Privacy-schandaal T-Mobile Duitsland breidt zich uit

Nadat bekend werd dat er bij T-Mobile Duitsland in 2006 gegevens van 17 miljoen klanten werden ontvreemd, is het bedrijf opnieuw in opspraak gekomen omdat het belgegevens van zijn raad van toezicht jarenlang onbewaakt in ordners bijhield.

Dit weekend berichtte Der Spiegel over de diefstal in 2006 van gegevens van 17 miljoen T-Mobile-klanten, waarbij onder meer e-mailadressen, nummers van mobieltjes, adressen en geboortedata werden gestolen. Het zou onder andere gaan om geheime nummers en privé-adressen van politici en miljardairs. De gegevens zouden inmiddels al binnen criminele kringen op internet zijn aangeboden. Het onderzoek naar de diefstal heeft echter nog geen dader opgeleverd.

Hacker (klein, rood) T-Mobile zou de diefstal onder de pet gehouden hebben om het onderzoek niet te bemoeilijken en omdat het bedrijf geen aanwijzingen had dat de gegevens al verspreid waren. T-Mobile biedt zijn klanten in Duitsland een gratis nummerwijziging aan. Bij het speciaal daarvoor in het leven geroepen nummer kunnen ongeruste klanten ook terecht met vragen.

De diefstal vormde voor de oppositie in Duitsland aanleiding om strengere regelgeving omtrent databeveiliging te eisen. Volgens de fractiewoordvoerder van de Grünen, Volker Beck, moet het grootschalig opslaan van klantgegevens in de telecomsector een halt toegeroepen worden, omdat de data er niet veilig zou zijn.

T-mobile logo Het privacy-schandaal volgt op de ontdekking in mei dat T-Mobile in 2005 en 2006 de gespreksgegevens van de leden van zijn raad van toezicht registreerde, om erachter te komen of er contacten tussen de raadsleden en journalisten waren die tot het lekken van interne informatie konden leiden. Frankfurter Rundschau meldt maandag dat T-Mobile deze gespreksgegevens op de persoon gesorteerd in ordners opnam, en deze zonder medeweten van de betrokkenen in het secretariaatsbureau van de raad van toezicht zelf bewaarde. Ook van een half dozijn leden van de ondernemingsraad zouden de gesprekken bewaard zijn gebleven in de mappen. Een gang naar dit bureau was voldoende om de gespreksdata van alle raadsleden in te zien.

IT-banen

Reacties (28)

Verwijderd 6 oktober 2008 14:30

Hoewel ik geen fan ben van Tmobile (doe mij maar veel liever Vodafone/KPNHI), kan dit echt elk bedrijf overkomen, overal waar mensen werken kunnen er fouten optreden.

Maar dit is geen vrijbrief om maar laks met gegevens om te springen, het wordt tijd dat bedrijven onder toezicht gesteld worden om zo te garanderen dat privacy gegarandeerd blijft. En ditzelfde pleit ik ook voor bedrijven die laks omspringen met klantdata (lees: Google)

Edit: Hiermee bedoel ik elk bedrijf wat gegevens verzamelt van zijn klanten, hoe meer data, hoe meer toezicht! Dat moet ook bedrijven ontmoedigen om meer data te verzamelen en privacy te schenden van klanten. Google is ook prima af met gegevens van de zoekopdrachten, ik vind niet dat ze deze moeten koppelen aan IP adressen voor langer dan een week. Zoniet, zwaar toezicht, liefst van een Europees platform die ook flinke boetes uit kan delen.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 11:34]

MAX3400 @Verwijderd • 6 oktober 2008 14:47

Volgens mij heb je maar de helft van het artikel (en de bron) gelezen; enerzijds werd er op papier in ordners bepaalde info bewaard anderzijds is er gewoon data gestolen en zelfs nog niet teruggevonden. In het laatste geval moet je het wel heeeeeel gek maken qua security in een organisatie, wil je het onmogelijk maken binnen een organisatie dat er data wordt gestolen.

Qua ordners ben ik het aanzienlijk met je eens maar dan nog vind ik dat T-Mobile gedeeltelijk goed gehandeld heeft door bepaalde gespreksgegevens op te slaan; op het moment dat een hooggeplaatst iemand bepaalde info laat uitlekken, kan dat funest zijn voor de koers van de aandelen.

Verwijderd @MAX3400 • 6 oktober 2008 14:56

Ja allemaal heel lullig enzo maar dat doet nog steeds niet af aan het feit dat het bedrijf willens en wetens de diefstal niet gemeld heeft aan de desbetreffende authoriteiten maar zelf een onderzoekje gelastte:

T-Mobile zou de diefstal onder de pet gehouden hebben om het onderzoek niet te bemoeilijken en omdat het bedrijf geen aanwijzingen had dat de gegevens al verspreid waren.

T-mobile is geen wetshandhaver in een land, maar een bedrijf die netjes meldingen moet makan van incidenten.

Verder hadden al die 17 miljoen klanten er recht op om te weten dat hun gegevens op straat lagen! Ik kan mij bijna niet voorstellen hoeveel malafide praktijken er uitgevoerd zijn met die gegevens. En de klanten hebben gewoon geen idee/mogelijkheid gehad om zich ertegen te wapenen. En nu komt T-mobile ineens met een oplossing 2 jaar later, we laten u gratis van nummer wisselen...

EDIT: En T-mobile, of all companies, zou moeten weten hoe schadelijk dit soort dingen kunnen zijn voor het imago van een bedrijf:

Het privacy-schandaal volgt op de ontdekking in mei dat T-Mobile in 2005 en 2006 de gespreksgegevens van de leden van zijn raad van toezicht registreerde, om erachter te komen of er contacten tussen de raadsleden en journalisten waren die tot het lekken van interne informatie konden leiden. ........ Een gang naar dit bureau was voldoende om de gespreksdata van alle raadsleden in te zien.

Bizar hoe bruut men inbreuk kan maken op privacy, zelfs van eigen bestuur en werknemers. Dit bedrijf moet worden aangepakt, en heel erg hard ook, stel je eens voor wat voor macht je hebt als directielid, als je weet wat de raad van bestuur van plan is, en ze elke keer een stapje voor bent en ze daardoor dus buitenspel kunt zetten. Dat is een grove overtreding van de wet, voor zover dat nog niet duidelijk was.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 11:34]

B64

@Verwijderd • 6 oktober 2008 15:36

Stel je eens voor wat voor macht je hebt als directielid, als je weet wat de raad van bestuur van plan is, en ze elke keer een stapje voor bent en ze daardoor dus buitenspel kunt zetten.

Nu drijf je wat door denk ik. ze weten feitelijk alleen maar met welke journalisten de bestuursleden gebeld hebben, en hoe lang. Ze weten dus niet wat die bestuursleden van plan zijn/waren. Op zich zullen ze wel een reden hebben gehad om dat te doen, bijvoorbeeld omdat er regelmatig vertrouwelijke informatie naar de pers gelekt werd en ze willen weten wie dat doet. Dat soort onderzoeken worden wel vaker gedaan, ook bij de lagere echelons. Ze hadden alleen wat zorgvuldiger moeten zijn met het bewaren van de gegevens, want dat lijkt inderdaad helemaal nergens op.

Verwijderd @Verwijderd • 6 oktober 2008 15:46

Conclusie: als je wilt lekken en bij T-Mobile werkt, zorg dat je dat dan doet via een telefoon van een andere provider en zorg er bij voorkeur voor dat de andere partij ook ergens anders zit. Dan kan T-Mobile helemaal niets archiveren.

n4m3l355 @Verwijderd • 6 oktober 2008 18:33

T-mobile is geen wetshandhaver in een land, maar een bedrijf die netjes meldingen moet makan van incidenten. Richting de wetshandhaver ja, dat zal waarschijnlijk wel gebeurd zijn en onder het motto van onderzoek is het stil gehouden. Dit is toch wel iets om je moeilijk over uit te laten aangezien we niet bekend zijn met de geldende situatie tussen T-mobile en de overheid.
Om vervolgens 17 miljoen mensen in te lichten en paniek te creeeren terwijl men nog met een onderzoek is lijkt me minder nuttig dan eerst goed je werk te doen (waar ze waarschijnlijk mee bezig waren) alvorens een publicatie te maken. Stel je voor je stuurt een brief naar 17 miljoen man of een sms wat voor chaos je dan krijgt, een groot gedeelte snapt uberhaubt niet wat er aan de hand is en die gaan dan allemaal de helpdesk bellen. Overigens als van iedere al dan niet opzettelijke publicatie van gegevens wordt gepubliceerd denk ik dat we allemaal wel een beetje nerveus worden als ik hier op tweakers lees hoevaak het fout gaat met de verschillende overheids onderdelen.
Dat is een grove overtreding van de wet, voor zover dat nog niet duidelijk was. Wederom ietwat voorbarig, het komt zoals B64 aangeeft met regelmaat voor dat men tijdens onderzoek naar leaks opnames doet. Ook hier kan de politie van op de hoogte geweest, iets waar wij ons hier toch niet over kunnen uitlaten.
Imo is het wel een beetje erg makkelijk om T-mobile hier zwart af te schilderen, het is zeker niet mooi dat zoiets gebeurd maar aan de andere kant lijkt het me haast onmogelijk om dit te voorkomen om een bedrijf met zoveel data maar ook personeel een waterdichte opzet te maken. Fouten hoeven niet eens met opzet te gebeuren, ik kan me goed voorstellen dat er in de trend vd Britse overheid men perongeluk een stel klappers heeft verzonden naar de verkeerde of wat dan ook. Mij lijkt het hele verhaal ietwat te sensatie berust en dienen we eerst eens de feiten te horen van alle partijen alvorens we met vingers beginnen te wijzen.

TheCapK @Verwijderd • 6 oktober 2008 19:09

Dat ze de diefstal onder de pet hebben gehouden betekend dat ze hier geen melding in de pers van hebben gemaakt. Vaak wordt hierom verzocht door de politie om, inderdaad, het onderzoek niet te bemoeilijken. Als dit namelijk naar buiten komt weet de dader dat ie heel voorzichtig moet zijn en die kan dan eventuele sporen alsnog opruimen.

Het feit dat dit nu bekend is is waarschijnlijk met medeweten van zowel de politie als T-mobile. Der Spiegel weet ook wel dat als ze dit niet verifiëren ze een (grote) kans hebben op een proces aan hun broek in geval het foute informatie betreft. Waarschijnlijk hebben zowel T-mobile als de politie niet ontkend waardoor dit verhaal gepubliceerd kon worden.

Waarschijnlijk hopen ze nu op deze manier misschien nog wat tips binnen te krijgen die alsnog naar de dader kunnen leiden!

n4m3l355 @MAX3400 • 6 oktober 2008 14:54

Nee hoor, simpel voorbeeld is dat ik onlangs perongeluk een tal van klappers als "vernietigd" had aangegeven waarna ze worden afgevoerd. Nu staat hier niemand zo snel stil bij maar weg zijn ze wel. Zoiets gebeurd bij ons ook heel soms perongeluk in het archief ondanks stukken soms tot 20 jaar vanwege de ISO bewaart dienen te worden. Verder wordt data soms verkeerd opgeslagen, verkeerd afgedrukt, verkeerd ge-archieveerd. Er zijn zoveel redenen waarom data kan verdwijnen, en soms is het helemaal niet verdwenen maar is er simpelweg een verkeerde naam eraan gegeven.
Dit toont dan ook eerder aan hoe makkelijk zoiets kan gebeuren, nou stel je hetzelfde eens voor een bedrijf met ettelijke miljoene klanten met gigantische bergen data, dan is het een kleine kunst om even iets fout te laten gaan. Dit hoeft niet eens dus met opzet te gebeuren.

DenniZ @Verwijderd • 6 oktober 2008 14:36

Helemaal mee eens, er moet toezicht komen op het goed omgaan met vertrouwelijke gegevens. Laksheid kan namelijk ook een excuus zijn.

Verwijderd 6 oktober 2008 15:25

Een operationeel research systeem waarin deze problematiek met wiskunde en natuurkunde wordt opgelost is te vinden op de link SwissItPro door te zoeken naar het keyword "quantum". In dit systeem is de data gedistribueerd en beveiligd opgeslagen op gedistribueerde mobiele systemen. De systemen vormen tesamen een groep waartussen onconditioneel veilig gecommuniceerd kan worden. Alle data is redundant op meerdere systemen in de groep opgeslagen. Als een systeem uitvalt dan is alle data welke op dit uitgevallen systeem staat nog steeds aanwezig en bereikbaar in de groep. Doordat de locatie van de systemen bij attackers onbekend is, de data gedistribueerd en beveiligd is opgeslagen en de communicatie tussen de systemen onconditioneel veilig is, zijn dit soort attacks onmogelijk op dit operationele research systeem.

Roland684 @Verwijderd • 6 oktober 2008 17:17

En hoe raadpleeg je als medewerker die gegevens? (en hoe beveilig je dat? Want als een geauthoriseerd persoon alles even naar een usb-stick kan kopieren...)

Verwijderd @Roland684 • 6 oktober 2008 18:09

Quote: "En hoe raadpleeg je als medewerker die gegevens? (en hoe beveilig je dat? Want als een geauthoriseerd persoon alles even naar een usb-stick kan kopieren...)"

De medewerkers welke geauthoriseerd zijn hebben gewoon toegang tot de gegevens via mobiele clients. De acties worden gelogd. Het kopieren van geraadpleegde informatie naar een USB-stick kan dus gewoon als het gebruiken van een USB stick op de mobiele client geauthoriseerd is. Echter geauthoriseerde medewerkers hebben er alle geen belang bij om dit te doen want dit wordt allemaal gelogd met een audit-trail. Een attack van niet-geauthoriseerde personen is niet mogelijk omdat deze de locaties van de systemen niet kennen. De informatie is met storage encryptie beveiligd op de systemen.

ronny clauzing 6 oktober 2008 15:17

Ik heb jaren voor een print & mail bedrijf gewerkt en was daar oa verantwoordelijk voor de facturering van het toenmalige dutchtone abonneebestand. Gezien de complexiteit en de prijs van de printers worden die zaken meestal wel uitbesteedt.

er was totaal geen controle op de data en had met gemak een centje kunnen bijverdienen (op het laatst ongeveer een half miljoen naw gegevens). Ik heb dan ook wel zo'n vermoeden dat het op die manier is uitgelekt en heb niet 123 een oplossing voor bedrijven om lekken bij derden te voorkomen

Verwijderd @ronny clauzing • 6 oktober 2008 15:25

Zelf factureren?

Maar je hebt wel gelijk dat tegen iemand die die gegevens wil jatten en ergens werkt waar hij er toegang toe nodig heeft voor zijn werk je eigenlijk niets kunt beginnen.

Roland684 @ronny clauzing • 6 oktober 2008 17:13

Zelf factureren is inderdaad een oplossing, en anders haal je gewoon een bedrijf dat die zaken print in huis. Letterlijk in huis. Als je maar betaald, komt de drukker wel langs hoor.
En banken kunnen hun geld ook transporteren, dus zelfs extern kun je het beveiligen.
Natuurlijk, daar hangt een prijskaartje aan, maar dit schandaal zal ook niet goedkoop worden.

Youri Carma 6 oktober 2008 15:27

Dankbaar dat Tweakers dit soort privacy "anomalies" blijft volgen en eigenlijk zijn er steeds twee dingen aan de hand.

1- Privacy word niet serieus genomen.
2- Beveiliging word niet serieus genomen.

Verwijderd @Youri Carma • 6 oktober 2008 15:48

Privacy wordt wel degelijk serieus genomen: bedrijven weten heel goed dat ze kunnen verdienen door jouw privacy te schenden.

xzaz 6 oktober 2008 14:40

Doet me denken aan de fout dat een mede-tweaker een klanten bestand had gevonden op zijn FTP. Dat was Planet Internet toch?

Wilbert de Vries @xzaz • 6 oktober 2008 14:44

nieuws: Planet zet per ongeluk klantgegevens bij abonnee online

TD-er

6 oktober 2008 14:29

Over een paar jaar een vergelijkbaar bericht, maar dan van gestolen data bij onze eigen overheid die de bewaarplicht zo nodig acht.

dj.verhulst 6 oktober 2008 14:45

ik snap de reden waarom ze dit bewaarde ook niet ,, je heb de bewaarplicht maar daar viel dit niet onder(digitaal) ,, leuk voor die prominente figuren uit de politiek en tv scene ......

mashell @dj.verhulst • 6 oktober 2008 18:45

Hoezo niet? T-mobile heeft toch je telefoonnummer nodig, een adres om de rekening naar toe te sturen en je geboortedatum om je op je verjaardag 1 of ander PVC Hoera ding te kunnen sturen (nou goed, dat is niet echt nodig).

Verwijderd 6 oktober 2008 15:42

hmm lekker bij t-mobile

is nou net mijn orange abbo in over gegaan!
ben ik blij ik in november er vanaf ben!

Ik dacht zo groot bedrijf
de privacy wel op orde had
en de data ook goed beveiligd hebben op geslagen
en werknemers een soort van zwijgplicht hebben?

mashell @Verwijderd • 6 oktober 2008 18:46

Dit gaat over 2006 en Duitsland, jouw gegevens zijn dus (nog) niet gestolen.

SlinkingAnt 6 oktober 2008 18:28

Och, voor privacy zit je bij T-mobile sowieso niet goed, aangezien ze de wachtwoorden van My T-mobile in plaintext in de database hebben zitten, en deze voor alle helpdesk-medewerkers (en meer) gewoon toegankelijk is

Iig een reden om daar zeker een ander wachtwoord te gebruiken

Verwijderd @SlinkingAnt • 6 oktober 2008 22:20

Nouja lekker dan. En ik maar denken dat allemaal netjes verzorgd word.
Ze daar een beveiligde database voor hebben alleen toegankelijk op verzoek ofzo.
Maar nee hele wereld kan mee kijken
echt weer zon organisatie wie het niet voor mekaar heeft
Maar scheelt weer paar medewerkers wie zich met beveiliging bezig moeten houden
dus scheelt weer 1000-10000 euro's per jaar als het niet meer is?

TheCapK 6 oktober 2008 19:17

Aan een kant zie je nu dus dat er een grote hang is naar dataretentie tot in den treuren (bij sommige politici dan toch) waardoor o.a. ISP's hun datacenters moeten uitbreiden.
Dan zie je dat dit soort dingen gebeuren en dan zijn er andere politici (degenen die waarschijnlijk wel verder nadenken) die dan weer roepen dat die bewaarplicht belachelijk is.
Helaas hebben de verkeerde politici te veel te zeggen waardoor je alleen maar banger moet worden met alle gegevens die je als persoon produceert gedurende je leven. Waar gaat het naar toe, wie kan het inzien en hoe veilig is het allemaal?
Als daar een goed antwoord op zou kunnen komen weten we meteen hoe ver we zelf moeten gaan met onszelf beveiligen. Tot zo lang kunnen we maar het beste zo veel mogelijk gegevens zelf beheren of onbeheerbaar maken voor anderen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: