeer verouderd zegt in basis niets over de inhoud van de informatie zelf. Sommige informatie is misschien openbaar maar zou dat niet moeten zijn of verouderd niet tot nauwelijks. Een rijksregisternummer is vergelijkbaar met een Burger Service Nummer hier. Beide verouderen niet.

[Reactie gewijzigd door Bor op 23 juli 2024 00:28]

driekske @Bor • 19 januari 2024 14:00

'hier' is relatief. maak het absoluut.

FicoF @Geim • 19 januari 2024 14:07

En waarom stond het dan nog op de server?

qless 19 januari 2024 13:41

En welke grondslag hadden ze om rijksregisternummer te moeten vastleggen? Dit mag niet zomaar en is iets wat je niet op straat wil hebben slingeren!

Twilkie @qless • 19 januari 2024 13:46

Bij het inrijden van een containerpark van Limburg.net moet je jouw EID insteken.
Zover ik weet mag je dan inrijden of niet, afhankelijk van je woonplaats en het containerpark waar je dit probeert.

Verwijderd @Twilkie • 20 januari 2024 20:44

Om iets realtime te controleren moet de data toch niet opgeslaan blijven staan .. en zeker niet zo lang.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:28]

J_van_Ekris @qless • 19 januari 2024 13:45

En welke grondslag hadden ze om rijksregisternummer te moeten vastleggen? Dit mag niet zomaar en is iets wat je niet op straat wil hebben slingeren!

Even voor een niet-Belg. Wat is een rijksregisternummer en wat kan een buitenstaander er mee?

qless @J_van_Ekris • 19 januari 2024 13:46

SoFi nummer. Er zit oa een deel van je geboortedatum in.

[Reactie gewijzigd door qless op 23 juli 2024 00:28]

Verwijderd @qless • 19 januari 2024 13:59

De eerste 6 cijfers zijn je geboortedatum, de volgende 3 cijfers is een teller van de hoeveelste die dag geboren (even is vrouw, oneven is man) en de laatste 2 cijfers is een controle getal.

Guru Evi @Verwijderd • 20 januari 2024 04:08

Dus kun je redelijk gemakkelijk zo’n nummer genereren en bijna altijd een geldig nummer vasthebben. Het zou crimineel achterlijk zijn dat ooit maar iemand zoiets als identiteit te gebruiken.

040302102xx is bijna gegarandeerd geldig, zolang je weet hoe het controle getal uitgerekend moet worden. Wat gebeurt er als er meer dan 1000 mensen geboren worden per dag en 6 nummers voor datum, we gaan binnen enkele jaren botsen met reeds bestaande nummers.

[Reactie gewijzigd door Guru Evi op 23 juli 2024 00:28]

Geim @Verwijderd • 19 januari 2024 14:16

Vrijwel gelijk aan het militaire registratienummer in Nederland (yymmddxyz)

nullbyte @qless • 19 januari 2024 16:33

Sofi nummers bestaan al 10 jaar niet meer. Dat wil zeggen, de nummers wel, de naam niet.

wildhagen

Cybercrime
Politiek en recht
Privacy

@J_van_Ekris • 19 januari 2024 13:47

Het Rijksregisternummer is een uniek identificatienummer toegekend aan natuurlijke personen ingeschreven in België. Iedere burger met ofwel een Belgisch identiteitsdocument ofwel een Belgisch verblijfsdocument heeft zo'n nummer.

Zie https://nl.wikipedia.org/wiki/Rijksregisternummer

Het is dus de Belgische variant van ons BSN (Burgerservicenummer, vroeger SoFi-nummer geheten): https://nl.wikipedia.org/wiki/Burgerservicenummer

Coach4All @J_van_Ekris • 19 januari 2024 13:46

Je belgische SoFi / BSN....

azerty

@J_van_Ekris • 19 januari 2024 13:53

Vergelijkbaar met een BSSN; het rijksregisternummer is een unieke identificatiecode voor Belgen en bestaat uit je geboortedatum en nog 5 cijfers

cricque @qless • 19 januari 2024 13:52

Voor de administratie, ze weten je wel te vinden bij niet betaling.

iqcgubon 19 januari 2024 14:26

De data stamt uit 2014 en 2015 en is volgens de organisatie 'al openbaar of zeer verouderd'. "De gelekte gegevens zijn de naam, het adres en het rijksregisternummer van het gezinshoofd

Deze reactie is gewoon te belachelijk voor woorden. Een rijksregisternummer heb je voor het leven en letterlijk nog geen week geleden postte VRT dit artikel: https://www.vrt.be/vrtnws...m-moet-je-daar-zo-voorzi/

Pure waanzin hoe hard ze dit proberen te minimaliseren.

imp4ct

19 januari 2024 18:50

Op de site van VRT kan je een reactie zien van iemand van Limburg.ner. Die even droog zegt, het zijn “enkel” maar de naam, voornaam en rijksregister nummer… geen adres of financiële gegevens.

Iets zoals het rijksregister nummer is voldoende om echt enorm veel zaken te regelen en het mag door organisaties niet zomaar opgeslagen worden. Ik snap niet dat de overheid bedrijven niet verplicht van jaarlijks bepaalde security audits te laten uitvoeren wanneer ze privacy gevoelige data als dit bijhouden.

Mayonaise 19 januari 2024 22:13

Ik ga een van de slachtoffers worden.

En dan durven ze te zeggen dat het niet zo erg is.

Ik ga een GDPR klacht indienen, zij hebben mij nooit gevraagd om mijn rijksregisternummer te mogen opslaan.

telenut @Mayonaise • 20 januari 2024 10:15

Hoe kunnen ze anders weten dat jij het milieupark bezocht, en daar woont?

Verwijderd @telenut • 20 januari 2024 20:43

Ze controleren dat telkens je binnenrijdt adv je paspoort/idcard. Er is geen enkele reden om de data ook op te slaan, temeer daar er inderdaad geen toestemming is gevraagd.

telenut @Verwijderd • 20 januari 2024 20:48

ze moeten bijhouden hoeveel keer je kwam en wanneer en waarmee. Want er zijn limieten op hoeveel kg van afval x dat je mag binnen brengen.
Hier staat al wat info: https://www.imog.be/privacy/

Lt.Mitchell 19 januari 2024 13:42

Halucinant hoe men zijn eigen leugens kan geloven...
uit het oorspronkelijke artikel:

Onze beveiliging heeft grotendeels stand gehouden, maar we hebben intussen natuurlijk extra maatregelen genomen

Volgens experten zijn de hackers weinig met deze gegevens

Juist, want het is niet dat je enkel met naam & rijksregisternummer een nieuwe bankrekening kan openen om nog maar te zwijgen van heel geloofwaardige phisingsmails te bouwen...

En politie & gerecht... die stonden erbij en keken ernaar... Of nee, die zijn te druk bezig met de journalisten van factcheckers te vervolgen wegens "digitale valse bommelding"

-Vasa- @Lt.Mitchell • 19 januari 2024 13:55

Een IT-infrastructuur is niet één dingetje, maar bestaat uit vele verschillende onderdelen die niet allemaal hetzelfde niveau van beveiliging hebben. In een perfecte wereld kan je alles mitigeren en aanpassen op een manier dat alle risico's weg zijn natuurlijk.

In dit geval zou ik die statement interpreteren als: "99% van alle andere toestellen was niet kwetsbaar of bereikbaar voor die aanval, enkel die oudere machines die nog op een oud OS draaien waar niet alle features van ons security pakket op werkte, zijn dus beschikbaar geweest. Gelukkig stonden ze in een geïsoleerde VLAN."

Ik kan mij op het werk immers ook wel zo wat toestellen voorstellen, en je wilt die natuurlijk ofwel upgraden of weg, maar uiteindelijk beslist de business wat er gebeurt, en als er geen alternatief is voor hoe die toestellen zijn ingesteld maar je wel die data nog zou moeten bijhouden, mag je nog heel hard staan zwaaien met best practices en audits die hiervoor waarschuwen, er zal niets veranderen.

Lt.Mitchell @-Vasa- • 19 januari 2024 14:04

True, maar als je 311.000 naam + voornaam + rijksregister combinaties kwijt bent geraakt heb je gewoon gefaald en zijn er geen excuses in te roepen. In plaats van zich te schamen zegt men eigenlijk, "goh, het is eigenlijk zo erg niet hoor"

-Vasa- @Lt.Mitchell • 19 januari 2024 14:23

Dit soort aanvallen eindigt in het slechtste geval in een complete encryptie van alles waardoor de intercommunale niet meer zou kunnen functioneren en de afvalophaling in het gedrang komt. Natuurlijk is het slecht dat die gegevens gestolen zijn, maar hun dagdagelijke werking is niet beïnvloed, wat op zich een pak erger had geweest en onmiddelijke praktische gevolgen zou kunnen gehad hebben voor ieder van hun klanten.

Als je er in geïnteresseerd bent is het misschien interessant de volgende webinar eens te bekijken over andere instellingen waar dit wel praktische gevolgen had voor burgers: https://www.vvsg.be/kenni...-we-worden-gehackt-wat-nu kwestie van te vergelijken hoeveel verschil er kan zijn.

TheFoundation101 @Lt.Mitchell • 19 januari 2024 14:42

Een naam en een rijksregisternummer zijn allang niet meer voldoende om een bankrekening te openen of te sluiten. Je zal vandaag altijd ofwel in persoon naar een kantoor moeten, ofwel een vorm van sterke authenticatie moeten gebruiken - i.e. legitimeren met minstens itsme of identiteitskaart.

Buiten het feit dat je er een geslacht en geboortedatum uit kan afleiden, kan je tegenwoordig met enkel naam en rijksregisternummer niets meer doen dat echt grote gevolgen heeft. Een valse afspraak maken bij de tandarts lukt misschien nog, of een petitie ondertekenen. Ook niet leuk, maar nu niet wereldschokkend.

nullbyte @TheFoundation101 • 19 januari 2024 16:36

Het kan een sterk begin van een osint onderzoek zijn.

jfdaniels 19 januari 2024 14:49

Gewoon een wet stemmen en zeggen dat het vanaf nu illegaal is om deze sommen te betalen. Dan is het meteen gedaan met al dat hacken. Al het incentive weg. Best nog te doen op Europees niveau zodat het internationaal ook geweten is.

CrimInalA 19 januari 2024 15:31

Alle getroffenen een nieuwe rijksregisternummer bezorgen en gratis een naamsverandering toelaten is toch wel het minste wat deze overheidsinstelling nu kan doen .

Ik probeer zo dikwijls duidelijk te maken aan bedrijven dat het niet OK om overbodige gegevens zoals een rijksregisternummer op te slaan . Maar langs de andere kant nemen die bedrijven een voorbeeld aan de overheid .
Dweilen met de kraan open hoor .

Futoman 20 januari 2024 00:49

Mij lijkt het eerlijk gezegd niet waard om hiervoor 100 000 euro te betalen. Al helemaal niet voor gegevens die toch al openbaar staan. Beter die 100 000 euro stoppen in beter beveiliging voor de toekomst.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (127)

Sorteer op:

Weergave: