RTL Nieuws: door ransomware getroffen medisch lab heeft losgeld betaald

Clinical Diagnostics, het laboratorium dat onlangs werd gehackt en waarbij medische gegevens werden gestolen, heeft losgeld betaald. De ransomwaregroep, Nova, bevestigt dat aan RTL Nieuws. Clinical Diagnostics doet daar geen uitspraken over.

De ransomwarebende achter de hack bevestigt aan RTL Nieuws dat Clinical Diagnostics het losgeld heeft betaald. Het is niet bekend om hoeveel geld het gaat; RTL Nieuws spreekt van 'miljoenen euro's'. Volgens RTL gaat het om de Nova-ransomwarebende. Op de website van Nova op het darkweb staat op dit moment geen informatie over de hack op Clinical Diagnostics. Vaak wordt zulke informatie verwijderd nadat slachtoffers hebben betaald, maar bendes verwijderen informatie soms ook van hun websites tijdens een onderhandelingsperiode.

Clinical Diagnostics wil niet zeggen of het heeft betaald. RTL Nieuws merkt op dat op de website van het bedrijf staat dat er 'geen indicaties zijn dat de aanvaller zal overgaan tot het lekken van de gekopieerde gegevens'.

Nova Ransomware — Op de website van Nova is niets te zien over deze hack.

Eerder deze week bleek een groot laboratorium dat werkt met medische gegevens van onder andere bevolkingsonderzoeken en huisartsen te zijn getroffen door ransomware. Het gaat onder meer om resultaten van het bevolkingsonderzoek naar baarmoederhalskanker en burgerservicenummers, maar later bleek daar meer medische informatie bij te zitten.

Ransomware draait de afgelopen jaren steeds meer om afpersing met datadiefstal en veel minder om versleuteling. Experts zien al langer dat bendes in sommige gevallen helemaal geen gegevens meer versleutelen en alleen nog dreigen gestolen informatie openbaar te maken. Tweakers schreef daar vorig jaar al een achtergrondartikel over.

Reacties (161)

latka 13 augustus 2025 12:02

Ik begreep dat in de UK het nu verboden is om losgeld te betalen (iig. voor clubs die op overheidsgeld draaien). Lijkt me slim om dat zo snel mogelijk hier ook te gaan doen om dit bedrijfsmodel onrendabel te maken. Blijft over dat men met gestolen data nog wel individuen kan afpersen maar dat is meer werk en wellicht daardoor minder interessant.

PixelPionier @latka • 13 augustus 2025 12:19

Goed moment om die discussie hier ook te voeren! Betalen van losgeld houdt deze industrie in stand. Betalen is een zeer verwerpelijke actie.

Dasprive @PixelPionier • 13 augustus 2025 13:23

Klinkt makkelijk, tot je bij de categorie bedrijven komt die moeten kiezen tussen betalen of failliet gaan omdat ze hun klanten niet kunnen bedienen zonder de data. Of de universiteit die het academiejaar niet kan opstarten waarbij niet betalen betekent dat duizenden studenten getroffen worden en mogelijk daar doorheen hun studie nadelen van ondervinden omdat ze maanden later gestart zijn.

Dan hebben we het nog niet over handhaving: iemand betaalt om z'n bedrijf te redden en moet daar dan een boete voor gaan betalen? Een overheidsorganisatie dubbel aanpakken en publiek geld onttrekken waar uiteindelijk niemand bij geholpen is? Hoe ga je het uberhaupt opsporen?

Dat soort verbodsdiscussies worden altijd een stuk genuanceerder als je naar de praktijk gaat kijken.

[Reactie gewijzigd door Dasprive op 13 augustus 2025 13:23]

Linux gebruiker @Dasprive • 13 augustus 2025 21:46

Klinkt makkelijk, tot je bij de categorie bedrijven komt die moeten kiezen tussen betalen of failliet gaan omdat ze hun klanten niet kunnen bedienen zonder de data. Of de universiteit die het academiejaar niet kan opstarten waarbij niet betalen betekent dat duizenden studenten getroffen worden en mogelijk daar doorheen hun studie nadelen van ondervinden omdat ze maanden later gestart zijn.

Dan hebben we het nog niet over handhaving: iemand betaalt om z'n bedrijf te redden en moet daar dan een boete voor gaan betalen? Een overheidsorganisatie dubbel aanpakken en publiek geld onttrekken waar uiteindelijk niemand bij geholpen is? Hoe ga je het uberhaupt opsporen?

Dat soort verbodsdiscussies worden altijd een stuk genuanceerder als je naar de praktijk gaat kijken.

Dit bedrijf mag van mij failliet gaan, zie; https://www.ad.nl/binnenland/bedrijf-achter-gehackt-laboratorium-was-al-eerder-slachtoffer-van-datadiefstal-betaalde-toen-ook-losgeld~a70f7416/

https://securityaffairs.com/88013/cyber-crime/eurofins-ransomware-attack.html

Blijkbaar weinig van geleerd, zo ga je niet met gevoelige gegevns om van derden.

[Reactie gewijzigd door Linux gebruiker op 13 augustus 2025 21:51]

PixelPionier @Dasprive • 13 augustus 2025 13:31

Te makkelijK! Als je als bedrijf het beheer van data, die klaarblijkelijk kritisch is voor het voortbestaan van je organisatie, niet op orde hebt dan mag je terecht vragen stellen over hun bestaansrecht. Er zijn hele goede normen en ISO standaarden die je precies vertellen wat je behoort te doen. In het geval van Eurofins zouden die minimaal ISO 270001 dienen te hebben en daarmee een volledig ISMS (Information Securtity Manegement System) inclusief offline backups en testen van de backups alsmede een compleet disaster recovery plan met bijbehorende test runs. Dus een bedrijf waar zijn voortbestaan afhangt aan beveiliging van data hoeft niet te betalen als ze simpelweg aan de wettelijke eisen voldoen! In alle andere gevallen zouden de bestuurders persoonlijk vervolgt dienen te worden wegens nalatigheid!

Mit-46 @PixelPionier • 13 augustus 2025 14:52

Je kan aan alle standaarden voldoen en dan nog heb je geen garantie dat het jouw bedrijf niet kan overkomen.

Daarnaast hebben bestuurders van een bedrijf doorgaans geen verstand van ICT, laat staat van de beveiliging hieromtrent.
Zij besturen het bedrijf en daar is ICT een onderdeel van.

[Reactie gewijzigd door Mit-46 op 13 augustus 2025 14:53]

iAR @Mit-46 • 13 augustus 2025 16:50

Je kan aan alle standaarden voldoen en dan nog heb je geen garantie dat het jouw bedrijf niet kan overkomen.

Bedrijfsrisico. Zoals gezegd: je blijft er een systeem mee overeind houden. Dus in de toekomst is dat bedrijf ook weer eens aan de beurt (in theorie). En over dat verstand hebben van: als het zo kritisch is, huur dan goede mensen in.

Daarnaast, je handelt met criminelen. Wie zegt dat ze na betaling de data alsnog niet verkopen. Er is niet zo iets als "recht" als je heelt met een crimineel, he?

[Reactie gewijzigd door iAR op 13 augustus 2025 16:51]

Senaxx @iAR • 14 augustus 2025 13:56

Bedrijfsrisico? Je ziet het momenteel wel met de Citrix hack. Het hele OM ligt plat en is alleen via brief te bereiken. Als je als bedrijf gehackt wordt omdat er een niet ondekte lek in Citrix zit dan is dat maar bedrijfsrisico? Het NCSC zegt nu al dat het een maand voordat het ontdekt werdt misbruikt werdt.

Dan kan je mensen inhuren wat je wilt maar dit soort kritische problemen voorkom je niet.

iAR @Senaxx • 14 augustus 2025 14:13

Sold! Laten we criminelen maar betalen om gegevens mogelijk terug te krijgen. Ik vraag me wel af wat we met het risico doen, dat criminelen de data niet verwijderen na betaling.

Overigens, als Citrix al een maand op de hoogte is, is dat wel haakje om wat mee te doen.

[Reactie gewijzigd door iAR op 14 augustus 2025 14:14]

banaj @Dasprive • 13 augustus 2025 21:50

Klinkt makkelijk, tot je bij de categorie bedrijven komt die moeten kiezen tussen betalen of failliet gaan omdat ze hun klanten niet kunnen bedienen zonder de data.

Dit specifieke incident lijkt een combinatie van amateurismes te zijn:

Lab: niet goed beveiligd.
Opdrachtgever: anonimiseert gevoelige informatie niet.

Oorzaak op hoger niveau: slecht bestuur. Dit probleem is niet nieuw, de de oplossing ook niet. Oplossing: bestuur persoonlijk aansprakelijk stellen, en zo nodig in de gevangenis gooien. Dan is er ineens wel aandacht. Zie b.v. SOx.

Ook zou de AP de tanden moeten laten zien bij Bevolkingsonderzoek Nederland. Ik kan met niet aan de indruk onttrekken dat Bevolkingsonderzoek Nederland niet aan GDPR kan voldoen. NAW, BSN etc. naar derde partijne sturen, waar een unieke identifier gepast was, en de impact hier enorm beperkt zou hebben. Als dat klopt: die jongens een maximale boete geven, zodat GDPR / de AP ook serieus wordt genomen.

Als bedrijven dan nog de boel verstieren en op de fles gaan: prima. Kansen voor partijen die wel goed werk leveren!

Die paar bomen die omwaaien zijn goed voor het bos als geheel.

poktor @PixelPionier • 13 augustus 2025 12:22

Eens. Wat moeten buitenlandse bendes met deze gegevens? Medische data en BSN's. Kun je weinig mee lijkt me.

PixelPionier @poktor • 13 augustus 2025 12:29

Dat is sarcastisch bedoeld denk ik?

De data bevat complete adres gegevens en welke arts welk onderzoek gedaan heeft. Niet zo moeilijk die mensen bijvoorbeeld een brief te sturen met arts als afzender met een betaallinkje voor de uitslag (ik noem maar willekeurig iets). Of een uitnodiging voor een video consult met een remote desktop programma die op de achtergrond bij de bank inlogt en je geld overboekt en zich voordoet als beveiligde inlog.Ik kan nog tientallen andere dingen bedenken ook.

Feit is dat als je gegevens op straat liggen je heel gericht getarget kunt worden op manieren die bijna niet meer van echt te onderscheiden zijn.

We kunnen er allemaal maar beter vanuit gaan dat AL jouw gegevens al op straat liggen!

Oh ja, en die hackers verwijderen die data heus niet! Wellicht verkopen ze het de komende tijd niet opnieuw. Maar deleten doen ze zeker niet.

[Reactie gewijzigd door PixelPionier op 13 augustus 2025 12:30]

coolkil @PixelPionier • 13 augustus 2025 12:36

Dat vraag ik me dus af… gek genoeg is ook zo’n ransomware betaling onderhevig aan vertrouwen. Als ze betaald hebben en x maanden later lekt de data alsnog heeft een volgend bedrijf een stuk minder bereidwilligheid om tot betaling over te gaan. die denken de kans is zeer groot dat de data een aantal maanden later alsnog gepubliceerd gaat worden. Dus waarom zou je daarvoor betalen.

[Reactie gewijzigd door coolkil op 13 augustus 2025 13:31]

svenk91 @coolkil • 13 augustus 2025 13:28

Aan de andere kant, als zo'n groep op zijn einde loopt (krijgen geen significante hacks meer voor elkaar) is het te verwachten dat ze data van oudere hacks alsnog in de uitverkoop zetten. Even nog snel cashen voor je de boel opdoekt.

Ook is er best kans dat ze een netwerk van kopers hebben die discreet zulke data kan uitbaten.

Je moet er nu gewoon vanuit gaan dat deze data voor kwaadwillenden beschikbaar is. Dat er losgeld is betaald is at best uitstel van executie.

Odie @svenk91 • 13 augustus 2025 13:51

Betalen is NUL garantie dat de data niet alsnog gebruikt wordt, nu of in de toekomst. Betalen houdt het verdienmodel in stand. Dus verbieden en betalen keihard straffen. Maar dan bedoel ik ook echt keihard.

Mathijs Kok @Odie • 13 augustus 2025 15:23

Betalen is NUL garantie dat de data niet alsnog gebruikt wordt, nu of in de toekomst. Betalen houdt het verdienmodel in stand. Dus verbieden en betalen keihard straffen. Maar dan bedoel ik ook echt keihard.

Dus een bedrijf dat een vemorgen betaald en de data lekt daarna alsnog uit waardoor de schade nog veel groter word, moet daarna nog keihard gestraft worden? Welk bedrijf denk je dat dat dragen kan? Onthou wie hier de boef en wie het slachtoffer is!

HoppyF @Mathijs Kok • 13 augustus 2025 15:58

De “boef” zou je het laboratorium zelf kunnen noemen.

Zij hebben immers gefaald om gevoelige gegevens goed te beschermen. Ik ben dan ook erg benieuwd wat het onderzoek naar deze hack bovenwater gaat krijgen.

Hackers betalen blijf ik een vreemde gang van zaken vinden. Diefstal belonen klinkt niet logisch.

necessaryevil @HoppyF • 13 augustus 2025 17:49

Ik ben het met de redenering eens, maar (nog) niet met de conclusie. Ik ben geen voorstander van het betalen van losgeld. Maar als een bedrijf de keuze heeft tussen failliet gaan of losgeld betalen... Ik heb nog een hoop meer argumenten nodig om er van overtuigd te zijn dat zo'n betaling gecriminaliseerd moet worden. Ik weet ook niet of een datalek altijd makkelijk te voorkomen is, al is dat soms wel het geval.

HansMij @necessaryevil • 14 augustus 2025 08:42

De dataset van deze case bevat veel meer data dan nodig is voor zi'n onderzoek. De bsn+adresgegevens zijn sowieso niet nodig. Met een bsn kun je de rest al ophalen bij sbvz/vecozo. Daarnaast zijn naw-gegevens helemaal niet nodig. Het bedrijf krijgt een sample om te onderzoeken in een lab. Dat sample kan een samplenummer krijgen en de uitslag koppel je daar aan. Dat hele lab hoeft niet eens te weten voor welk persoon dat is.

Ik geloof dat dataminimalisatie ook een speerpunt van avg was.

Odie @Mathijs Kok • 13 augustus 2025 16:49

Nee, een bedrijf dat überhaupt geld aan criminelen betaald in een poging de breach te voorkomen moet gestraft worden. Het is krankzinnig dat bedrijven kennelijk denken "verzekeringetje en alles sal reg kom". Ja die premies zijn dik, maar steek dat geld liever in het opruimen van technical debt en het verstevigen van je processen en beveiliging etc.

De hacker is de boef, maar als jij het verdienmodel in stand houdt ben je net zo goed schuldig. Als niemand meer z'n centen aan die bendes geeft en iedereen keihard "NJET" zegt dan is het gewoon de moeite niet meer waard.

Als analogie: het is een vorm van heling, gestolen spullen terugkopen. Dat is ook verboden, zelfs als je je eigen fiets terug koopt. Of terug steelt, mag óók niet. Maar je gestolen data “terug” kopen is wel goed?

[Reactie gewijzigd door Odie op 13 augustus 2025 17:18]

telenut @coolkil • 13 augustus 2025 13:23

heb je daar voorbeelden van? Bedrijven die na betalen toch hun data online zagen komen dus

Zoop @telenut • 13 augustus 2025 14:49

Zoals de andere ook postte, die voorbeelden zijn echt niet moeilijk te vinden. Het argument wordt doorgaans dan ook verdedigd voor "gerenomeerde hackersgroepen", alsin, sommige kan je wel op hun blauwe ogen geloven dat de criminelen eerlijk ter werk gaan. Uhuh ... Hoe moet je ooit alle groepen kennen en hun interne versplintering. Er hoeft er maar tussen te zitten die breekt van de groep en zelf besluit te gaan cashen met schijt aan de "reputatie" van de groep. Je hebt sowieso 0 garantie dat ze je date verwijderen, dus vroeg of laat ook 0 garantie dat het alsnog verspreid wordt.

Volges mij is heel deze mythe enkel door die hackersgroepen zelf tot leven gebracht en verspreid, er is echt 0,0 basis dat je die lui kan vertrouwen.

phizzie @telenut • 13 augustus 2025 13:46

Check Darknet Diaries podcast. Voldoende voorbeelden van afsplitsingen in groepen die individueel delen van een hack hebben binnengehaald. Dat gedeelte wat je dan hebt als afsplitser wordt soms alsnog gelekt.

GrooV @PixelPionier • 13 augustus 2025 12:34

Deleten waarschijnlijk niet maar dit is gewoon business voor hun dus als ze niet meer te vertrouwen zijn gaat sowieso niemand betalen. Hoe gek het ook klinkt, je kan er bij de meeste vanuit gaan dat ze niks opnieuw gaan verkopen/publiceren. Een zuivere naam in de scene is veel voor ze waard

PixelPionier @GrooV • 13 augustus 2025 12:49

Nova is een nieuw clubje. Wellicht ontstaan uit een ander clubje dat later toch niet zo betrouwbaar leek? 'Betrouwbaar' is sowieso een bijzonder woord in deze context.

Zoop @GrooV • 13 augustus 2025 14:51

Ik weet vrij zeker dat de hackersgroepen zelf deze mythe de wereld in hebben geholpen en het verspreiden. Er is echt 0,0 basis voor dat je die gasten kunt vertrouwen omdat ze wat om hun reputatie zouden geven.

Dan ga je er ten eerste al vanuit dat je altijd met een hackersgroep te maken hebt die volgens die filosofie te werk gaat.

s0ulmaster @Zoop • 13 augustus 2025 15:18

en wat houdt die gasten tegen om onder een andere naam/identiteit verder te gaan. Nieuwe club, nieuwe reputatie, ondertussen alle data van de oude club online zetten en cashen maar.

Hedva @poktor • 13 augustus 2025 12:34

Deze bendes willen er niet zoveel mee. Maar er zijn genoeg schoften die het wel willen hebben. Het gaat ook om de andere gegevens die erbij zitten. Hoe meer informatie je over iemand hebt hoe gerichter je te werk kunt gaan om geld los te peuteren.

Al die irritante telefoontjes van mensen die zich voortdoen als Microsoft, Amazon, de politie, het ziekenhuis, etc. Er trappen nog steeds te veel mensen in die daardoor heel veel geld kwijtraken.

Daarnaast kun je met medische gevens ook nog heel goed mensen afpersen. Er is genoeg medische informatie die mensen niet openbaar willen hebben.

Ik vindt losgeld ook niet de meest ideale optie. Maar zou het ook niet fijn vinden als al die informatie van mij ineens toegankelijk is voor anderen die er niks mee te maken hebben. Het is een lastige situatie. Zeker net medische gegevens

NeverSettle @poktor • 13 augustus 2025 12:36

Door verkopen? BSN data kan gebruikt worden voor het plegen van fraude. Medische data kunnen in theorie gebruikt worden voor verschillende doeleinden. Hangt er natuurlijk ook vanaf wat voor data ze hebben. In Finland heeft één hacker 10.000 patiënten data gehackt van een psychiatrische kliniek en patiënten mee afpersen.

Misschien te ver gezocht, maar ik kan mij voorstellen dat je gerichte spam of finishing mails kan ontvangen door jouw gelekte (medische) data.

[Reactie gewijzigd door NeverSettle op 13 augustus 2025 12:39]

R4gnax @poktor • 13 augustus 2025 13:49

Kennis van complete adresgegevens plus een BSN is voldoende om in veel gevallen bij telefonische service desks van bijv. verzekeraars binnen te komen. Daar kan veel kwaad mee berokkend worden.

TWeaKLeGeND @PixelPionier • 13 augustus 2025 13:13

Makkelijk praten. Afpersen is een zeer verwerpelijke actie.

Tintel @PixelPionier • 13 augustus 2025 13:12

De ellende is dat losgeld betalen voor ontvoerde mensen net zo goed die 'industrie' in stand houdt. Verbieden criminelen van losgeld te voorzien, is een mooi idee maar het criminaliseert slachtoffers. Nu zeggen we al snel: dan hadden ze de beveiliging niet op orde; eigen schuld. Maar dat vind ik ook niet helemaal correct. Zelfs als het overduidelijk een domme fout is dan is dat niet de bedoeling. Bijna niets doen aan bescherming van gevoelige data is het punt waarop we het nalatigheid gaan noemen.

SprockerJock @Tintel • 13 augustus 2025 13:51

Zoals een commercieel labo gewoon alle informatie geven over patienten. Alle informatie. Dat is bijzonder nalatig. Daar mogen de huisarten en ziekenhuizen wel voor gestraft worden. Indien het een vereiste was voor samenwerking, dan moet dit labo zwaar gestraft worden.

Is dit slachtoffers straffen? Neen. Want de slachtoffers zitten nu thuis zich af te vragen op welk manier hun data tegen hun gebruikt gaat worden.

Tintel @SprockerJock • 13 augustus 2025 14:10

Ja, de vraag is altijd of die informatie daar wel had mogen zijn idd. Eerst alles opslaan en dan kwijtraken is duidelijk niet handig. Maar of dat nalatig is weet ik niet - meer opslaan dan eigenlijk nodig is niet goed maar het bepalen daarvan is niet de taak van een techneut. En die zou dan de nalatig zijn terwijl deze 'gewoon' een import functie heeft gemaakt.
Dat het een commercieel lab betreft is toch niet zo relevant? Verzekeraars zijn ook commercieel en hebben ook bijzonder veel gegevens van mensen.

Bij een ontvoering / losgeld situatie zijn er wel 2 soorten slachtoffers. Inderdaad de 'ontvoerde' (in dit geval de data van patienten) maar ook degene die de ontvoerders moet betalen. Als een kind van een rijk persoon wordt ontvoert zeggen we toch ook niet meteen dat de vader/moeder dan nalatig is geweest in de bescherming van hun kind?

R0KH @SprockerJock • 13 augustus 2025 14:13

Er is ook nog de factor wie uiteindelijk voor de kosten opdraait van het betalen van losgeld, dan wel een boete als dat het gevolg van een straf is.

Ik vrees dat dit indirect gewoon betaald wordt door de patiënten die hier onder andere slachtoffer van zijn. In dat opzicht ben je dus dubbel de pineut.

Daarom onder andere ben ik ook van mening dat losgeld betalen gewoon de slechtste optie is. De kern van het probleem is natuurlijk het feit dat deze gegevens enerzijds gestolen konden worden en anderzijds ook veel meer (mis)bruikbare gegevens omvat dan de bedoeling zou moeten zijn.

Ik vind het ronduit schandalig dat het betreffende lab geen open kaart speelt nog los van het besluit om überhaupt losgeld te betalen. Het zou mij niet verbazen als hier nog een staartje aan komt.

J_van_Ekris @SprockerJock • 13 augustus 2025 15:45

Zoals een commercieel labo gewoon alle informatie geven over patienten. Alle informatie. Dat is bijzonder nalatig. Daar mogen de huisarten en ziekenhuizen wel voor gestraft worden.

Dat is gewoon de wet (Wet op de Geneeskundige Behandelovereenkomst en Wet op het gebruik van het BSN in de Zorg) die dit bepaald. Een lab dat weefselonderzoek doet is een (mede-)behandelaar die een diagnose stelt, en moet dus een medisch dossier onderhouden en conform de wettelijke bewaartermijn (mij staat bij 30 jaar, staat ergens in de WGBO) bewaren zodat men hier vragen over kan stellen. Zaken als kanker blijft decennia lang medisch relevant, en de patient heeft ook recht op continuiteit van zorg en een second opinion etc..

Blokker_1999

Ransomware
Beveiliging en antivirus

@PixelPionier • 13 augustus 2025 13:02

En denk je nu echt dat zo een verbod dit gaat tegenhouden? Helemaal niet. Je betaald een consultant om je probleem op te lossen, maakt niet uit hoe en die consultant, met firma in het buitenland, betaald gewoon het losgeld zonder dit aan jouw te melden en factureert de kosten gewoon door. Probleem opgelost.

De discussie is eenvoudig wanneer je vanop een afstand toekijkt, maar wordt anders wanneer je zelf getroffen wordt en mogelijks je levenswerk ziet bedreigd worden. Jij noemt het verwerpelijk, ik heb begrip voor bedrijven die het doen.

Mathijs Kok @Sheean • 13 augustus 2025 15:30

Ik heb zo het idee dat je daar HEEL anders over denkt als het over jouw data gaat die openbaar gemaakt kan worden en voor jouw schade op kan leveren. Zeggen dat betalen van losgeld streng bestraft moet worden is stoer maar is complex (wettelijk) en kan soms enorme problemen oplossen.

Daarnaast, in landen waar het betalen van losgeld verboden is (en die zijn er) lijken die op geen enkel manier bij te dragen aan het oplossen van het probleem. Noem me een land waar het heeft gewerkt en we praten verder.

Sheean @Mathijs Kok • 13 augustus 2025 19:39

Ik zal nooit ontkennen dat je als individu of organisatie er baat bij hebt om wel te betalen. Maar als collectief hebben we er baat bij dat er nooit wordt betaald. Zonder geld houdt het op. En hoeven minder mensen deze keuze te maken. Zo simpel is het. Als het in wat kleine landen halfslachtig verboden is, is nou niet echt een overtuigend bewijs dat dit niet zou werken als dit gewoon doortastend wordt doorgevoerd.

logix147 @latka • 13 augustus 2025 12:36

Is dat in deze niet zinloos aangezien dit een externe partij is die officieel gezien dus vermoedelijk niet op overheidsgeld draait en dus gewoon kan betalen zonder de regels te overtreden?

Eigenlijk zou een lek van deze grote gewoon einde bedrijf mogen betekenen in mijn ogen; dit soort ondernemingen werken met zulke gevoelige data en dan toch gehackt worden…

Het is niet dat de overheid de getroffen mensen gaat voorzien van een nieuw BSN nummer en als je dit hebt + een document zoals een paspoort/id/rijbewijs dan kom je een heel eind.

Ik denk dat je zelfs bij de belastingdienst met alleen al de buitgemaakte gegevens ver komt - dat hierover nog geen kamervragen zijn gesteld maar wel over sorry Gaza; blijkt weer dat dit kabinet terecht demissionair is.

Ja Gaza en Oekraïne zijn belangrijk, maar een half miljoen zeer persoonlijke gegevens op straat hebben liggen dat kan voor die mensen een hoop ellende oproepen.

vrije_vogel @latka • 13 augustus 2025 12:38

Niet betalen is veruit te prefereren. Tegelijk is de afweging voor elke casus te maken en kun je die niet generiek afdwingen. Soms zal het risico of de schade zoveel groter zijn dat betalen de minst slechte optie is.
Het is simplistisch om alles met centraal opgelegde wetten te willen regelen. Helaas wel een tendens van deze tijd, zo lijkt het soms.

latka @vrije_vogel • 13 augustus 2025 14:22

Als je het grijs laat dan blijft het bedrijfsmiddel overeind.

Hulleman @latka • 13 augustus 2025 13:12

In de VS is dit ook verboden voor overheidsinstanties.

fruitbakje

@latka • 13 augustus 2025 13:20

En wat zeg je dan tegen de half miljoen mensen wiens gegevens nu op straat liggen? "Ja sorry we konden betalen en dan hadden we in ieder geval EEN kans dat je data niet openbaar werd, maar omdat dat nu niet mag weten we ZEKER dat je medische gegevens vrij voor iedereen in te kijken zijn". Lijkt me lastig verkopen aan de slachtoffers, maar ik wens je succes.

Ik hoop dan meer op betere preventie en hogere pakkans om dit bedrijfsmodel om zeep te helpen. En k snap ook wel dat dat moeilijk is hoor.

Mars4i @fruitbakje • 13 augustus 2025 13:59

Ik ben het wel met je eens. Hoop is natuurlijk dat verbieden te betalen resulteert in geen hacks. Maar als de hackers het dan toch doen, dan moet je met een lek zo groot als deze wel zeer sterk in je schoenen staan. En zoals jij zegt een half miljoen mensen vertellen dat hun gegevens bij andere criminelen terecht zijn gekomen.

Ik huiver van het idee wat voor spam mails je kan maken met al deze gegevens en een AI. Ze weten je naam, adres, behandelaar, medische kwestie en uitslag. Daar kan je zeer geloofwaardige mails mee maken waar je mensen gemakkelijk op een link kan laten klikken.

latka @fruitbakje • 13 augustus 2025 14:25

De reden voor dit soort hacks is de verwachting losgeld te krijgen. Haal die verwachting er gewoon uit en dit soort georganiseerde misdaad is lonend meer. Dat is de gedachte. En pakkans? Dit gaat via internet. De eenvoudigste oplossing is om bedrijven die gevoelige gegevens verwerken te verbieden een internet aansluiting te hebben....

Odie @latka • 13 augustus 2025 13:50

Ik wilde het ook zegen: gewoon keihard verbieden, op straffe van een boete die net zo hoog is als het betaalde losgeld én gevangenisstraf. Betalen is het hele businessmodel. We moeten misschien accepteren dat privacy niet meer bestaat. Ok dan komt er op straat te liggen dat ik misschien ooit een SOA had, soawhat?

lucatoni @latka • 13 augustus 2025 14:05

Zijn er onderzoeken die jou grote aannames beamen? Als je dit echt verboden maakt kan je zomaar krijgen dat dit gigantische impact gaat krijgen op onze samenleving. Ik ga er namelijk vanuit dat de hacks net zo hard doorgaan. Wat als er grote bedrijven worden platgelegd of waar bankgegevens van ene bank worden gejat? Dan maar de impact accepteren?

latka @lucatoni • 13 augustus 2025 14:26

Dit bedrijfsmodel is groot geworden sinds de komst van bitcoins enzo. Daarvoor was het lastiger het geld te ontvangen.

Vinnie.1234 @latka • 13 augustus 2025 14:09

Waarom moet dat verboden worden? Het is simpel, de vraag is niet of je gehackt wordt, maar wanneer je gehackt wordt. Net als dat het niet de vraag is of je een datalek hebt, maar wanneer je een datalek hebt. Als mijn gegevens tussen zo'n hack zit kan ik niets anders dan hopen dat die andere partij gewoon dokt en mijn data daarna weer verwijderd wordt. Bij de meeste van deze bendes is dat ook gewoon het geval.

latka @Vinnie.1234 • 13 augustus 2025 14:27

Waarom.niet? Waarom zou je toestaan om geld aan criminelen te geven? Zitten ze in Rusland dan ben je ook nog eens over sancties heen aan het stappen. Dit zijn mafia praktijken en daarvan weten we dat ze niet stoppen door lief te doen.

Vinnie.1234 @latka • 13 augustus 2025 16:23

Omdat sommige dingen me meer waard zijn dan geld of sancties? En 1 van die dingen zouden mijn medische gegevens zijn of privéfoto's. Geld is maar een getal, helemaal voor een bedrijf. De schade die het lekker aan mij kan aanrichten is niet in geld uit te drukken.

Om maar een voorbeeld te noemen (niet uit ervaring!). Je bent iemand uit een christelijke familie. Je hebt sex gehad voor het huwelijk en hierdoor heb je een soa opgelopen. Je wilt niet dat je familie dit weet en dat is je goed recht. We hebben daarvoor ook het medisch beroepsgeheim. Maar het bedrijf waar je je test / behandeling volgt wordt gehackt en deze medische gegevens zitten daar bij. Deze komen op straat terecht omdat het bedrijf niet mag betalen. Iemand binnen je familie ziet deze gegevens. Kun je vertellen dat de hele verhouding binnen zo'n familie direct omzeep is geholpen. En dit had voorkomen kunnen worden als het bedrijf gewoon een paar centen over maakt. Desnoods doe je het zelf om je eigen gegevens te laten verwijderen. En of dit geld naar Rusland, Noord-Korea, China. Amerika of gewoon naar Nederland gaat lijkt me dan totaal niet relevant.

En ja, de eerste schuldige ben je dan zelf, maar ik zou dan toch 3 keer nadenken voor ik me zou laten testen als ik weet dat als dat bedrijf gehackt word gegarandeerd de hele buurt het zou weten.

murkienl @latka • 13 augustus 2025 15:56

Is dat überhaupt niet al een criminele handeling in NL/EU?

Jaldea @latka • 13 augustus 2025 16:26

In deze is het Eurofins en dat is geen overheidsinstantie toch?

ari3 @latka • 13 augustus 2025 16:43

Wat mij nog het meest verbaast is dat niemand in media oppert dat de overheid zelf de belangrijkste oorzaak is dat gegevens gekoppeld aan een BSN zo waardevol zijn. Het is immers de overheid die BSN gebruikt en misbruikt (zie gebruik van BSN als BTW-nummer voor eenmanszaken). Er is geen enkele reden waarom er geen medisch BSN is, een zorgverzekering BSN, een fiscaal BSN, enz. Voor zover er koppelingen nodig zijn tussen die domeinen moet de overheid het beheer over de vertaaltabel voeren. Het lekken van een medisch BSN kan dan nooit leiden tot identiteitsfraude om een toeslag aan te vragen.

Los van één master BSN of meerdere domein BSNs, kunnen dit soort hacks onaantrekkelijk gemaakt worden voor criminelen met een procedure die buitgemaakte BSNs vervangt met nieuwe BSNs. Praktisch kun je dat zelfs automatiseren door de geldigheid van een BSN te beperken tot een bepaalde periode zodat ze automatisch verlopen. Sowieso kun je altijd een nieuw BSN uitgeven als iemand zijn/haar identiteitsbewijs vervangt want die worden nu ook al periodiek vervangen. En ja dat betekent dat overheden, verzekeraars, werkgevers e.d. mutaties in BSNs moeten gaan verwerken. Dat is een kostbare operatie maar sluit wel aan op een bestaande procedure. Immers, als iemand komt te overlijden worden er ook (BSN) mutatieberichten naar alle instanties gestuurd.

CivLord

@latka • 14 augustus 2025 11:41

Leuk zo'n verbod. Maar de afpersers zullen toch eerst een paar keer proberen te kijken hoe hard dat verbod in werkelijkheid gehandhaafd wordt.
Dan proberen ze niet uit bij kleine jongens, maar bij grote organisaties, waar de consequenties van openbaring voor heel veel mensen behoorlijk groot zijn. En dat doen ze dan niet één keer, wanneer er niet betaald wordt, maar een paar keer, bij verschillende organisaties, zodat de slachtoffers van wie de gegeven gelekt druk op de politiek uit gaan oefenen om het betalen van losgeld 'onder voorwaarden, in bijzondere gevallen in het publieke belang' toch toe te staan.

Senaxx @latka • 14 augustus 2025 14:03

Tja wie wil je beschermen? De bedrijven of de individuele personenen in de hack. Deze hack groepen kunnen alleen bestaan als ze de data niet lekken. Als ze wel losgeld betaald krijgen en toch de data lekken is hun hele verdienmodel weg en dan betaald geen enkele partij meer. Dan heb ik liever dat ze betaald worden en mijn data niet gelekt wordt.

Tijdje geleden is via een hack mijn naam/adres/telefoonnummer/email gelekt en daar heb ik tot op heden nog steeds last van (spam belletjes, smsjes). En nu kunnen tweakers nog wel redelijk door de phishing poging heen prikken maar veel mensen ook niet.

latka @Senaxx • 14 augustus 2025 14:46

Betalen is geen enkele garantie. Zolang het maar vaker niet dan wel alsnog gelekt wordt zullen er partijen zijn die willen betalen. Was ook een voorbeeld (kan het niet meer vinden) van iemand die kwaad wegging bij een groep en alsnog data ging lekken (disgruntled employee oid). Dus nee, betalen is het idee dat je een probleem oplost zonder het op te lossen.

DwarV 13 augustus 2025 12:07

De belangrijkste vragen waar ik nog mee blijf zitten en waar ik geen antwoord op lijk te kunnen vinden zijn:

hoe is de ransomware bende uberhaupt binnengekomen? Via een phising expeditie?
hoe is het mogelijk dat er voor 400K patienten data zomaar te downloaden is zonder dat dit is opgemerkt
welke gebruiker heeft uberhaupt de rechten om zo'n data dump te doen en waarom wordt dit niet geflagged in het systeem?
waarom is er bij de opslag van de gegevens geen encryptie gebruikt

Heeft iemand idee?
Wordt alle data bijgehouden in een access database op een windows share? Een excel sheet?

[Reactie gewijzigd door DwarV op 13 augustus 2025 12:15]

mariomario @DwarV • 13 augustus 2025 13:07

Ik vind het overigens ook wel bijzonder dat 'bevolkingsonderzoek nederland' op een of andere manier buiten beeld blijft. Dat is toch de partij die opdracht heeft gegeven aan CDN

Ik mag toch aannemen dat er een verwerkersovereenkomst is tussen beide.

Waarom doen ze zaken met een op het eerste gezicht niet NEN7510 gecertificeerd lab?
Waarom staan de gegevens jarenlang bij CDN en is deze niet verwijderd. Bevolkingsonderzoek nederland bewaard de gegevens volgens we wettelijke termijnen. De uitslagen kunnen bij CDN dus worden verwijderd als de uitslag is teruggestuurd.
Waarom sturen ze voor de bepaling niet relevante zaken door naar CDN. Voor een bepaling zijn NAW gegegens, BSN en dergelijke zeker niet nodig?

Iedereen richt nu zijn pijlen en op CDN maar ook 'bevolkingsonderzoek nederland' zou toch eens naar hun werkwijze moeten kijken.

Daarbij klopt dit dus ook niet: https://www.bevolkingsonderzoeknederland.nl/privacy/gegevens-beheren/

"Uw gegevens komen in ons systeem te staan. We zorgen dat de gegevens altijd goed beschermd zijn. We bewaren in ons systeem niet alleen informatie, zoals uw naam of adres. Maar ook alles wat we verder nodig hebben voor het onderzoek. Bijvoorbeeld foto’s en de resultaten van het onderzoek."

Nergens een woord dat de gegevens ook op systemen van derden staan.

[Reactie gewijzigd door mariomario op 13 augustus 2025 13:11]

ApexAlpha @mariomario • 13 augustus 2025 13:26

Is dit wel een 'derde partij'?

Voor zover ik kan achterhalen zijn zij gewoon de '1e partij' die het hele onderzoek uitvoert en beheert van A-Z, inclusief informeren van mensen enzo.

Je klachten snap ik ook niet op de allereerste pagina die ik aanklik staat al direct de NEN norm genoemd: https://clinicaldiagnostics.nl/nl/patient/

mariomario @ApexAlpha • 13 augustus 2025 13:30

verder is het wel degelijk een derde partij.
Op de website van CDN komt de term BVO-NL niet voor en andersom.
Als het 1 partij is weten ze het wel heel goed geheim te houden.

Wat betreft NEN7510:
Iets verder lezen:
https://clinicaldiagnostics.nl/nl/over-ons/iso-accreditatie/

NEN 7510

De laatste jaren wordt informatiebeveiliging steeds belangrijker. Clinical Diagnostics SCAL is voor deze norm gecertificeerd, de andere laboratoria zijn bezig met de implementatie van deze norm. De NEN7510 norm stelt hoge eisen aan hoe een bedrijf omgaat met medische en persoonlijke gegevens. Dit is met de digitalisering van steeds meer processen in de zorg van steeds groter belang. Door de maatregelen van deze norm te implementeren, verkleinen we de kans dat gegevens van onze klanten op straat komen te liggen.

ApexAlpha @mariomario • 13 augustus 2025 13:35

BVO-NL is gewoon een projectnaam van het RIVM: https://www.bevolkingsonderzoeknederland.nl/over-ons/

Die huren vervolgens een partij in om een onderzoek uit te voeren. Dat is in dit geval dus Clinical Labs.

Ik snap je zorgen, maar je kan ook geen bevolkingsonderzoek uitvoeren zonder deze gegevens op te slaan.

Verder hoop ik voor ze dat die pagina gewoon nog niet geupdate is, want op je hoofdpagina heel groot NEN7510 noemen terwijl je niet gecertificeerd bent is gewoon fraude lijkt me.

mariomario @ApexAlpha • 13 augustus 2025 13:44

BVO-NL (en dus RIVM) claimt de gegevens ook op te slaan.
In dit geval zijn de gegevens dus dubbel opgeslagen.

Het biedt natuurlijk geen 100% veiligheid maar BVO-NL claimt ISO7510 en 9001 gecertifieerd te zijn.
Als patient heb je contact met BVO-NL.

gegevens op slaan bij BVO-NL lijkt me dus de enig juiste lokatie.

J_van_Ekris @mariomario • 13 augustus 2025 15:48

gegevens op slaan bij BVO-NL lijkt me dus de enig juiste lokatie.

Allereerst gebeurt er meer dan alleen BVO werk op dat lab, men deed ook werk voor huisartsen. Ten tweede is BVO geen medische organisatie: ze routeert de brieven naar huisartsen, maar ze zijn geen medici. Bij vragen en vervolgonderzoek op dit weefsel is de diagnosticerend medisch specialist (de patholoog) het enige juiste aanspreekpunt.

lDDQD @mariomario • 13 augustus 2025 13:32

In het privacyreglement staat wel dat derde partijen gegevens verwerken in opdracht van BVO: https://www.bevolkingsonderzoeknederland.nl/media/5vpnezp2/privacyreglement-bevolkingsonderzoek-nederland-30.pdf

Een van de labs is wel NEN7510 gecertificeerd: https://clinicaldiagnostics.nl/nl/over-ons/iso-accreditatie/

Weet echter niet of dat dezelfde lab is waar dit nu over gaat. Maakt ook niet uit, want zo'n certificering is natuurlijk geen garantie dat je niet aangevallen kan worden.

mariomario @lDDQD • 13 augustus 2025 13:52

Geen garantie, dat je niet aangevallen kan worden.

Maar als je als BVO-NL zelf NEN7510 gecertificeerd bent mag je ook iets verwachten van partjien waar je zaken mee doet. Het gehackte lab is overigens LCPL. Dat lab is niet geaccrediteerd.

Sharky @mariomario • 13 augustus 2025 14:27

Ik ben redelijk op de hoogte van de situatie met betrekking tot BVO en het lab waarmee ze hun data deelden vanuit NEN-perspectief. Ik kan/mag uiteraard niet te veel delen, maar BVO heeft de zaken zelf best goed voor elkaar. Ze hebben deskundige partijen die hen helpen met de normen waaraan ze moeten voldoen, het is hier zoals zo vaak misgegaan in de keten. Ze waren in de veronderstelling dat ze alles contractueel hadden geregeld met het lab, ze zijn wel wat eigenwijs geweest met betrekking tot leveranciersaudits. Tegenwoordig heel normaal, helemaal als je kijkt naar normen als BIO en NIS ...

deadlock2k @Sharky • 13 augustus 2025 18:28

BVO heeft de zaken zelf best goed voor elkaar

e waren in de veronderstelling dat ze alles contractueel hadden geregeld met het lab

Oh nee, toch niet dus...

Sharky @deadlock2k • 13 augustus 2025 18:39

Bedankt voor je bijdrage. Ze hebben alles technisch goed voor elkaar en qua certificeringen, dat een ketenpartner dat niet heeft is op een ander niveau.

deadlock2k @Sharky • 14 augustus 2025 09:00

Ach kom nou; dat betekent dat intern de checks & balances niet in orde zijn.

PixelPionier @DwarV • 13 augustus 2025 12:43

Op de site van de hackers staan screenshots (sign.zip) met daarin een Nederlandstalige windows verkenner met verschillende netwerk drives waarop allerlei bestanden nu de extenstie .NOVARANSOMWARE hebben gekregen. Veel bestanden hebben daarvoor het woord 'backup' of 'export' in de naam (evenals de naam van hun vermoedelijke IT persoon of iemand met die toegang). Dus het lijkt alsof ze toegang tot backup data hadden via een remote desktop verbinding.

Er gaan geruchten dat het dezelfde problemen waren als bij het OM enige tijd geleden. Qua tijd (17/7 OM, 6/7 Eurofins) zou dat kunnen kloppen. En ik dacht dat dat ook met een citrix omgeving te maken had. Maar dat kun je wel opzoeken.

Vraag 4 is meer dan terecht. Vooral je backups moet je ook encrypten. Maar die vraag behoort toe aan Eurofins.

Senaxx @DwarV • 14 augustus 2025 14:28

Ik werk zelf voor een ziekenhuis en verzorg veel externe aanleveringen voor externe partijen. De meeste partijen hebben dit goed voor elkaar. Altijd als wij een nieuwe aanleverspecificatie krijgen, wordt er door ons getoetst wat er gevraagd wordt. Partijen zoals Logex en i2i hebben vaak hele eigen dataplatformen die aan allerlei certificeringen moeten voldoen en waar ook accountantsverklaringen voor worden afgegeven.

Maar tegenover alle partijen die het wél goed voor elkaar hebben, besstaan altijd 'data cowboys'. Er zijn soms partijen die rustig het BSN van een patiënt opvragen, maar dat wordt door mij bijvoorbeeld nooit aangeleverd. Dat is überhaupt een gegeven dat niet eens in ons datawarehouse wordt opgenomen. Zelfs een patiëntnummer leveren wij niet in plain text aan. Dit is meestal bij ons een patientnummer + salt naar een SHA256.

Voor losstaande aanleveringen hebben wij ook nog de tool van mProve, genaamd Privinity, waarmee per attribuut de hele dataset geanonimiseerd en gepseudonimiseerd kan worden. Leeftijden worden naar leeftijdscategorieën omgezet, postcodes worden omgezet naar wijkgegevens en er wordt rekening mee gehouden dat er een minimaal aantal records moet zijn. En zo zijn er nog tig variabelen die we per dataset hanteren.

Maar op je vragen:

Kan eventueel met de citrix hack te maken hebben? Veel organisaties werken met citrix om bijvoorbeeld thuiswerken mogelijk te maken.
Als je een account met de juiste credentials hebt is niet zo moeilijk.
BI medewerkers hebben vaak deze autorisaties binnen ziekenhuizen / zorg instellingen. Het is heel makkelijk om wat bij elkaar te query'en en even een export naar CSV te maken. En dit is op een SQL database daar wordt dit niet geflagged, wel gelogged en geaudit. Dus achteraf kan je wel zien wie en wanneer dit is gebeurd. Functioneel applicatie beheerders hebben vaak ook ruimere bevoegdheden.
De datasets had minimaal gepseudonimiseerd moeten worden.

Maar voor hetzelfde geldt was het iemand die via Zivver (een veilig mailen platform die zorginstanties ook gebruiken) een csv'tje had binnen gekregen en even op zijn desktop opgeslagen had. Of deze stond op een fileshare ergens. En csv / excel files van redelijke grootte zijn natuurlijk interessant voor deze hackers.

Vaak zie je bij dit hacks dat een medewerker er niet veilig mee is om gegaan en heeft het even aan "jannie" gestuurd want die kan van die mooie dashboardjes maken.

[Reactie gewijzigd door Senaxx op 14 augustus 2025 14:29]

midyatmaster 13 augustus 2025 11:58

Ik vraag mij altijd af wat de garanties zijn die een betalende instantie krijgt dat de data ook werkelijk verwijderd wordt.

stin00 @midyatmaster • 13 augustus 2025 12:00

Je hebt nooit 100% garantie natuurlijk. Maar bepaalde hackersgroepen proberen wel hun naam 'zuiver' te houden door gegevens daadwerkelijk niet te publiceren na een betaling. Op die manier staan ze als 'betrouwbaar' te boeken en zullen toekomstige slachtoffers eerder geneigd zijn losgeld te betalen. Als je als hacker alsnog direct alles online slingert zal niemand je meer losgeld betalen in de toekomst.

Christoxz @stin00 • 13 augustus 2025 12:04

Als je als hacker alsnog direct alles online slingert zal niemand je meer losgeld betalen in de toekomst.

Ook levert het de hackers helemaal niks op om de data dan alsnog te publiceren, het is puur om druk te zetten.
Echter kan er wel nog informatie verkocht binnen een netwerk waar je dan moeilijker achterkomt.

PixelPionier @Christoxz • 13 augustus 2025 12:33

En als je hackersclubje dan uiteindelijk toch die data niet gewist blijkt te hebben en als 'onbetrouwbaar' (lol) wordt aangemerkt, dan begin je toch gewoon een nieuw hackersclubje en noem je die Nova? De personen er achter zijn toch niet bekend namelijk.....

Die data wordt echt niet gewist namelijk.

BezurK @stin00 • 13 augustus 2025 12:58

We moeten wel voorzichtig zijn met dit soort bendes "hackers" te noemen. Ja, ze gebruiken hacks en ze hacken idd om hun doel te bereiken maar dat doel is zuiver crimineel. Dit zijn dus gewoon criminelen of nog beter: cybercriminelen. Ik vind het steeds storender om de term "hacker" elke keer zo in kwaad daglicht te zien, dat is niet terecht.

Tintel @BezurK • 13 augustus 2025 13:27

Was hacker niet altijd al 'negatief'? Net zoals inbreker?

Dat we het daarna zijn gebruiken als 'zal ik dat dan maar ff in elkaar hacken' is gewoon slang.

Dat er "White Hat hackers" zijn betekent dus dat het pas niet negatief bedoeld is als er een toevoeging is.

R4gnax @Tintel • 13 augustus 2025 13:42

Was hacker niet altijd al 'negatief'? Net zoals inbreker?

Nee. Een 'hacker' was in den beginne iemand die ongeoorloofd maar niet schadevol met software aan het freubelen ging om deze dingen te laten doen waar deze eigenlijk niet voor bedoeld was. Soms waardevol, soms gewoon humorvol.
Deze originele betekenis van het woord overleeft vandaag de dag nog in de term life hack - wat neerkomt op kleine ingenieuze vindingen om gewone huishoudspulletjes net iets anders te gebruiken en de sleur van alledag te versimpelen.

De term die origineel gelijk stond aan inbreker was cracker.
Maar aangezien dat in de Verenigde Staten een denigrerende term is voor blanke mensen, is daar in overheidscommunicatie al heel snel het woord 'hacker' in de mond genomen als vervanging - ook omdat de overheid totaal de hacker-subcultuur niet begreep.

En zo zijn we aanbeland bij de moderne tijd, waar 'hacker' een no-no woord is geworden.

Aluhoedjes-overweging om het af te maken:
het feit dat cracker en hacker op één hoop gegooid werden, vonden de grote tech internationals natuurlijk prima. Zij waren niet blij met hackers die met hun producten liepen te rommelen. Dat werd over het algemeen gezien als inbreuk op hun rechten - en in voorkomend geval het hen ontnemen van de mogelijkheid om zelf met betaalde varianten te komen van waar een hacker gratis en voor niets mee op de proppen kwam.
Dus hoe neutraal dat terminologie-foutje van de Amerikaanse overheid daadwerkelijk was? Wie zal het zeggen...

[Reactie gewijzigd door R4gnax op 13 augustus 2025 13:46]

Odie @R4gnax • 13 augustus 2025 13:57

Mwoa hackers waren van origine ook soms wel boefjes hoor. Beetje blueboxen en gratis bellen. Ik kijk naar jullie, lezers van Hacktic 😏

Het onderscheid is wat mij betreft meer Ethical hacker (kan echt wat en gebruikt het uitsluitend ten goede, al dan niet op verzoek), hacker (kan zelf wat maar misbruikt het misschien voor eigen gewin) en cracker (kan zelf niet zoveel en gebruikt off the shelf tools he doet het voornamelijk voor eigen gewin).

R4gnax @Odie • 13 augustus 2025 14:00

In grote lijnen ben ik het met je eens. De relevantie hier is niet zozeer het label, maar de intenties.
(Wel moet ik ineens denken aan D&D good-neutral-evil / lawful-neutral-chaotic memes.

)

Odie @R4gnax • 13 augustus 2025 16:39

D&D als in Dungeons & Dragons? Ik Sjaak Afhaak!

Tintel @R4gnax • 13 augustus 2025 14:00

die ongeoorloofd maar niet schadevol

Inbreken zonder iets te stelen is ook ongeoorloofd en ook niet direct schadevol maar toch noemen we het huisvredebreuk. Zomaar - zonder toestemming - ergens naar binnen lopen wordt wel degelijk als 'negatief' gezien.

het feit dat cracker en hacker op één hoop gegooid werden, vonden de grote tech internationals natuurlijk prima. Zij waren niet blij met hackers die met hun producten liepen te rommelen.

Ik denk dat niemand het fijn vindt dat iemand zich toegang verleent tot een systeem waar ze geen toegang voor hadden....? Dat is echt geen 'big tech' probleem.

Dat er uiteindelijk relatief veel 'nette' hackers zijn is prima. Maar het feit blijft dat het ongeoorloofd toegang verkrijgen nooit als positief wordt gezien. Daarom wordt er altijd wat aan toegevoegd; een 'ethical hacker' dus.
De term "life hack" is dan idd niet negatief maar dat is meer te wijten aan de combinatie van die twee woorden.

Draai het eens om: "Gehacked worden" is echt geen positief fenomeen.

Dat er een positieve draai aangegeven kan worden is net zoals echte inbrekers die na een tijdje gevangenis besluiten om mensen advies te geven over de inbraakgevoeligheid van hun huis door te proberen in te breken. Dat maakt inbreken an sich nog geen positief fenomeen.

En hacken is precies dat: "Ongeoorloofd toegang verkrijgen" - dat het zonder negatieve bijbedoelingen kan worden gedaan is mooi maar dat maakt het woord niet opeens positief toch?

R4gnax @Tintel • 13 augustus 2025 14:03

Jij denkt alleen aan de term 'hacken' in de moderne betekenis, eigenlijk 'cracken' - dwz het zich ongeoorloofd toegang verlenen tot een computersysteem om gegevens buit te maken.

Onder de originele betekenis van 'ongeoorloofde' dingen met producten uitvreten, valt bijv ook: "hey, da's een mooie slimme ijskast. Laten we eens kijken of we daar Doom op kunnen draaien."

Tintel @R4gnax • 13 augustus 2025 14:23

Zodra die ijskast van jou is, vervalt het 'ongeoorloofd' gedeelte. Dat we hacken voor allerlei acties zijn gaan gebruiken - die niet perse negatief zijn - wil niet zeggen dat hacken postief was.
Zelfs in software ontwikkeling is een 'hack' om iets werkend te krijgen - wat dus positief is, toch ook weer negatief, want het is niet de bedoeling en slecht voor bijv. de onderhoudbaarheid.
Ik kan me niet herinneren dat het iets anders was dan "iets doen op een andere manier dan de bedoeling was" en vaak was het dan ook ongeoorloofd.
En toegegeven: als iets niet de bedoeling is kan het nog steeds positief zijn idd. Humor omvat ook veel wat niet de bedoeling is, maar is toch positief.

Inbreken blijft de beste nederlandse omschrijving en die heeft overwegend negatieve associaties denk ik.

biomechanical

@stin00 • 13 augustus 2025 13:17

En wat als deze criminelen op hun beurt gehackt worden? Dan komen de gegevens toch op straat. Nee, verbied losgeld te betalen. Beboet degene die te weinig geld naar de beveiliging heeft gedaan. En van elk bedrijf dat toch betaald, of geen volledige transparantie aan de wetgever geeft over wat er gebeurd is. De desbetreffende verantwoordelijke een flinke celstraf geven. Hacken kan niet tegen gegaan worden, maar zolang men betaald, blijft men hacken! En zoals velen weten (of denken te weten) is IT niet het belangrijkste voor de aandeelhouders! En dat moet veranderen!

En als een bedrijf dan failliet gaat, pech, dan hadden ze maar meer aan de IT moeten besteden.

De besparing op IT en het losgeld wordt betaald door de informatie van de burger, ons belastinggeld en/of de kostprijs van de producten die wij kopen. Leg de kosten bij degene die de rotzooi maakt!

CivLord

@biomechanical • 14 augustus 2025 11:24

En zoals velen weten (of denken te weten) is IT niet het belangrijkste voor de aandeelhouders! En dat moet veranderen!

En als een bedrijf dan failliet gaat, pech, dan hadden ze maar meer aan de IT moeten besteden.

En dat is dus de verkeerde insteek.
Voor een bedrjf dat geen IT-bedrijf is, is IT niet het belangrijkste. Niet voor de aandeelhouders, niet voor het bedrijf zelf en niet voor het voortbestaan van het bedrijf. Wanneer IT het belangrijkste was geweest, dan was het een IT bedrijf geweest.

Je kan niet van elk bedrijf verwachten dat het de kennis en expertise van een cybersecuritybedrijf bezit.
Een IT-systeem wordt ingekocht en dat moet out of the box werken en veilig zijn. Net zoals dat ze er van uit kunnen gaan dat waanneer ze een bedrijf inhuren om een koffieautomaat in de kantine te zetten en te onderhouden, het personeel niet vergiftigd wordt door het drinken van de koffie.

Wanneer een software bedrijf een IT-beveiligingsoplossing verkoopt moet je er van uit kunnen gaan dat dat na installatie werkt en veilig is zonder zelf een cybersecurity expert rond te hebben lopen.
Wanneer het dan toch niet veilig blijkt te zijn, moet de levarancier van de beveiliginsoplossing worden aangpakt voor wanprestatie. Laat er daar maar eens een paar failliet van gaan, tot ze leren dat ze moeten leveren wat ze belven en zich niet met kleine lettertjes overal oderuit kunnen wurmen.

ApexAlpha @midyatmaster • 13 augustus 2025 12:01

Dit soort criminelen netwerken hebben een reputatie nodig om geld te verdienen.

Als jij een reputatie hebt dat je het geld gewoon in ontvangst neemt en de betaler alsnog naait dan betaalt niemand meer natuurlijk.

Deze groepen zijn vaak dus vrij 'professioneel' in hun afspraken: duidelijke communicatie, in het Engels, afspraken nakomen.

Ik heb zelfs "facturen" gezien die je krijgt als je betaald, het was gewoon een geautomatiseerde webshop aan de achterkant.

logix147 @ApexAlpha • 13 augustus 2025 12:39

Dit is een nieuwe groep zo schrijft men dus die reputatie hebben ze nog niet echt.

Ook houdt niemand zo’n groep tegen om volgende week een hack uit te voeren onder de noemer Fabeltjes Krant.

doel van deze club is toch onbekend blijven wie achter het toetsenbord zit. Kans is zeer groot dat vanuit een Rusland of China gewerkt wordt aangezien je daar zo lijkt het het gehele Westen mag hacken zonder enige vorm van consequenties als je eigen maar met rust laat.

ApexAlpha @logix147 • 13 augustus 2025 12:40

Ook bij een nieuwe groep kan je hiervan uitgaan. De kans dat mensen een hele infrastructuur + 'merk' opzetten om 1 persoon op te lichten met een betaling is nihil.

Ze zijn uit op geld, niet op data.

logix147 @ApexAlpha • 13 augustus 2025 12:47

Ja dus blijft het punt: volgende week nieuwe naam, nieuwe groep en poef weer betalen als slachtoffer.

Als ze de gegevens ook nog “doorverkopen” kan het maanden zo niet jaren duren voor de herkomst daarvan bekend is.

Ondertussen kunnen ze al onder tig verschillende namen kunnen doorgaan.

Heel leuk, maar je wilt in deze branche ook geen “Max Verstappen” worden; risico dat als je een keer een Amerikaans bedrijf hackt en zo een ineens random van je bed getrokken wordt maakt het wisselen van “bedrijfsnaam” lucratiever dan onder dezelfde naam meer roem te vergaren.

je zegt het zelf al: men wilt geld: dus geef geen geld.

[Reactie gewijzigd door logix147 op 13 augustus 2025 12:48]

ApexAlpha @logix147 • 13 augustus 2025 12:48

Mijn commentaar was meer een observatie van wat ik over de jaren heb gezien in het werkveld cybersecurity.

Wat jij zegt zou inderdaad kunnen, maar ben ik nog niet tegen gekomen.

Munters @midyatmaster • 13 augustus 2025 12:05

100% garantie krijg je nooit, maar alle organisaties zijn gericht om voort te bestaan. Ook dit soort criminele organisaties. Sterker nog, ook dit soort criminele organisaties hebben graag een hoge reputatie. Hoe betrouwbaarder ze bekend staan, hoe eerder en/of makkelijker "klanten" betalen.

BCC @midyatmaster • 13 augustus 2025 12:05

Ik hoop dat ze het alsnog publiceren zodat we eindelijk van dit idiote losgeld betalen gedoe af zijn.

PCG2020 @BCC • 13 augustus 2025 12:36

En dan blijken jouw gegevens in die dataset te zitten, omdat je bij de huisarts bent geweest voor een probleem met je pielemuis.

Oepsie!

SinergyX @midyatmaster • 13 augustus 2025 12:02

Ergens heb ik het gevoel dat zulke partijen meer te vertrouwen zijn dan menig commercieel bedrijf die 'data' van jou heeft. Daarnaast is het wel een principe van vertrouwen, als die groep regeltjes zou breken, wat zou dan de reden nog zijn om te gaan betalen?

Wouterie @midyatmaster • 13 augustus 2025 12:19

Ach ja, tot op heden zijn ze betrouwbaarder dan de Belastingdienst ;)

telenut @midyatmaster • 13 augustus 2025 13:25

wel zoek eens op of er gevallen zijn waar data alsnog online kwam...

The-Abyss 13 augustus 2025 11:58

Waarom geen volledige transparantie door Clinical Diagnostics? Blijkbaar komt men er via de de andere kant toch wel achter. Even los van het feit of dat Nova er eerlijk over is. Ik begrijp gewoon niet waarom ze niet vertellen of ze wel of niet hebben betaald. Kan ook door mijn tekortkoming komen.

Troepje @The-Abyss • 13 augustus 2025 12:03

Door wereldkundig te maken dat er na betaling door nova voldaan zou worden aan voorwaarden is juist in het voordeel van nova, dan komen ze "betrouwbaar" over. Clinical Diagnostics mag idd best wel transparant zijn dat er gegevens gelekt zijn, maar juist details over al dan niet betalen lijkt mij niet in hun of hun klanten hun voordeel. Ookal heb je betaald, de gegevens zijn nogsteeds gelekt, dus maakt voor het gevolg van de gegevens van de klanten niets uit.

Eileen @The-Abyss • 13 augustus 2025 13:49

Ik zou het veel beter vinden als ze meer open zouden zijn naar de pers en betrokken instanties. Het alrijne ziekenhuis had eerst te horen gekregen dat ze niet bij het lek zaten, dit bleek later wel zo te zijn. Ik hoop maar dat ze echt alle getroffen personen een brief sturen. En ook dat ze een extra brief sturen als je gegevens op het dark web hebben gestaan. Leuk dat nova die gegevens heeft verwijderd, maar de gegevens zijn te zien geweest.

Jumpman 13 augustus 2025 12:57

Een wet om van (indirect) belastinggeld losgeld te betalen zou per direct bespreekbaar gemaakt (en besloten) moeten worden. Vaak genoeg zie je in het nieuws dat overheid IT minder goed dan mogelijk tegen vergelijkbare kosten beveiligd is om allerlei redenen en zo'n besluit zou er in ieder geval voor zorgen dat er geen hard benodigd geld om de beveiliging wel op orde te krijgen) wegvloeit naar hackers.

Het cross linken is blijkbaar begonnen i.v.m. DPG Media heeft RTL Nederland overgenomen. De Autoriteit Consument & Markt (ACM) heeft de overname goedgekeurd, waardoor RTL Nederland vanaf 1 juli 2025 onderdeel is van DPG Media.

[Reactie gewijzigd door Jumpman op 13 augustus 2025 13:11]

Blokker_1999

Ransomware
Beveiliging en antivirus

@Jumpman • 13 augustus 2025 13:06

Vaak genoeg zie je in het nieuws dat overheid IT minder goed beveiligd is

Minder goed beveiligd dan wat? Dit is gewoon onzin. Ja, IT problemen bij de overheid komen vaker in het nieuws, maar vooral omdat de overheid daar transparant over moet zijn. Private bedrijven melden niet snel dat een miljoenenproject flopt bijvoorbeeld. Die gaan alleen publiek iets melden wanneer het zichtbaar is voor mensen van buitenaf of omdat er een wettelijke verplichting is.

Charlie_Root @Blokker_1999 • 13 augustus 2025 13:14

[...]

Minder goed beveiligd dan wat? Dit is gewoon onzin.

Absoluut niet. Ik heb zowel bij de overheid gewerkt als bij MSPs die overheid/gemeenten als klant hadden en heb dingen gezien die het daglicht niet kunnen verdragen of instructies/adviezen gewoon niet opvolgen. Dit zal vast niet bij alle overheidsorganen zo zijn, vast niet bij alle gemeente. Maar de meest simpele basale zaken als RBAC, netwerk segmentatie en meer - miste of waren slecht ingericht. Trouwens, ook bij enkele (grote) ziekenhuizen gezien

Ik weet nog een paar jaar terug met de eerste 'citrix bleed' dat ik diverse klanten (gemeente/overheid) belde s'avonds om die netscaler van internet te trekken, vonden ze allemaal maar overdreven. Toen het eenmaal nu.nl had bereikt (dagen later), kon het ineens wel.

[Reactie gewijzigd door Charlie_Root op 13 augustus 2025 13:16]

m_snel @Charlie_Root • 13 augustus 2025 22:50

Je moet hier ook van te voren afspraken over maken. Dat is dan een gemis van uw kant.

Ik ben gewend dat je gewoon een draaiboek hebt klaar liggen, of minimaal een selecte groep mensen met kennis en bevoegdheden om dit soort acties te initiëren.

CivLord

@Charlie_Root • 14 augustus 2025 12:14

Maar is het dan bedrijfsleven-breed beter geregeld?

Linux gebruiker 13 augustus 2025 12:02

Nu maar hopen dat de directie aan de beurt komt, met vervolging en ontneming van eigendommen. Het is verwerpelijk dat medische gegevens niet beter beveiligd zijn.

Zeker met een bedrijf van deze omvang, het lijkt dat zij meer oog hebben voor bedrijven over te kunnen nemen, dan voor security. Zeker nadat men weet dat AZM Maastricht ook in het verleden getroffen is, zou dit beter in orde moeten zijn.

ApexAlpha @Linux gebruiker • 13 augustus 2025 13:39

In Maastricht was de universiteit getroffen, niet het ziekenhuis.

Die twee zijn in een academisch ziekenhuis uiteraard niet helemaal los te zien maar het maakt wel een verschil in wat voor een soort data we het over hebben.

[Reactie gewijzigd door ApexAlpha op 13 augustus 2025 13:39]

CivLord

@Linux gebruiker • 14 augustus 2025 11:45

Maar dit is geen cybersecuritybedrijf en de directeuren zijn geen cybersecurity-experts. Zij hebben een bedrijf ingehuurd voor een beveiligingsoplossing waarvan ze dachte dat die betrouwbaar was.

He is zo makkelijk om meteen de directie op te knopen van een bedrijf of organisatie waar iets mis gegaan is. Maar tenzij je aan kan tonen dat zo iemand bewust, willens en wetens fout gehandeld heeft, bereik je er alleen maar bij dat het onmogelijk wordt om capabele mensen voor dat soort posities te vinden.

Linux gebruiker @CivLord • 14 augustus 2025 13:05

Maar dit is geen cybersecuritybedrijf en de directeuren zijn geen cybersecurity-experts. Zij hebben een bedrijf ingehuurd voor een beveiligingsoplossing waarvan ze dachte dat die betrouwbaar was.

He is zo makkelijk om meteen de directie op te knopen van een bedrijf of organisatie waar iets mis gegaan is. Maar tenzij je aan kan tonen dat zo iemand bewust, willens en wetens fout gehandeld heeft, bereik je er alleen maar bij dat het onmogelijk wordt om capabele mensen voor dat soort posities te vinden.

Je gaat mij niet vertellen dat een bedrijf als dit; https://www.eurofins.com/ met meer dan 950 bedrijven, in 60 landen hun beveiliging niet op orde kan hebben.

Met meer dan 950 bedrijven ligt de focus niet op cybersecurity, vermoed ik zo.

Skinnyice 13 augustus 2025 12:03

Vaak wordt na betaling alle info gewiped van de leaksite, maar zoals hier te zien is stond het er wel op:

https://www.ransomware.live/id/RXVyb2ZpbnNAbm92YQ==#screenshot

6 juli post gemaakt, dus de versleuteling zal iets eerder geweest zijn. Hebben ze het sowieso aardig lang onder de pet weten te houden.

Matszs 13 augustus 2025 12:03

Daniël Verlaan geeft antwoord op de vraag hoe je nu zeker bent dat ze de informatie alsnog niet misbruiken: https://x.com/danielverlaan/status/1955559870737895730

Hun verdienmodel. Als ze ook maar één keer data publiceren terwijl er is betaald, of iemand opnieuw afpersen, gaat geen enkel toekomstig slachtoffer meer betalen. En als cybercriminelen ook maar iets belangrijk vinden, is het geld.

[Reactie gewijzigd door Matszs op 13 augustus 2025 12:15]

Polderviking

@Matszs • 13 augustus 2025 12:21

Er is allang eens data opnieuw misbruikt wat zogenaamd verwijderd is, zo heel zwart/wit is dat niet.

Dat betalen van losgeld ga je alleen maar met wettelijke maatregelen tegenhouden.

[Reactie gewijzigd door Polderviking op 13 augustus 2025 12:23]

CivLord

@Polderviking • 14 augustus 2025 11:51

Maar wetten kunnen onder druk ook weer aangepast worden.

Dit soort criminelen hebben een lange adem.
Stel ze kraken een paar ziekenhuizen en maken nadat er niet betaald wordt (want wettelijk verboden) alle data openbaar. Dat doen ze ook met de patientgegevens van een paar grote huisartsenorganisaties en de declaratiegegevens van een paar verzekeraars. Hoe lang denk je dat het duurt voordat zo'n wet onder maatschppelijke druk wordt ingetrokken of afgezwakt?

Geen enkel systeem is 100% veilig. De mate van beveiliging bepaalt alleen maar de hoeveelheid moeite er gedaan moet worden om binnen te komen.

Polderviking

@CivLord • 19 augustus 2025 13:08

Met die mentaliteit kan je ze net zo goed gewoon direct subsidiëren.

Mensen moeten over het idee heen dat je met het betalen van losgeld nog iets voorkomt.
Wanneer ze naar je toe komen met laosgeldeisen hebben ze je data al en is de data dus al uitgelekt, en je hebt exact nul garantie dat dat niet alsnog verder "uitlekt" of opnieuw misbruikt wordt.

Deze shit houd alleen maar op als er geen geld meer uit te halen is.

[Reactie gewijzigd door Polderviking op 19 augustus 2025 17:18]

Keyb @Matszs • 13 augustus 2025 12:26

Daar zal ergens wel wat waarheid in zitten. Echter schilder je wel een doel op je rug voor andere hackersgroepen die nu allemaal weten dat je losgeld zal betalen.

logix147 @Matszs • 13 augustus 2025 12:43

Dit is Nova, die groep zou “nieuw” zijn dus zoals ik hierboven al aanhaal; als ze volgende week een nieuwe naam gebruiken, dan blijft dit toch gewoon een risico.

Niet betalen weet je dat het gelekt wordt, maar dan droog de bron wel een keer op.

Je vinger in de gatenkaas steken, maakt het nog geen dijk die water tegenhoudt.

Aalard99

13 augustus 2025 12:20

Dus ze worden gehacked en in plaats van dit te melden bij de AP ( wat verplicht is binnen de AVG) wordt ervoor gekozen om het losgeld te betalen. Ik vraag me af waarom voor dit pad gekozen is en welk security bedrijf hierbij betrokken is geweest?

Het voelt nu een beetje alsof ze het incident onder de mat wilden schuiven en buiten de publiciteit wilden houden.

jaro431 @Aalard99 • 13 augustus 2025 12:45

op hun site zeggen ze dat ze wél direct met AP hebben geschakeld, maar dat staat haaks op de andere berichtgeving. Of interpreteren ze "direct" heeeel ruim?

JJ Le Funk 13 augustus 2025 12:25

de hacker(s) zijn nu multi miljonair en kunnen de data over x jaar uit storage halen, zich voordoen als andere groepering en een nieuwe financiële injectie ophalen.

deze paniekreactie van het lab t.b.v. damage control maakt de situatie alleen maar erger door criminaliteit te belonen, subsidiëren en sponsoren.

R4gnax @JJ Le Funk • 13 augustus 2025 13:57

Precies. Deze gegevens gaan gewoon de ijskast in om over N jaar alsnog via het darkweb weggeveild te worden. Net als met het voorval bij Colosseum Dental / Samenwerkende Tandartsen een tijd terug.

[Reactie gewijzigd door R4gnax op 13 augustus 2025 13:58]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (161)

Sorteer op:

Weergave: