Schoolboekenleverancier Iddink is getroffen door ransomwareaanval

Iddink Learning Materials, een leverancier van lesmateriaal aan Nederlandse en Belgische middelbare scholen, is getroffen door een ransomewareaanval. Daarbij zijn vermoedelijk namen, adresgegevens en IBAN-nummers gestolen van een groot aantal ouders en leerlingen.

Iddink laat weten dat het donderdag getroffen werd door een cyberaanval. Daarbij zouden de hackers de data in het systeem van de leverancier hebben versleuteld met ransomware, voegt onderwijskoepel Sivon toe. Er zouden 'signalen' zijn dat er persoonlijke gegevens van scholen, leerlingen en ouders die lesmateriaal hebben besteld, uit het systeem zijn gestolen.

Het gaat daarbij om naw- en bankgegevens, schrijft Sivon. Iddink laat weten dat het na de ontdekking van de aanval, direct de getroffen systemen heeft afgesloten en de politie en Autoriteit Persoonsgegevens op de hoogte heeft gebracht. Ook voert de leverancier naar eigen zeggen een grondig onderzoek uit om achter de precieze omvang van het datalek te komen.

Iddink heeft door de ransomwareaanval geen toegang meer tot de eigen systemen, en scholen daardoor ook niet, schrijft Sivon. Het gekochte lesmateriaal zou nog wel beschikbaar zijn. Iddink is ook de maker van leerplatform Magister, maar het bedrijf meldt dat er van dat platform geen gegevens zijn gestolen. Magister is dus eveneens nog bereikbaar.

Volgens Iddink zit de hackersgroep Cactus achter de aanval. Deze criminele organisatie zou het afgelopen jaar bij tientallen bedrijven ransomwareaanvallen hebben uitgevoerd, waaronder bij Schneider Electric, een Franse multinational die zich bezighoudt met energiemanagementsystemen. Een woordvoerder van Iddink zegt tegen het AD dat Cactus contact heeft gezocht met de schoolleverancier, maar dat het bedrijf niet van plan is om met de criminelen te onderhandelen.

Naar eigen zeggen verkoopt en verhuurt Iddink lesmateriaal aan 300.000 middelbareschoolleerlingen in Nederland en 120.000 scholieren in België. Hoewel het nog onduidelijk is hoeveel van deze klanten slachtoffer zijn geworden van het datalek, gaat de leverancier ervan uit dat het gaat om 'alle scholen die bij ons aangesloten zijn en de gegevens van de leerlingen die thuis een pakket hebben ontvangen', laat het bedrijf weten aan Omroep Gelderland.

Door Kevin Krikhaar

Redacteur

14-04-2024 • 10:08

94

Submitter: mlohnen

Reacties (94)

Sorteer op:

Weergave:

hebben ze dan binnen gebroken en zelf de ransomware geinstalleerd of heeft iemand ergens op geklikt waar het niet moet ? Merendeel van de tijd laten ze uitschijnen alsof ze slachtoffer zijn van een aanval terwijl in de meeste gevallen of althans vroeger toch men geinfecteerd wordt door een slechte actie van een medewerker.
Valide vraag, maar het initiatief komt niet altijd van binnen uit.

Ransomware is een business model die eenvoudig valt te schalen: je valt kleine bedrijfjes aan met bekende exploits aangezien die beveiliging vaak niet of slecht op orde hebben, het geld wat je daarmee afperst kan je gebruiken om minder bekende exploits of zelfs zero days te kopen - die gebruik je om grotere bedrijven mee aan te vallen.

Als je pakweg de helft van het geld blijft gebruiken om te investeren in aankopen op de zwarte markt (zero days, toolkits, blackhat software engineers) dan gaat het heel snel. Tel daarbij neven inkomsten op van het doorverkopen van buitgemaakte data en opnieuw aanvallen van het slachtoffer, en je investering betaalt zich terug met een absurde ROI. Daarom is betalen dus maatschappelijk, ethisch en economisch onverantwoord.
Natuurlijk is afpersing wel het probleem maar je kunt prima meerdere facetten van een probleem bespreken zonder gelijk alleen voor of alleen tegen te zijn. Het feit dat afpersing een probleem is betekend niet dat onderhandelen met criminelen niet ook een probleem kan zijn. Het is geen kant en klare, zwart of wit zaak, zoals jij het probeert af te schilderen.
De post boven me stelt "Daarom is betalen dus maatschappelijk, ethisch en economisch onverantwoord.".

Dat is volgens mij redelijk zwart-wit. Maar blijkbaar wel de wenselijke mening, gezien die post een +2 krijgt en de mijne een -1. Tja...
Ik snap het punt, maar het schiet nu IMHO te ver door - je kan je nu verzekeren voor randsomware om je data terug te kopen - dat gaat mij dan ook weer te ver - de oplossing ligt waarschijnlijk in het midden?
Verzekeren kan al heel lang. En steeds minder bedrijven bieden die verzekering aan, want te duur.
Bij verzekeren is het een eenvoudig business model: wat kost het om de data terug te krijgen zonder ransomware te betalen en wat moet ik aan ransomware betalen? Stel de kosten voor herstel bedragen 200.000 euro en de ransomware maker vraagt 50.000 euro, dan is de businesscase voor de verzekeraar snel gemaakt.
Vaar het tweede idd, maar maakt de schade niet minder erg.

We zouden eens een stapje terug moeten doen. Alles moet tegenwoordig maar digitaal gekoppeld zijn terwijl we daar nog niet klaar voor zijn. Techniek en mensen groeien uit elkaar.

Ook deze laffe criminelen gaan (of doen al ) gebruik maken van AI. Weer zon ontwikkeling waar we niet klaar voor zijn. (idem atoombom)

Terug naar de basis
Of we gaan eens kijken hoe we dit soort informatie minder gevoelig laten zijn.

In theorie zou het niet uit moeten maken dat je rekeningnummer en naam op straat ligt. Zolang er geen misbruik van gemaakt kan worden ergens anders in de keten is deze informatie waardeloos.

Zo ook het bekende voorbeeld van het BSN-nummer in Zweden, die iedereen van een ander persoon kan opvragen.
Allereerst moet je kijken of de informatie die je verwerkt, wel moet verwerken. Zeg maar de doelbinding. Een geboortedatum lijkt me niet echt essentieel voor Iddink. En betaalgegevens alleen in die situatie waarbij de betaling in termijnen verloopt. Iedereen die het volledige bedrag betaald heeft, daar hoeven geen betaalgegevens van bewaard te worden. Dus start met dataminimalisatie.
Tweede: versleutel alles. Niet alleen de harde schijven, en juist de losse data in de databases.
Derde: WORM-backup maken en regelmatig testen of tijdens terugzetten de data goed teruggelezen kan worden.
Ik kreeg een brief van school (een PDF per mail, anno 2024, maar goed) waar staat dat adres en geboortedatum zijn buitgemaakt. Het persbericht vermeldt juist dat niet. Kwalijk, naast natuurlijk dat de doelbinding voor geboortedatum mij ook ontgaat. Ik zal Iddink daar eens naar vragen.
Dat stond in de brief die wij van school kregen.
In de database van Iddink is informatie opgenomen voor de
bestelling en levering van lesmateriaal. Het gaat om naam,
geboortedatum, adres, woonplaats en mogelijk contactgegevens,
zoals emailadres en telefoonnummer. Het is ook mogelijk dat
informatie over de betaling (bankgegevens) opgenomen zijn in de
database van Iddink. Er wordt uitgezocht over welke informatie de
hackers beschikken, wij gaan er op dit moment vanuit dat hackers
de beschikking hebben gekregen over alle informatie.
Adres is logisch, want de boeken worden (thuis)bezorgd. Bankgegevens zijn alleen noodzakelijk wanneer er in termijnen betaald worden via een machtiging. Geboortedatum is overbodig voor de dienst die geleverd wordt.

[Reactie gewijzigd door -PatrickO- op 22 juli 2024 16:02]

100 punten, het is niet dé oplossing aangezien criminelen met deze gegevens nog steeds veel effectiever kunnen phishen (lees: identiteitsfraude), maar absoluut een ding waar we in Nederland achter lopen.
Alles moet tegenwoordig maar digitaal gekoppeld zijn, terwijl we daar nog niet klaar voor zijn
Alles moet tegenwoordig 'goedkoop' zijn. En om dat te kunnen doen, moet je alles digitaal koppelen. Moet je je voorstellen dat iedereen iedere dag inkomende communicatie met de hand verwerkt in een ander systeem. Dat is ondenkbaar traag, foutgevoelig en duur.

Er zijn een aantal zaken die je kunt doen om je weerbaarder te maken tegen ransomware-aanvallen. Alles met MFA, netwerkcomponenten afschermen, enz., enz., enz.

En dan uiteraard naast awareness van alle medewerkers en zo.
Helaas is het nog veel ingewikkelder dan dat ;).
Klopt. De waarheid heeft veel meer factoren. Uiteraard is een factor winstmaximalisatie, marketing, relatiebeheer, enz. voor de high-level dingen, die omlaag druipen naar detailzaken.
We zijn zeker wel klaar om alles digitaal te koppelen, het feit is gewoon dat veel bedrijven daarvoor geen eerlijke prijs willen betalen. In Nederland is IT zwaar onderbetaald en ondergewaardeerd. Daarmee krijg je of onkundigheid (zie als schoolvoorbeeld IT rijksgilde) of onderbezetting en onderbesteding (de vele MKB die Nederland telt). Ooit is Amazon ook als kleine boekhandel begonnen, en heeft slim genoeg het grootste gedeelte van haar geld geïnvesteerd in techniek.

Een echt goede software engineer of IT specialist is schaarser in Nederland dan de typische één in een dozijn directeur, maar toch betalen we niet naar waarde. Het is zo erg gesteld dat de hele 30% regeling vrijwel alleen bestaat voor IT'ers om salarissen een beetje competitief te maken tegenover andere landen. Enkel de grootste tech bedrijven betalen eerlijk voor de schaarste (amazon, meta, uber, etc.), en krijgen daarmee ook het talent. Zelfs onze nationale lieveling ASML betaalt IT zeer matig voor de gigantische omzet die ze hebben, en je ziet daarmee regelmatig dat kennis/data gestolen wordt door matige afscherming en IT policy. Vooral veel MKB tellen hun winst door te besparen op IT'ers, maar negeren totaal de potentiële kosten en liabilities, en daarnaast de gemiste inkomsten. Achteraf wel veel geld neerleggen voor een ransom, maar dan alsnog niet beveiliging op orde stellen.

Het is ook gewoon ronduit jammer in Nederland dat we voor alles veiligheidsvoorschriften hebben, terwijl op digitaal vlak de wetgeving gewoon achterloopt. Waarom mag je bijvoorbeeld legaal PII in plaintext opslaan, en waarom mag elke amateurist een systeem opzetten die PII en betalingen verwerkt? Een MKB kan in principe gewoon een hobbyist inhuren om een website op te zetten gegevens onveilig opslaan, ze hoeven enkel een datalek te melden als ze daarvan op de hoogte zijn. Het internet is onderhand een kritieke infrastructuur en het zou goed zijn als aan IT werk ook gewoon eisen stellen net zoals ingenieurwerken in de leefomgeving. We laten ook geen bruggen bouwen door klussers, maar eisen vastgelegde kennis, verantwoordelijkheid en aansprakelijkheid.

[Reactie gewijzigd door Fox op 22 juli 2024 16:02]

Er wordt zoveel software weggegeven dat veel mensen denken dat het niets kost. En er dus ook niet veel voor willen betalen. Directeuren verkopen zichzelf beter en dus krijgen die meer.
Moet zeggen, als iemand die al jaren Cybersecurity werk doet, het helemaal eens ben met je....
Er was een periode dat IT’ers goed betaald kregen, en toen werd ineens iedereen die een PC-privé cursus gevolgd had een IT’er, die dachten er al te zijn. Hij/Zij/Binair zelf en de baas staken er geen studie tijd meer in kregen een vaste baan en zo waar, we zien al jaren de vruchten ervan.
En de IT'ers geven zoveel gratis weg dat de meesten inmiddels denken dat Software geen geld kost en dat het dus vooral gratis moet zijn..
Onder aan de streep maakt dat niet zo heel veel uit natuurlijk.
Ook als een medewerker op een 'verkeerde link' heeft geklikt, kun je je afvragen of dit echt de 'schuld' van de medewerker is. Een vergissing is immers menselijk.
We weten nu helemaal niets hierover, maar als de binnenkomende vector een spearphishing betreft, dan is dat heel ingewikkeld om je daar goed tegen te beschermen.

Iddink is natuurlijk een heel interessant doelwit. Zij hebben connecties met heel veel scholen. Moet je je voorstellen als ze via Iddink naar een hele vracht scholen door hadden kunnen dringen.
- medewerker klikt op verkeerde link.
- medewerker komt op louche site en moet iets downloaden.
- medewerker geeft toestemming voor download.
- medewerker geeft toelating om download uit te voeren.

Maar het is niet de schuld van de medewerker..? 🙄
Medewerkers kun je niet trainen. Ja je kan ze awareness trainingen geven maar je kan niet garanderen dat iemand niet iets doms gaat doen. Daarvoor heb je technische en niet-technische controls.

- Eerst moet je spamfilter al malafide bijlagen scannen en tegenhouden. Maar de verspreiding kan ook anders gestart zijn dus negeer die even.

Daarnaast:
- Je endpoint protection moet het klikken op malafide links tegenhouden
- Je firewall moet louche sites blokkeren
- Je medewerker moet niet zomaar alles kunnen downloaden (AppLocker!)
- Je medewerker moet admin-rechten vragen om iets te installeren

De schuld ligt bij de verspreider van de malware. Anders doe je aan victim-blaming. Ja je kan je medewerkers vertellen wat ze wel of niet moeten doen, maar die medewerkers zijn er om hun _werk_ te doen. Die ga je niet tegenhouden om domme dingen uit te halen.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 16:02]

Ook als een medewerker op een 'verkeerde link' heeft geklikt, kun je je afvragen of dit echt de 'schuld' van de medewerker is. Een vergissing is immers menselijk.
Relevant.

Vergissingen zijn menselijk. Ruimte voor vergissingen zorgt ervoor dat een ontevreden medewerker zich bewust onbekwaam kan opstellen met plausibele ontkenning.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:02]

Ontevreden medewerkers vinden toch wel een weg om de boel te verstieren. Een onredelijk stramien rond vergissingen zal wellicht ervoor zorgen dat je meer ontevreden medewerkers krijgt, wat per saldo nog nadeliger uit zou kunnen pakken.

Ruimte voor vergissingen betekent immers nadrukkelijk niet dat men na een aai over de bol meteen over gaat tot de orde van de dag, maar dat er een inzet verwacht mag worden om, waar mogelijk, de vergissing te corrigeren en om te leren van de fouten.
Ik denk dat “ruimte voor vergissingen” niet over de schuldvraag gaat maar dat je systemen moet inrichten die de gebruiker voor vergissingen behoeden. Bijvoorbeeld: Een gebruiker zonder admin-account kan ook geen vergissingen maken die admin-rechten vereisen.
Je wordt genul'd, maar je hebt zeker een punt met dat stripje. Een ontevreden medewerker is makkelijker om de tuin te lijden dan een tevreden medewerker. Ook kan het bijvoorbeeld helpen als bepaalde medewerkers achterlijk hoge werkdruk hebben.

Dit zal ook zeker iets zijn waar een aanvalsvector (de specifieke medewerker) op wordt getarget.

Simpel voorbeeld.
Men gaat naar LinkedIn.
Daar ziet men wie de eindbaas is van een bedrijf. Vervolgens gaat de aanvaller ook rustig door al die publieke data kijken wie de direct rapporterenden zijn aan die eindbaas, en zo laagje voor laagje de ui pellen. Het heeft geen haast. Allemaal voorbereiding op de aanval. Er is nu een bekende structuur van het bedrijf bekend.

Na een tijdje research komt met er achter dat mevr xyz, de financiale topfiguur van een bedrijf is en wie er allemaal aan haar rapporteren. Vervolgens gaan we al die mensen rustig af op Facebook, LinkedIn, enz, enz, enz. en bekijken we hun verbazingwekkend open profielen, en gaan we rustig op zoek wie het meest toegankelijk lijkt voor een aanval. De aanvaller heeft hier weken/maanden de tijd voor. Ondertussen zoeken we ook uit wat voor software er allemaal draait (de medewerkers zijn bovengemiddeld vaak lid van Red Hat groepjes of van softwarehuis XYZ). We gaan ook even op internet kijken of het bedrijf misschien allerlei presentaties geeft over hoe leuk ze Puppet / Ansible / Azure Pipeles / whatever gebruiken.

We hebben nu dus al een hele boel informatie zonder ook maar één centje risico te lopen. Bij de logging van de social media (wie wat waar en wanneer opzoekt) verdwijnen we in de bulk. We klikken tenslotte alleen maar rond.

We hebben een doelwit uitgekozen, we weten wat voor platformen ze hebben, en nu dus naar de hoogst beschikbare, meest toegankelijke (lijkt het meest incontent/minst capabel/enz.) medewerker gaan 'aanvallen' met spearphishing.
Een werkstation mag toch nooit een server onderuit halen?
Nee, en een server, een werkstation ook niet.
Echter: Een werkstation heeft doorgaans wel toegang nodig tot een server. (anders kun je niet bij je applicatie)

Als je op een werkstation zit en je hebt je research al gedaan, dan weet je wat voor software het bedrijf heeft draaien. (door linkedin en zo). Dan kun je dus actief op zoek naar bekende zwakheden. Het dark web staat er vol mee. Ook van zaken die dus nog niet gepatched zijn.

Er zijn allerlei zaken om het moeilijker te maken. (MFA, applicaties scheiden op netwerkniveau, enz, enz, enz). Een goede ransomwareaanval is er één met geduld en finesse (niet opvallen totdat je klaar bent om bent om toe te slaan).
Slechte actie van een medewerker?? Als een gemiddelde medewerker rechten heeft om dit soort aanvallen mogelijk te maken is er iets anders aan de hand.
Klopt. Een gebruiker de schuld geven is erg makkelijk. Men moet ervan uit gaan dat een gebruiker per definitie stomme dingen doet.

Het begint bij geen admin rechten. Installeert de ransomware zich met gebruikersrechten dan kan deze alsnog een hoop schade aanrichten door bestanden / shares waar de gebruiker rechten toe heeft te versleutelen. Het blijft dan wel beperkt tot filerecovery en een werkstationnetje re-imagen.

Probleem is tegenwoordig niet meer het versleutelen van informatie, maar het lekken ervan. Heet je ASML dan is alle poortjes dichthouden prio nr. 1. Ben je mkb-er dan kost dit simpelweg veels teveel geld.

Al vraag ik me af of het uberhaupt te stoppen is. Wanneer je 1000 man een sleutel van je huis geeft laat ooit wel 1tje de deur open staan.

[Reactie gewijzigd door fRiEtJeSaTe op 22 juli 2024 16:02]

Zonder admin rechten pak je gewoon admin rechten en jat je vervolgens de hash van een recent ingelogde admin.

Dan via RDP vrolijk de servers af, want tja, beheren moet makkelijk zijn dus remote desktop staat op de meeste servers die ik tegenkom gewoon lekker open, nla gaat dat niet blokken als je van een legit werkstation komt binnen het domein. 2 factor kan je nog redden op dit moment, maar de meeste bedrijven die ik zie hebben dat niet op server logins zitten helaas, na mijn bezoek de meeste wel 🤣.

Dus ja, kan prima via een gebruiker gebeuren, enige manier om daar een beetje tegen te beschermen is multi layer defense, oftewel, hoezo kan een gebruiker überhaupt bij kritische servers komen die hij niet nodig heeft voor dagelijks werk, acl's op cliënt switches zijn niet moeilijk maar worden wel vaak vergeten etc.

Kan ook nog zijn dat een admin dom gedaan heeft en een gebruiker probeert te blamen, maar dat heeft het forensisch onderzoek zo boven water.
Zonder admin rechten pak je gewoon admin rechten en jat je vervolgens de hash van een recent ingelogde admin.
Begin bij het afnemen van admin-rechten en het blokkeren van onbekende executables. Een regel dat executables alleen vanuit Program Files of de Windows-folder uitgevoerd mogen worden, waar alleen een admin software kan installeren, houdt IMHO al veel ellende tegen.
Pak je gewoon admin rechten?? Das bij mijn weten iets minder makkelijk dan je nu beschrijft ( welke gek draait er dan ook nog Windows servers :+ ;) )
Mwoah, ongepatchte versie van software die je system maakt en je komt een end hoor. Kan de laatste tijd vaak via chrome, maar ook via office, adobe etc te doen mocht het nodig zijn.

En tja, die windows servers, in veel gevallen een noodzakelijk kwaad, want je bedrijf ophangen aan open source brengt ook risicos, vooral als admins niet documenteren en het bedrijf verlaten.
Heeft niet zoveel te maken met opensource. Als je Windows beheerder niks documenteert heb je hetzelfde probleem

Ongepachte software is 1 ding maar dan heb je nog een privilege escalatie vulnerability nodig ook en die software moet zelf ook nog eens met verhoogde rechten draaien. Bij mijn weten doen die genoemde programma’s dat niet (alleen tijdens updates vaak)
voordeel van een windows server is dat je alleen parameters kan schuiven maar de basis hetzelfde blijft, heb een keer verzoek van een gemeente gehad waar de beheerders zo ongeveer een eigen distro in elkaar hadden geknutseld, of dat gemigreerd kon worden was de vraag want ze zaten klem na het vertrek van de admin.

hier gewoon ff eentje van dit jaar, office bugje wat je system maakt op een systeem.

https://msrc.microsoft.co...nerability/CVE-2024-26199
Het actief uitlokken van een “slechte actie van een medewerker”, bijvoorbeeld door een mail met een link te sturen, wordt gewoon als een aanval gezien.
Dus? Iemand opbellen en zeggen dat'ie een touwtje door de brievenbus moet doen is dan ook een aanval. In de supermarkt vragen aan de persoon voor je of die jouw boodschappen wil betalen is dan ook een aanval? Dat zijn zaken waar je als gewoon mens van zegt: doe effe normaal. Maar als iemand een mail stuurt met een link erin dan is het ineens een aanval.
De aanval bestaat er natuurlijk uit dat je iemand vraagt om wat te doen onder valse voorwendselen. Zoals een link in een email naar een “belangrijke factuur die met spoed betaald moet worden”. Het is een vorm van social engineering.
Dan nog. Als ik je vraag in de sloot te springen doe je dat ook niet. En ja, ik snap het probleem, alleen is de oplossing niet strenger straffen of techniek oid maar digitale weerbaarheid en betere oplossingen. Email van buiten heeft dezelfde status als mail van binnen. Mail van de belastingdienst heeft dezelfde status als een mail uit China. We weten al sinds captain crunch dat je een scheiding hier in wil en toch blijven we er intrappen.
Het aanklikken van de attachment in een ‘pdf-bestand’ is slechts 1 kleine stap van de hele aanval. Daarnaast is de mail die verzonden wordt niet al een aanval?

Net als het aanbellen en doen alsof je van de Nuon bent deel is van een overval?

Maar je hebt gelijk, de slachtoffer kaart is altijd snel gespeeld terwijl slechte beveiliging ook een rol kan spelen

[Reactie gewijzigd door ultimasnake op 22 juli 2024 16:02]

Alle inbraken zowel digitaal als fysiek zijn dankzij een slechte actie van een medewerker.

Dus dan maar zeggen, oh domme medewerker klikte op een phishing linkje, dan is het geen aanval meer slaat nergens op.
dat niet, maar ik vind het nog wat anders wanneer ze eerst binnenbreken en zelf de ransomware installeren dan wanneer het op de allom gekende manier gebeurd. In de media (in het algemeen, niet specifiek hier), lijkt het altijd alsof ze eerst binnenbreken en zelf de ransomware installeren terwijl dat meestal niet zo is althans de berichten dat ik daar meestal over lees komen toch zo over.
Social engineering is ook een vorm van hacken en "inbreken". De mens is ook een onderdeel in veel informatiesystemen, en we spreken over informatiebeveiliging.
Alle inbraken zowel digitaal als fysiek zijn dankzij een slechte actie van een medewerker.
Dat is nonsens natuurlijk. Digitaal en ook fysiek kun je gewoon brute forcen. Daar helpt een awareness training "je moet de deur op slot doen als je weggaat" of "je mag niet op verdachte linkjes klikken" niet voor.
Beiden kan. En die malwareboeren (of degene die het uitvoert) zal het worst zijn als ze maar geld kunnen verdienen.
Gelukkig trekken deze knoeiers zich terug uit de Vlaamse markt.
Elke keer miserie, jaar na jaar en bij mijn beide dochters.
https://www.standaard.be/cnt/dmf20240109_97783375
De titel van dit artikel maakt duidelijk dat ik niet de enige ben die blij is er vanaf te zijn.

Dat ze hun beveiliging ook niet op orde hebben verbaast me niets. Wel weer tekenend dat we dit nieuws hier moeten vernemen en dat ze zelf nog geen contact met ons hebben opgenomen.
Zelfde hier. Nog niks gehoord van Iddink, terwijl ik toch ergens gelezen meen te hebben dat ze klanten hadden geïnformeerd.
Als alle data versleuteld is, lijkt het mij moeilijk voor hen om alle klanten een mail te sturen. De scholen zullen vast wel ergens in een contact lijst staan op een telefoontoestel.
Ouders zijn rechtstreeks klant bij iddink. We bestellen bij hen en krijgen (dubbele/foutieve/...) mails van iddink, dus ze hebben ons mailadres, thuisadres, rekeningnummer, werkadres,...
Het zijn gewoon eerste klas prutsers.
Ik denk dat je niet helemaal begrijpt hoe een ransomware aanval werkt. Het idee achter ransomware is dat alle gegevens van het slachtoffer versleuteld worden. Waaronder (mogelijk) jouw contactgegevens.

Het staat ook in het artikel waarop je reageert dat ze geen toegang meer hebben tot hun eigen systemen. En @FrostyPeet noemt het nog expliciet. Wel handig als je eerst leest waarop je reageert.

Ik heb trouwens geen sterke mening over hoe slecht Iddink is, maar wat je van hun vraagt is gewoon onmogelijk.
Ga je nu echt verdedigen dat er nergens een backup te vinden is die niet mee onder de ransomware aanval viel?
Zelfs ik, een bijberoeper heb hiertegen maatregelen genomen.
Op mijn hoofdjob is er naast de klassieke lokale opslag een backup in de cloud met versioning en daarnaast is er wekelijks een HDD swap naar een externe locatie. Dat zijn allemaal geen ongelooflijk moeilijke of dure dingen, dat zou gewoon het minimum moeten zijn voor een bedrijf.

Dus ja, ik vind het onbegrijpelijk dat we hiervan geen mail hebben gekregen.
Kans dat het OT word gezien, maar wij hebben voor onze beide kinderen een mail van school gehad dat dit gebeurd is, ik zou dus ook zeker uitkijken naar mails van school :) overigens vind ik dat Iddink dat ook zeker zelf gedaan zou moeten hebben maarja.

[Reactie gewijzigd door Wognummer op 22 juli 2024 16:02]

Ik heb ook behoorlijk gezever gehad met Iddink toen ik “vroegtijdig” van school ging en mijn boeken in Januari niet meer nodig had. Boeken toen ingeleverd bij de school zelf (met bevestiging van de complete lijst op schrift).

Gaven ze aan dat ze helemaal niks ontvangen hadden en of we ff €800 nogwat wilden neertellen met dossierkosten en incasso enzo.

Aangezien boeken bij ons altijd op school zelf ingeleverd moesten worden hebben we dit dan ook bij de school neergelegd. Er is niemand die controleert of de ingeleverde boeken veilig in de rol container blijven liggen en aangezien alles in een vuilniszak zit ingepakt met een makkelijk te verwijderen sticker, kan iemand die sticker gewoon omwisselen en er dan klaar mee zijn.

Twas ieder jaar wel weer gedoe met ze. Administratie was echt zeer ondermaats.
De link is niet openbaar te lezen
Moh...
Daarom dat ik schreef:
"De titel van dit artikel..."
Iemand enig idee hoelang Iddink data bewaart? Ben er al een poosje vanaf maar ben benieuwd of mijn gegevens er ook bij zouden kunnen zitten.
Ligt er heel erg aan wat voor systeem het om gaat. Administratie moet 7 jaar bewaard worden voor de fiscus. Dat maakt het ook gelijk zo irritant, want 5 jaar na dato kunnen de belangrijkste gegevens nog steeds gelekt worden.
Ik dacht dat de fiscus niet naam en adresgegevens van elke individuele transactie vereist. Net zo min als bij een fysieke winkel. Maar bedrijven zijn vaak lui en vinden het makkelijk om maar gewoon “alles” te bewaren. En soms veel langer dan 7 jaar want opruimen is ook werk en kost tijd en geld.
https://www.belastingdien...ewaren/wat_moet_u_bewaren
Kort door de bocht en in een notendop: Je moet alles bewaren wat iets met BTW te maken heeft
https://www.belastingdien...ministreert_u_voor_de_btw
Uitgaande facturen:
https://www.belastingdien...de_facturen_administreren
o.a.
- de datum van de factuur
- het nummer van de factuur
- de naam en het adres van de afnemer
Ik bekeek jouw links snel even maar blijkbaar maakt de BD onderscheid tussen verkoop aan particulieren en “rechtspersonen” (bedrijven, verenigingen, etc). Verkoop aan particulieren mag zonder NAW gegevens van de afnemer te bewaren. Voor rechtspersonen ligt dat anders. Logisch ook want anders zou je bij elke winkel je NAW gegevens moeten achterlaten, ook voor een pak melk.
Logisch ook want anders zou je bij elke winkel je NAW gegevens moeten achterlaten, ook voor een pak melk.
Het verschil zit in werken met een faktuurstelsel (verplicht bij verkoop aan bedrijven), en een kasstelsel (alleen toegestaan naar particulieren)

Een pak melk koop je meestal niet met een faktuur in de supermarkt, maar met een kasboeking. Daar wordt onderscheid in gemaakt. Je 'mag' wel met een faktuur werken naar particulieren. En dan moeten dus de NAW-gegevens vermeld zijn.

Althans. Dat is hoe ik het begrijp :)

[Reactie gewijzigd door lenwar op 22 juli 2024 16:02]

Het ligt er aan of het op factuur basis of op kasboeking is.

Bij een supermarkt hoef je ook niet altijd je NAW op te geven, maar moeten die transacties wel worden bewaard.

Het probleem bij bedrijven zoals Iddink is dat er wel degelijk een factuur moet worden gemaakt ivm het feit dat boeken in veel gevallen met subsidie worden verkocht of verhuurd.

Iddink heeft overigens een gigantisch probleem met zijn administratiesystemen. Het verbaast me dan ook niet zoveel dat het nu kompleet fout gaat. Trustpilot heeft een 1.1 score voor dit bedrijf: https://nl.trustpilot.com/review/iddink.nl
In een e-mail van VanDijk van zaterdag staat:
  • Bent u sinds 2009 al VanDijk klant? Dan hoeft u niets te doen. Maar blijf alert op phishingmails etc.
  • Bent u als school sinds 2009 overgestapt van Iddink naar VanDijk? Dan adviseren wij u de instructies van Iddink Learning Materials op te volgen, u bent door hen geïnformeerd hierover.
Het gaat zo te zien om 15 jaar.
Ik ben niet echt blij met het bedrijf. Als eerste meld het dat iedereen is ingelicht waarvan mogelijk data op straat ligt, ik sta blijkbaar na 7 jaar nog in hun systeem (heb ff snel ingelogd om het te checken) en heb geen mail gekregen. Daarbij vraag ik me af waarom die dataretentie uberhaupt zo lang is.
En wat voor grondslag ze daar voor denken te hebben...
"Wij monitoren actief het dark web om te zien of data van Iddink Learning Materials wordt aangeboden, tot op dit moment is dat niet het geval."

want "het dark web" is natuurlijk 1 site ala marktplaats....
Iddink en Heutink hebben geen tijd voor beveiliging, die zijn veel te druk bezig om ecosystem software te maken die hun in staat stelt scholen compleet af te zetten bij het kopen van lesmethodes.
Klinkt heel leuk, een systeem waar alle gegevens van lesmethodes in verwerkt kunnen worden, maar in de toekomst zijn dat dan natuurlijk alleen de lesmethodes die Heutink of Iddink aanbieden, je weetwel, die extreem dure lesmethodes, maar scholen hebben nou eenmaal dat ene systeem en switchen van systeem voor 1 lesmethode kost nog veel meer tijd en geld.

en zo jongens en meisjes, reizen de kosten in het onderwijs enorm de pan uit.
Inderdaad, deze leveranciers zijn echt de as van het kwaad. Geld onttrekken dat voor onderwijs bedoeld is.

Daarnaast begrijp ik nooit waarom bedrijven dit soort data altijd maar bewaren. Als je van school een qr-code oid krijgt waardoor de leverancier weet welke boeken je nodig bent, dan hoeven ze toch alleen je adresgegevens te hebben? Je naam is niet relevant, je banknummer is relevant todat er betaald is en kan daarna worden weggegooid. Alleen adresgegevens (zonder naam of banknummer) zijn relatief onschadelijk. En zelfs die kunnen worden weggegooid zodra de bestelling is afgehandeld.

Bedrijven moeten echt eens leren om alleen de gegevens te bewaren die ze echt nodig hebben. De Iddinks en andere prutsers van deze wereld denken dat ze Google zijn en kunnen verdienen met jouw data. Het wordt tijd dat er miljardenboetes gaan worden uitgedeeld voor dit soort praktijken, mooi ons onderwijsgeld weer terug krijgen waar het hoort, namelijk in de staatskas en vervolgens in de portemonnee van de docenten en ander onderwijspersoneel.
Factuurgegevens (volledige naam en adres) moeten 7 jaar verplicht bewaard worden.
Nu is het niet verplicht om een factuur te maken voor particulieren, maar de meeste bedrijven doen dit wel zodat het administratief beter te verwerken is. En dan moet het dus bewaard blijven.
Factuurgegevens (volledige naam en adres) moeten 7 jaar verplicht bewaard worden.
Nu is het niet verplicht om een factuur te maken voor particulieren, maar de meeste bedrijven doen dit wel zodat het administratief beter te verwerken is. En dan moet het dus bewaard blijven.
Het wordt nog leuker, veel onderwijsinstellingen bestellen lesmateriaal (digitaal en fysiek) bij Iddink, digitaal is vaak via Magister kunnen leerlingen hun digitale zooi ophalen maar de fysieke boeken worden in de zomervakantie vaak thuisbezorgd met een pakketdienst. De onderwijsinstelling plaatst de bestelling maar ondertussen worden wel persoonlijke gegevens aan Iddink verstrekt.

Discussie met deze cyberaanval is ontstaan is inmiddels;
Iddink zegt: Voor de leerlingen en ouders kan de cyberaanval impact hebben als schoolboeken of andere leermaterialen nu of in het verleden aan huis bezorgd zijn door Iddink Learning Materials.

Diverse onderwijsinstellingen zeggen: Geen persoonlijke gegevens van ouders, leerlingen, studenten en cursisten geraakt In tegenstelling tot wat Iddink heeft laten weten in haar persbericht, zijn er geen persoonlijke gegevens van ouders, leerlingen, studenten en cursisten van {...........} vrijgekomen bij de cyberaanval. {...........} maakt gebruik van digitaal lesmateriaal van Iddink, maar koopt dit zelf in..

Leuk natuurlijk maar {...........} maakt niet alleen gebruik van digitaal lesmateriaal maar heeft ook een bestelling geplaatst om fysieke boeken te leveren. In hoeverre deze cyberaanval ook impact heeft op deze (e.a.) onderwijsinstelling(en) is nog maar de vraag en het beroerdste is dat geen hond daar een eenduidig antwoord op kan (of wilt) geven.
Helemaal mee eens.
Wat ik mij ook afvraag is waarom die gegevens niet zijn versleuteld. Zo moeilijk moet dat toch niet zijn. Die hackers kunnen het tenslotte ook.
De prijs van lesmethodes wordt bepaald door de uitgevers/ontwikkelaars van de lesmethodes, niet door de schoolleveranciers. Schoolleveranciers zijn alleen maar de 'dozenschuivers' in dit proces.

Er valt veel te bekritiseren aan de rol van de schoolleveranciers, maar ze kunnen de school niet voorschrijven welke methodes ze gebruiken, en hun rol wordt (zeker in het VO, waar Iddink actief is) ook steeds minder relevant. D.m.v. aanbestedingen kopen VO schoolbesturen steeds vaker direct in bij de uitgeverijen.
Gelukkig zijn Heutink en Iddink ook de uitgevers/ontwikkelaars van de lesmethodes...
Nee, Heutink en Iddink zijn niet de uitgevers en ontwikkelaars van de lesmethodes. Malmberg, Noordhoff, ThiemeMeulenhoff, Zwijsen (en vele andere kleinere partijen) zijn de uitgevers/ontwikkelaars van de meeste lesmethodes die in Nederland worden gebruikt.
Heutink en Iddink zijn de 'winkels' die de lesmethodes verkopen aan scholen, net zoals Bruna, Bol.com of je lokale boekhandel niet de uitgever of schrijver zijn van de boeken zijn die ze verkopen.
Het is niet de eerst de eerste keer dat zij "data" kwijt raakte. Jaren terug kwamen ze ook in het nieuws dacht ik?

Ik vermoed dat "klantdata" in het algemeen te lang bewaard wordt bij bedrijven omdat het nu eenmaal handig is om te bewaren opslag kost niks en kan in de toekomst veel waard zijn.
Langer opslaan dan noodzakelijk is helemaal niks waard op lange termijn. Alleen maar ellende.

Deze data mag je verder namelijk niet gebruiken voor andere dingen dan waar oorspronkelijk toestemming voor is afgegeven.

Het kan je dus alleen maar geld kosten. Er aan verdienen is onmogelijk.
Opvallend is nu wel dat de informatie die de scholen krijgen, best wel onduidelijk is. Mogelijk dit, mogelijk dat. Maandag (15 april) is er een webinar van SIVON dat meer duidelijkheid moet geven. De concurrent van Iddink, van Dijk gaf gisteren wel meteen aan dat zij er geen last van hebben en dat zij de security onder de loep hebben genomen en aangescherpt hebben daar waar dat kon.

Bestuurders in het onderwijs zullen hier weer op reageren door (nogmaals) te benadrukken dat die (cyber-) security zo belangrijk is, Het normenkader van de overheid loopt echter nog steeds vertraging op en scholen vinden het niet hun core business. Zo'n hack als dit bij een van de leveranciers gaat wellicht wat helpen. Maar het valt of staat nog steeds met of scholen beried zijn tijd en geld te investeren in iets dat toch ongrijpbaar blijft...
Ik kreeg het bericht gisteren binnen van de school van mijn dochter. Vandaag al een mail in mijn mailbox met mijn voor- en achternaam in de mail van zogenaamd Coolblue dat ik een prijs heb gewonnen. Mailadres waar het van afkomstig was, was niet van Coolblue. Zoals zovelen al eerder deels mijn gegevens in gelekt door middel van een datalek, maak nu voor het eerst mee dat ze ook mijn echte naam gebruiken.
Het hele verhaal is en blijft vreemd.
Hoe komt t dat ze als ze op donderdag het weten pas op zaterdag gaan communiceren en zeggen dat ze klanten geïnformeerd hebben terwijl overal blijkt dat de scholen dat doen. Op de NOS staat "iedereen die ooit besteld heeft" maar hoe worden die mensen die niet meer op de scholen zitten geïnformeerd als de scholen het moeten communiceren? Scholen sturen alleen info naar hun huidige leerlingen en ouders gok ik zo
Ik heb dus vandaag als oud leerling een mail ontvangen van mijn oude school. Even voor de context ik ben nu al zo’n geruime 6 jaar van die school af. Wat ik nog het meest schokkende vind, is dat instanties zolang je gegevens vasthouden. Ik ben ervan bewust dat er slecht met data wordt omgegaan, maar toch schrik ik hiervan.
dan mag je nog blij zijn dat die school wel moeite doet om jou te informeren over de hack bij een ander....

Op dit item kan niet meer gereageerd worden.