Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend

Vakantieparkbedrijf EuroParcs meldt dat het slachtoffer is geworden van een datalek in zijn beveiligde digitale omgeving. De omvang daarvan is momenteel nog niet duidelijk. Het bedrijf weet niet welke persoonsgegevens zijn uitgelekt. EuroParcs zegt het voorval te onderzoeken.

EuroParcs waarschuwt gebruikers voor 'verhoogde risico's van misbruik met persoonsgegevens' als gevolg van datalekken. Het bedrijf weet niet of er klantgegevens zijn uitgelekt bij het datalek, maar raadt gebruikers alsnog aan om de komende tijd extra alert te zijn op bijvoorbeeld spam- en phishingberichten. Het bedrijf voorziet eventuele betrokkenen 'op een zo kort mogelijke termijn' van meer informatie.

Volgens het vakantiepark is het reserveringssysteem van het bedrijf zeker niet getroffen bij het datalek, waardoor gebruikers veilig reserveringen kunnen maken. Ook het nieuwsbrievensysteem van EuroParcs is niet getroffen; de nieuwsbrieven komen uit een ander systeem.

Het bedrijf zegt ook het datalek snel te hebben gedetecteerd, waarna het getroffen deel van zijn systemen offline werd gehaald. Vervolgens werd een back-up ingezet om deze systemen te herstellen. EuroParcs, dat vakantieparken beheert, heeft melding van het datalek gemaakt bij de Autoriteit Persoonsgegevens.

Reacties (67)

Keyb 13 februari 2024 15:55

Het is wachten tot een hotelketen de paspoort kopietjes kwijtraakt in een datalek.

Polderviking

@Keyb • 13 februari 2024 15:59

Ik snap ook niet waarom dat mag en waar ze het voor nodig hebben.

TwArbo @Polderviking • 13 februari 2024 16:01

Dat mag ook helemaal niet.

Overnacht u in Nederland in een hotel, bed & breakfast (b&b) of op een camping of vakantiepark? Dan mag de eigenaar van deze accommodatie (of een medewerker) geen kopie, scan of foto (hierna noemen we dit: kopie) van uw identiteitsbewijs maken, zoals van uw paspoort of identiteitskaart.

De eigenaar of medewerker is wel verplicht om een aantal persoonsgegevens te noteren die op het identiteitsbewijs van de hoofdboeker staan. Dat is degene die de accommodatie heeft geboekt. Meereizende partners, minderjarige kinderen en reisgezelschappen vallen niet onder deze verplichting.

https://www.autoriteitper...identiteitsbewijs-op-reis

Polderviking

@TwArbo • 13 februari 2024 16:03

Dit is in Nederland zo, maar meestal als ik in een hotel zit is dat niet in Nederland.

CH4OS

Datalek

@Polderviking • 13 februari 2024 16:41

In de EU hebben we de GDPR, wat hier geïmplementeerd is als de AVG, dus in feite moet het overal binnen de EU daaraan voldoen, strenger kan eventueel natuurlijk ook.

vickypollard @CH4OS • 13 februari 2024 17:49

Probeer dat maar eens op locatie duidelijk te maken in een taal die je niet spreekt terwijl men van je eist dat ze een kopie van je paspoort maken bij het inchecken

[Reactie gewijzigd door vickypollard op 23 juli 2024 07:02]

dasiro @vickypollard • 13 februari 2024 18:41

in sommige landen willen ze zelfd dat je je paspoort of visum afgeeft, zoniet sturen ze je gewoon weg. Hoe legaal dat ter plaatse is weet je als toerist meestal niet en even een lokale advocaat raadplegen zie ik de doorsnee vakantieganger nog niet direct doen

The Zep Man

Beveiliging en antivirus
Bedrijfsnieuws
Datalek

@vickypollard • 13 februari 2024 18:34

Als zij qua taal niet begrijpen waarom ze geen kopie mogen maken van je paspoort, dan begrijp jij niet qua taal dat ze een kopie willen maken van je paspoort.

Domheid kan je met domheid bestrijden. Uiteindelijk wint geld.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 07:02]

Vaatdoek82 @Polderviking • 13 februari 2024 16:18

En de app van de overheid KopieID, daar heb je in Italie ook weinig aan wanneer je bij de check-in balie 10 man achter je hebt staan en je probeert uit te leggen waarom je deze wilt gebruiken i.p.v. ID/Passport aan ze geeft

darkshadw @Vaatdoek82 • 13 februari 2024 17:48

Waarom? Het is toch gewoon jou keuze als persoon om dat te doen? Maakt mij het nou uit of er 1 of 10 mensen achter me staan, ze moeten toch al wachten.

CH4OS

Datalek

@Vaatdoek82 • 13 februari 2024 18:01

Want een kopie maken van het ID kan niet van te voren (al dan niet met KopieID) en 'on the spot' gemaakt worden?

RRRobert @TwArbo • 13 februari 2024 16:19

Dat mag ook helemaal niet.
[...]
https://www.autoriteitper...identiteitsbewijs-op-reis

Er zullen vele hotels of andere overnachtingsgelegenheden zijn die simpel stellen dat géén kopie afstaan = géén overnachting. Al was het alleen maar om in geval van schade of overlast iemand aansprakelijk te kunnen stellen. Sommigen nemen namelijk geen genoegen met de gegevens die vooraf bij het plaatsen van de boeking zijn opgegeven.

[Reactie gewijzigd door RRRobert op 23 juli 2024 07:02]

litebyte @RRRobert • 13 februari 2024 17:50

Exact, in Amsterdam hebben diverse collega's van mij dit al gehad, zelfs in 1 hotel dat er werd verteld dat het bij wet verplicht is. Als ze het niet deden werd de booking geannuleerd

The Zep Man

Beveiliging en antivirus
Bedrijfsnieuws
Datalek

@RRRobert • 13 februari 2024 18:36

[...]
Er zullen vele hotels of andere overnachtingsgelegenheden zijn die simpel stellen dat géén kopie afstaan = géén overnachting. Al was het alleen maar om in geval van schade of overlast iemand aansprakelijk te kunnen stellen.

Dan doe je toch gewoon een controle van naam op het paspoort en eventueel de betalingsmethode, en reken je eventueel gewoon een borg? De rest mag de verzekering uitzoeken. Met de verzamelde gegevens (inclusief betaalgegevens) kan je ook een deurwaarder erop zetten.

Lastige zaken moet je goed oplossen of uitbesteden.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 07:02]

Lisadr @TwArbo • 13 februari 2024 16:27

Het mag niet, maar omdat er geen handhaving is en overtreders zelfden een flinke boete krijgen gebeurt het massaal wel. Naast hotels zijn er steeds meer organisatie die een kopie van je legitimatie vragen en bewaren. Ze accepteren niet een versie via KopieID.

bytemaster460 @Lisadr • 13 februari 2024 16:50

Ik heb juist de ervaring dat dat steeds minder wordt. Steeds meer bedrijven, ook buiten Nederland of Europa begrijpen dat het kopiëren van een paspoort een risico oplevert. De laatste jaren is er nooit meer naar gevraagd.

Anoniem: 454358 @bytemaster460 • 13 februari 2024 17:30

of ze kijken er alleen even naar om te kijken of de naam klopt met die op de boeking.
echy een kopie maken heb ik al lang niet meer gezien.

Cyberpuppy @Lisadr • 13 februari 2024 17:16

Ik zie juist een dalende trend. De enkele keer dat het nog gebeurd is uitgerekend bij onze overheid en aanverwante partijen. Zoals o.a. de kvk.

nightgold @Lisadr • 13 februari 2024 22:53

Normaal gezien ga ik uit van het slechtste (dat men je volledige ID leesbaar wil) maar dat wil niet zeggen dat ik me erbij neerleg.
Zo heb ik onlangs mij met ID moeten verifiëren bij Wise (betalingen) waarbij ik "live" een foto van mijn IDkaart moest nemen (waardoor kopieID dus geen optie was).
Ik heb een klein stukje papier uitgesneden en over de gevoelige gegevens gelegd en zo een foto genomen en tegen mijn verwachting in werd het aanvaard $_/-\o_$
Terug gesterkt in "toch maar proberen".

arnoldus1955 @Polderviking • 13 februari 2024 16:45

In België is het verplicht (Controle op reizigers in hotels en logementshuizen, (KB 22 mei 2007))

Cyberpuppy @arnoldus1955 • 13 februari 2024 17:21

Ik ben niet exact op de hoogte van het belgisch recht. Maar vaak wordt de regel om de identiteit van een persoon vast te stellen wat ruim uitgelegd door dan maar aan te nemen dat je een kopie id nodig hebt. Vaak volstaat het al om een pasfoto te controleren en een documentnummer van het id te noteren.

arnoldus1955 @Cyberpuppy • 13 februari 2024 18:49

Er wordt geen kopie van een ID-document gevraagd, maar wel bepaalde identiteitsgegevens die via het ID-document moeten gecontroleerd worden.
Deze mogen ook digitaal uitgelezen worden (scannen van eID kaart, of bijvoorbeeld via app die de strook onderaan een paspoort uitleest).

Voor sommige hotels is dit te veel workflow om tijdens check-in te doen. De klant kan het natuurlijk ook zelf doen (blaadje tijdens check-in, of online vooraf), maar finaal moet de logiesverstrekker wel de juistheid controleren adhv het ID-document.
Daarom dat sommige hotels dan gewoon een foto/kopie nemen, afstempelen en dan in een map klasseren. Dat werkt snel. (En allicht minder risico op gegevensdiefstal, dan een online DB die lekt).

Art. 142. Elke reiziger dient door de logiesverstrekker of zijn aangestelde te worden geregistreerd. Deze registratie moet gebeuren de dag van aankomst van de reiziger.
Volgende gegevens dienen te worden geregistreerd :
1o het ondernemingsnummer van de logiesverstrekker;
2o een uniek en doorlopend volgnummer;
3o de datum van aankomst;
4o de identificatiegegevens van de reiziger, namelijk :
a) naam en voornaam;
b) geboorteplaats en geboortedatum;
c) de nationaliteit;
d) het nummer van het voorgelegde identiteitsdocument of eventueel vervangend document.
Voor de reizigers die beschikken over een identiteitskaart uitgegeven of verstrekt door de Belgische overheid moeten de volgende gegevens worden vermeld : ofwel de gegevens bedoeld in punt a) evenals het identificatienummer van het Rijksregister, ofwel de gegevens bedoeld in punten a), b) en d);
5o de naam en voornaam van de minderjarige kinderen die een meerderjarige reiziger vergezellen.
Binnen vierentwintig uur na het vertrek van de reiziger dient de registratie te worden aangevuld met de datum van vertrek.

Art. 143. De logiesvertrekker of zijn aangestelde gaat de juistheid van de verstrekte inlichtingen na en doet zich te dien einde door de reiziger de nodige identiteitsbewijzen of vervangende documenten voorleggen. De reiziger is verplicht die stukken voor te leggen.

Cyberpuppy @arnoldus1955 • 14 februari 2024 09:57

Dat lijkt erg op hoe het ook in nederland is vastgelegd.

Verder goede verduidelijking

Anoniem: 84997 @Polderviking • 13 februari 2024 16:04

Zal voornamelijk naw + betaalgegevens zijn van boekingen. Waarschijnlijk een security-issue in een klantportaal of boekingssysteem dat aan 't internet hangt.

ibmpc @Polderviking • 13 februari 2024 20:10

De overheid kan hier ook op inspelen door bijvoorbeeld een uitneembare pagina te maken in het paspoort met alle relevante gegevens die derde partijen wel mogen hebben. Waar bijv. het sofinummer niet op staat.

Polderviking

@ibmpc • 13 februari 2024 20:13

Of we verzinnen eens wat op dat sofinummer waardoor dat niet meer zo interessant is om te kennen van een ander, want dat je hele hebben houden daar een beetje omheen rondzweeft en het te misbruiken is kan je ook eigenlijk niet meer uitleggen.

[Reactie gewijzigd door Polderviking op 23 juli 2024 07:02]

SpoekGTi @Keyb • 13 februari 2024 16:14

De laatste paar jaar waar ik in hotels heb gelogeerd werd er alleen maar naar mijn paspoort gekeken hoor, ter verificatie van de gegevens en meer niet.

Lisadr @Keyb • 13 februari 2024 16:24

Social media bedrijven hebben ook paspoort bewijzen. LinkedIn en Facebook eisen steeds vaken een kopie van je ID. In december 2023 hadden al 18 miljoen LiunkedIn gebruikers een kopie gedeeld met LinkedIn en Persona https://news.linkedin.com...nkedIn_and_Persona_Europe

Keyb @Lisadr • 13 februari 2024 16:51

Ja ok. Voor mij is dat geen issue aangezien ik met zulke partijen mijn ID bewijs niet zal delen. Facebook heb ik niet en LinkedIn zou ik het liefste ook weg doen.

Lisadr @Keyb • 14 februari 2024 16:56

Veel mensen zijn afhankelijk van LinkedIn zonder dat ze het door hebben. Bij sollicitaties kijken veel grote bedrijven naar LinkedIn profielen van kandidaten en vinden het vreemd als iemand niet op LinkedIn te vinden is.

Een andere invalshoek is dat Microsoft (eigenaar van LinkedIn) en andere BigTech bedrijven steeds meer data en macht krijgen.

Keyb @Lisadr • 14 februari 2024 17:19

Ik heb het van dichtbij gezien. Maat van mij had zijn LinkedIn verwijderd en werd eigenlijk gelijk genegeerd voor nieuwe klussen (ZZP). En toch, mensen die het raar vinden dat iemand geen LinkedIn profiel hebben moeten eens gaan nadenken waar ze mee bezig zijn.

Deleon78 @Keyb • 13 februari 2024 18:18

We hebben het hier over een digitale omgeving, niet diefstal van papieren kopietjes

Keyb @Deleon78 • 13 februari 2024 18:25

Waar denk je dat deze hotels de scans van je paspoort opslaan?

SunnieNL

@Keyb • 13 februari 2024 20:45

Dat is niet wachten, dat is jaren geleden al gebeurd.
Ik heb niet voor niets een ID verzekering vanuit dat lek (wat in principe inhoud dat als er identiteitsfraude zou zijn vanuit dat lek, dat ik ondersteuning krijg om het af te handelen.. al heb ik het paspoort in de tijd direct ongeldig laten verklaren). Vanuit dat eerste lek krijg ik nog steeds upgrades bij de balie merkte ik een maand geleden.

zie ook nieuws: Hotelketen Marriott meldt diefstal gegevens van half miljard klanten en nieuws: Hotelketen Marriott meldt datadiefstal die 5 miljoen klanten treft

Overigens wordt in bijna geen enkel hotel meer een copy gemaakt van het paspoort, althans niet de hotels waar ik kom voor mijn werk. Als ze het al wel willen heb ik altijd een copy bij mij waar de gegevens die ze niet nodig hebben zijn zwart gemaakt. Meestal kijken ze alleen naar het paspoort om te controleren of ik daadwerkelijk de persoon ben die ik zeg dat ik ben.

junkchaser @Keyb • 13 februari 2024 23:49

In dat geval, kei hard een rechtzaak beginnen met alle gedupeerden. De consument moet geen genoegen nemen met excuses.

martwoutnl @Keyb • 14 februari 2024 09:12

De keren dat ik overnacht in een hotel hoef ik hem alleen te tonen en noteren ze alleen info. Dat is tenminste mijn ervaring bij diverse Valk-hotels.

Bux666 13 februari 2024 15:58

Vervolgens werd een back-up ingezet om deze systemen te herstellen.

Er is toch geen data verloren, dus waarom een back-up terugzetten? Daarmee haal je oude data terug, maar verwijder je in principe niet de zwakheid in de code die deze hack mogelijk maakte.

CH4OS

Datalek

@Bux666 • 13 februari 2024 16:03

Wellicht heeft er een inbraak plaatsgevonden en heeft men gezien dat data in bepaalde records aangepast zijn door de ongewenste/malafide code?

Het.Draakje @Bux666 • 13 februari 2024 16:18

Hacker heeft wellicht wat bestanden besmet. Om binnen te komen (of later dat later nog een keer te doen). Een full restore van de server (inclusief OS en dergelijke) lost zoiets dan op.

MiesvanderLippe @Bux666 • 13 februari 2024 16:54

Als je in een phishing aanval getrapt bent en het virus zich verspreid heeft kan het best nuttig zijn om een backup terug te zetten. Verder heb je niet zoveel aan een met ransomware versleutelde computer als je niet gaat betalen. Als de computer voldoende onderzocht is kan die dus prima herstelt worden.

Simon Weel 13 februari 2024 16:17

Beetje vaag - wel weten waar het lek zit maar niet weten wat gelekt kan zijn?

CH4OS

Datalek

@Simon Weel • 13 februari 2024 16:39

Je kunt wel gezien hebben dat het raam ingeslagen is, maar (nog) niet een beeld hebben wat uit de woning of het pand gestolen is, toch?

The Realone @CH4OS • 13 februari 2024 16:54

Er zit een verschil tussen wat er "gestolen" kan zijn en daadwerkelijk gestolen is. Even buiten gelaten dat in jouw voorbeeld het vrij duidelijk is dat iets weg is, i.p.v. gekopiëerd, kun je natuurlijk prima zien wat weggehaald had kunnen zijn.
Hetzelfde geldt natuurlijk met een datalek. Als blijkt dat men toegang heeft gehad tot, bijvoorbeeld, een file server, dan kun je wel stellen dat alle data op die server gelekt kan zijn. Of al die data ook daadwerkelijk gelekt is, is een ander verhaal. Afhankelijk van de aanwezige logging komen ze daar mogelijk nooit achter.

Ze weten wel direct te melden dat het reserveringssysteem niet getroffen is, daar hebben ze dan wel kijk op. Bijna vanzelfsprekend dat ze dat zeggen natuurlijk, want daarmee verdienen ze de centen...

CH4OS

Datalek

@The Realone • 13 februari 2024 17:54

Als ik enkel een bepaald (klein) juweel bijvoorbeeld steel, zal niet iedereen dat gelijk opvallen me drunkt.

The Realone @CH4OS • 13 februari 2024 18:03

Goed, maar dat is natuurlijk niet hetzelfde. Als iemand inbreekt in de kamer waar dat kleine juweel lag, dan kun je dus prima stellen dat dit gestolen kan zijn.

Senaxx @Simon Weel • 13 februari 2024 16:41

Ja zo lees ik het ook, eerst beetje reclame maken dat je gerust kan blijven reserveren. En je ook niet bang hoeft te zijn dat je geen nieuwsbrieven mist. En we weten ook in welk systeem het zat en hebben een kopie terug gezet; maar waar waar het lek zit en wat er stond is niet duidelijk...

Het zal eens tijd worden dat er na een melding bij de AP dat er meer gevolgen zijn voor een bedrijf voor zulke lekken. Ik heb nu nog steeds het idee dat behalve de melding en af en toe een kleine boete of tik op de vingers er te weinig gebeurt voor de burger. Ze harken nog steeds zoveel mogelijk data en informatie binnen van de klant en bekijken later wel eens of het goed beveiligd is.

De persoon waarvan de gegevens van lekken kan er serieus veel hinder van ondervinden. Bedrijven worden daar naar mijn idee nog lang niet genoeg verantwoordelijk genoeg voor gehouden.

SeenD @Simon Weel • 14 februari 2024 09:53

Het is wel lastig om te bepalen wat er gestolen is. Je moet alle logs nalopen en verifiëren. En tegenwoordig moet je snel aangeven dat er iets gebeurd is en dan heb je niet veel tijd om na te gaan wat er gebeurd is.

Simon Weel @SeenD • 14 februari 2024 10:18

Zeker, maar als je weet waar het lek zit, dan weet je ook welke gegevens gegevens gelekt kunnen zijn? Achterhalen welke gegevens daadwerkelijk zijn buitgemaakt lijkt me inderdaad een lastig verhaal...

nutty 13 februari 2024 19:10

Gaat europarcs iedereen nu een bedrag betalen omdat de kans bestaat dat de gegevens in verkeerde handen valt of gaat vallen.
Dat zou namelijk wel moeten vindt ik.
Het wordt de gewoonste zaak geacht om alles maar te moeten verstrekken, maar dan wel ter verantwoording worden geroepen als de data kwijt raakt.

SunnieNL

@nutty • 13 februari 2024 21:05

Dat wordt geregeld vanuit de toezichthouder. Dit is een melding, dan wordt daarna gekeken welke gegevens exact zijn buitgemaakt en daarna of het komt door nalatigheid (te veel gegevens opgeslagen, te weinig gedaan om impact te verkleinen, te weinig gedaan om datalek te voorkomen) en dan volgt er daarna een boete.

Zonder te weten welke gegevens er zijn gestolen is er weinig te zeggen over welk risico mensen lopen. Daarnaast is van elke nederlander al lang de basisgegevens gelekt in mijn ogen.

Lisadr 13 februari 2024 16:25

Is het een aanval waardoor een lek is onstaan of heeft een medewerker (per ongeluk) data gelekt?

wildhagen

Beveiliging en antivirus
Bedrijfsnieuws
Datalek

@Lisadr • 13 februari 2024 17:03

Dat is dus nog onbekend, als ik het bericht goed interpreteer zijn ze dat dus nog aan het onderzoeken.

Het feit dat ze een backup terugzetten impliceert mogelijk dat het om ransomware zou kunnen gaan, maar het kan evengoed iets anders zijn.

Anoniem: 1576590 13 februari 2024 16:31

Minicursus: wat te doen tegen ransomware
De verstandige en gangbare aanpak is om van twee risicofactoren uit te gaan:

1) De kans dat jouw organisatie slachtoffer wordt van een ernstig cybersecurity-incident zo klein als mogelijk maken. D.w.z. met maatregelen die redelijkerwijs in verhouding staan tot de risico's die jouw organisatie loopt. Ethische organisaties houden daarbij ook rekening met de risico's die stakeholders (klanten, partners, leveranciers) lopen.

2) Mocht het toch gebeuren, redelijkerwijs voorzieningen treffen die de impact (schade, niet alleen financieel) van een beveiligingsincident zo laag mogelijk maken. M.b.t. "redelijkerwijs" geldt ook hier een relatie met de risico's die jouw organisatie loopt, en ook hierbij houden erthische orgs rekening met risico's van derden als gevolg van zo'n incident.

M.b.t. punt 1: er is simpelweg nog véél te véél "laaghangend fruit". Als je evenveel (of meer) "kroonjuwelen" in huis hebt met minder beveiliging dan jouw conculega's, pakken de meeste cybercriminelen jou. Voor de meeste organisaties is deze kans het grootst.

Sommige organisaties zullen rekening moeten houden met verschillige (niet-onverschillige) cybercriminelen die (evt. in opdracht) specifiek jouw organisatie in hun vizier hebben. Dat kan de kans op een cyberincident enorm vergroten. In zo'n situatie zijn dus strengere (type duurder, irritant en/of efficiëntie-verlagend) maatregelen op z'n plaats. Met als doel het verlagen van de kans en/of de impact.

Offline backups zijn NIET voldoende
Nog veel te veel mensen (ook systeembeheerders!) associeren ransomware uitsluitend met versleutelde servers en denken met offline backups alle potentiële probiemen op te kunnen lossen. "Onaantastbare" backups klinken leuk, maar:

• Soms hebben criminelen al maanden toegang tot netwerken van slachtoffers. Hoe oud is jouw laatste betrouwbare backup, en hoe denk je dat (in een crisissituatie) vast te kunnen stellen?

• Hoe betrouwbaar is de firmware nog in systemen waar je backups op terugzet? Of firmware in jouw netwerkapparatuur?

• Je gaat met deze aanpak grotendeels voorbij aan de risico's voor- of concrete schade die- stakeholders oplopen door een cyberincident in jouw organisatie.

Voorkomen of genezen?
Voorkómen is beter dan genezen luidt het gezegde. Maar dat is m.i. te simpel. Je kunt inderdaad nauwelijks of niet voorkómen dat, bijvoorbeeld, een medewerker in phishing trapt en/of een (zwak) wachtwoord (her)gebruikt, en zelfs met 2FA neemt de kans hierop alleen maar toe (artikel van gisteren, eindigend met een advertentie, maar inhoudelijk correct).

Je moet er dus vanuit gaan dat accounts gecompromitteerd raken. Dus is het zaak om (a) de schade bij kansrijke cyberincidenten zoveel mogelijk te beperken (in elk geval "lateral movement" zo moeilijk mogelijk te maken) en (b) zodanig grondig te monitoren dat zo'n breach, zo snel als mogelijk, wordt opgemerkt en je passende maatregelen kunt (laten) nemen.

(a) Voorkóm verspreiding in jouw netwerk
Cybercrinelen zullen in MS omgevingen, zo snel als mogelijk, domain admin willen worden. In non-MS-omgevingen gelden vergelijkbare risico's: privilege escalation naar admin/root-achtige rechten, toegang verkrijgen tot door beheerders gedeelde password managers etcetera. Wapen jouw organisatie hiertegen; assume breach.

(b) Bewaking
Je kunt veel doen, waaronder (en/en is beter maar duurder):

• Pro-actieve monitoring, o.a. anomaly-detection. Duur, arbeidsintensief (vaak, vooral in het begin, veel valspositieven).

• Honeypots opzetten (documentatie wel strikt geheimhouden): zwaalichten en sirenes zodra de val dichtklapt.

• Zorg dat, zo mogelijk alle, logs ook naar een veilige centrale plaats worden gestuurd (via veilige verbindingen). Die logs blijken, na een onverhoopt grootschalig incident, vaak onmisbaar om te achterhalen wanneer de aanval begon, waar mogelijk schade is opgetreden, en welke. Dit kan op zich passief.

N.B. Dit is een iets aangepaste versie van wat ik eerder vanmiddag op security.nl schreef.

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 07:02]

Lisadr 13 februari 2024 16:37

Concurrent Landal had recentelijk ook een datalek met gegevens van 12.000 klanten

https://www.rtlnieuws.nl/...evens-dark-web-ransomware

Futoman 13 februari 2024 18:25

Het erge is nog dat we dit soort data lekken na een tijd als normaal beschouwen omdat het zo vaak gebeurt en steeds vaker gebeurt.

PhilipsFan 13 februari 2024 16:53

Zo, slachtoffer zelfs... Volgens mij is Europarcs hier de OORZAAK van een datalek. De slachtoffers zijn de mensen wiens data gelekt is.

Weer zo'n bedrijf dat allemaal onnodige persoonsgegevens opslaat van betalende klanten en dan bij datadiefstal krokodillentranen gaat janken. Stop gewoon met het opslaan van die gegevens. Wat je niet opslaat, lekt ook niet uit.

Groningerkoek @PhilipsFan • 13 februari 2024 17:18

Aangezien ze verantwoordelijk zijn voor de toeristenbelasting van hun gasten ontkomen ze er niet aan om van elke gast gegevens te bewaren. Tenzij ze de wet gaan overtreden natuurlijk

Ryen @PhilipsFan • 13 februari 2024 17:59

Ze zijn inderdaad verantwoordelijk. Helaas zijn sommige klantgegevens nodig voor het uitvoeren van hun taken. Maar meestal bewaren bedrijven veel meer dan daarvoor nodig is.

SunnieNL

@PhilipsFan • 13 februari 2024 21:02

Hoe kun je stellen dat ze de oorzaak zijn?
Mogelijk zijn ze via een 3de partij in de systemen van Europarcs terecht gekomen?

Europarcs heeft zich gewoon aan de AVG te houden en slaat dus alleen gegevens op die nodig zijn om hun werk te doen.
Ik kan jouw baas ook vragen om al die onnodige gegevens van jouw niet op te slaan, maar hoe gaat die dan het loon overmaken? Of de verplichte afdrachten regelen naar de belasting, verzekering, pensioen?
Hoe gaat zo'n bedrijf zorgen voor de juiste afboeking, het juiste huisje op het juiste moment, boekhouding van x jaar bij controle, belastingafdracht, etc?

Ryen 13 februari 2024 16:35

Uit het artikel:
slachtoffer is geworden van een datalek

Een bedrijf veroorzaakt zelf doorgaans een datalek, door onachtzaamheid of onzorgvuldigheid. Ze zijn verplicht om dit te voorkomen. Een beetje vreemd om ze dan slachtoffer te noemen.

Als ik een fles wijn uit mijn handen laat vallen, ben ik dan een slachtoffer van een gebroken fles?

The Realone @Ryen • 13 februari 2024 16:44

Als jij de fles wijn in je handen hebt en iemand slaat hem uit je handen, ben jij dan het slachtoffer?
Als jij de achterdeur van je huis vergeet af te sluiten en iemand breekt bij je in, ben jij dan het slachtoffer?

Dat iemand wellicht iets niet afdoende heeft gezekerd, wil niet zeggen dat ze geen slachtoffer kunnen zijn van andermans daden.

litebyte @The Realone • 13 februari 2024 17:56

Als jij de achterdeur van je huis vergeet af te sluiten en iemand breekt bij je in, ben jij dan het slachtoffer?

Ja, dan ben je inderdaad slachtoffer, dat heet dan insluiping (huisvredebreuk) en is strafbaar. Je hebt gewoon met je gore poten van iemands anders spullen af te blijven of het nu fysieke goederen zijn of digitale, of het nu 'digitale insluiping' is of fysieke.

Toevoeging: Je kunt als iemand met andersmans spullen verkeerd of slecht omgaat wel grove nalatigheid ten laste worden gelegd en je dus aansprakelijk bent.

[Reactie gewijzigd door litebyte op 23 juli 2024 07:02]

The Realone @litebyte • 13 februari 2024 18:03

Het was dan ook meer een retorische vraag richting Ryen...

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Ryen • 13 februari 2024 17:41

Voorkomen is nooit 100% mogelijk. Niet in de laatste plaats omdat zowel techniek als de mens niet onfeilbaar is.

Anoniem: 1576590 @Bor • 13 februari 2024 19:59

Bor schreef:

Voorkomen is nooit 100% mogelijk.

Dat is een exact 100% "ja duh" opmerking waar helemaal niemand iets aan heeft (integendeel, zie onder).

Bor schreef:

Niet in de laatste plaats omdat zowel techniek als de mens niet onfeilbaar is.

Klopt, maar "techniek" lijkt mij vooral door mensen gemaakte software of firmware.

Terug naar jouw eerste zin: met "Voorkomen is nooit 100% mogelijk" zouden lezers kunnen denken dan daarom elke organisatie even (eenvoudig) gehacked kan worden, en daarmee geef je daadwerkelijk gehackte organisaties een (hen zeer welkom) excuus.

Met die implicite suggestie (ook indien je dat niet zo bedoelde) dat elke organisatie (eenvoudig) gehacked zou kunnen worden, ben ik het totaal niet eens (gelukkig horen we bijvoorbeeld zelden dat financiële computersystemen van banken worden gehacked). Ik begrijp dan ook niet waarom het zinloze en potentieel misleidende "argument", 100% veiligheid bestaat niet, zo vaak genoemd wordt.

Natuurlijk zit het ergens tussen de 0% en de 100%, maar de belangrijkste vervolgvraag daarbij is waar (ongeveer).

Het is gebruikelijk om risico te berekenen als kans x impact. Zoals ik elders op deze pagina beschrijf kun je wel degelijk maatregelen nemen om het aanvallers (veel) moeilijker te maken.

De praktijk is dat veel bedrijven en andere organisaties gehacked worden omdat hun informatiebeveiliging ver onder de maat is. Denk aan patchbeleid, netwerksegmentatie, gebruikersrechten en/of privileges, logging en monitoring, dataminimalisatie, voortdurend lekke apparatuur als Single Point of Failure (zoals van Fortinet en Ivanti, maar ook Cisco) of een RDP-server die aan internet hangt (toegankelijk met slechts "Welkom2020" als wachtwoord).

Dat kan echt beter. De vraag is m.i. vooral of de stok achter de deur groot genoeg (of slechts een jong twijgje) is.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Anoniem: 1576590 • 13 februari 2024 20:27

Terug naar jouw eerste zin: met "Voorkomen is nooit 100% mogelijk" zouden lezers kunnen denken dan daarom elke organisatie even (eenvoudig) gehacked kan worden, en daarmee geef je daadwerkelijk gehackte organisaties een (hen zeer welkom) excuus.

Je trekt mijn uitspraak zeer onterecht uit zijn verband en maakt er een negatief verhaal van. Ik reageer op: "Een bedrijf veroorzaakt zelf doorgaans een datalek, door onachtzaamheid of onzorgvuldigheid." waarbij ik wil aangeven dat het niet altijd zo simpel is. Een datalek wordt niet altijd veroorzaakt door onachtzaamheid of onzorgvuldigheid. Er zijn vele manieren waarop data gelekt kan worden, ook wanneer je zaken goed op orde hebt.

Ik begrijp dan ook niet waarom het zinloze en potentieel misleidende "argument", 100% veiligheid bestaat niet, zo vaak genoemd wordt.

Omdat het feitelijk gewoon klopt. Je dient het niet als excuus te gebruiken maar begrijpen dat een kans nooit 0 zal zijn (risico is kans x impact) leert je ook dat je slechts een risico zo veel mogelijk kan vermijden. Ook dat hoort bij risico management.

[Reactie gewijzigd door Bor op 23 juli 2024 07:02]

Anoniem: 1576590 @Bor • 13 februari 2024 21:09

Mijn punt was dat je, met zo'n korte reactie, lezers op het verkeerde been kunt zetten. Waarom reageer je zo gepikeerd, mag ik dat niet schrijven?

Bor schreef onder meer (vette opmaak toegevoegd door mij):

Ik reageer op: "Een bedrijf veroorzaakt zelf doorgaans een datalek, door onachtzaamheid of onzorgvuldigheid." waarbij ik wil aangeven dat het niet altijd zo simpel is. Een datalek wordt niet altijd veroorzaakt door onachtzaamheid of onzorgvuldigheid.

Okay. Eerder schreef je echter nog:

Niet in de laatste plaats omdat zowel techniek als de mens niet onfeilbaar is.

Zie mijn vraag hieronder.

Bor schreef vervolgens:

Er zijn vele manieren waarop data gelekt kan worden, ook wanneer je zaken goed op orde hebt.

Noem er eens een paar? Ik ben benieuwd.

Nb. een ernstig cyberincident t.g.v. een SPoF (Single Point of Failure) met een zero-day (zoals in Fortinet of Ivanti spul, zeker na de stroom lekken in die rommel de afgelopen jaren) vind ik onachtzaamheid - maar daarover zouden we van mening kunnen verschillen.

M.b.t. mijn waarschuwing voor het gebruik van de tekst "Voorkomen is nooit 100% mogelijk", schreef Bor:

Omdat het feitelijk gewoon klopt. Je dient het niet als excuus te gebruiken maar begrijpen dat een kans nooit 0 zal zijn (risico is kans x impact) leert je ook dat je slechts een risico zo veel mogelijk kan vermijden. Ook dat hoort bij risico management.

Je gaat niet in op mijn argument dat jouw (zeer korte) reactie van 17:41 verkeerd kan worden begrepen, exact vanwege het weglaten van de aanvullende informatie die je direct hierboven wel geeft.

Op dit item kan niet meer gereageerd worden.

Vakantiepark EuroParcs meldt datalek, maar de exacte omvang is nog onbekend

Lees meer

Reacties (67)

Sorteer op:

Weergave: