Schoolboekenleverancier Iddink meldt opnieuw datalek

De schoolboekenleverancier Iddink Learning Materials meldt dat er een mogelijk datalek heeft plaatsgevonden. De kans dat er misbruik van het datalek is gemaakt, is volgens het bedrijf 'nihil tot klein'. In april van dit jaar werd Iddink nog slachtoffer van een ransomwareaanval.

De schoolbesturenorganisatie Sivon meldt dat een inloglink voor het inleveren van schoolboeken bij Iddink 'eenvoudig aan te passen' was. Hierdoor kon een kwaadwillende in theorie toegang verkrijgen tot informatie van leerlingen, waaronder namen, straatnamen, postcodes, woonplaatsen en informatie over de school en schoolboeken van de persoon. Meerdere ouders van kinderen hebben de kwetsbaarheid opgemerkt en dit bij Sivon gemeld. Voor zover bekend heeft er geen geautomatiseerde download van een grote hoeveelheid gegevens plaatsgevonden. Iddink meldde desondanks het datalek bij de Autoriteit Persoonsgegevens, wat verplicht is.

Volgens het bedrijf is er een overlap tussen de gegevens die bij het betreffende datalek toegankelijk waren en de gegevens die bij de cyberaanval van april dit jaar werden buitgemaakt. In dat laatste geval ging het daarnaast ook om bankgegevens. Iddink levert naar eigen zeggen lesmateriaal aan 300.000 middelbareschoolleerlingen in Nederland en 120.000 scholieren in België.

Reacties (97)

5V1NA70G 4 juli 2024 19:15

Goed om ook te weten dat iddink ook het bedrijf achter magister is. Magister is een saas-oplossing die veel scholen gebruiken als leervolgsysteem. Hier in zitten gegevens over leerlingen inclusief prestaties.

Het feit dat dit datalek voortkomt uit een (security) ontwerpkeuze, baart mij zorgen.
De bron oorzaak van het vorige datalek is tevens nog niet bekend.

[Reactie gewijzigd door 5V1NA70G op 22 juli 2024 13:26]

Tc99m @5V1NA70G • 4 juli 2024 22:11

De leverancier Iddink en het ELO/leerlingvolgsysteem Magister zijn beide onderdeel van de Iddink group (die weer onderdeel is van Sanoma learning), maar wel zelfstandige bedrijven. Magister wordt dus niet direct geraakt door een datalek bij Iddink.

5V1NA70G @Tc99m • 5 juli 2024 06:49

Nee, maar ik maak me wel zorgen over de security architectuur en de security awareness binnen de organisatie (groep)

marsian 4 juli 2024 17:44

Het is een zooitje bij dat bedrijf! Bestellen is omslachtig, beveiliging blijkbaar lek als een mandje en klantenservice hebben we ook slechte ervaring mee. Ik zou willen dat de school van mijn zoon een andere leverancier nam, maar ik geloof dat er weinig alternatieven zijn.

Sp3ci3s8472 @marsian • 4 juli 2024 18:28

Heb je tegenwoordig dan geen boekenlijst meer? Want je kan het toch zelf bestellen of tweedehands aanschaffen?

Gaitie @Sp3ci3s8472 • 4 juli 2024 18:59

Paar jaar geleden is het hele systeem op de schop gegaan: De leveranciers zijn verdeeld over alle scholen en de boeken zijn gratis. Dus die wil je niet zelf bestellen en wel voor betalen

resma @Gaitie • 5 juli 2024 13:42

Offtopic: het systeem is volkomen krankjorum.

Vorig jaar werd voor mijn dochter een opleidingswitch in de zomervakantie gerealiseerd. Het pakket boeken voor als de switch niet zou lukken was al besteld.
Een doos ongebruikte boeken, diverse in plastic, mocht op 3 boeken na aan het eind van het jaar in de kliko, want nieuwe druk voor het volgende schooljaar...

Zo draait de belastingbetaler op voor onnodig hoge kosten en vullen toko's als Iddink de zakken; om het nog maar niet over duurzaamheid te hebben...

Juliuth @resma • 5 juli 2024 15:17

Soort van offtopic:

Ik vind het bizar dat een bedrijf als dit zo van de hak op de tak mag omgaan met nieuwe druk/oude druk. Ik begrijp heel goed dat sommige informatie of leermethodes continu in beweging zijn. Maar ik vind dat er best strenger gekeken mag worden naar de veranderingen. Het kan bij wijze van gaan over een stukje voorwoord of het oplossen van een spelfout.

Dat daarbij dus nieuwe (in plastic!) boeken dus gewoon weg kunnen is ronduit bespottelijk.

sjakie66 @Gaitie • 5 juli 2024 10:27

Kleine correctie, de boeken kosten niets voor de scholier en de ouders. Maar alle belastingbetalers betalen dat dus.

Tot zover de zure reactie..

mjtdevries @sjakie66 • 5 juli 2024 13:55

Ik zie niet in wat er zuur is aan het reageren tegen (geld)verspilling.

Juliuth @sjakie66 • 5 juli 2024 15:19

Technisch gezien kost het je als (werkende) ouder dus weldegelijk wat. Je merkt het niet maar wetende dat de belastingcenten die jij afdraagt naar dit soort ongein gaat is wel een pijnlijke plek.

fl1p @Gaitie • 5 juli 2024 13:35

Wow. Dat is in België wel anders. Hier betalen ouders gewoon de hele prijs van het boek. Sommige leerboeken (waar niet in geschreven wordt), kunnen wel gehuurd worden.
Vaak krijgen ze wel een beetje korting aangezien Iddink een groot bedrijf is dat in het groot aankoopt. Op een bijkomend rekenmachine rekenen ze wel goed door.

Iddink is trouwens gestopt in België...

TheGabeMan @Sp3ci3s8472 • 4 juli 2024 18:41

Nee dat hebben ze heel slim gedaan, vaak zijn theorie en werkboek met elkaar verweven zodat je het niet kunt doorverkopen. Ik zie het bij mijn kids en erger me kapot aan. Ook omdat ze dus zelden voor t studeren oefeningen voor zichzelf een aantal keren maken, want de antwoorden zien ze van zichzelf. En ze missen natuurlijk de discipline om alles in apart schrift te maken omdat dit een stuk makkelijker lijkt.

Sp3ci3s8472 @TheGabeMan • 4 juli 2024 19:00

Dat is toch een enorme kostenpost voor mensen die het minder ruim hebben. Ik vind dit wel kwalijk; vroeger deed je een kaft om je boek heen en kon je 80% in ieder geval weer doorverkopen.

Schriften werken gewoon prima; en wat je zegt hebben als voordeel dat je oefeningen opnieuw kan maken. Ik zie eigenlijk alleen maar nadelen met de nieuwe manier voor consumenten; en iets wat alleen maar een voordeel is voor de boeken handelaren. Daarnaast zorgt dit ook nog eens extra onnodig afval, omdat je de boeken aan het einde van het jaar weggooit.
Zou me overigens niks verbazen dat die boeken uitgevers een hele hoge ESG score hebben, die dus vooral virtueel is.....

pbk @Sp3ci3s8472 • 4 juli 2024 20:53

In het voortgezet onderwijs hebben ouders geen kosten wat boeken betreft.
https://www.rijksoverheid...d-in-voortgezet-onderwijs

Verwijderd @Sp3ci3s8472 • 4 juli 2024 19:49

Schriften werken gewoon prima; en wat je zegt hebben als voordeel dat je oefeningen opnieuw kan maken.

Voordeel met nu is dat veel lesmateriaal ook gewoon digitaal beschikbaar is, en je de oefeningen gewoon opnieuw kan doen zonder ook maar één velletje papier te hoeven verspillen.

Ik zie eigenlijk alleen maar nadelen met de nieuwe manier voor consumenten; en iets wat alleen maar een voordeel is voor de boeken handelaren. Daarnaast zorgt dit ook nog eens extra onnodig afval, omdat je de boeken aan het einde van het jaar weggooit.

Nou nee, niet iedere school doet meer aan boeken/schriften. Mijn oudste heeft 4 jaar lang iPad klassen gehad waarbij alleen in de 4e klas maar één fysiek boek noodzakelijk was en dit was een leenboek via Iddink. Mijn jongste zit nu op die school en heeft een laptop waarbij het niet uitmaakt of je er één huurt, een gloednieuwe koopt, een occassion koopt of gewoon een oudere generatie uit te kast pakt. En ook daarbij geldt, alles is voor het merendeel digitaal. Nadeel is dat hij nu allemaal boeken "gekregen" heeft, niks lenen, niks kopen... gewoon opgestuurd door Iddink.

Voordeel t.o.v. toen en nu is overigens dat je vroeger alles zelf moest kopen, tegenwoordig worden de boeken door de overheid betaald. Scholen krijgen daarvoor een x-bedrag per leerling, bestellen de boel bij tenten zoals Iddink die op hun beurt de bestelling uitleveren in de zomervakantie.

En heel eerlijk, lokale sportverenigingen waren maar wat blij met die boeken aangezien die oudpapier inzamelen en met dat geld weer wat leuks kunnen doen. Iets wat overigens al 30-40 jaar gedaan wordt door sportverenigingen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:26]

Robbierut4 @Sp3ci3s8472 • 4 juli 2024 20:21

Dat is toch een enorme kostenpost voor mensen die het minder ruim hebben. Ik vind dit wel kwalijk; vroeger deed je een kaft om je boek heen en kon je 80% in ieder geval weer doorverkopen.

Jup. Veel leveranciers brengen ook bijna elk jaar een nieuwe versie uit van het boek. Ze fixen dan een paar taalfouten, maar inhoudelijk veranderd er weinig tot niks.

Toch zetten scholen vaak de laatste versie op de boekenlijst, en is de oude versie dus ook praktisch waardeloos in de doorverkoop.

Uitgevers gaan voor winstmaximalisatie, niet voor sociaal ondernemerschap en vermindering van verspilling.

mjtdevries @Robbierut4 • 5 juli 2024 13:53

Uitgevers gaan voor winstmaximalisatie, niet voor sociaal ondernemerschap en vermindering van verspilling.

En dat kunnen ze doen omdat de overheid tegenwoordig de boeken betaald. En aangezien de ambtenaren zelf de kosten niet betalen boeit het ze niet.

Als ouders nog moesten betalen dan waren die wel opgestaan tegen deze geldverspilling.

Cyberpuppy @Sp3ci3s8472 • 5 juli 2024 11:18

Nee vroeger brachten ze ieder jaar een nieuwe druk uit. Werden voornamelijk de hoofdstukken in een andere volgorde gezet en een enkele paragraaf aangepast.

We hadden hier en daar complete vertaallijsten voor de verschillende drukken, zodat je de boeken langer kon gebruiken.

Binky11 @Sp3ci3s8472 • 4 juli 2024 19:49

Mijn zoon heeft maar 1 leenboek. De rest allemaal werkboeken (verbruiksartikelen)

Verwijderd @Binky11 • 4 juli 2024 20:05

Mijn zoon heeft maar 1 leenboek. De rest allemaal werkboeken (verbruiksartikelen)

Mijn oudste had maar één leenboek in de 4e klas, de rest was allemaal digitaal. Mijn jongste heeft alles dubbelop maar doet 99,9% digitaal. Dat hele gedoe met boeken zou wat mij betreft wel gewoon mogen worden afgeschaft. Het bespaart niet alleen kosten maar ook een hele papierbulk.

Mozy @Verwijderd • 4 juli 2024 20:35

Het bespaart niet alleen kosten maar ook een hele papierbulk.

De hoeveelheid papier die een (basis)school verbruikt is angstaanjagend. Ik zie nu zelf methodes voorbij komen die elke blok (4 weken) een apart werkboek hebben. 10 blokken per jaar + instapblok + toetsschrift, nog wat kopieerbladen voor de 4 themaweken per jaar dat is dan voor 1 vak.

Kcirtap @marsian • 4 juli 2024 19:35

Onze school zat voorheen bij van Dijk. Sinds een jaar Iddink. Eerst praktijken meegemaakt die deden denken aan oplichting. Na de hack heb ik school vriendelijk verzocht niet meer info meer te verschaffen aan deze akelige lui dan nodig was. School schuilt achter Somtoday. De scholen zouden enigszins in het belang van de leerlingen en hun ouders moeten denken, maar doen dat niet. Ze verschaffen blind alle info waar Iddink om vraagt, ondanks hun toch zeer bedenkelijke reputatie.

Metalfreak @Kcirtap • 5 juli 2024 09:48

Nee, dat verschaffen scholen helemaal niet zomaar. Voor dit doeleinde is het ECK-ID bedacht. Alleen hebben ze dat zo verschrikkelijk ingewikkeld gemaakt dat het bijna geen enkele school lukt dit fatsoenlijk te implementeren. Maar als Iddink niet weet naar welk adres ze de boeken moeten sturen, kunnen ze natuurlijk ook niets afleveren.

Hakker @Metalfreak • 5 juli 2024 12:28

vroeger werden de boeken aan de school geleverd en kon je ze daar gewoon halen. Geen gegevens die overal naartoe gaan. Scholen hoefden enkel te inventarisen hoeveel boeken men nodig had.

Kcirtap @Metalfreak • 12 juli 2024 16:13

Nee, dat verschaffen scholen helemaal niet zomaar. Voor dit doeleinde is het ECK-ID bedacht. Alleen hebben ze dat zo verschrikkelijk ingewikkeld gemaakt dat het bijna geen enkele school lukt dit fatsoenlijk te implementeren. Maar als Iddink niet weet naar welk adres ze de boeken moeten sturen, kunnen ze natuurlijk ook niets afleveren.

Klopt. Daarom hebben ze ook het adres inderdaad wel nodig, maar meer ook niet. Geen geboortedata, geslacht, e-mailadressen, verzorgers enz. enz. Toch geven de scholen die klakkeloos, want die willen graag geen gedoe hebben rondom de boeken en zijn liever lui dan moe. Overigens zijn scholen daarin niet als enige zeer laks hoor. Veel werkgevers vragen ook allerlei zaken van hun werknemers die helemaal niet nodig zijn tbv salaris administrateurs en dergelijke.

CPV @Kcirtap • 4 juli 2024 22:35

van Dijk, praat me er niet van. 25 jaar geleden al een administratieve puinhoop met bestellingen, leveringen en inleveren.

iSpace_61 4 juli 2024 17:43

Moeten er geen straffen komen voor bedrijven die hun zaken niet op orde hebben ? Het kan toch niet zo zijn dat er keer op keer dan een datalek komt ? Het is ook niet dat mensen de keuze hebben om niet bij iddink te kopen/huren, vaak zijn scholen daar aan verbonden.

of is er al zo iets ? Weet iemand dat ?

[Reactie gewijzigd door iSpace_61 op 22 juli 2024 13:26]

jongetje

@iSpace_61 • 4 juli 2024 17:46

Dan kun je beter eisen dat ze een security/pen test gedaan moeten hebben. Dat is dan een soort garantie/verzekering.

Doen ze dat niet ben ik het met je eens. Aan de andere kant krijg je dan wel dat er minder gemeld wordt...

kodak

Datalek
Beveiliging en antivirus

@jongetje • 4 juli 2024 18:14

Wettelijk horen bedrijven al vooraf genoeg maatregelen te nemen tegen dit soort datalekken. Het lijkt er eerder op dat ze nog steeds niet in staat zijn zelfs tamelijk eenvoudige beveiligingsmaatregelen voldoende toe te passen. En dan is eerder de vraag of ze voor het vorige lek al door de toezichthouder extra maatregelen opgelegd hebben gekregen en wat die dan zijn geweest. Want maar blijven herhalen wat men jaren geleden al behoorde te weten en doen is niet zomaar zinvoller dan doen wat de wetgever duidelijk stelde: niet het afstraffen uitstellen maar juist makkelijker mogelijk maken. Juist omdat de bedrijven ondanks wettelijke eisen maar niet duidelijk veranderen.

cariolive23 @jongetje • 4 juli 2024 20:56

Een pentest is geen garantie. Een test is een test, het zegt niks over de uitkomst of wat er wordt gedaan met de uitkomst.

Daarnaast sluit je een verzekering apart af. Auto's ondergaan ook crashtests, toch moet ik een verzekering afsluiten.

mjtdevries @cariolive23 • 5 juli 2024 18:48

Het is geen garantie nee.
Maar van alle dingen die een bedrijf kan doen om te laten zien dat ze de boel wat betreft security voor elkaar hebben, is een pentest hetgene waar ik de meeste waarde aan hecht.
Meer dan een iso 27001 of Soc2 certificaat.

En tuurlijk is het belangrijk dat je wat doet met de uitkomst. Maar als een bedrijf een flink bedrag wil uitgeven voor een pentest, dan zullen ze normaal gesproken ook wel wat uren spenderen aan de uitkomst.
Want de hoeveelheid tijd en geld die nodig is om de gebreken te fixen die in de pentest naar boven zijn gekomen, is meestal veel kleiner dan de hoeveelheid tijd en geld die nodig was om de pentest te doen.

Om mensen een idee te geven: Als wij een pentest laten uitvoeren op een enkele applicatie dan zijn meestal 2 a 3 externe specialisten daar een volle week mee bezig. En wanneer je de tekortkomingen gefixed hebt dan nog 1 a 2 dagen om dat te verifieren.
Dus je zit al heel snel op vele duizenden euros voor zoiets.

Wanneer een bedrijf besloten heeft om zoveel geld te spenderen, dan is de kans dat ze de uitkomst negeren vrij klein. Want dan heb je dat geld voor niks uitgegeven.

cariolive23 @mjtdevries • 5 juli 2024 19:31

Dus je zit al heel snel op vele duizenden euros voor zoiets.

Dat is imho spotgoedkoop! Nou zijn we niet werkzaam in deze business, maar komen wel regelmatig pentesters tegen. Ik verwacht niet dat zij komen opdagen wanneer ze hier "vele duizenden euros" voor krijgen betaald, dat zal al snel een factor 10 hoger liggen.

En normaal doe je pas een pentest wanneer je in elk geval op papier al security guide lines in place hebt en deze ook hebt geïmplementeerd. Wat ik zo hoor en lees, is dat dit zelden het geval is. Dan kun je wel een pentest doen, maar wat valt er te testen aan een open deur zonder slot? Geen enkele sleutel die jij als pentester meebrengt, zal hier op passen want er is geen slot. En aangezien de deur toch al open staat, zou ook een slot niks toevoegen.

hackerhater @cariolive23 • 5 juli 2024 23:24

Dat is inderdaad zelden nuttig als je dat niet gedaan hebt.
Al is mijn ervaring dat het doorsnee droevig gesteld is met de beveiliging van de overheid en het bedrijfsleven

Bij mijn vorige grote klant werd er voor live-gang ook een pentest gedaan. Ik had een houding van "bring it on" met mijn info-sec achtergrond. Ze hadden uiteindelijk 1 ding gevonden: XSS mogelijkheid op een pagina die al volledige admin-rechten vereiste.
Ja we moesten het fixen, maar als ze daar konden komen hadden we veel grotere problemen

cariolive23 @hackerhater • 5 juli 2024 23:59

Heb zelf nog wel eens wachtwoorden in javascript gevonden, voor de Admin... Vond men handig tijdens het ontwikkelen, en vervolgens vergat men dit te verwijderen. Is al wel even geleden, ik mag toch hopen dat anno 2024 niemand meer zo stom is om zelfs maar aan deze "optie" te denken.

hackerhater @cariolive23 • 6 juli 2024 22:12

Dat is te hopen ja.
Maar beveiliging is niet bepaald een onderwerp op opleidingen : (

cariolive23 @hackerhater • 6 juli 2024 22:35

En dat snap ik echt niet! Wij komen echt nog meerdere keren per jaar bij klanten mogelijkheden voor SQL injection tegen. En we zoeken er niet naar, is stom toeval dat we het signaleren

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@jongetje • 7 juli 2024 10:57

Dan kun je beter eisen dat ze een security/pen test gedaan moeten hebben. Dat is dan een soort garantie/verzekering.

Een pentest is op geen enkele manier een garantie of een verzekering. Vrijwel elk pentest rapport of contract begint met een vrijwaring, mede om deze reden.

warzone_agent @jongetje • 4 juli 2024 17:59

Dit soort bedrijven zijn verplicht om jaarlijkse tests uit te voeren, echter, software wijzigt wekelijks en soms zelfs dagelijks. De huidige regels zijn niet goed genoeg..

De AP deelt boetes uit aan bedrijven als zij keer op keer data lekken, in dit geval zal dat ook wel zo zijn.

B64

@warzone_agent • 4 juli 2024 19:24

Oké, maar toegang krijgen door middel van het aanpassen van een inloglink... dat zou anno 2024 toch niet meer mogelijk mogen zijn?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@B64 • 7 juli 2024 10:58

Dat zou anno 'heel wat jaren terug' al niet meer mogelijk mogen zijn. Dit lijkt gewoon een basale fout te zijn.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@warzone_agent • 7 juli 2024 11:00

Waar haal je die jaarlijkse verplichting vandaan?

echter, software wijzigt wekelijks en soms zelfs dagelijks. De huidige regels zijn niet goed genoeg..

Dan zorg je voor security waarborgen in het ontwikkelproces waar security tests onderdeel van uitmaken. Vrijwel elke moderne ontwikkelmethode besteed hier aandacht aan en / of maakt het mogelijk om dit te integreren.

mjtdevries @Orangelights23 • 5 juli 2024 13:18

En wat is jouw daadwerkelijke kennis en ervaring met pentests dat je zoiets roept? Onderbuikgevoel?

Zeker een simpele kwetsbaarheid als dit moet door iedere pentester gevonden worden.

Orangelights23 @mjtdevries • 5 juli 2024 13:27

Mijn daadwerkelijke kennis en ervaring is 15 jaar werken in de cybersecurity, waarvan 3 jaar als CISO bij een multinational

Mooie combinatie van onderbuikgevoel, intuïtie en ervaring binnen hevig gereguleerde organisaties. En jij?

Zoals bij veel pentesten komt er politiek om de hoek kijken. ‘Laat kritieke bevindingen eruit en vertel het ons mondeling’, of ‘Zorg ervoor dat het rapport deelbaar is met mijn management’. Helaas werkt het vaker wel dan niet zo in de praktijk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Orangelights23 • 7 juli 2024 08:50

Zoals bij veel pentesten komt er politiek om de hoek kijken. ‘Laat kritieke bevindingen eruit en vertel het ons mondeling’, of ‘Zorg ervoor dat het rapport deelbaar is met mijn management’. Helaas werkt het vaker wel dan niet zo in de praktijk.

Een rapport deelbaar maken met het management doe je doorgaans door het schrijven van een goede management samenvatting. Ik ken geen partij die kritische bevindingen uit een rapport laat. Als je daar om verzoekt als opdrachtgever ben je natuurlijk gewoon slecht bezig. Als de kritische bevindingen op een andere manier gerapporteerd worden ben je echter nog wel steeds op de hoogte en kan je hier op acteren. Dat was hier ook een mogelijke oplossing geweest.

mjtdevries @Orangelights23 • 5 juli 2024 13:49

Als dat waar is dan zou je je diep moeten schamen dat je zo'n onderbuikreactie schrijft.
Heb jij in die 15 jaar daadwerkelijk meegemaakt dat zo'n simpele kwetsbaarheid bij een pentest niet word gevonden?
Of enige aanleiding om te denken dat een pentester dat niet zou vinden?

Dat staat los van de politieke spelletjes.

Leuk voor de buhne

Als CISO hecht jij geen waarde aan pentests???

Overigens heb ik alleen discussies meegemaakt over het geld. Pentesten zijn nou eenmaal duur. Maar als je daar eenmaal doorheen bent dan accepteert iedereen de resultaten wel. Mensen snappen dat een pentest zinvol is. Ook management. Want het fixen van de findings is meestal snel te regelen en niet duur in vergelijking met de kosten van de pentest zelf.

Maar ik werk in een zwaar gereguleerde tak van sport. Als daar iemand dat soort politiek zou bedrijven dan zou het heel snel "advies functie elders" worden.
(ik heb nog 10 jaar extra ervaring)

mjtdevries @Orangelights23 • 5 juli 2024 14:05

Leuk voor de buhne,

Hoezo is dat geen persoonlijke opvatting van je?
Ik zie geen enkele mogelijkheid om dat anders uit te leggen.

En je reageert niet op mijn vraag of je ooit hebt meegemaakt dat een pentester dat soort simpele kwetsbaarheden niet kan/kon vinden.

Je geeft aan mensen die er geen verstand van hebben het gevoel dat het nutteloos is.
Dus de vraag: Vind je dat nou werkelijk of heb je gewoon super ongenuanceerd gereageerd en wil je dat nu niet toegeven?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Orangelights23 • 7 juli 2024 08:47

Als een pentest doorgaans iets niet is dan is het wel een compliance check. Dat een pentest veelal een beperkte scope heeft is waar maar dat is ook niet vreemd; een goede pentest kost veel tijd en is mede hierdoor kostbaar.

Geautomatiseerd testen is wat anders dan een echt goede pentest en meer een vulnarabiltiy assessment.

Axanary @iSpace_61 • 4 juli 2024 18:37

Het is inderdaad raar dat als je je autodeur niet op slot zet je strafbaar bent maar als je de (computer)deur van je bedrijf open laat staan en de gegevens van duizenden mensen op straat legt, je vrijuit gaat. Het lijkt er vooralsnog op dat er verkeerd bezuinigd wordt bij sommige bedrijven. Na tweemaal zou je wel beter moeten weten?

Verwijderd @Axanary • 4 juli 2024 20:12

Het is inderdaad raar dat als je je autodeur niet op slot zet je strafbaar bent

Onzin! Zoiets valt niet onder strafrecht en zal niet onder strafrecht gaan vallen ook. Je bent hooguit niet verzekerd tegen diefstal omdat het dan eigenlijk ook niet echt diefstal is.

maar als je de (computer)deur van je bedrijf open laat staan en de gegevens van duizenden mensen op straat legt, je vrijuit gaat.

Ook dat is niet het geval. Van bedrijven, instanties etc. wordt verwacht dat ze de boel zo goed als kan, beveiligen. Iddink heeft daar via mogelijke audits aan voldaan, maar blijkbaar was het toch niet beveiligd genoeg. Als uit onderzoek blijkt dat dit verwijtbaar is zullen daar de nodige sancties tegenover worden gesteld en die zijn in sommige gevallen niet misselijk.

robenroute @Verwijderd • 5 juli 2024 10:59

[...]
Je bent hooguit niet verzekerd tegen diefstal omdat het dan eigenlijk ook niet echt diefstal is.
[...]

Niet echt diefstal? Het zonder toestemming van de rechtmatige eigenaar ontvreemden van spullen (die dus niet van jou zijn) is gewoon diefstal. Echt diefstal.

cariolive23 @robenroute • 6 juli 2024 00:06

Het is wel diefstal, maar of de verzekeraar uitkeert, is een andere discussie. Het kan zomaar zijn dat jij niet aan de voorwaarden hebt voldaan: Deur op slot doen, sieraden in een kluis van security level X opbergen, etc.

Cyberpuppy @Verwijderd • 5 juli 2024 11:29

Als dit door een audit gekomen is, dan heb ik toch wel een paar hele grote vraagtekens bij de partij die de audit heeft uitgevoerd. URL aanpassen voor toegang is nog iets uit de jaren '90.

Dit kun je met de beste wil van de wereld ook niet verkopen als "we hebben onze uiterste best gedaan"

Gewoon slecht. Vooral ook omdat je klanten niet naar een andere aanbieder kunnen. Dan heb je toch wel een extra verantwoordelijkheid.

Shinji @Axanary • 4 juli 2024 19:24

Is dat zo? Ik heb nog nooit gehoord dat iemand een boete kreeg omdat zijn auto niet op slot stond.

Daarnaast, over het algemeen staan alleen jou spullen (en die van je gezin wellicht) in de auto. Als bedrijf heb je in dit geval de verantwoordelijkheid over spullen van heel veel mensen.

Yzord @Shinji • 4 juli 2024 19:57

Geen boete, maar komt de verzekeraar erachter dat je auto niet op slot stond na een inbraak of diefstal (en dat is tegenwoordig makkelijk na te gaan aangezien nieuwe auto’s volledig aan het interweb hangen) dan wordt er ook niks uitgekeerd.

Dus toch een soort boete.

cariolive23 @Axanary • 5 juli 2024 23:54

Het is inderdaad raar dat als je je autodeur niet op slot zet je strafbaar bent

Nou, doe je best, noem eens een artikel uit het wetboek waarin staat dat het verplicht is om een autodeur op slot te doen.

Hoe verzin je het, waar haal je deze onzin vandaan... Nou weet ik dat de vrijdagmiddagborrel al achter de rug is in Nederland, maar drink de volgende keer iets minder wanneer je nog iets zinnigs wilt zeggen.

5V1NA70G @iSpace_61 • 4 juli 2024 19:20

Vanuit de NIS2 regelgeving zijn deze er wel voor de bestuurder, maar alleen voor organisaties die onder de NIS2 vallen.

Skywalker27 @5V1NA70G • 4 juli 2024 19:33

Nee hoor NIS2 kent twee groepen essentieel die krijgen audits en problemen als het spul niet op orde is. Groep 2 niet essentieel die kunnen controle verwachten op moment als er een breach is. Maar het is maar afwachten of dit überhaupt gehandhaaft gaat worden.

5V1NA70G @Skywalker27 • 4 juli 2024 19:43

Dan moet je nog steeds onder 1 van deze groepen vallen. Niet alle organisaties vallen automatisch onder de NIS2 scope.
https://www.ncsc.nl/over-...e-cer-en-nis2-richtlijnen

Skywalker27 @5V1NA70G • 4 juli 2024 20:04

Klopt maar neem aan dat die boekenleverancier wel meer dan 50 werknemers heeft

wvanommen @Skywalker27 • 4 juli 2024 23:37

Maar dat maakt helemaal niet uit NIS2 geldt alleen voor essentiële organisaties. Het aantal mederwerkers maakt daarvoor niet uit. Als je geen boeken hebt valt niet heel Nederland stil, dus het zou me niet verbazen, als NIS2 toch niet op hen van toepassing is.

[Reactie gewijzigd door wvanommen op 22 juli 2024 13:26]

mjtdevries @wvanommen • 5 juli 2024 13:31

Sterker nog, het zou me extreem verbazen als NIS2 wel op hen van toepassing is.

Hier kun je een zelftest doen om te kijken of je onder de NIS2 valt:
https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Met de beste wil van de wereld kan ik dan een boekenleverancier niet in één van die categoriën plaatsen.

Skywalker27 @mjtdevries • 5 juli 2024 22:56

Goed lezen essentieel betekend controle vooraf dmv audits. Niet essentieel betekend alleen controle als het mis gaat.

mjtdevries @Skywalker27 • 8 juli 2024 09:41

Ik snap niet wat je reactie te maken heeft mijn reactie. Wilde je wellicht op wvanommen reageren?
Anders lijkt het er haast op dat je denkt dat ieder bedrijf met meer dan 50 werknemers onder NIS2 valt?

Ook voor bedrijven met meer dan 50 werknemers gelden de volgende mogelijkeheden. Dat je:
- onder NIS2 valt en essentieel bent
- onder NIS2 valt en niet essentieel bent
- niet onder NIS2 valt.

Die zelftest laat duidelijk zien dat ze niet onder NIS2 vallen.

reddingventraal

4 juli 2024 18:50

Misschien moeten ze ook eens nadenken over welke gegevens ze nodig hebben versus wat ze vragen. Ik heb een account bij ze aan moeten maken vorige week, en toen moest ik de geboortedatum van m’n dochter invullen?! Nep-datum ingevuld natuurlijk, en dat gaf geen (extra) problemen, dus wat is de grondslag om die te verwerken?? (Klantenservice heb ik het willen vragen maar die kon ik nog niet bereiken tot nu toe.)

Als ITer begrijp ik best dat fouten gemaakt worden; maar gegevens die je niet hebt kunnen ook niet gelekt worden!

Frame164 @reddingventraal • 4 juli 2024 19:13

Maar de hoognodige gegevens zijn de enige echt waardevolle. Zo'n geboortedatum is overbodig maar als dat lekt is er niets aan de hand. NAW, email en betaalgegevens zijn altijd nodig en dat zijn nu net de zaken waar je wat mee kunt.

aikebah @Frame164 • 4 juli 2024 21:57

Zo'n geboortedatum is voor privacy-minded mensen heel waardevol, want die wordt vaak gebruikt bij verificaties.

Ben je niet privacy-minded, dan heeft de crimineel die zo te pakken als ie de andere data heeft... kwestie van ff FB/Ista/... account bijzoeken voor de felicitaties en is het minder relevant of die al dan niet lekt.

d_marf @aikebah • 5 juli 2024 14:07

Sterker nog: Die geboorte datum wordt gebruikt om een wachtwoord te genereren voor de eerste inlog in..... Magister.... Je geloof het toch niet!

Hansie9999 4 juli 2024 17:50

Goh,

Ik snap niet dat bedrijven die fout nog steeds blijven maken !!!!

dat is net zoals toen met die parkeertickets op de luchthaven, kon je gewoon jouw parkeerlink random blijven aanpassen tot je de info zag van een mooie ferrari , die gewoon uitprinten en met dat papier "jouw" wagen gaan afhalen,

gewoon belachelijk dat die fouten nog steeds gemaakt worden !!!!!

Frame164 @Hansie9999 • 4 juli 2024 19:12

Jij durft je handen ervoor in het vuur te steken dat er bij jou op het werk nooit een keer iets fout kan gaan?

Hansie9999 @Frame164 • 5 juli 2024 10:23

Tuurlijk niet,

in dat geval zou het trouwens 100% mijn fout zijn, want ben zelfstandige

Maar zaken zoals dit zijn al MEERMAALS gebeurt, en is gewoon belachelijk dat je gewoon door linkje te veranderen plots op info van andere mensen zit en die dan zelfs kan gebruiken (zoals in mijn voorbeeld gewoon uitprinten en je hebt plots toegang om iemand anders zijn wagen te gaan afhalen.)
Volgens mij is dat wel programmeren 101 dat je niet zonder in te loggen iemand anders zijn data uit een database kan halen !!!!!

Dus ik snap inderdaad totaal niet dat grote bedrijven hun IT dienst fouten zoals dat nog steeds kunnen maken, ikzelf ben GEEN programmeur of software ontwikkelaar, maar ik ben wel een tweaker in hart en nieren en vind dit als hobby allemaal interessant. het zeer raar dat ik vermoed dat ik mijn IT security een pak beter op orde heb dan veel van die grote jongens.

Vermoed ook dat deze grote jongens hun IT budget een "tickeltje" hoger ligt dan mijn, maar vermoed ook dat 99% van dat budget dan opgaat aan een vloot managers

En nu niet dat mijn hardware hier slecht is hoor met mijn beperkt budget, first line of defence hier is een zelfbouw router met intel CPU, 5x 2.5Gbps LAN, 1TB Samsung 990 pro SSD, 16GB RAM, OPNsense er op TP-Link smart router en TP-Link business access point, en alles draait op apparte VLAN's (bijvoorbeeld de paar slimme apparaten die ik NIET zelf bouw kunnen enkel naar internet maar niet naar mijn lokal lan, dat mogen enkel mijn zelfgebouwde Arduino's en RaPi's

En van moment er ook maar iets een software update heeft krijg ik een melding in mijn mailbox, mijn Ubuntu server die update automatisch de security patches, en al mijn dockers behalve mijn home assistant worden automatisch up to date gehouden via Watchtower, (de home assistant wil ik eerst de patch notes lezen voor ik manueel update)

En zal dus ZEKER NIET beweren dat ik onfeilbaar ben, ik weet 100% zeker dat moest een bepaalde hacker groep het op mij gemunt hebben ik een vogel voor de kat ben,
maar zelfs een ransomeware attack zou ik overleven, omdat ik dubbele backups heb die ik OFFLINE OFFSITE bewaar en om de paar weken wissel (kan ik nog in problemen komen als ik de hack/virus niet binnen de paar weken detecteer, maar denk dat ik hiermee ook weer beter in orde ben dan die grote jongens die regelmatig in het nieuws komen dat ze losgeld moeten betalen !!!!)

Vaevictis_ 4 juli 2024 17:48

Het is wel duidelijk waar het geld niet heen gaat, testen en security. Dit is echt wel een beginnersfout.

kodak

Datalek
Beveiliging en antivirus

@Vaevictis_ • 4 juli 2024 18:21

Of ze geven er geld aan uit waarbij ze geen redelijk resultaat terug krijgen. Het lijkt me dan ook dat de klanten inmiddels wel eens mogen gaan eisen waaruit blijkt dat het bedrijf wel genoeg aan beveiliging doet. Iets wat je hoe dan ook maar beter vooraf kan eisen in plaats van als je het eigenlijk al moest / wilde gebruiken.

Vaevictis_ @kodak • 4 juli 2024 18:28

Kan natuurlijk dat er een stel prutsers werkt, maar ik zou als klant (school) of branchevereniging harde eisen stellen. Niet alleen een audit, maar ook pentesten, vuneralibity scans en verplichte cybersecurity consultancy want blijkbaar kunnen of willen ze niet.

Blokker_1999

Datalek
Beveiliging en antivirus

@Vaevictis_ • 4 juli 2024 19:00

Klinkt eenvoudiger dan het is. Hoeveel bedrijven delen de resultaten van hun pentests met hun klanten? Dat zijn er niet veel. Maar het is zelf geen IT bedrijf, zij vertrouwen dus ook op wat ze extern inhuren. Wie zegt dat die ingehuurde partij uiteindelijk wel goed is? Heb zelf ook al "experts" gezien waarvan ik dacht: dat kan toch niet?

mjtdevries @Blokker_1999 • 5 juli 2024 14:00

Het is ook helemaal niet nodig dat ze pentest resultaten delen met hun klanten.

Crew One @Vaevictis_ • 4 juli 2024 19:55

Success er meee. Nadat Van Dijk en Studystore zijn gestopt is het aantal spelers op de markt dat uberhaupt grote volumes schoolboeken kan faciliteren heel klein. Dus er is sowieso nauwelijks keuze voor scholen. Eisen stellen? Ze lachen je gewoon uit.

Vaevictis_ @Crew One • 4 juli 2024 20:08

Lijkt me niet elk management begrijpt dat een security incident heel veel meer kost dan de boel op orde hebben. En als je dat niet begrijpt of wil begrijpen dan moet er hard worden in gegrepen.

Verwijderd @Vaevictis_ • 4 juli 2024 21:37

Lijkt me niet elk management begrijpt dat een security incident heel veel meer kost dan de boel op orde hebben. En als je dat niet begrijpt of wil begrijpen dan moet er hard worden in gegrepen.

Wat kost het dan? Het enige wat ze kwijt zijn is tijd om partijen te informeren, geld kost het ze niet zolang er geen partij is die er consequenties aan hangen. Of bedoel je de klanten die opstappen en naar concurrentie stappen die er eigenlijk niet is en wat vaak onmogelijk is omdat het materiaal van de concurrent niet aansluit op dat wat Iddink levert zodat er van voor af aan kan worden gestart?

Afpersen gebeurt evenmin kijkende naar de eerder dit jaar gecommuniceerde data lek. In het onderwijs is het net even wat anders als bij de garage, supermarkt of kapper op de hoek als die eens een keer iets verkeerd gedaan heeft. Het is niet alsof er een enorm aantal leveranciers zijn waar scholen zomaar even naartoe kunnen overstappen. Kinderen in hogere groepen/klassen hebben een hele lesmethode geleerd en ingeprent gekregen, daar kan je (tenzij je geld en tijd teveel hebt) niet zomaar even vanaf stappen zonder dat daar consequenties aan hangen (zoals ineens een zeer lage CITO (of eindtoets) score).

Of te wel... Iddink heeft niet heel veel te vrezen maar moet wel steeds meer gaan oppassen. Als dit veel vaker voor komt zullen er sancties volgen maar op 1-2 datalekken hebben ze weinig te verliezen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:26]

PhilipsFan @Verwijderd • 5 juli 2024 01:23

Ze moeten gewoon sancties krijgen opgelegd vanuit de overheid, die betaalt tenslotte de boeken. Dit soort fouten zijn makkelijk te voorkomen. Zo'n fout betekent gewoon dat er dit jaar niet wordt betaald voor de boeken. En als ze ook maar 1 gegeven meer vragen aan de school dan ze nodig hebben voor de verwerking van hun bestellingen (ze hebben bijvoorbeeld geen naam van de leerling nodig, alleen een adres) dan kost dat ook een jaar bekostiging en mogen ze dat hele jaar de boeken voor niks leveren.

En voor elke methode die ze leveren waarbij onnodig een apart werkboek wordt geleverd, mag (voor dat vak) ook niet worden betaald. Het is de enige manier om deze schoften te leren hoe het hoort te werken. Iedereen maar voorzichtig doen met z'n gegevens en zo'n bedrijf waar je niet onderuit kan (want contract met de school) lekt ze gewoon.

Tc99m @Crew One • 4 juli 2024 22:07

Van Dijk is niet gestopt, alleen Studystore (dochter van Van Dijk die voor het MBO leverde) is gestopt.

De trend in het VO is overigens dat schoolbesturen aanbestedingen uitschrijven waar educatieve uitgeverijen direct op kunnen inschrijven, zonder tussenkomst van de schoolleveranciers.

RogerW 4 juli 2024 20:32

Ik kreeg afgelopen week een mailtje van Iddink (nooit van gehoord tot dan) waarin ze vroegen om mijn emailadres te verifiëren. Blijkbaar had iemand anders mijn emailadres gebruikt om een account aan te maken op hun website. Heb nog nooit zaken gedaan met Iddink, heb ook geen schoolgaande kinderen. Naar de klantenservice gebeld, maar daar konden ze mij ook niet verder helpen. Ik moest maar via hun website een klacht indienen. Nu vraag ik mij af het verdachte mailtje dat ik kreeg te maken had met dit datalek.

Binky11 @RogerW • 5 juli 2024 06:52

Waarschijnlijk wel.

42erik @RogerW • 7 juli 2024 21:12

Als je nooit zaken met ze gedaan hebt, zit je niet in hun gegevens. Dan kunnen je gegevens ook lastig lekken natuurlijk

WD-41 4 juli 2024 21:04

Bij het vorige datalek kregen wij als ouders een mail van de school. Ik vind dat toch vreemd: ik doe geen zaken met de school, maar met Iddink. Moet een bedrijf haar klanten wettelijk niet zelf inlichten?

mjtdevries @WD-41 • 5 juli 2024 14:26

Bij een datalek hoef je de slachtoffers niet altijd te informeren.
Dat moet alleen als het risico voor schade voor de slachtoffers hoog is. En het doel van het informeren is dan met name om de slachtoffers te informeren wat ze kunnen doen om zichzelf te beschermen:
https://www.autoriteitper...htoffers-over-een-datalek

In principe informeer je zelf, maar er kunnen situaties zijn waarbij dat niet mogelijk is. Als je bv wel persoonsgegevens hebt, maar niet een huisadres of email adres zodat slacthoffers niet zelf kunt bereiken.

Als je een melding doet bij de AP zul je ook moeten toelichten of je de slachtoffers gaat informeren en zo nee, waarom niet.

In dit geval zou het me niet verbazen dat ze bij dat eerdere datalek hebben betoogd dat ze de slachtoffers niet hoeven te informeren. Maar het dat in het contract tussen Iddink en de scholen staat dat elk datalek dat hen aangaat gemeld moet worden. Ook als het niet meldenswaardig is naar de AP.
Dat is vrij normaal in contracten.

En dan hebben de scholen wellicht op eigen initiatief de ouders/leerlingen hierover geïnformeerd.

WD-41 @mjtdevries • 5 juli 2024 16:18

Bedankt voor de uitleg! Ik vond het risico behoorlijk hoog, o.a. de bankrekeningnummers waren gelekt. Wij werden ook meteen de volgende dag gebeld door "de bank". Behoorlijk overtuigende phishing moet ik zeggen.

njitter 4 juli 2024 18:00

Zelf in elkaar geknutseld bestelsysteem ?

overcoat 4 juli 2024 22:58

Jij als ouder bent geen klant, maar je kind. Je kind kan buiten boeken ook de overige accessoires (die wel zelf betaald moeten worden) bestellen.

jongetje

@overcoat • 5 juli 2024 08:11

Je doelt op de rekenmachines e.d. die bij een Hema of andere website op internet goedkoper te krijgen zijn?

overcoat @jongetje • 5 juli 2024 08:21

Yep
Dat een andere winkel goedkoper aan kan bieden is wat mij betreft niet het punt.

Dat m'n kind (11 jaar) dit kan bestellen en de overeenkomst met de leverancier aan kan gaan zonder dat ik daar als ouder in gekend wordt is mijn punt. Paar grafische rekenmachines en atlassen loopt aardig in de kosten.

Robru1 @overcoat • 5 juli 2024 08:44

En jij bent als ouder verantwoordelijk voor je kind.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (97)

Sorteer op:

Weergave: