HR-platform Workday meldt datalek van zakelijke gegevens na cyberaanval

Het HR- en financiënplatform Workday meldt slachtoffer te zijn geworden van een cyberaanval. Bij de aanval werd zakelijke informatie gestolen. Volgens het Amerikaanse bedrijf gaat het niet om gevoelige gegevens.

Bij de aanval werd volgens Workday 'algemeen verkrijgbare zakelijke contactinformatie' buitgemaakt, waaronder namen, e-mailadressen en telefoonnummers. Het bedrijf waarschuwt dat criminelen deze gegevens mogelijk willen gebruiken voor verdere sociale engineering. Bij dergelijke aanvallen worden mensen sociaal beïnvloed om bijvoorbeeld persoonsgegevens of inloginformatie te delen. Workday laat weten dat het bedrijf nooit telefonisch contact opneemt met klanten om bijvoorbeeld wachtwoorden of andere geheime data op te vragen.

Het is niet duidelijk wie er achter de cyberaanval zit. Volgens Workday gaat het om een sociale-engineeringcampagne op meerdere grote organisaties. Bij de aanval op het HR-bedrijf werd toegang verkregen tot het 'customer relations management'-platform.

Workday is een leverancier van een managementplatform met zakelijke tools, bijvoorbeeld voor het managen van HR-processen zoals onboarding en prestatieregistratie, financiën, loonbetalingen en administratie. Het bedrijf is Amerikaans, maar ook actief in Europa.

Reacties (44)

Scribe 18 augustus 2025 17:55

Zelfde bedrijf biedt ook een platform aan om te solliciteren voor hoever ik weet, naam komt mij in iedergeval bekend voor.

Als je je verhaal een beetje verdraait kun je dat als "algemeen verkrijgbare zakelijke contactinformatie" beschrijven ja, maar als je pech hebt bedoelen ze gewoon persoonsgegevens hiermee.

gorgi_19 @Scribe • 18 augustus 2025 18:06

Workday heeft een CRM systeem voor hun zakelijke contacten. Daar is door derden via social engineering in gekomen. Niet in hun eigen systeem. Daarom zijn ze ook redelijk zeker dat er geen tenant informatie gelekt is, het is een compleet ander systeem en er is geen connectie mogelijk.

We recently identified that Workday had been targeted and threat actors were able to access some information from our third-party CRM platform. There is no indication of access to customer tenants or the data within them.

Kleine nuance in het artikel: In het originele berichten spreekt Workday over third-party CRM platform
Dat maakt de kans dat mensen gelijk tentant informatie zien wat kleiner.

[Reactie gewijzigd door gorgi_19 op 18 augustus 2025 18:08]

djwice

@gorgi_19 • 18 augustus 2025 19:44

De data separatie binnen het HR-systeem van Workday is softwarematig en niet altijd gekoppeld aan een authenticatie systeem.

Dus danig dat de separatie relatief makkelijk met spoofing of injectie vanuit een cliënt te omzeilen.

Als je een bedrijf hebt waar bepaalde delen in een aparte entiteit zitten, zorg dan voor een aparte instance van Workday. Ze zijn technisch niet ingericht (ondanks bevestigingen die je zult krijgen van hen dat het wel zo is) om deze zodanig af te schermen dat je aan de wettelijke eisen van separatie kunt voldoen. Je kunt via trucjes (zonder rechten aan te hoeven passen,zonder admin te boven zijn, etc.) altijd bij de andere entiteit en informatie van/over die medewerkers.

[Reactie gewijzigd door djwice op 18 augustus 2025 19:49]

HouseL @gorgi_19 • 18 augustus 2025 21:17

Zou het dan weer om Salesforce gaan? Zoals recentelijk ook het geval was bij KLM en nog wat andere grote partijen.

Inspired @HouseL • 19 augustus 2025 07:29

Zou heel goed kunnen. Dat gevoel krijg je wel uit de tekst.

Netrunner @Scribe • 18 augustus 2025 17:59

Rabobank heeft Workday als HR systeem. Zakelijke gegevens? Personeelsgegevens denk ik? Voortgangsgesprekken, salarisinformatie, persoonsgegevens (NAW), stamkaart op een peildatum etc.

GraFX @Netrunner • 18 augustus 2025 19:01

Gegevens van klanten zitten sowieso niet in Workday. Het is een HR-systeem.

Tukkertje-RaH @GraFX • 19 augustus 2025 08:51

Dat weet ik zo net nog niet...

Mijn werkgever gebruikt Workday om een boel persoonlijke informatie van mij op te slaan. In eerste instantie werd het gebruikt voor de jaarlijkse beoordeling en het aangeven van je doelen voor het komende jaar. Nu staat er ook je HR data in, en wordt voor Amerikaanse gebruikers er ook payslip data in weergeveven...

localhost @Netrunner • 18 augustus 2025 18:54

ING: https://ing.wd3.myworkdayjobs.com/en-US/

0xd020 @Netrunner • 18 augustus 2025 21:55

Zo'n beetje alles wat met HR te maken heeft staat in Workday: sollicitaties, CV's , al je persoonsgegevens, salaris, bonus, trainingen etc. Maar dit ziet er Niet uit alsof exact dat systeem is gecompromitteerd. Dat zou echt Game Over zijn voor Workday.

Hijdaar95 @Scribe • 19 augustus 2025 11:52

Ook een sponsor in de Formule 1. Misschien heb je het daar gezien.

TV_NERD 18 augustus 2025 18:08

Het is natuurlijk uitermate jammer voor Workday en haar eindgebruikers, de meesten onder ons, die van hun baas allerlei data in Workday producten moeten stoppen. Zeker omdat we steeds vaker ook ons persoonlijke mobiele telefoonnummer en emailadres in het profiel moeten aangeven. Je bent hierdoor weer een stukje controle over je eigen data kwijt, al ontcloud je je hele persoonlijke leven, hier ontkom je niet aan.

Of het hier nou wel of niet om gebruikersdata gaat doet er nu even niet zoveel toe, dit is wel een mooi topic om het aan te stippen. Vrijwel altijd bepaal je zelf aan wie je welke persoonsgegevens afstaat, maar bij dit soort systemen kun je letterlijk geen nee zeggen, als werknemer.

Ik heb daarnaast nog een vraag aan HR-medewerkers die Workday dagelijks gebruiken, haten julie dat product net zo als wij overige werknemers?

edit:
Ik wil toch even op @donkerlicht in gaan. Ik begrijp namelijk dat het allemaal redelijk makkelijk is voor te stellen wat je moet doen om "anoniem" te blijven, waaronder het gebruik van bijvoorbeeld prepaid simkaarten. Maar je zegt ook dat je bij een bank zit die geen Azure gebruikt. Ik ga ervanuit dat je AWS dan net zo vervelend vindt, komt immers op hetzelfde neer. Er is bij mijn weten geen enkele bank in Nederland actief die niet minstens een deel van haar systemen op 1 van de 2 heeft draaien. Ik ben dus reuzebenieuwd bij welke banken je zit. Ik heb net een kleine 45 minuten zitten zoeken en geen enkele Nederlandse bank kunnen vinden die niet van 1 v/d 2 gebruik maakt. Ja, ik heb even niets te doen vandaag

[Reactie gewijzigd door TV_NERD op 18 augustus 2025 20:38]

William_H @TV_NERD • 19 augustus 2025 11:22

Alleen gaat het hier dus niet over Workday bij klanten, maar over de klantgegevens van bij Workday zelf 😉.

Dat hoeft dus niet perse hun eigen systeem te zijn, kan ook een Salesforce of ander CRM zijn.

donkerlicht @TV_NERD • 18 augustus 2025 18:27

Zeker omdat we steeds vaker ook ons persoonlijke mobiele telefoonnummer en emailadres in het profiel moeten aangeven.

Waarom zou een werkgever mijn persoonlijke telefoonnummer en mailadres moeten hebben? Ze kunnen mij gewoon bereiken via de door werkgever uitgereikte nummer en mailadres bereiken.

KerstRunner

@donkerlicht • 18 augustus 2025 18:35

bijvoorbeeld voor het managen van HR-processen zoals onboarding

De intake procedure incl. assesments, het aanleveren van o.a. kwalificaties en alle telefonische verkennings gesprekken gaan lastig via het telefoonnummer of e-mailadres van de werkgever als je nog nieteens bent aangenomen.

[Reactie gewijzigd door KerstRunner op 18 augustus 2025 19:18]

donkerlicht @KerstRunner • 18 augustus 2025 18:50

Klopt, maar ook in het sollicitatieproces krijgen ze niet de door mij privé gebruikte telefoonnummer en mailadres.

Overigens ga ik zelfs zo ver dat ik ook een apart rekeningnummer heb voor mijn salaris. Dan verdeel ik het zelf wel over mijn betaal- en spaarrekeningen. Elke werkgever die ik heb gehad heeft een ander rekeningnummer.

pjottum

@donkerlicht • 18 augustus 2025 19:03

da's wel heel donker.

Die rekeningen lopen allemaal bij een bank die zijn data weer in Azure propt?

donkerlicht @pjottum • 18 augustus 2025 19:42

Nee, mijn ontvangst- en betaalrekeningen zitten bij Azure-vrije banken. Mijn spaarbank gebruikt wel Azure.

offtopic:
En voor wat betreft de vraag @TV_NERD: mijn spaarbank gebruikt inderdaad Azure. Ik houd momenteel overigens geen Nederlandse rekeningen aan.

[Reactie gewijzigd door donkerlicht op 18 augustus 2025 21:36]

KerstRunner

@donkerlicht • 18 augustus 2025 19:19

Je doet je naam wel eer aan.

SprockerJock @donkerlicht • 18 augustus 2025 19:34

Op het moment jij soliciteert, hoe ga jij weten of ze je sollicitatie aanvaard of dat ze je willen uitnodigen voor een gesprek? Als ze je privénummer of email niet mogen hebben?

donkerlicht @SprockerJock • 18 augustus 2025 19:50

Tijdelijke nummers door gebruik te maken van prepaidkaarten. Elke sollicitatie heeft zo zijn eigen nummer, net als een uniek mailadres.

KerstRunner

@donkerlicht • 18 augustus 2025 20:37

En de tandarts? De autogarage? De hypotheekverstrekker? De verzekeraar? Daar heb je allemaal prepaid kaarten voor?

Wat is het gevaar van dat ze jouw 06-nummer hebben? Als je juist aangeeft dat het zo eenvoudig is van 06-nummer te wijzigen.

donkerlicht @KerstRunner • 18 augustus 2025 21:30

Nee, geen apart telefoonnummer per bedrijf. Ik heb wel meerdere telefoonnummers. 1 gebruik ik prive, overige voor organisaties.

Een telefoonnummer is vrij gemakkelijk te wijzigingen inderdaad, maar daar gaat het mij niet om. Het gaat mij erom dat het door het gebruik van verschillende telefoonnummers en mailadressen, accounts over meerdere datalekken iets moeilijker aan elkaar te linken zijn. Vaak lekken naar mijn idee mailadressen, telefoonnumers en/of accountnamen uit. Door variatie aan te brengen, is het lastiger om over verschillende datalekken te zoeken.

Onmogelijk zal het nooit zijn, maar het kan wellicht net een drempel opwerpen om niet gemakkelijk opgelicht te worden. Ik heb wel eens meegemaakt dat ik gebeld werd op een ' verkeerd' nummer. Dan werd ik gebeld namens een bedrijf, maar had ik het betreffende nummer nooit opgegeven bij dat bedrijf. Dan weet ik dus al dat er iets niet klopt.

Tintel @donkerlicht • 19 augustus 2025 10:57

De ellende is dat er altijd wel een link te leggen is (van zakerlijk nr naar naam van naam naar prive nr en met prive nr weer verder).

Dat je het kan gebruiken als filter is handig maar gaat dus snel 'nat' aangezien je 1 nr gebruikt voor organisaties (dus niet werkgevers).
Naar mijn idee heb ik ook meer te maken met verschillende organisaties dan met verschillende werkgevers (tenzij je misschien zzp-er bent of gedetacheerd).

Bartmanz @donkerlicht • 18 augustus 2025 21:05

Mag ik je vragen waarom je zo uitermate terughoudend bent met het verstrekken van je e-mailadres, mobiele nummer, rekeningnummer en wat nog meer naar je werkgever? Heb je een slechte ervaring, of een algeheel wantrouwen naar werkgevers?

Deel je wel je echte adres, of heb je per werkgever ook een apart postadres?

Voor mij klinkt het bijzonder argwanend.

donkerlicht @Bartmanz • 18 augustus 2025 21:22

Niet specifiek argwanend naar werkgevers, maar ik doe het allemaal meer zodat bij datalekken, de informatie minder gemakkelijk aan elkaar te linken valt over verschillende datalekken heen. Uiteindelijk valt natuurlijk alles aan elkaar te koppelen, maar dat kan dus niet op basis van eenzelfde mailadres. Een telefoonnummer zou nog kunnen, aangezien ik hetzelfde nummer bij meerdere bedrijven gebuik, maar dat zijn weer andere nummers dan dat ik prive gebruik.

Adres is overal hetzelfde, zolang ik niet verhuis.

William_H @donkerlicht • 19 augustus 2025 11:27

Ah, dus er is wel een gemeenschappelijke deler waarin je in al die systemen te koppelen bent aan elkaar 😉

Zonder dollen, ik snap je punt van het bellen en mailen met spam etc. Alleen gebruiken oplichters tegenwoordig zelfs gewoon random number generators bij telefoonnummers. Dus ook al heb je je nummer nooit opgegeven, zelfs dan kan hij gebeld worden door een spammer/oplichter. Zodra jij opneemt wordt er een vinkje achter dat nummer gezet dat dat nummer actief is en wordt je vaker gebeld.

lenwar

Beveiliging en antivirus

@donkerlicht • 18 augustus 2025 20:40

Noodgevallen. Je bent ineens 3 dagen ongeoorloofd ‘verdwenen’ (je neemt je werktelefoon 3 dagen niet op. Er kan van alles aan de hand zijn met je.) Of denk aan noodnummers. Stel dat je een ongeluk krijgt op je werk, dan is het handig als ze het nummer van je partner (of ouders of zo) hebben. (Een brief sturen is dan ook weer zo wat.)

Je leidinggevende krijgt dan je (of je partner diens) telefoonnummer van HR bij noodgevallen/uitzonderingen.

magician2000 @lenwar • 18 augustus 2025 22:04

Noodgevallen? Er zijn in principe geen noodgevallen waarvoor de werkgever je hoeft te kunnen bereiken.

Wat betreft dat ongeluk op je werk, ik denk niet dat het slim is om een werkgever contact op te laten nemen met familie o.i.d. Laat dat lekker aan de hulpverleners over als het zo ernstig is. Ik heb meegemaakt hoe HR omgaat met bijzondere gevallen (dus nog geeneens noodgevallen) en ben daar absoluut niet van onder de indruk (lees: volledig incompetent).

Ik begrijp dus heel goed dat je zo min mogelijk gegevens bij een werkgever (of andere organisatie) wilt hebben staan.

wiseger @donkerlicht • 19 augustus 2025 11:33

Een werkgever vraagt om je noodgegevens. Hoe je bereikbaar bent in noodgevallen die de eigen IT systemen en communicatie middelen betreft?

Verder vraagt de werkgever ook om persoonlijke gegevens van je contact persoon die gewaarschuwd moet worden wanneer jou iets overkomt op je werk.

Al dat soort gegevens gaan in Workday indien dat het HR systeem is dat je werkgever gebruikt.

Overigens staan persoonlijke gegevens ook op je salarisstroken die in Workday zitten. Net zoals eventuele verklaringen voor bijvoorbeeld je hypotheek verstrekker. Staan allemaal persoonlijke gegevens in.

Rickardur @TV_NERD • 18 augustus 2025 18:37

Workday, is dat niet dat bedrijf wat word aangeklaagd door hun volautomatische ai die racistisch is in hr en recruitering?

KerstRunner

18 augustus 2025 18:08

Organisaties zoals Alliander (+/- 12.000 medewerkers) maken intensief gebruik van Workday.

pagani @KerstRunner • 18 augustus 2025 18:54

Het grootste bedrijf qua aantal werknemers ter wereld (Walmart, 2.3 miljoen werknemers) gebruikt het ook.

jpsch 18 augustus 2025 22:48

Namen, e-mailadressen en telefoonnummers. Klinkt als een ideale basis voor CEO fraude.

Slavy 18 augustus 2025 18:10

Gaat lekker met al die cloudplatformen, lekker veilig...

R_Zwart @Slavy • 18 augustus 2025 18:33

Het is natuurlijk maar de vraag hoe veilig het zou zijn als iedereen z'n eigen systeem gaat bouwen en beheren. Veel bedrijven zullen dan een Excelsheet o.i.d. als HR systeem gebruiken.... Op een USB stick om het op meerdere PCs te kunnen gebruiken.

lenwar

Beveiliging en antivirus

@R_Zwart • 18 augustus 2025 20:44

Klopt. Maar het enige verschil is, is dat die clouddiensten per definitie vanuit het internet bereikbaar moeten zijn, en er veel, veel, veel meer data te halen is. Niet alleen van één bank, maar van meerdere banken, en bedrijven als Walmart en zo. (Als ik zo alle berichtjes hierboven lees.)

Dat maakt clouddiensten wel vatbaarder en interessanter. Bij ‘lokale diensten’, hoeft een HR-systeem niet aan het internet te hangen. (Hooguit via een VPN (of zo), maar dan heb je toch alweer extra lagen)

wiseger @R_Zwart • 19 augustus 2025 11:36

Het verschil is dat eigen HR systemen een voor een gehackt moeten terwijl er bij een hack in Workday meteen de gegevens van werknemers van duizenden bedrijven op straat komen te liggen.

flurb 18 augustus 2025 18:03

Oracle, Salesforce, Workday... Men is maar druk met de grote dataverwerkers ...

DraadbreuQ 18 augustus 2025 19:11

Recent nog deze aangetroffen. https://cybersecuritynews.com/shinyhunters-breaches/
Het is ook niet best gesteld met het InfoSec beleid van recruiters bij grote clubs e.d., maar maak je daar een opmerking over en verwijs je naar praktische tips zoals https://help.salesforce.com/s/articleView?id=xcloud.real_time_em_threat_detection.htm&type=5 of https://salesforcemanagedservices.nl/blog/hoe-controleer-ik-wie-wat-kan-zien-in-salesforce/ dan ben je de betweter nerd wappie die enige donder om hun eigen privacy geeft

mutley69 18 augustus 2025 21:30

Ik heb hier geen vertrouwen in, dat is veel te vaag qua communicatie & we weten allemaal dat er 100% zeker gelogen of minstens verzwegen wordt in die communicatie na een ramp. Zie na de ramp op Tomorrowland. Vuurwerk onbeschermd opgeslagen onder een podium opgebouwd uit piepschuim. Wetende dat piepschuim giftige dampen af geeft bij vuur...

Dan is dat op zijn zachtst gezegd toch bizar dat noch de burgemeester, noch de provinciegouverneur hun verantwoordelijkheden hebben genomen. En ook daar primeerden de economische belangen boven de gezondheid van bezoekers, omwonenden enz... Men gooit ons m.a.w. overal onder de bus.

Dus ik geloof het bedrijf niet volledig en blijf argwanend. Voor de zekerheid zet ik hen dus op de zwarte lijst tot ze bewijzen dat het allemaal mee valt (al vindt ik naam en mailadres al te veel)...

protected22 19 augustus 2025 08:25

Zijn bedrijven laatste tijd echt zo slecht bezig met hun beveiliging of worden er gewoon meer aanvallen gedaan?

demianmonteverd @protected22 • 19 augustus 2025 09:39

Betere aanvallen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (44)

Sorteer op:

Weergave: