Hackers stelen gegevens van 33 miljoen Fransen bij betalingsverwerkers

De Franse betalingsbedrijven Viamedis en Almerys zijn gehackt. Bij die hack zijn de gegevens van 33 miljoen Fransen buitgemaakt. Het gaat onder meer om namen, geboortedata, burgerservicenummers en verzekeringsdetails.

Viamedis en Almerys regelen onder andere de betalingen van verzekeraars. De Franse privacywaakhond CNIL schrijft woensdag dat het eind januari door de bedrijven op de hoogte is gebracht van de hack. Eerder had Viamedis al een bericht over het datalek gedeeld op zijn LinkedIn-pagina. Details over de hack worden niet door de CNIL gedeeld. Daarnaast is nog niet bekend wie achter de aanval zit.

Wel zegt de toezichthouder dat er een onderzoek is gestart. Ook zijn er tot zover bekend geen bankgegevens, medische gegevens, adressen, telefoonnummers of e-mails gelekt. De CNIL benadrukt dat verzekeringsmaatschappijen die samenwerken met Viamedis en Almerys verplicht zijn om hun klanten op de hoogte te stellen van de hack. Verder vraagt de privacywaakhond aan getroffenen om de komende tijd extra alert te zijn op phishing.

IT-banen

Reacties (64)

nestview 9 februari 2024 07:35

Daarom ideal lekker houden zoals het nu is en geen account met weet ik wat voor gegevens bij een 3de partij.

lenwar

Economie en maatschappij

@nestview • 9 februari 2024 08:18

Er is (bijna) geen een webwinkel die zelf direct iDeal gebruikt (als ze er al zijn). Het gaat in (vrijwel) alle gevallen via een betalingsverwerker. (Mollie, Multisafepay, Ayden, Buckaroo, Cardgate, enz., enz.)

Veilig betalingsverkeer verwerken is extreem complex en duur in onderhoud. Zelfs partijen als bol.com en Coolblue gebruiken dus reguliere derde partijen.
Edit: bol.com doet het toch zelf 😊

IDeal is geen ‘payment service provider’. Het is een systeem waar een aantal banken met een Nederlandse banklicentie op zijn aangesloten.
Ik weet niet of er ook banken bij zijn aangesloten zonder Nederlandse banklicentie.

[Reactie gewijzigd door lenwar op 22 juli 2024 14:20]

nestview @lenwar • 9 februari 2024 08:23

Er is (bijna) geen een webwinkel die zelf direct iDeal gebruikt (als ze er al zijn). Het gaat in (vrijwel) alle gevallen via een betalingsverwerker. (Mollie, Multisafepay, Ayden, Buckaroo, Cardgate, enz., enz.)

Dit snap ik uiteraard maar ik heb daar nu toch geen account of wel? Met de wijzigingen die eraan zitten te komen gaat dat voor zover ik weet dus wel zo zijn.

Kenneloth @nestview • 9 februari 2024 08:26

Ik werk voor een softwarebedrijf en hebben hier mee te maken. Voor zover wij weten is geen account vereist maar gaat het op basis van NAW-gegevens die op worden gehaald uit je bankaccount, vergelijkbaar met Klarna.

Tevens, het account zal niet veel uitmaken. Payment Service Provider verwerken nu al je gegevens zonder dat je daar een account hebt. Dit gebeurt wanneer je een bestelling plaatst en de order wordt doorgestuurd naar de PSP.

badnews.nl @Kenneloth • 9 februari 2024 10:45

Volgens mij helemaal geen verdere gegevens…
Er wordt bij de 3rd een unique id gebruikt, de bank doet afhandeling, en een soort Ok komt terug op het unique id. De 3rd party (mollie of wie dan ook) zien geen verdere gegevens van je account.

Paypal gebruikt wel NAW, maar ideal niet

ViezeVingertjes @badnews.nl • 9 februari 2024 12:00

De webwinkel stuurt alles door, dit word opgeslagen als deel van de transactie. NAW, bankrekeningnummer, creditcard informatie eventueel etc.

Welke betalingsoptie je vervolgens hebt gekozen maakt vanaf dat punt niet veel meer uit. Wat binnenkomt, word opgeslagen, maar wellicht niet allemaal doorgestuurd naar de verwerker.

badnews.nl @ViezeVingertjes • 9 februari 2024 12:25

Bij ideal wordt er een 16 cijferig nummer, bedrag en de rekening van de webwinkel meegestuurd in het request naar de bank. De bank handelt dit af, zonder verdere informatie te delen met de webwinkel. Het adres wat je invult in de webshop wordt door de webshop gebruikt, en niet de bank gedeeld.
Daarom is ideal ‘goed en veilig’.

Naar andere diensten, zoals payal en creditcard afhandelaars, heb ik geen idee.

ViezeVingertjes @badnews.nl • 9 februari 2024 12:46

Klopt, deels. Zoals ik al zei, de webwinkel stuurt eerst alles door, vervolgens ga jij het iDeal proces in, maar dit is al een redirect via de PSP in kwestie.

De webwinkel krijgt enkel een callback of een betaling is gelukt of mislukt en dat is voor hun voldoende. Alle financiële informatie en details kunnen ze in het portaal van de PSP zien. (evenals bijvoorbeeld de requests tussen PSP en iDeal, PayPal etc.)

Het gaat dan natuurljk wel over webwinkels die een PSP gebruiken, deze zullen dan nooit direct geld op hun rekening ontvangen, dat gaat via een tussenrekening van de PSP en word volgens een bepaalde interval vrijgegeven en/of overgemaakt.

(sommige betalingsmethoden kan je terugboeken namelijk, dit geld word daarom pas vrijgegeven na x dagen, weken of maanden zelfs in geval van sepa direct debits)

Word wel een lang verhaal zo zo 😅 zou bijna denken dat ik er werk. 🤔

Bartmanz @ViezeVingertjes • 9 februari 2024 13:39

Als webwinkel krijg je wel degelijk meer informatie terug dan alleen of een betaling is gelukt of niet.
Een voorbeeld is de naam van de rekeninghouder en het rekeningnummer.

ViezeVingertjes @Bartmanz • 9 februari 2024 13:59

Met een directe koppeling wellicht, via een PSP heeft de hele webwinkel geen enkele koppeling met iDeal natuurlijk...

Het is gewoon een verzoek naar de PSP en daar komt een response op terug in de vorm van een redirect of callback. Alle complexiteit gebeurd aan de PSP kant, dat is het hele idee.

Maar die gegevens kunnen ze wel in het portaal vinden uiteraard. Die informatie word wederom opgeslagen aan de PSP kant.

Sluit niet uit dat er een enkele PSP is die het misschien als onderdeel van de response mee geeft. Maar het ging hier over dat alles via de PSP loopt endus daar opgeslagen word, ongeacht welke betalingsmethode gebruikt word.

De e-commerce plugins van de meeste PSP's zijn open-source op github te vinden trouwens, en documentatie van de endpoints staat ook openbaar, kan je precies zien wat er wel/niet verstuurd word.

[Reactie gewijzigd door ViezeVingertjes op 22 juli 2024 14:20]

Kleintje_Pils @ViezeVingertjes • 9 februari 2024 14:38

De e-commerce plugins van de meeste PSP's zijn open-source op github te vinden trouwens, en documentatie van de endpoints staat ook openbaar, kan je precies zien wat er wel/niet verstuurd word.

Dat is wat je kan mee sturen en eventueel kan ontvangen

Als bedrijf/webwinkel kan je ook uitsluitend een orderID/FactuurID mee sturen en ook uitsluitend de status van de betaling opvragen. zo wordt er over en weer niets gedeeld/opgeslagen

De betaalverwerker ontvangt bij een geslaagde betaling alleen rekeningnummer en naam van bank.
Desgewenst kan een bedrijf/webwinkel deze bij de status opvragen

Paypal is de enigste betaalverwerker die daarnaast ook andere privacy gevoelige gegevens deelt, zoals bijv je adresgegevens

ViezeVingertjes @Kleintje_Pils • 9 februari 2024 16:22

Klinkt technisch mogelijk inderdaad, maar zo werkt het momenteel niet. Ik neem aan dat het ook te maken zal hebben met dat iedere geldstroom ook voor de PSP te verandwoorden moet zijn.

Niet mijn afdeling, ben maar een ontwikkelaar.

Kleintje_Pils @ViezeVingertjes • 9 februari 2024 16:32

ze werkt het dus wel degelijk hoor, doen het al jaren zo

Wij geven zowel bij mollie als bij msp uitsluitend een orderID door en halen alleen de status op van de bijbehorende betaling

ViezeVingertjes @Kleintje_Pils • 9 februari 2024 16:48

Geen idee hoe Mollie dat bijhoud, heb daar al 10+ jaar niets meer gedaan. Maar waarschijnlijk gaan hun enkel uit van de data die terugkomt van de verwerker? Neem aan dat je in hun systeem ook meer kan zien dan je hebt gestuurd in je initiële request.

Voor bepaalde betalingsmethodes moet je vooraf al NAW e.d. mee sturen of je doet een redirect naar een scherm van hun waar ze het vergaren, dat kan simpelweg niet anders, ook niet bij Mollie. Denk aan achteraf betalen etc.

[Reactie gewijzigd door ViezeVingertjes op 22 juli 2024 14:20]

kwebble @ViezeVingertjes • 11 februari 2024 16:54

Het klopt wat @Kleintje_Pils schrijft, NAW-gegevens zijn niet nodig om een iDeal-betaling via Mollie te doen. Zie de API om een betaling te maken.
De webwinkel stuurt een order ID mee en krijgt van Mollie een seintje terug als de status van die betalingsopdracht wijzigt. De order ID komt dan mee terug zodat we winkel daar verder op kan handelen.

Verwerkers, ook Mollie, hebben vaak extra mogelijkheden om meer van de orderafhandeling van een webwinkel te doen. Daarvoor zijn wel extra gegevens nodig. En voor Klarna is dit wel vereist.

Meteen @ViezeVingertjes • 9 februari 2024 15:48

Heb je de interface specificaties al eens bekeken?

cariolive23 @Kenneloth • 9 februari 2024 18:21

Voor zover wij weten is geen account vereist maar gaat het op basis van NAW-gegevens die op worden gehaald uit je bankaccount

De bank deelt géén NAW gegevens.

Je kunt met iDeal 2.0 wel een account bij iDeal aanmaken, met als doel dat je niet bij elke bestelling bij elke webshop opnieuw jouw gegevens moet invullen. Dat start in april, dus bijna

lenwar

Economie en maatschappij

@nestview • 9 februari 2024 08:33

Klopt.
Je hebt ook geen account bij Mollie, Multisafepay, enz.

Ze zijn logischerwijs verplicht informatie te bewaren. Het is ook een prettig idee natuurlijk voor als het een keer mis gaat.

Ik heb zelf ooit een keer een mislukte transactie gehad. Dit was wel afgeschreven, maar niet bij de winkelier (een spareribboer) bijgeschreven. Uit m’n hoofd was het Multisafepay. Zij konden dat zien en het bedrag werd automatisch na een paar dagen teruggestort naar mij.

N.B. Ik zie nu trouwens dat ik je berichtje verkeerd las. 😊

Jerie

@lenwar • 9 februari 2024 16:03

Hoe heeft de spareribboer het probleem voor je opgelost?

lenwar

Economie en maatschappij

@Jerie • 9 februari 2024 17:13

De spareribboer hoefde niets te doen. Ik deed de betaling opnieuw en ik kreeg het geld van de mislukte betaling automatisch terug. (Uiteindelijk moeten alle bedrijven natuurlijk een sluitende balans hebben 😊)

((Multisafepay had een bedrag ontvangen dat zij niet konden koppelen aan een tegenpartij (in mijn geval de spareribboer) en dan storten ze het automatisch terug))

cariolive23 @lenwar • 9 februari 2024 18:26

Ik heb zelf ooit een keer een mislukte transactie gehad. Dit was wel afgeschreven, maar niet bij de winkelier (een spareribboer) bijgeschreven.

Zo werkt iDeal ook niet: Bijschrijven van jouw betaling op hun bankrekening vindt (veel) later plaats. Zodra jij hebt betaalt aan iDeal, stuurt iDeal een bevestiging naar de merchant. Daarmee ontstaat er een betalingsverplichting van iDeal naar deze merchant. Het enige waarmee de merchant kan zien dat jij hebt betaald, is het akkoord van iDeal.

De merchant krijgt waarschijnlijk zelfs de individuele betalingen niet te zien, die krijgen gewoon in 1x bijvoorbeeld 25.000 euro bijgeschreven en niet 1000x 25 euro.

lenwar

Economie en maatschappij

@cariolive23 • 9 februari 2024 18:31

Je hebt gelijk. Ik verwoorde het even versimpeld, maar het is een goede toevoeging 😊

kodak

Datalek
Hack
Cybercrime
Economie en maatschappij

@nestview • 9 februari 2024 11:40

Om persoonsgegevens te kunnen verwerken stelt de wet niet verplicht dat je hoe dan ook bij iedere tussenpartij een account moet hebben. Je hebt ook geen account bij een andere bank nodig zodat een klant van die andere bank een deel van je persoonlijke gegevens te zien kan krijgen als onderdeel van de rekeningadministratie.

Ideal gebruiken sluit daarbij hoe dan ook niet uit dat je gegevens door paymentproviders verwerkt worden. Omdat de bedrijven die je wil betalen er gewoon voor kunnen kiezen dat je betaling met ideal door hun paymentprovider zal worden verwerkt. Hooguit heb je de keuze om af te vragen naar welke verwerkers je precies je persoonlijke gegevens laat delen als je een betaling doet.

fortfort @lenwar • 9 februari 2024 17:29

Volgens mij is dit niet waar. En doet bol.com het wel degelijk zelf. Het probleem is niet de complexiteit maar de kosten van de "rechten" om een betaling te mogen implementeren. Dit loopt in de tonnen. Een goede deal met een service payment provider is dan al snel (en sneller) de betere keuze

lenwar

Economie en maatschappij

@fortfort • 9 februari 2024 17:46

Je hebt gelijk.
Bol.com doet het inderdaad zelf. In het verleden zag ik een derde partij. Blijkbaar hebben ze dit veranderd.

De complexiteit zit hem voornamelijk in het zeer veilig houden van dat stuk van je site. Er zijn natuurlijk zat voorbeelden van sites die data lakken. Uiteraard valt het functioneel wel mee. (De happy flow zegmaar 😊)

jongetje

@nestview • 9 februari 2024 08:20

Wat denk je dat er gebeurd als Google of Apple wordt gehackt? Veel mensen betalen met hun telefoon en gaat allemaal via hun servers.

Dennisb1 @jongetje • 9 februari 2024 09:40

Wat denk je dat er gebeurd als Google of Apple wordt gehackt? Veel mensen betalen met hun telefoon en gaat allemaal via hun servers.

Dit is echt een misvatting, Google en Apple zien als het goed is niet jou gegevens.
Deze dienst gebruikt geen internet connectiviteit o.a.

jongetje

@Dennisb1 • 9 februari 2024 09:59

Als ik met mijn wallet (met mijn bankpas) een betaling doe dan krijg ik een push melding op mijn Android telefoon met de winkel en het bedrag wat ik heb betaald.

Groningerkoek @jongetje • 9 februari 2024 10:25

Die pushmelding wordt door jouw app gemaakt, communicatie tussen jouw apparaat en de betalingsdiensten worden encrypted verstuurd. Waarbij ontvanger en zender als enige 2 partijen over de sleutels beschikken. Apple en Google hebben ondanks dat communicatie via hun servers kan verlopen hier dus geen inzage in.

Mocht je anders kunnen bewijzen, dan heb je een groot schandaal ontdekt en kun je die bewijzen voor grof geld aan de krant verkopen.

ikkuhqhp

@Groningerkoek • 9 februari 2024 12:02

When you use Google Payments to conduct a transaction, we may collect information about the transaction, including the date, time and amount of the transaction, the merchant's location and description, a description provided by the seller of the goods or services purchased, any photo that you choose to associate with the transaction, the names and email addresses of the seller and buyer (or sender and recipient), the type of payment method used, your description of the reason for the transaction and the offer associated with the transaction, if any.

Bron: Google Payments Privacy Notice

Mag ik even afrekenen?

Groningerkoek @ikkuhqhp • 9 februari 2024 12:27

Ja, als je hun eigen service gebruikt dan slaat die service natuurlijk gegevens op. Als je Klarna of een andere 3e dienst gebruikt dan hebben Google en Apple geen toegang tot die gegevens.

jongetje

@Groningerkoek • 9 februari 2024 16:12

Ik kan alleen maar google pay (of apple pay) gebruiken.... en daarmee vele anderen en staat er dus enorm veel info daar.

Groningerkoek @jongetje • 9 februari 2024 17:05

Je kunt ook een app van bijvoorbeeld iDeal installeren en dan heb je niet met Google Pay nodig. Ik gebruik bijvoorbeeld ook Swish op mijn iPhone en daar heeft Apple weer niets mee nodig.

Raymond Deen @Dennisb1 • 9 februari 2024 10:19

Ik krijg van mijn iPhone een berichtje dat ik heb betaald bij bijvoorbeeld de Albert Heijn in mijn woonplaats. Die betalingen zijn ook zichtbaar in mijn wallet, dus Apple heeft dat ergens opgeslagen.

Wanneer Apple wordt gehacked en hackers bij gebruikers accounts kunnen daardoor dan is deze data wel degelijk ineens openbaar...

[Reactie gewijzigd door Raymond Deen op 22 juli 2024 14:20]

pepsiblik @Raymond Deen • 9 februari 2024 10:46

Apple heeft dat niet opgeslagen. Hun PSP geeft Apple een signaaltje wanneer een transctie succesvol is verlopen.

Raymond Deen @pepsiblik • 9 februari 2024 13:18

Als het met naam en plaats supermarkt, tijd van afrekenen en betaald bedrag in mijn wallet staat, waar wordt het volgens jou dan opgeslagen?
Volgens mij toch echt in mijn account en dat wordt gedaan door functionaliteit gemaakt door Apple. Volgens mij is Apple in dit geval ook psp.

pepsiblik @Raymond Deen • 10 februari 2024 06:00

Dat wordt opgeslagen door de PSP. Loopt allemaal via tokenisation. Apple is geen PSP. Dat willen ze niet, want dan worden ze defacto een bank met alle vereisten vandien.

[Reactie gewijzigd door pepsiblik op 22 juli 2024 14:20]

Raymond Deen @pepsiblik • 10 februari 2024 12:19

En het zit in je wallet en dus in je iCloud account opgeslagen…
Als hackers toegang tot iCloud accounts weten te krijgen op grotere schaal dan zijn betalingen ook beschikbaar.
Je hebt trouwens wel gelijk dat Apple geen psp is.

pepsiblik @Raymond Deen • 11 februari 2024 07:35

Dan vind die hacker dus een hele serie tokens. Let wel tokens, geen ge-encrypte gegevens.

Raymond Deen @pepsiblik • 12 februari 2024 20:27

Laat maar zitten; we blijven in een rondje praten.

pepsiblik @jongetje • 9 februari 2024 10:45

Nee dus. Apple Pay en google Pay gaan ook via PSPs. Ik heb voor één van hen gewerkt toen Apple Pay werd geïmplementeerd.

cariolive23 @jongetje • 9 februari 2024 18:45

Wat denk je dat er gebeurd als Google of Apple wordt gehackt? Veel mensen betalen met hun telefoon en gaat allemaal via hun servers.

Nee, dat gaat voornamelijk via Mastercard en VISA, waar de POS en ATM op is aangesloten. Jouw telefoon verstrekt het token aan de POS/ATM, en de wijze van authenticatie. Dat werkt precies hetzelfde als de NFC op jouw debit/credit card, zelfde protocol.

De enrollment van Apple Pay of Google Pay op jouw telefoon, dat loopt wel via hun servers, naar de servers van M/V en vandaar naar jouw bank. En weer terug.

Mit-46 @nestview • 9 februari 2024 11:22

En toch is het voor mij gevoelsmatig beter om bij 1 grote partij mijn gegevens achter te laten waar andere partijen deze dan kunnen inzien dan bij elke webshop waar ik iets bestel of elke app die ik gebruik en waar betalingsverkeer nodig is.

Nu zijn twee grote partijen gehackt. Dat zou betekenen dat mijn gegevens 2 keer gelekt zijn.

Ik ben echt de tel kwijt hoe vaak mijn gegevens inmiddels gelekt zijn doordat willekeurige bedrijven zijn gehackt. De laatste keer was het EasyPark. Knettergek word ik van de hoeveel spam e-mails en telefoontjes. Ik heb daar ook geen account meer inmiddels, maar ja, mosterd na de maaltijd.

Het is naar mijn mening van de zotte dat je met elk bedrijf jouw NAW gegevens moet delen. In deze tijd vind ik dat niet meer logisch gezien het verdienmodel dat phishing heet.

[Reactie gewijzigd door Mit-46 op 22 juli 2024 14:20]

Bender @nestview • 9 februari 2024 14:07

Of wel, dat je adres niet meer bij alle webshops hoeven te zijn maar enkel bij ideal bekend.
En dat ideal en de postbezorger direct de connectie heeft van het adres.

SpiderTex @nestview • 10 februari 2024 08:38

Ter verduidelijking hoe het werkt in Frankrijk en waarom dit toch wel een biggy is.

In Frankrijk heb je in het sociale zekerheid veld de volgend actoren :

"La Securité sociale" wat in België de ziektefondsen zijn (en in de volksmond bekend als de "mutaliteit")
De private ziekte verzekeringen (de zogenaamde "mutuelles" -- dus niet de zelfde definitie als in België)
De gezondheidszorg verstrekkers, dokters, oogartsen, brilleboeren, tandartsen, aphotekers etc
De patient

Dit soor betaal platformen zijn er dus niet voor B2C transacties.
Ze zijn de link tussen de private ziekte verzekeringen, de gezondheids verstrekkers, en de patient.
De prive verzekeringen betalen (een percentage) terug aan de patient op het verschil tussen de reele verzorgings kost en wat het ziektefonds betaald heeft.
Dus deze platformen worden niet gebruikt door de patient, die betaald zijn dokter met zijn carte blue, cash of cheque (oh yes, wordt nog veel gebruikt); ze dienen enkel om geld terug te storten.

Maar even terug te komen op de hack. Om deze transacties te kunnen doen hebben zij je burgerservicenummers / sociaal zekerheids nummer, je privé en bank gegevens nodig.
In Frankrijk hangt veel aan je burgerservicenummer, dit en samen met je bank gegevens open je een opportuniteit voor phising en ander nasty stuff

[changed: typos]

[Reactie gewijzigd door SpiderTex op 22 juli 2024 14:20]

MazDaMan1970 9 februari 2024 09:26

Ieder bedrijf moet er van uit gaan, dat ze ooit gehacked worden. Hoe goed jouw beveiliging ook lijkt te zijn, er zullen altijd gaten in de beveiliging zijn. Daarom is het zo belangrijk dat gevoelige data goed versleuteld is. Helaas schijnt dit vaak niet het geval te zijn, als ik de dagelijkse berichten over hacks lees. Leuk als je aan de voorkant de boel dichtgetimmerd hebt, maar als het aan de achterkant niet goed dicht zit, dan heb je alsnog brakke security.

Frame164 @MazDaMan1970 • 9 februari 2024 11:14

Ik denk dat er geen CSO is die dat niet weet. Maar helaas is de praktijk niet altijd hetzelfde als de theorie. En zelfs een dichtgetimmerde achterdeur kan volgende week lek zijn. Dat geldt overigens ook voor de voordeur, zijdeuren of dakramen.

Het beste wat we kunnen doen is er altijd van uit gaan dat altijd alles untrusted is, en dan nog kan je niet garanderen dat het altijd goed gaat.

kodak

Datalek
Hack
Cybercrime
Economie en maatschappij

@MazDaMan1970 • 9 februari 2024 12:39

Hoewel ik het met je eens ben dat er genoeg beveiliging nodig is weten we hier nog niet eens wat de oorzaak is. Meestal is een lek afhankelijk van verschillende mogelijkheden. Men kan dus prima de gegevens versleuteld hebben met de situatie dat de crimineel de sleutel had, of bij onversleutelde gegevens kon op moment van verwerken enz. Wat me hier vooral zorgelijk lijkt is het gebrek aan details wat ze onder een hack verstaan. En dat dan nog naast het probleem dat ze hoe dan ook niet duidelijk hun klanten blijken te informeren. Terwijl die verplichting er natuurlijk niet is om maar zo onduidelijk mogelijk te zijn om er vooral als bedrijf zo weinig mogelijk risico bij te hebben.

graceful 9 februari 2024 11:07

Word tijd dat de overheden toestaan om je BSN te laten vervallen. Want dit soort lekken gaan enkel meer gebeuren, niet minder.

Programmeurs doen maar wat hen opgedragen wordt ipv tegenwerken als het gaat om belachelijke data verwerking. Of het ligt op de hoop van issues die ooit eens opgepakt moeten gaan worden.

De meeste data zal wel weer van accounts zijn die jaren geleden ooit aangemaakt zijn en een activiteit kennen van niks. Maar lekker blijven opslaan en bewaren.

Het blijft vreselijk om te moeten aanzien steeds dit soort nieuws en je hoort er helaas politiek veel te weinig over. Ze hebben een meldplicht en.. klaar. Volgende week gaan we weer door met onzinnige data opslaan.

Tintel

Economie en maatschappij

@graceful • 9 februari 2024 11:14

Word tijd dat de overheden toestaan om je BSN te laten vervallen.

Dan vind ik ook - want nu is jouw 'primairy key' dus ook een bewijs van identiteit en dat klopt gewoon niet. Dat is leuk in pure IT-systemen maar die zijn nooit bestaand tegen social engineering. Zelfs met 2-factor authentication met 'jouw' telefoon is het onzinning om te denken dat die telefoon niet overgenomen/gestolen kan worden.
En IT gaat steeds verder - biometrische herkenning kan nu juist worden omzeild met nog meer IT....

Tusk @graceful • 9 februari 2024 11:15

Dat vind ik een heel goed idee. Geen idee wat de potentiële nadelen er van kunnen zijn, maar klinkt goed

xtrme @graceful • 9 februari 2024 11:23

ze kunnen ook gaan doorbouwen op document ID's welke op je paspoort/ID/rijbewijs staan
deze hebben iig een verloop/expire date integenstelling tot je BSN

en moeite - risico afweging om bijv elke 5jaar een document ID af te geven lijkt mij prima

!mark @graceful • 9 februari 2024 13:11

Of simpelweg stoppen met gebruik van het BSN als identificatie, prima dat je BSN als een soort username gebruikt, maar beveilig het dan met een tweede afgeschermde pincode welke je zelf kunt aanpassen zodat er geverifieert kan worden dat het BSN echt bij jouw hoort.

Of nog erger is de combinatie naam+geboortedatum als identificatie zoals in de zorg standaard is.

Als ik zie hoe makkelijk ik specifieke medicatie voor mijn vader mee krijg of namens hem (met toestemming uiteraard

) afspraken kan inplannen/verzetten etc. met alleen maar het geven van zijn geboortedatum als verificatie schrik ik daar toch wel van. Een kwaadwillende hoeft dan alleen maar iemands geboortedatum te hebben om indien gewenst best wel wat ellende te veroorzaken.

[Reactie gewijzigd door !mark op 22 juli 2024 14:20]

kodak

Datalek
Hack
Cybercrime
Economie en maatschappij

@graceful • 9 februari 2024 17:05

Een burgerservicenummer verwerken mag alleen onder strenge voorwaarden zoals wettelijke verplichting. Dus dat doen wat is opdragen valt niet zomaar te beschouwen als onnodig of onwenselijk. Er zijn namelijk meer belangen dan een kans op lekken. Waar je ontevredenheid geen rekening mee lijkt te houden en daarmee ook geen acceptabel alternatief geeft.

Ik ben het met je eens dat onnodig verwerken niet de bedoeling is. Maar dat stelt de wet ook al. Daarbij kan er hier ook niet zomaar worden aangenomen dat de burgerservicenummers onnodig verwerkt worden, want juist financiële bedrijven hebben daarvoor extra wettelijke verplichtingen. En met tientallenmiljoenen transacties en ruim 65 miljoenen inwoners is het eerder te verwachten dat het dus gegrond is dat ze het verwerkte.

vickypollard 9 februari 2024 07:40

Oepsiewoepsie!

Zijn de buitgemaakte gegevens ook niet toevallig voldoende om lekker mee te frauderen? Wordt nog leuk

Devilscomrade @vickypollard • 9 februari 2024 08:19

Als je een aantal van die gelekte databases aan elkaar knopt kan je een heel leuk whatsappje sturen met realistische informatie om bv wat geld over te maken.

Tintel

Economie en maatschappij

@vickypollard • 9 februari 2024 10:21

idd - altijd grappig om te lezen dat ze

geen bankgegevens, medische gegevens, adressen, telefoonnummers of e-mails

hebben maar wel geboortedatum en BSN.....ai....

En wat is dan nu de response? "op de hoogte stellen" maar eigenlijk is dat gewoon onvoldoende. Dergelijke bedrijven (verzekeraars) zou niet eens een BSN mogen hebben is mijn idee.
Het stomme is ook: we komen van een systeem (en gebruiken dat zelfs ook nog wel) waarbij een handtekening de 'authorisatie' was en dat was/is ook neit bepaald betrouwbaar. Maar wat we nu hebben [een verzameling identifiers die gedeeld wordt tussen verschillende systemen] is dat ook niet.

david-v

@Tintel • 9 februari 2024 10:39

Ik blijf het ook zo bijzonder vinden dat als je met een instantie of bedrijf belt de standaard "controle" vragen komen om te achterhalen of jij het echt bent:

Wat is uw geboortedatum?
Wat is uw postcode?

Wat is er mis met autoriseren via bijvoorbeeld DigiD ipv het stellen van de controle vragen? Ik verbaas me er elke keer over hoe makkelijk het soms is om informatie los te peuteren als je belt (social engineering).

Frame164 @david-v • 9 februari 2024 11:06

Niet iedereen mag Digid gebruiken. En we moeten ons ook afvragen of we dat zouden moeten willen.

david-v

@Frame164 • 9 februari 2024 12:27

Als je gegevens gaat inzien of gaat delen met iemand, absoluut. Je kan niet zomaar informatie inzien of delen zonder te weten met wie je spreekt. Dat iemand geen digid mag gebruiken is alleen van toepassing als je geen bsn hebt. Dat zijn echt heel weinig gevallen, maar ook voor die mensen lijkt me de "controle" niet afdoende om de identiteit vast te stellen.

Tintel

Economie en maatschappij

@david-v • 9 februari 2024 11:10

ja, te zot voor woorden. Ze wilden zo graag de fysieke loketten sluiten en natuurlijk is het soms makkelijk om te kunnen bellen maar het blijft een scherts vertoning hoe dan wordt vastgesteld of je wel de juiste persoon bent.....

3raser 9 februari 2024 09:08

Dit zijn gegevens waarvan het ongeveer je ergste nachtmerrie is om ze uit te laten lekken. Koppel hier nog een adres en bankrekeningnummer aan vast en je hebt alles om grootschalig identiteitsfraude te plegen.

sircampalot @3raser • 9 februari 2024 09:38

Het is eigenlijk erger dat identiteit nog steeds beschermd wordt door het prinicipe van security by obscurity.

FairPCsPlease @3raser • 9 februari 2024 09:51

Het probleem met dit soort van zaken, die fraude via internet mogelijk maken, de benadeelden voor de criminelen alleen maar een reeks cijfers en getallen zijn, geen mens, dus de morele rem is dan minder, denk ik. Je hebt criminelen die zelfs mensen benadelen als ze recht tegenover hen staan, volledig voorbijgaand aan het moreel appèl dat volgens Levinas uitgaat van het gelaat van de ander, maar als je dan ook nog geeneens een gelaat tegenover je hebt, waarvan je ziet dat het een reëel mens is dat je met de fraude de stress en vernieling in helpt, maar dat zijn het natuurlijk wel. Dit zijn 33 miljoen individuele mensen, met ieder het recht op respect voor de integriteit van henzelf en hun bezittingen. En toch, toch blijft het ongelofelijk moeilijk om te snappen dat er mensen zijn die willens en wetens anderen benadelen. Ik lijd al pijn als ik lees over 25.000 doden in Gaza, omdat ik mijzelf 25.000 gezichten inbeeld, 25.000 keer een gelaat van een ander met wie ik meeleef en voor wie ik mij verantwoordelijk voel daarom, á la Levinas.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: