Bankgegevens miljoen Britten via eBay verkocht

Een computer van een bedrijf dat bankgegevens beheert, werd onlangs via eBay verkocht, en de koper trof er vervolgens fraudegevoelige persoonlijke gegevens van meer dan een miljoen klanten van verschillende banken op aan.

De pc was afkomstig van Graphic Data, een bedrijf dat de digitalisering en opslag van klant- en transactiegegevens verzorgt voor verschillende financiële instellingen, waaronder American Express, Natwest en de Royal Bank of Scotland, schrijft The Mail Online. Het apparaat werd door it-manager Andrew Chapman via eBay gekocht voor een schamele 35 pond - circa 45 euro - maar op de harde schijf bleek data te staan waar lieden met kwade bedoelingen een veelvoud van dat bedrag voor over zouden hebben. Het gaat naast namen, adressen en telefoonnummers om bankrekeningnummers, creditcardnummers en zelfs handtekeningen van klanten. Daarnaast werden meer dan 1300 aanvragen aangetroffen voor creditcardtransacties.

Andrew Chapman met pc van Graphic Data Volgens beveiligingsexperts zijn de gegevens een ware schatkist voor fraudeurs: het is voldoende voor criminelen om iemands identiteit aan te nemen en voor enorme bedragen te gaan shoppen. De Britse databeschermingsautoriteit gaat de zaak dan ook met grote spoed onderzoeken. Dat kan Graphic Data op een forse prent komen te staan: vorig jaar kreeg Nationwide een boete van bijna een miljoen pond na het verlies van een laptop met klantgegevens.

Graphic Data zegt dat het om een computer gaat die bij een ex-werknemer terecht is gekomen, die het apparaat vervolgens dus verkocht. De pc zou uit een beveiligde ruimte zijn verwijderd. Het bedrijf spreekt niettemin tegen dat er van kwade opzet sprake zou zijn, maar mag van geluk spreken dat de gegevens in handen zijn gekomen van een welwillende burger. Graphic Data heeft om retournering van het apparaat verzocht.

IT-banen

Reacties (62)

Auredium 27 augustus 2008 07:30

Zeer zeer slecht maar helaas een schrijnend voorbeeld van de realiteit. Dergelijke computers dienen door professionele bedrijven of iig door mensen met de juiste kennis te worden vernietigd zodat de data nooit meer valt te achterhalen. Dit kost geld, ja.

Helaas kiezen veel bedrijven voor de goedkope weg en 'geven' ze dergelijke computers weg of verkopen ze zelfs voor een bodemprijsje aan collega's. Gevolg is dat de gegevens (die vaak alleen vie een simpele format en reinstall zijn 'verwijderd') op straat liggen. ICT afdelingen horen bedrijven hierover in te lichten en het te verbieden. Maar helaas staan admistratieve instanties niet bekend om een superieure ICT behering met noodzaak.

Ik vind trouwens dat er in GB wel erg vaak gegevens van mensen en staat op straat komen te liggen.

[Reactie gewijzigd door Auredium op 26 juli 2024 14:29]

Niemand_Anders

Beveiliging

27 augustus 2008 09:03

Wat ik niet begrijp is dat je bijna elke dag ergens leest dat bedrijf X weer een harddisk, usb stick, memory card oid is verloren.

Gevoelige gegevens behoren gewoon nooit op een client PC te staan. Zo simpel. In het ergste geval blijft er dan een klein restant ergens in een browser cache (in geval van een web interface) of geheugen over.

Wij werken ook in de financiele sector, maar elke PC welke hier wordt doorverkocht gaat zonder harddisk. Alle gegevens blijven op de database server. Medewerkers/gebruikers maken een VPN verbinding met ons netwerk en kunnen op die manier het programma overzichten en/of rapportages laten maken. Overzichten en rapportages bevatten nooit 'ruwe' data.

Maar het verlies van gegevens is niet beperkt tot (commerciële) bedrijven, de verschillende overheden en hun departementen zijn ook erg goed in het verliezen van informatie.

De enigste conclusie die hier getrokken kan worden is dat bedrijven gewoon ontzettend slecht omgaan met privacy en gevoelige informatie. Bedrijven dienen gewoon bij verlies (ondanks de reden) direct een miljoenen boete te krijgen en bij overheden dienen de direct verantwoordelijk direct op staande voet ontslagen te worden. Alleen bij dergelijke sancties worden bedrijven en ambtenaren bewust van de gevoeligheid van de informatie waarmee ze werken.

Dlocks @Niemand_Anders • 27 augustus 2008 11:32

Gevoelige gegevens behoren gewoon nooit op een client PC te staan. Zo simpel.

Maar in dit geval gaat het om een server die uit een beveiligde ruimte zou zijn verwijderd. Althans, op het plaatje bij het nieuwsbericht zie ik geen client PC staan.

FreezeXJ 26 augustus 2008 19:27

Waarom komen servers in handen van medewerkers met de harde schijven (met belangrijke data)er nog in? Heeft die persoon zelf niet even op de schijf gekeken wat daar nog op stond voor ie het ding in de verkoop deed? Dit ziet er sowieso uit als een rackserver, data-opslag, dus een gewone sjonnie heeft daar heel weinig aan. Waarom verkoopt een bedrijf dus servers? Volgens mij heeft de opsporingsdienst (en de interne veiligheidsdienst van dat bedrijf) heel wat werk te doen. Het blijft namelijk maar de vraag hoe vaak dit al fout gegaan is...

YellowOnline @FreezeXJ • 26 augustus 2008 19:35

Geen idee in Nederland, maar in België verkopen grote bedrijven - zeker banken - vaak hun afgeschreven hardware aan personeelsleden voor spotprijzen. Ik ben wat uit de banksector, maar destijd deden zowel ASLK, Generale Bank (nu allebei Fortis) en Kredietbank (nu KBC) dat. Die PCs werden wel altijd herinstalleerd, maar als je wat handig bent met data-recovery kan je daar vast ook nog gevoelige data afhalen.

martinx76 @YellowOnline • 26 augustus 2008 21:28

Volgens mij is daar een simpele oplossing voor: lowlevel format. Werkt prima. Of is daar iets op tegen in technische zin? Of is het bij een lowlevel format ook zo dat je een aantal keer een sector moet overschrijven voordat hij niet meer leesbaar is?
Doe ik zelf wel als ik mijn pc verkoop

[Reactie gewijzigd door martinx76 op 26 juli 2024 14:29]

LessRam @martinx76 • 26 augustus 2008 22:04

Mijn PC's zijn altijd te oud om door te verkopen. Dus HDD simpel formateren, 2-3 spijkers erin jassen, en vervolgens het geheel naar de schroothoop.

chielsen @martinx76 • 27 augustus 2008 01:09

Dit bedrijf is ontstaan door oa inleg van dragons den, http://www.hdd-shredder.nl/
Gewoon in de shredder en niks verkopen voor een tientje aan een medewerker. De potentieele schade ligt duizenden malen hoger!

Verwijderd @chielsen • 27 augustus 2008 02:34

Jij kan je harddisk niet zelf te lijf gaan met een hamer?
Om nou een bedrijf in te huren om je HDD in reepjes te zagen.
Is het goedkoper om zelf te doen.

Verwijderd @Verwijderd • 27 augustus 2008 07:45

Tjah, dat denk ik ook altijd als ik hoor over data vernietigings bedrijven.
Het is vooral een kwestie van verantwoordelijkheid volgens mij. Als Wim de concierge het vernielen van een schijf verkeerd doet, verliest het bedrijf potentieel miljoenen euros aan geheime data. Als het datavernietigingsbedrijfs het verkeerd doet (veel kleinere kans) is er niks aan de hand want ze zijn verzekerd.

GoBieN-Be @YellowOnline • 26 augustus 2008 23:12

Ik vermoed dat die banken gewoon de hardware schijf-loos verkochten.

Biinjo @FreezeXJ • 26 augustus 2008 19:37

Het bedrijf zelf verkocht dit apparaat niet. Het was een ex-werknemer die een (oude?) pc/rack mee naar huis mocht nemen.
Net als dat je bij andere kantoren wel eens spullen uit het assortiment mee mag nemen als er wat oud of 'over' is (zo hebben wij hier drie bureaustoelen staan thuis).

Is inderdaad niet zo secuur van dat bedrijf dat harddisks niet eerst door een shredder gaan voordat ze van eigenaar wisselen en het bedrijf uit gaan.

Verwijderd @Biinjo • 26 augustus 2008 21:15

Is inderdaad niet zo secuur van dat bedrijf dat harddisks niet eerst door een shredder gaan voordat ze van eigenaar wisselen en het bedrijf uit gaan.

Ik denk dat dit heel genuanceerd is. Bij zo'n bedrijf is het onvergefelijk. Het zou zo wie zo in hun policy moeten staan dat apparatuur allen zonder disks meegenomen mag worden. En dat de disk over vernietigd of volgens officiële wis normen x keer gewist c.q. overschreven moeten worden.

Ik vraag me af wat de gevolgen voor dit bedrijf zullen zijn? Ik zou er zo klant af zijn als ik een van de banken was. Fouten kan iedereen maken maar dit is IMO onvergefelijk voor zo'n bedrijf.

TD-er

@FreezeXJ • 26 augustus 2008 19:39

Een voorbeeld gesprekje wat in menig datacenter/ICT-afdeling gevoerd is:
- Jamaar waarom worden die schijven vernietigd, ze werken nog prima, dat is toch zonde?
- Nou als jij beloofd dat je ze goed leegmaakt, kun je ze meenemen.

Eventueel gevolgd door een schijf-wis actie waarbij hij mogelijk gestoord is in zijn werk en niet meer wist welke 'ie wel en niet gehad had.

Soldaatje 26 augustus 2008 19:37

Als je overal geld gaat opnemen pakken ze je uiteindelijk toch wel.

Martin-S @Soldaatje • 26 augustus 2008 20:14

Als je de gegevens hebt van ca 1 miljoen mensen, zal dat nog lastiger worden dan je zou denken.

2 of 3x geld opnemen (in een korte periode) en dan wisselen van persoon en locatie zodat daar geen patroon in ontstaat. Ook zorgen dat je een zo groot mogelijk gebied bestrijkt of houdt aan de woonplaats van de "befraudeerde" personen zal het denk ik erg moeilijk worden om je te pakken.

Dit soort dingen zijn (zoals ik het zou doen) redelijk lange termijn projecten en misschien wel het belangrijkste is dat je niet te gierig moet worden en te veel ineens wilt hebben.

Verwijderd @Martin-S • 26 augustus 2008 21:40

Als we binnenkort in Nederland te maken krijgen met geldopnames verspreid over het hele land, zonder duidelijk patroon, weten we wie het heeft gedaan Martin. Hebt alles voor jezelf verpest nu.....

Waar zou de vinder nu meer geld mee kunnen verdienen:
-Een beloninkje
-Het apparaat terug verkopen (niet voor 35 pond) aan de financiele instelling
-Het apparaat opnieuw te koop aanbieden op Ebay? ;-)

Vind het overigens vreemd als er geen regelgeving bestaat waarmee er beslag gelegd kan worden op de harddisk??

Bloodshot @Verwijderd • 26 augustus 2008 21:53

Waarom zou er beslag gelegd worden op iets wat nooit van de overheid is geweest, eerlijk is gekocht voor een reeel bedrag van iemand die geen schuld heeft?

Of wil je het "Terrorisme" karretje van stal halen? Ach kom...

Dit alles is gewoon heel erg slecht van het bedrijf van wie de server afkomstig is.
Deze zou EN juiste procedures moeten hebben voor het voorkomen van data-diefstal EN juiste procedures moeten hebben voor het schonen van disken (ook ik ben van mening dat shredden onnodig is) EN ook nog eens zorgvuldig toezien op naleving van deze regels.

Verwijderd @Bloodshot • 26 augustus 2008 22:18

Ik ben zelf ook geen voorstander van te vergezochte anti-terrorisme wetten. Maar met het oog op privacywetgeving van dergelijke gevoelige gegevens zou het misschien niet eens zo gek zijn.

ALS deze man zich morgen bedenkt en de gegevens gaat gebruiken (misbruiken) dan ontstaat er wel een chaos lijkt me..

Van de andere kant: je bent pas schuldig als je daadwerkelijk iets onwettigs hebt gedaan.....

Marcks @Martin-S • 26 augustus 2008 20:34

Wellicht nog wel belangrijker: de meest voor de hand liggende methode om jezelf met deze gegevens geld toe te eigenen, berust op identiteitsfraude en het ligt in de aard van dit misdrijf dat de ware identiteit van de dader relatief moeilijk te achterhalen is.

twabi2 26 augustus 2008 19:48

Wel vreemd dat ze hiervoor boetes geven, terwijl de Britse overheid zelf massaal gegevens verliest...
*mompelt iets over pot, ketel en zwart zien*

ATS @twabi2 • 26 augustus 2008 21:55

Dat is helemaal niet vreemd. Dat ze zelf vanalles kwijt raken is niet goed te praten, maar dat zegt natuurlijk niets over regels hoe private bedrijven om dienen te gaan met dit soort gegevens. Het is dus volledig terecht dat hiervoor boetes opgelegd worden. Natuurlijk dienen ook de verantwoordelijken binnen de overheid aangepakt worden die gegevens op straat laten vallen.

Verwijderd 26 augustus 2008 22:00

Zou het niet makkelijker zijn om deze schijven te vernietigen en dus die dingen verbranden totdat ze vloeibaar zijn

Het idee al dat zo'n mafketel in een data center je gegevens van je credit card op die schijf laat staan en die verkoopt op Ebay

oehoe @Verwijderd • 26 augustus 2008 22:18

Grappig eigenlijk, hoe deze reacties nogal in tegenspraak zijn met het doorgaans veel gehoorde: "Ik heb niets te verbergen, van mij mogen ze alles weten"...

GoBieN-Be @oehoe • 26 augustus 2008 23:16

Gaat eigenlijk ook niet over verbergen, maar over misbruik voorkomen.
je mag no zo schoon zijn, je zal er niet mee lachen als je rekening geplunderd is.

oehoe @GoBieN-Be • 26 augustus 2008 23:42

off topic

Maar dat is nou net precies één van de redenen waar het mensen die zich druk maken over privacy om gaat: misbruik voorkomen.

DJ TerraByte @oehoe • 27 augustus 2008 09:38

ook off-topic:
Ik vind dat je hier een duidelijk antwoord geeft voor de mensen die niet privacy-bewust omspringen met informatie.
Deze mensen geven aan jan en alleman hun informatie, en inderdaad onder het motto dat ze niets te verbergen hebben.

Misschien moet er maar eens een campagne worden gelanceerd over de gevaren van camera's in telefoons bijvoorbeeld: een leuk reclamespotje dat eindigt op Youtube ofzo.

on-topic:
Waarom zouden deze harde schijven nooit i.c.m. software als Truecrypt gebruikt?
Als ik een bedrijf zou runnen waar ook maar iets opgeslagen wordt waar de fraudeur iets mee kan, gaat het door de versleutelmolen.
Ik kan me niet voorstellen dat encryptie de boel dusdanig vertragen of in de kosten jagen dat het risico verwaarloosd mag worden!

Proxy @GoBieN-Be • 27 augustus 2008 02:41

Dus het gaat over verbergen. Als je gegevens worden misbruikt, dan is dat omdat die gegevens niet (meer) verborgen zijn voor mensen die de gegevens misbruiken.

MuisM4t @Verwijderd • 26 augustus 2008 22:18

Die schijven hoeven niet per sé fysiek vernietigd te worden: als je de schijf een aantal keren met random data vult is de oorspronkelijke data ook niet meer terug te halen.

Dat moet dan wel goed gebeuren: slechts één keer overschrijven met nullen is bijvoorbeeld niet voldoende.

Zie ook : http://www.oreillynet.com..._the_love_of_all_tha.html

[Reactie gewijzigd door MuisM4t op 26 juli 2024 14:29]

maxtz0r @MuisM4t • 26 augustus 2008 23:34

Ik heb een keer een lezing gehad van een engelse data-expert. Deze man wist te vertellen dat als je echt je data kwijt wil je de HDD echt moet verbranden want zelfs fysiek alleen kapot maken kunnen ze nog veel van de data terug halen. Hij gaf verder ook aan dat je echt flink vaak data moet overschrijven wil het niet meer terug te halen zijn, ik heb het dan over tientalle keren.

Deze man heeft o.a gewerkt voor mi5 en verschillende banken in Engeland:P wel grappig zo'n lezing;-)

hackerhater @maxtz0r • 27 augustus 2008 13:00

Het lijkt me dat het met shred 100 toch wel erg moeilijk wordt voor data-recovery

Remixed 26 augustus 2008 19:32

Lijkt me toch vreemd dat de medewerker wist wat erop stond en het maar voor 45 euro verkocht. Een persoon die er veel geld aan zou willen verdienen had meer gevraagd natuurlijk. En waarom zou hij anders -als hij het wist maar toch gewoon legaal wou verkopen - niet even de hardeschijven geformat hebben?

TD-er

@Remixed • 26 augustus 2008 19:40

Dat 'ie ze verkocht heeft voor 45 euro is waarschijnlijk zijn redding.

oehoe @TD-er • 26 augustus 2008 20:31

Ik mag het hopen. Als er straks iemand hogerop in de boom (een compliance officer of zoiets fraais) ter verantwoording geroepen gaat worden, gaat die medewerker het nog zwaar krijgen.

GoVegan 26 augustus 2008 20:30

ziet er uit als een leuke server voor 45 euro.

maar natuurlijk belachelijk dat dit zomaar (onbewust) te koop word aangeboden.

pcgek 26 augustus 2008 21:57

Mag hopen dat er in de toekomst toch wat voorzichtiger met persoonsgegevens wat digitaal opgeslagen is omgesprongen gaat worden, want het is toch wel erg triest als je hoort wat er de laatste tijd 'op straat' komt te liggen.(zal ook nog wel iets meer zijn dan wat wij te horen krijgen)
In de tijd dat alles nog op papier stond, werd een keer in de zoveel tijd een afspraak gemaakt met een recyclingbedrijf, en werd gevoelige informatie onder toezicht vernietigd.

Je zou haast denken dat de bevolking maar moet accepteren, dat er zoiets als 'prive' en 'persoonlijk' tegenwoordig niet meer bestaat.

[Reactie gewijzigd door pcgek op 26 juli 2024 14:29]

graceful 26 augustus 2008 22:57

Ik moet wel zeggen dat dit een hele nette daad is. Daarnaast is het wel zo netjes als ze even inlichten van wie er allemaal creditcard gegevens (etc) zijn "geknoeit".

Je kunt er nu wel van uit gaan dat hij de HDD's of de full server netjes terug stuurt. Maar misschien wilt die gewoon 2 vliegen in een klap? Back-uppen en misschien nog wat geld vangen van het bedrijf en daarnaast nog even cashen bij de criminelen.

Persoonlijk weet ik het nog niet zo..

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (62)

Sorteer op:

Weergave: