Gegevens van alle 63.000 Nederlandse politiewerknemers zijn gestolen bij hack

Namen en 'werkgerelateerde contactgegevens' van alle Nederlandse politiewerknemers zijn bij een hack gestolen. Dat meldt de minister van Justitie en Veiligheid in een brief aan de Tweede Kamer, al geeft die daar weinig informatie over.

Minister David van Weel van Justitie en Veiligheid schrijft in een brief aan de Tweede Kamer dat de gegevens van alle politiewerknemers in Nederland zijn buitgemaakt bij een hack. "Bij de hack zijn werkgerelateerde contactgegevens van alle politiemedewerkers buitgemaakt. Behalve de namen van politiemedewerkers gaat het verder niet om privégegevens of onderzoeksgegevens", schrijft Van Weel. Veel meer informatie geeft de minister niet; hij zegt dat de politie nog onderzoek doet naar 'de oorzaak en de impact van het incident'.

Volgens de politie werden de gegevens gestolen nadat er 'een account werd gehackt'. "Afgelopen week is bekend geworden dat een politieaccount is gehackt", schrijft de politie in een eigen nieuwsbericht, maar verder geeft de organisatie geen informatie.

De politie heeft een melding gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een dergelijk datalek. Ook zijn politiewerknemers zelf op de hoogte gebracht. "Als blijkt dat naar aanleiding van dit incident aanvullende maatregelen nodig zijn, zullen deze worden getroffen", zegt de minister.

Tijdens een persmoment zei Van Weel volgens de NOS niets over de mogelijke gevolgen voor undercoverwerk van agenten. "We kijken naar de risico's van het uitlekken van deze informatie en waar de informatie terecht is gekomen. In het belang van het onderzoek doe ik daar geen nadere uitspraken over."

De politie in Nederland heeft bijna 63.000 werknemers. Het is daarmee de grootste werkgever van het land. De politie valt onder verantwoordelijkheid van het ministerie van Justitie en Veiligheid.

Update, 15.57 - Alinea over de verklaring van de politie zelf toegevoegd.

Reacties (159)

pinqeh 27 september 2024 15:52

Heb hier werkelijk geen andere reactie voor als.. Yikes..

Hoe krijg je dit nou weer voor elkaar bedenk ik me dan toch altijd.

litebyte @pinqeh • 27 september 2024 15:55

Wie weet van binnen uit. Er worden al regelmatig gegevens verkocht. Ik denk dat velen onderschatten hoe machtig de misdaad is in Nederland en hoever het is binnengedrongen in overheidsorganisaties.

xoniq @litebyte • 27 september 2024 15:59

Wie weet van binnen uit.

Alsnog slecht. Wie moet in hemelsnaam toegang hebben tot alle gegevens van alle politie medewerkers van meerdere korpsen? HR? Misschien, maar lijkt me dat dat per korps is. Salaris? Die hebben niet alle gegevens nodig, en kan geautomatiseerd met bevestigen. Ook niet alle gegevens nodig.

Lijkt me gewoon een slecht platform.

GrooV @xoniq • 27 september 2024 16:17

Adresboek in outlook? Het gaat hier om namen en werkgerelateerde contact gegevens

Anoniem: 80910 @GrooV • 27 september 2024 16:28

Wat moet je met een adresboek van +60.000 mensen, dit is structureel fout opgezet, dit moet je per district doen, en het district heeft alleen de namen van het district, wellicht 2000 dan ipv alle, in tijden van oorlog is dit heel slordig en gevaarlijk...

DaRealRenzel @Anoniem: 80910 • 27 september 2024 22:58

Helaas heeft o.a. Outlook altijd sowieso een Global Address List waar alle mailboxen in staan, inclusief distributie lijsten, functionele mailboxen enz.
Natuurlijk kan je eigen, gesegmenteerde adreslijsten aanmaken, bijvoorbeeld alle agenten in een regio, maar die GAL blijft er altijd zijn, en die kan je ook altijd benaderen als geauthenticeerde gebruiker.

Chud @DaRealRenzel • 1 oktober 2024 08:31

En al zou je het wel segmenteren, is er altijd nog een sysadmin die hier controle over heeft die omgekocht/afgeperst kan worden. Remember Dennis Nedry.

FreezeXJ @Anoniem: 80910 • 27 september 2024 18:36

En dan heb je je collega nodig van de andere kant van het land voor iets groots, en dan schrijft de Televaag-kop zichzelf: "Politie kan zichzelf niet eens bereiken"...

Sowieso zijn we nog niet in oorlog, ongeacht wat er geroepen wordt, hooguit voeren we veldslagen tegen crimineeltjes, en dan is het toch wel prettig dat je je collegas kunt bellen. Of dat iemand binnen je organisatie dat kan, voor jou.

dwaallicht @FreezeXJ • 27 september 2024 18:46

Uitspraak van Schoof op 21-09 is dat we niet in oorlog zijn maar dat het geen vrede is. De hoeveelheid aanvallen op Nederlandse ict infra-structuur zijn enorm hoog. Beveiliging is echt belangrijk. Denk niet alleen aan georganiseerde misdaad maar vooral aan staatsgesteunde aanvallen.

2green @dwaallicht • 27 september 2024 19:24

Werknemers zullen elkaar toch moeten kunnen bereiken.

Bij iedere organisatie voorzover mij bekend moet en kan iedereen elkaar in een systeem terugvinden.

Zie niet in waarom en hoe dat anders kan zijn bij de politie.

dwaallicht @2green • 28 september 2024 11:37

Dat hoeft ook niet. Ik reageerde op:"er is geen oorlog". Ik denk dat de hybride oorlogsvoering misinformatie, beïnvloeding, aanvallen op ict infrastructuur en tegenwoordig ook steeds vaker fysiek de noodzaak van goede beveiliging onderstrepen. Er zullen geen tanks het Binnenhof op rijden en toch kun je verliezen.

2green @dwaallicht • 28 september 2024 13:56

Mijn fout. Begreep je reactie eerst niet, maar zie nu dat ik op @FreezeXJ had willen reageren i.p.v. jouw reactie.

n8n @2green • 27 september 2024 19:40

Daar hoeven alleen werkgerelateerde contactgegevens in te staan en geen privé gegevens, wat hier wel het geval lijkt.

2green @n8n • 27 september 2024 19:45

Dat is hier niet het geval.

Er staat expliciet bij dat er geen prive gegevens zijn buitgemaakt, behalve de namen.

Red Boll @2green • 28 september 2024 09:56

Er staat expliciet bij dat er geen prive gegevens zijn buitgemaakt, behalve de namen.

Zou je buitgemaakt niet moeten/kunnen lezen als: Op de markt gekomen?

Pas na onderzoek zou je er pas achter kunnen komen wat er exact is buitgemaakt (en hoe).

2green @Red Boll • 28 september 2024 13:54

Terecht punt, natuurlijke taal kan altijd op verschillende manieren worden gelezen inderdaad itt Logica (tak van wiskunde).

Aangezien ze duidelijk onderscheid maken tussen wat verkregen is en wat niet, lijkt het mij aannemelijk dat meer informatie niet is benaderd en daardoor niet op de markt kan zijn gekomen. Dat laatste deden ze geen uitspraken over, alleen dat ze het zelf niet delen.

Ben benieuwd naar wat hier verder uit komt.

DaRealRenzel @2green • 1 oktober 2024 14:48

Blijkbaar zijn er wel medewerkers geweest die zo slim zijn geweest bepaalde prive gegevens in hun adresboek record te plaatsen, en dus nu klagen dat er toch prive gegevens zijn buitgemaakt.
Ik kan me ook wel voorstellen dat politie bijvoorbeeld niet aan alle medewerkers een mobiele telefoon verstrekt, en sommigen dus hun prive mobiele nummer er in hebben gezet. Of voor de bereikbaarheid bij thuiswerken hun prive vaste lijn nummer....

TWeaKLeGeND @dwaallicht • 29 september 2024 17:36

Utspraak van schoof is uiteraard onzin. Je bent in oorlog of je bent het niet. Met vage uitspraken veranderd daar niks aan. Er is nooit in de geschiedenis van de moderne mens waar dan ook 'vrede' geweest als je er zo vaag over filosofeert. Spionnen zijn altijd actief. Informatie wordt altijd gestolen en verzameld. OOK door onze bondgenoten. Hebben we daar geen vrede mee?

TLDR: Schoof doet emotionele manipulerende uitspraken die verder niks met vrede of oorlog te maken hebben.

[Reactie gewijzigd door TWeaKLeGeND op 29 september 2024 17:40]

Only @Anoniem: 80910 • 29 september 2024 13:43

Geloof me, dit is vaak nodig, de politie werkt door heel het land continue samen he, het zou ongelofelijk vervelend en omslachtig werken zijn als alles per stukje afgeschermd zou zijn.
Mailadressen zijn sowieso niet bepaald een openbaar geheim bij de politieorganisatie, werktelefoonnummers kan vervelender zijn, maar er staat nog niet precies wat er buitgemaakt is.
Account gehackt klinkt bijzonder overigens, want je kan dan alsnog niet overal zomaar bij, ik ben dus benieuwd naar de details, tot die tijd is alles gewoon giswerk.

evers97 @Anoniem: 80910 • 30 september 2024 10:15

Dit is de politie maar niet de CIA of AIVD. Ga nou niet zo panisch doen om mailadressen en basic contactgegevens van werk, je moet al je collega’s bereiken. Verder is de politie nu nationaal.

Vaevictis_ @GrooV • 27 september 2024 19:30

Adresboek is dan gegevens uit active directory. Maar niet iedereen staat daar in, bepaalde afdelingen zijn afgeschermd.

DaRealRenzel @Vaevictis_ • 27 september 2024 22:59

De GAL van Exchange staat niet in Active Directory.

Speedpete @GrooV • 27 september 2024 16:48

Bij een mondeling interview op Nu.nl zei de minister dat men moet denken aan een outlookbestand. Dat hoeft niet te betekenen dat het ook de vorm van de hacks is, maar het kan een verspreking zijn.

aileron @GrooV • 27 september 2024 17:12

Dat was ook mijn eerste gedachte. Lekker allemaal migreren naar office 365. Abbo'tjes valt toch onder dat van ministerie.

Pfffff, wat een shit show.

Neem aan dat het niet zo erg is dat iedereen in een global address book zit.

We geven zoveel geld uit aan allemaal mooie projecten, misschien kunnen we ook de privacy van notabene onze politiemensen veilig stellen.

mjtdevries @aileron • 27 september 2024 18:45

Dat heeft natuurlijk geen zak te maken met Office 365.

Zodra je in een bedrijf email gebruikt, dan heb je ook een adreslijst.
Of dat nu Exchange on-prem is, of Office 365 of een opensource email systeem.

En alleen de naam en het email adres zijn nu niet meteen de gevoeligste gegevens.

Randfiguur @mjtdevries • 27 september 2024 18:55

De functies zitten er ook bij. [Edit: Zie nu dat dat een aanname van derden is en niet in de berichtgeving staat] Dat wordt al een stuk gevoeliger, afhankelijk van de gedetailleerdheid ervan (er zal niet zoiets als "undercover agent" staan, hoop ik).

[Reactie gewijzigd door Randfiguur op 27 september 2024 20:00]

2green @Randfiguur • 27 september 2024 19:42

Nergens staat dat de functies buit zijn gemaakt, dat is een aanname van jouw kant neem ik aan?

Randfiguur @2green • 27 september 2024 20:02

Je hebt gelijk, ik had niet door dat er al flink op los wordt gespeculeerd dat het een globale adressenlijst is waar mogelijk ook de functies staan, dat staat idd niet in de verschillende berichten.

2green @Randfiguur • 27 september 2024 20:14

Helder, was overigens ook wel aannemelijk geweest, gaan we vast nog wel meer over lezen in de media.

Overigens zag ik dat de functienamen bij de politie ook niet veel zeggend zijn sinds de beruchte reorganisatie. Iedereen lijkt nu Operationeel expert, bedrijfsvoering expert, etc te zijn. Dat gaat de boeven ook niet veel extra informatie geven. Blijkbaar heeft daar iemand over nagedacht.

dixet @Randfiguur • 27 september 2024 21:29

"undercover agent" is gelukkig geen functie idd. Daarnaast zijn er heel veel maatregelen om undercover agenten af te schermen. Zelfs de salarisbetaling gaat anders, zodat er op hun bankafschriften niet "Salaris Nationale Politie" staat
bron: ik heb bij de politie gewerkt

vrow @Randfiguur • 27 september 2024 19:28

Ja, want undercoveragenten gebruiken altijd hun eigen naam als ze undercover gaan…
Zolang er geen foto’s bijzitten, heb je een lijst die we al jaren hadden, namelijk het telefoonboek.

Het is niet handig nee, maar als het inderdaad een Outlook-adreslijst is, dan valt het mee. De mailadressen van agenten zijn ook niet bepaald geheim of moeilijk te raden. 06-nummers kan wel vervelender zijn.

david_vl @vrow • 27 september 2024 20:53

In de interne politiesystemen?

Marzman @aileron • 28 september 2024 09:03

Je hebt toch altijd de e-mailadressen en telefoonnummers (niet prive, maar de zakelijke) van collega's in een bedrijf?

Of dat van alle 63.000 nodig is dat is wel iets anders.

Sebastian1313 @aileron • 27 september 2024 19:24

Eeuuhhh de Nationale Politie zit op office 365 👀. Dus uw opmerking bevat onjuistheden.

Okars @xoniq • 27 september 2024 16:20

Kan simpeler zijn geweest dan dat. Ik moet een aantal aannames maken hier, maar als er wordt gezegd dat er namen zijn buitgemaakt maar geen verdere (privé-)contactgegevens, dan denk ik zelf aan toegang tot webmail met een account en vervolgens het globale adresboek downloaden. Tsjakka, alle namen en interne contactgegevens van alle politiemedewerkers zijn nu van jou.

SambalBij @Okars • 27 september 2024 16:28

Als zoiets klinkt het inderdaad wel.
En als ze de (A)AD netjes hebben ingevuld, dan heb je ook al snel zaken als afdeling, locatie, functie, telefoonnummer, leidinggevende...

Patrick1995

@Okars • 27 september 2024 17:43

Ja het klinkt als het gobale adresboek. Want de minister heeft het erover dat de namen, e-mailadressen en functies van politiemedewerkers zijn gelekt, doordat één politieaccount werd gehackt.
Dus waarschijnlijk kon iedere medewerker via zijn webmail alle e-mailadressen binnen de organisatie vinden, en heeft een hacker die lijst verkregen.

Oid @xoniq • 27 september 2024 16:01

Er is maar 1 landelijk korps volgens mij.

xoniq @Oid • 27 september 2024 16:02

Per regio toch? Korps noord oost e.d.? Of zijn dat slechts afdelingen. Ik weet daar de details niet van. Dan nog, schadelijk als het een insider is met toegang tot zoveel informatie.

Oid @xoniq • 27 september 2024 16:05

https://www.politie.nl/in...ur-politie-nationaal.html
en mogelijk gaat het gewoon om de interne mailadressen lijst, daar kan je vaak wel bij lijkt me? via outlook ?

rob12424 @Oid • 27 september 2024 16:54

Of ze hebben de payroll gehacked? Aangezien het om werkgerelateerde info gaat?

Op zo'n moment kun je maar 1 ding doen Spoofen en flooden. Oftewel nep datasets maken en die zoveel mogelijk op het internet gooien. Zie dan als crimineel zijnde de goeie dataset te krijgen.

Dit doen criminelen soms overigens ook. Ze halen een paar echte gegevens uit het orgineel en verkopen de zooi door. Met echte en nep gegevens.

koppie @rob12424 • 27 september 2024 17:12

Dat de route een extern bedrijf/payrol is waarschijnlijk. Of misschien pensioenfonds?

Team Hightechcrime zal wel ermee bezig zijn, en je flood idee nu aan het uitvoeren zijn.

BertNL @rob12424 • 27 september 2024 19:27

Onwaarschijnlijk, dan zouden ook prive banknummers gestolen zijn. Daar wordt niets over gezegd.

MvdW- @xoniq • 27 september 2024 16:22

De politie in Nederland is georganiseerd als één landelijke organisatie met drie belangrijke onderdelen:

1. Regionale eenheden
2. Landelijke eenheid
3. Korpsleiding

Zo is het in Nederland geregeld na de reorganisatie.

Chotto Toire @xoniq • 27 september 2024 18:32

Volgens Tweakers gaat het om 'werkgerelateerde' gegevens, dus misschien zijn het alleen namen, werke-mailadressen en werktelefoonnummers. Iedereen kan wel op een soort intranet de contactgegevens van z'n collega's vinden.

BertNL @Chotto Toire • 27 september 2024 19:24

Klopt. In Outlook zal de hele adresgids te vinden zijn waar iedere medewerker toegang toe heeft. In het ongunstigste geval zijn ook mobiele werknummers ontvreemd die daar ook in te vinden zijn. Geboortedata en priveadressen zitten daar niet in.

Keypunchie

Nederland
Politie

@xoniq • 27 september 2024 16:32

Landelijke eenheid politie. Die korpsen is maar een manier om mensen over het land verdeeld in te zetten, en vervolgens zijn er weer districten, etc.

Hoeft niet eens HR te zijn. Ook zoiets simpels als een AD bevat uiteraard alle namen (je kan als agent, neem ik aan, op een willekeurige politie-computer in het land inloggen en dan wordt je centraal geautoriseerd.)

Of de database met badge gegevens, zodat je kunt inbadgen en/of men weet wie welke badge heeft.

Het kan ook zijn dat een externe partij die de kerstgeschenken voor alle medewerkers verzorgt gehackt is…

[Reactie gewijzigd door Keypunchie op 27 september 2024 16:33]

litebyte @Keypunchie • 27 september 2024 17:04

Volgens de politie werden de gegevens gestolen nadat er 'een account werd gehackt'.

Mocht het bij een ander bedrijf zijn, dan zou deze org. de melding moeten hebben gemaakt, naast dan de politie.

Benieuwd hoe en wat is gehacked om alle namen in te kunnen zien

roawser @xoniq • 27 september 2024 20:16

Er is maar één korps, de Nationale Politie.

litebyte @xoniq • 27 september 2024 16:58

Het is zeker slecht, zeker als het van binnenuit komt. Want dat bevestigd iets dat velen al roepen.

Dit zijn nog hun eigen gegevens, dan ben ik benieuwd hoe veilig zijn de gegevens van 11.000.000 (11 miljoen) Nederlanders die de politie in profiles heeft opgeslagen.

Sebastian1313 @litebyte • 27 september 2024 22:50

Wat is uw bron? Of zijn het allemaal aannames?

litebyte @Sebastian1313 • 28 september 2024 16:05

Ik snap uw reactie niet?

Welke bron van die 11.000.000?
https://www.ftm.nl/artike...basisregistratie-personen

Het gaat overigens om 11 miljoen illegale registraties: (samenvatting uit het artikel als u zoals ik geen abonnement hebt op FTM)

De politie vraagt op grote schaal persoonlijke informatie, zoals adresgegevens, burgerservicenummers, nationaliteit en huwelijkse staat, van mensen op uit de Basisregistratie Personen: een databank waar alle Nederlanders in staan.
Als de politie gegevens van iemand opvraagt, neemt de politie automatisch een ‘abonnement’ op die persoon. Van elke wijziging krijgt de politie automatisch bericht. Wie eenmaal een abonnement heeft, komt daar niet meer vanaf.
Die automatische updates vergemakkelijken het dagelijks werk van de politie. Zo kan zij mensen snel identificeren.
Het aantal abonnementen is totaal uit de hand gelopen, blijkt uit onderzoek door Follow the Money op basis van een beroep op de Wet open overheid. De politie volgt elf miljoen mensen op deze manier, waaronder miljoenen kinderen.
De politie handelt hiermee in strijd met verschillende Nederlandse en Europese wetten. Hoewel de korpsleiding dit al jaren weet, laat zij deze onrechtmatige situatie voortbestaan

En voor dat andere punt een voorbeeldje:

https://nos.nl/artikel/24...aatsgeheimen-naar-marokko

[Reactie gewijzigd door litebyte op 28 september 2024 16:06]

DaRealRenzel @litebyte • 27 september 2024 23:00

Die staan niet in een mailsysteem, die staan in een zeer goed beveiligd zaaksysteem

flaskk @xoniq • 27 september 2024 17:00

Iemand die de database beheert ?

Cobb @xoniq • 27 september 2024 18:54

De Wie is wie? beheerder. Bij ons staan daar ook alle namen en werknummers in.

satya @xoniq • 27 september 2024 22:47

Dit zou de omgeving van HRM geweest kunnen zijn, missywel een account van Afas of iets dergelijks. Bijna al die systemen is saas tegenwoordig.

pinqeh @litebyte • 27 september 2024 15:58

Precies, ik ben gewoon heel benieuwd wat het heeft kunnen zijn

rko4u @litebyte • 27 september 2024 17:43

Sterker nog, met zoveel werknemers bestaat er ook nog een kans dat er mensen werken die betrokken zijn bij de georganiseerde misdaad.

GeeEs @rko4u • 28 september 2024 08:01

Ik ga daar ook maar van uit idd

Je hoort immers ook regelmatig dat een crimineel een "bekende" van de politie is/was...

EdwinHamers @litebyte • 28 september 2024 12:39

Mag toch hopen dat accounts, zeker bij de politie, VERPLICHT werken met 2FA. Dus een simpele account gegevens leak wordt dan voorkomen. En HOPELIJK gebruiken ze daar FIDO of een andere methode voor het inloggen...

Jeroen hofman @litebyte • 28 september 2024 13:13

@litebyte
Precies en dan nog afgezien wat daar zelf allemaal gerommeld wordt en ook politie steeds buiten hun boekje gaan. zo ook de boa die denken dat ze alle recht hebben.
En anders wordt het wel zo gemaakt dat jij niet mee werkt.
Voorbeeld er wordt iemand staande gehouden en om zijn ID gevraagd, met de vraag van de persoon En waarom wilt u mijn ID. en dan staat er uit het niets 6 x boa en komt politie die de persoon met kop en kond in de bus gooit. Gebroken kaak als gevolg.
Die gasten dekken elkaar ook. Maar omstanders hebben heel iets anders op hun telefoon opgenomen hadden hoe dit daadwerkelijk vooraf is gegaan.
Zo ook wordt het een aardig zooitje. Zo ken ik er een aantal die al binnen het politie apparaat zijn uitgestapt. Ruim 1 jaar geleden hier een inbraak gehad veel gestolen incl auto. en dan komt politie na 2 uur langs, en verteld kom net van een andere inbraak vandaan, waar de inbreker, inbrekers nog voor vertrek wat bier hadden gedronken uit de koelkast.
Sorry maar we zijn onderbezet en geen capaciteit.
Heb ook gezegd dat als zich dit mocht herhalen, en ik op de grond lig, nog moet proberen 112 te bellen ?
Advocaten , rechters stappen ook al uit in vrees voor.
keur de hack niet goed maar dit was toch wel te verwachten , misschien in er wel een lek intern geweest ?
Zo was er enige tijd geleden een docu op NPO 2 ? de blauwe familie waar menig agent na (10-20 jaren lange dienst ) zijn uit gestapt omdat ze o.a ook de pycnische gevolgen ervaren, geweten en de gevolgen problemen binnen het gezin.
Zo sprak er een die een wel erg racistische collega had en dit uiteindelijk bij zijn chef meldt (krijgt meteen de stempel klokkenluider en mocht o.a parkeer boetes gaan uitschrijven.
Denk dat deze hack nog heel wat gevolgen zullen hebben.

[Reactie gewijzigd door Jeroen hofman op 28 september 2024 13:23]

reinierpost @litebyte • 30 september 2024 09:30

Als het van binnenuit was, zou het niet bekend worden. Dan heb je geen hack nodig.

litebyte @reinierpost • 30 september 2024 11:22

hoeft niet natuurlijk, van binnenuit kunnen gegevens zijn gedeeld om de hack mogelijk te maken (al dan niet om ontdekking te voorkomen).

Patrick_Wolf @pinqeh • 27 september 2024 16:36

Ik zou denken, iemand heeft toegang gekregen tot 1 account (waarschijnlijk een wachtwoord geraden/gehacked) en heeft toen gewoon in Gmail of Outlook (weet niet welke omgeving de Politie gebruikt) gewoon alle contacten gedownload. Dus iedereen met een @politie.nl adres hebben ze de gegevens van.

DutchHammer @Patrick_Wolf • 27 september 2024 19:40

Ik lees die suggestie meer, maar zou echt elke gebruiker het hele adresboek kunnen downloaden.. Aan de andere kant.. wij kunnen hier ook AD uit lezen en een powershell script die de boel exporteert naar een csv o.i.d. is zo gemaakt.

Cyberpuppy @DutchHammer • 27 september 2024 20:02

Als je het kunt lezen dan kun je het in principe ook downloaden. Desnoods maak je screenshots van elke pagina.

ieising @pinqeh • 27 september 2024 18:50

De mens is toch al snel de zwakste schakel, en hoe geheimer de gegevens, hoe gebruikersonvriendelijker de beveiliging en dan is die mens al heel snel heel zwak.

Al jaren is het advies om niet te eisen om wachtwoorden regelmatig te veranderen en juist een lang wachtwoord lang geldig te laten zijn. Anders wordt er al snel een te raden wachtwoord gebruikt.

Ook met beveiliging, of juist met beveiliging lopen policies flink achter op nieuwe inzichten.

Cyberpuppy @pinqeh • 27 september 2024 20:01

Het gaat om werkgerelateerde gegevens. Het zou dus zo simpel kunnen zijn als dat iemand toegang heeft gehad tot een e-mail account van een medewerker en langs die weg een dump heeft kunnen maken van het exchange adresboek.

tweazer @pinqeh • 27 september 2024 22:47

Hoe krijg je dit nou weer voor elkaar bedenk ik me dan toch altijd.

Te weinig mensen, oude spullen, inhuurkrachten, te weinig middelen, social engineering.

Triest dat de scriptkiddies hun capaciteiten niet voor betere doelen inzetten ... Putin en z'n vriendjes of zo een hak zetten ?

RobbieB @pinqeh • 27 september 2024 16:55

Tja, onderschat de slagkracht van staats-actoren niet. Die kunnen maanden besteden om zo’n hack succesvol uit te voeren. Dikke kans de de aanvallers meerdere malen gefaald hebben alvorens deze hack succesvol was.

BeosBeing @pinqeh • 30 september 2024 09:56

Hoe krijg je dit nou weer voor elkaar bedenk ik me dan toch altijd.

We hebben de afgelopen paar jaar regelmatig in het nieuws berichten gehad dat men een mol had ontmaskert die politiegegevens* doorverkocht aan criminelen.

* Ik kan me niet herinneren of er daarbij verteld is om wat voor soort gegevens dat ging, maar ik kan me voorstellen dat men criminelen waarschuwde als er ergens een inval gepland was, maar ook informatie over rivaliserende bendes. (Je kunt je fantasie de vrije loop geven door wat Hollywood-films te bekijken.

In ieder geval kun je als mol je sporen verbergen als je inloggegevens van een collega weet te bemachtigen en sommige criminelen die graag zelf toegang hebben zouden waarschijnlijk graag betalen voor zo'n account.

Zoals xoniq aangeeft, is het alsnog slecht als men daarna toegang heeft tot gegevens van alle medewerkers in het hele land, maar ik verwacht dat dit te maken heeft met de toegang tot het Exchange of LDAP-adressenboek.

Willem_54 @pinqeh • 30 september 2024 20:08

Elk item die in leesbare tekst wordt opgeslagen is een potentieel risico. In iedere organisatie die met persoonsgegevens werkt zou het verplicht moeten zijn om alle data te versleutelen.

Alleen bevoegde medewerkers die geautoriseerd zijn tot gebruik van één of meerdere items kunnen dan toegang krijgen tot die data waarvoor zij een sleutel hebben via een gelaagde firewall constructie waarbij iedere raadpleging wordt gelogd in een audit-trail.

Het is betreurenswaardig hoe vaak en hoe makkelijk privacygevoelige data wordt gestolen.

Nog beter is het extra maskeren en coderen van data zodat een aanval van buitenaf geen bruikbare gegevens op kan leveren.

lDDQD 27 september 2024 16:31

Ze zijn momenteel de impact van deze lek aan het onderzoeken, lijkt mij zeer ernstig als ook informatie van undercover agenten gelekt is.

sympa @lDDQD • 27 september 2024 16:37

Hangt er vanaf of de afdeling erbij zit. Je zou de voornaam en achternaam van elke Nederlander kunnen lekken. Dan staan ook alle undercoveragenten er tussen. Maar een crimineel kan ze er toch niet sneller door vinden.

Orion84 Admin General Chat / Wonen & Mobiliteit @sympa • 27 september 2024 17:14

Zelfs al is het alleen maar een lijst met namen: als je dat als criminele organisatie met allerlei andere (openbare/gelekte) bronnen gaat combineren kan je wellicht ook gezichten bij die namen vinden en weet je van dat gezicht dus ineens dat die bij de politie werkt. Je kan mensen binnen je organisatie of waar je contact mee hebt gaan checken tegen die data. En zo mogelijk undercover agenten ontmaskeren.

HenkEisDS @Orion84 • 27 september 2024 17:38

Eens, dat is mogelijk. Een undercoveragent heeft gelukkig wel goed nagedacht over zijn (online) exposure. Die hebben echt geen publiek Instagram of facebookprofiel met foto. Heck, zelfs hun partners weten vaak niet eens wat ze precies doen. Ik denk daarom niet dat er nu ineens allerlei onderzoeken of personen in gevaar raken, maar die analyse zullen ze dit weekend wel druk mee zijn.

Jerie

@HenkEisDS • 27 september 2024 18:30

Die hebben een cover story. Bijvoorbeeld bij de buren bekend als ondernemer in de visvangst. Vervolgens staat diegene in een paste. Op zich kun je er dan misschien mee wegkomen door te zeggen dat het een ander met dezelfde naam betreft. Maar het blijft gevaarlijk. Want met een beetje programmeerwerk kun je geautomatiseerd mensen opzoeken.

HenkEisDS @Jerie • 27 september 2024 18:49

Bij die coverstory hoort toch niet hun echte naam?

Jerie

@HenkEisDS • 27 september 2024 23:37

Volgens mij: IRL gebruiken ze hun echte naam in het dagelijkse leven, en zo ook m.b.t. e-mail systeem. Maar zeker weten doe ik het niet. Het is in ieder geval wel zeer relevant. De overheid moet hier absoluut proactief op handelen.

laptopleon

Politie

@Orion84 • 28 september 2024 11:18

Nou is het andersom wel zo, dat de gemiddelde politiemedewerker al 20 jaar weet dat dit risico bestaat en daarom niet met (echte) naam, herkenbare foto of gevoelige info op Facebook staat.

wildhagen

Beveiliging en antivirus
Nederland
Politie

@sympa • 27 september 2024 16:46

Hangt er vanaf of de afdeling erbij zit.

Hij zei dat het gaat om ‘naam, contactgegevens en functie’.

Contactgegevens kunnen dus werk-adressen, 06-nummers, emailadressen etc zijn.

Met al deze gegevens kan je vaak al aardig achterhalen wie en wat enzo. Dit is erg, erg heftig gezien de potentiele impact:

Agenten staan steeds vaker bloot aan zogeheten doxing, waarbij mensen gegevens van agenten online zetten om hen te intimideren. Het signaal: je bent agent, maar niet onaantastbaar, we weten wie je bent.

Zeker voor bepaalde eenheden van de politie is het lek in potentie heel gevaarlijk. Denk aan agenten die werken bij de Mobiele Eenheid, bij arrestatieteams, of zij die mogelijk het meest gevaar lopen: undercoveragenten.

[...]

Gegevens over de politie zijn soms toch al handelswaar voor criminelen. Bijvoorbeeld de kentekenplaten van auto’s van de politie, worden soms door criminelen aan elkaar verkocht. Zij weten dan immers of ze in de gaten worden gehouden. ,,Namen van agenten zijn dus ook gewoon handelswaar”, zegt een betrokkene.

Alle quotes van https://www.bndestem.nl/p...-is-handelswaar~ac7d6588/

[Reactie gewijzigd door wildhagen op 27 september 2024 16:47]

lDDQD @sympa • 27 september 2024 17:36

Zeker wel, door andere bronnen te combineren is de kans vele malen groter (bv. LinkedIn of ander social media).

JWPrutser @lDDQD • 27 september 2024 17:29

Ik neem aan dat een undercover agent niet onder zn eigen naam under cover werk doet.
We moeten het ook weer niet spannender maken dan het is. Op LinkedIn kan je ook voor het overgrote deel zien wie er allemaal bij de politie werken.

lDDQD @JWPrutser • 27 september 2024 17:38

Dan zou het dus juist opvallen. Als ik deze lijst kan vergelijken met een LinkedIn dataset, is het juist opvallender als er geen matches zijn. We moeten niet onderschatten wat voor impact dit kan hebben.

Cyberpuppy @JWPrutser • 27 september 2024 20:05

Nee maar ik kan in principe wel bij alle namen een gezicht zoeken en die vervolgens weer vergelijken met de persoon die ik tegenover mij heb staan. Is wat werk met 63000 namen, maar er vallen er allicht een paar door de mand.

Verder geen idee of een under cover agent ook in het adresboek staat of op de interne verjaardagskalender.

Peatsmoke

27 september 2024 15:53

Namen en werkgerelateerde contactgegevens (afdelingen) is al dramatisch genoeg. Als pleister op de wonden wordt er dan bij verteld dat er geen privégegevens gelekt zijn.

Honytawk @Peatsmoke • 27 september 2024 18:09

Namen zijn toch gewoon privé gegevens?
Het is niet dat ze een nieuwe officiële naam krijgen als ze bij de politie beginnen.

Cid Highwind @Peatsmoke • 27 september 2024 16:20

Behalve de namen van politiemedewerkers gaat het verder niet om privégegevens of onderzoeksgegevens.

Er wordt niet gesuggereerd dat er geen privégegevens zijn gelekt. Enkel dat er geen verdere privégegevens zijn gelekt anders dan de naam.

En dat is natuurlijk al erg genoeg. "Werkgerelateerde contactgegevens" bieden ongetwijfeld ook verdere aanknopingspunten namelijk.

MischaBoender @Peatsmoke • 27 september 2024 16:23

Als daar 06 nummers bijzitten dan kan dit nog best wel eens wat impact gaan hebben.

Laurens__ @MischaBoender • 27 september 2024 16:59

Ik zie al een mailtje naar de provider: mogen we voor alle medewerkers even een nieuwe sim met een nieuw nummer hebben?

SamSid @Laurens__ • 27 september 2024 17:26

En het oude nummer wordt vrijgegeven met alle gevolgen van dien.

Laurens__ @SamSid • 28 september 2024 21:05

Ik ben toch zo blij dat ik al ruim 25 jaar hetzelfde nummer heb. Ik denk niet dat ik ooit nog een ander nuer neem...

yevgeny 27 september 2024 16:01

Pluimpje voor de politie dat ze het zolang hebben kunnen voorkomen, in 2015 is Office of Personnel Management gehackt met als gevolg dat gegevens van iedereen met een security clearance openbaar zijn gemaakt. Daarmee vergeleken stelt dit niets voor.

https://en.wikipedia.org/...el_Management_data_breach

kodak

Politie
Hack
Nederland
Beveiliging en antivirus

@yevgeny • 27 september 2024 16:50

Iedere organisatie heeft als verplichting dit soort gegevens te beschermen. Een pluim geven dat het nog lang duurde voordat men zich niet aan de wet heeft gehouden suggereert dat het redelijk dat men het niet doet of dat het hoe dan ook zal gebeuren. Het eerste gaat tegen de wet in, wat hoe dan ook al niet hoort en zeker niet bij de politie. Het tweede is,een onredelijke aanname omdat een kans op lekken niet perse maar uit komt.

Daarbij is een datalek niet zomaar vergelijkbaar. Ze zijn er in veel verschillende vormen. Van theoretisch tot praktische alles lekken naar het publiek. En van onbewust zijn van een lek tot er gedeeltelijk of geheel zicht op hebben. Dus zonder duidelijke en grenzen te stellen is het dan wel erg makkelijk om zo een pluim te geven.

meade 27 september 2024 20:56

Vaak wordt er bij dit soort hacks aangenomen dat de beveiiging niet deugde. Maar ga eens uit van omgekeerde: de beveiliging is de best denkbare die we hebben geweest. Dat is pas verontrustend lijkt mij. En de kans dat politie (of een andere organisaties) dit soort gegevens wil beveiligen met de best denkbare voorziening lijkt mij groter dan dat ze voor een mindere dan beste kiezen. Was het maar waar denk ik dan dat het een gevolg is van slechte beveiliging; dan is een oplossing simpel. Succesvolle hacks duiden niet per definitie op slechte beveiliging maar op betere hacks dan de beveiliging en die kan state of art zijn. De hack is dan net even een beetje meer state of art.

erix4me @meade • 27 september 2024 22:14

Er is een account gehackt. Dan is mijn eerste vraag, hoe was de authenticatie voor dat account geregeld dan? Iedere grote organisatie heeff toch al een paar jaar MFA voor alle gebruikers.

Sebastian1313 @erix4me • 27 september 2024 22:37

Dat is geheel correct, en dat is bij de Politie, de MIVD, de AIVD en defensie niet anders. Allemaal kom je nergens in zonder MFA.

[Reactie gewijzigd door Sebastian1313 op 27 september 2024 22:38]

useruser @erix4me • 27 september 2024 22:27

Er zijn manieren om dat te omzeilen. Denk aan (ondetecteerbare, of zero day) malware op een endpoint. Ik deel de mening van Meade, er zit waarschijnlijk een behoorlijk team daar en de gemiddelde nu.nl reactie van "overheid en ict gaat niet samen" is echt onderschatting van huidige status.

satya @useruser • 27 september 2024 22:44

Het kan simpeler, een deel van de agenten, oa een ovd, heeft een speciale GSM waar ontzettend veel gegevens mee op te vragen zijn. Er hoeft maar een iemand zo'n telefoon in zijn handen te hebben en het is kassa.

HarryL 27 september 2024 15:51

Oei, dit is wel heftig!
Ook gewoon alle politie-medewerkers. Heel bizar.

wildhagen

Beveiliging en antivirus
Nederland
Politie

27 september 2024 15:56

Behalve de namen van politiemedewerkers, gaat het verder niet om privégegevens of onderzoeksgegevens

Dat scheelt dan weer, maar het is al kwalijk genoeg. Er zijn op die manier vast wel gegevens van die politiemensen te herleiden (via indirecte methoden), wat weer nare gevolgen kan hebben door mensen die, zoals ze dat dan eufemistisch noemen, "even thee komen drinken" bij de familie van de agenten.

Ik hoop dat het zo'n vaart niet loopt, maar dat er wél een grondig onderzoek komt om de oorzaak te achterhalen, en een herhaling in de toekomst te voorkomen.

Je wil nooit dit soort gegevens op straat hebben liggen, maar al helemáál niet van mensen in een gevoelige beroepsgroep zoals de politie, met alle potentiele gevolgen vandien voor henzelf, hun familie, maar ook eventueel (moet dus nog onderzocht worden) voor lopende onderzoeken...

evilution @wildhagen • 27 september 2024 18:10

[...]

Dat scheelt dan weer,

Ieder datalek is "beperkt" maar ik zou er niet van opkijken als al die data van verschillende lekken worden gedeeld met partijen, al dan niet tegen betaling, zodat die partijen data uit verschillende lekken eens kunnen koppelen. Dan heb je opeens een leuke database.

Chiellie76 27 september 2024 15:57

Oei, dit is wel heel kwalijk dat dit gebeurd is.

Auteur

TijsZonderH Nieuwscoördinator 27 september 2024 20:40

Ik hoor inmiddels van meerdere kanten dat de politie vreemd omgaat met dit voorval. Mocht je daar iets over kwijt willen, ik ben tijs_tweakers.75 op Signal (of check hier voor andere privacyvriendelijke manieren om contact met me op te nemen)

Jorgen 28 september 2024 02:09

Dit ljikt wel het begin van het plot van de gemiddelde spionagefilm. Dat gezegd hebbende, hoop ik serieus dat dit geen schade voor agenten gaat opleveren. Niet iedereen wil open en bloot bekend staat als agent vanwege privacy en veiligheid voor zichzelf of het gezin. Dat een organisatie als de politie doelwit is van hacks is niet verwonderlijk. Dat het lukt om 63.000 namen te stelen, vind ik wel heel zorgwekkend. Temeer omdat het op de hoogte brengen van de politiemensen nogal passief lijkt te zijn gegaan, zoals hier MTVGN in 'Gegevens van alle 63.000 Nederlandse politiewerknemers zijn gestolen bij hack' wordt benoemd.

Op dit item kan niet meer gereageerd worden.

Gegevens van alle 63.000 Nederlandse politiewerknemers zijn gestolen bij hack

Lees meer

Reacties (159)

Sorteer op:

Weergave: