Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties

De Gemeente Amsterdam heeft ruim een week een pdf-document op zijn site laten staan waarin privacygevoelige data zoals iban- en saldogegevens van burgers werden genoemd. Pas nadat de verantwoordelijk wethouder hierop was geattendeerd werd de pdf verwijderd.

Het door Atos opgestelde document met de titel 'Onderzoek oorzaken onjuiste uitbetaling woonkostenbijdrage 2013' beschrijft de fouten die de gemeente Amsterdam heeft gemaakt bij het 'per ongeluk' overmaken van 186 miljoen euro aan subsidies naar meer dan 9000 inwoners van de hoofdstad. In het document, waarop aan de voorzijde de tekst 'vertrouwelijk' is te lezen, waren enkele xml-bestanden als voorbeeld toegevoegd. In deze xml-data waren de naam, overgemaakte subsidiebedragen en iban-nummers van een aantal Amsterdammers te vinden.

Deze privacygevoelige data stond sinds 13 januari online op de website van de gemeente Amsterdam, zo bemerkte de weblog Retecool. Pas nadat verantwoordelijk PvdA-wethouder Hilhorst in de gemeenteraad door raadsleden op de fout was gewezen, is het document snel verwijderd. De kans bestaat echter dat de gegevens in handen zijn gekomen van kwaadwillenden, waarbij met name het iban-nummer in combinatie met namen in trek is bij cybercriminelen.

Moderatie-faq Wijzig weergave

Reacties (72)

Staat nog steeds online hoor ?

http://zoeken.amsterdam.r...-bin/agenda.cgi/let's_not

http://zoeken.amsterdam.r...ion=view/id=Doe_maar_niet

[Reactie gewijzigd door zeef op 23 januari 2014 21:49]

Dat is onbegrijpelijk en zeker niet de eerste keer. Laatst was er nog dat incident waarbij er door slecht streepwerk in documenten de bedragen zichtbaar werden die de gemeente Amsterdam betaalde voor het opkopen van hoerenkasten op de Wallen. Daarvoor is er binnen de gemeente een protocol gekomen om vertrouwelijke zaken definitief onleesbaar te maken.
Als ik nu naar de documenten kijk dan heeft er één of andere sukkel met een pen en iets van een stift namen doorgestreept die prima leesbaar worden wanneer je het vergroot want de scans zijn ook nog eens in een zeer hoge resolutie gemaakt. Tja, wat moet je daar nu nog op zeggen?
Lekker password policy hebben ze (pagina 49)
Password Length: 8
Password must contain at least one number (0-9): no
Password must contain at least one lowercase letter (a-z): no
Password must contain at least one uppercase letter (A-Z): no
8)7
Wat is hier mis mee? als je het moeilijker maakt, kom je weer uit bij het feit dat mensen de zwakste schakel zijn in de chain. Anders gezegd als je gebruikers hun ww te vaak laat wijzigen en het ww policy te moeilijk maakt, dan gaan ze het opschrijven. En in hun la bewaren en dat ljikt me ook niet de bedoeling.

Ik snap vanuit security wel dat je liefst een hele volzin met cijfers en tekens er tussen wilt, maar dan wordt je op de helpdesk continue gebeld of het ww gerest kan worden omdat het account na 3 pogingen geblokkeerd is... Of ze weten het na het weekend al niet meer.

Sorry, maar dit vind ik zo'n typische vanuit techniek en security gezien een correct antwoord, van iemand die geen rekening houdt voor wie het systeem en de service eigenljik bedoeld is.
En de applicatie werkt onder http ipv https.
Wat slecht zeg. Helemaal omdat het om een kwetsbare groep gaat.

Misschien moet je wel even je linkje weg halen chucky. Je hebt aangetoond dat het er nog staat (erg goed) maar we hoeven het niet verder te verspreiden denk ik......
Ik kan uit eigen ervaring vertellen dat de overheid het niet zo nauw neemt met de gegevens van burgers en bedrijven. Zonder te veel in detail te treden; ik kan zonder een NDA te hebben getekend volledige niet-geanonimiseerde data inzien van bepaalde databases van de overheid. Hieronder zitten persoonsgegevens, gevoelige data, noem het maar op...

Ik zelf sta er niet tussen. Maar ik weet ook eigenlijk wel zeker dat een andere softwaresmurf van een ander bedrijf vrolijk mijn volledige niet-anonimiseerde BSN + NAW gegevens in een testcase knikkert want productiedata is de meest realistische testdata...
Ik kan uit eigen ervaring vertellen dat de overheid het niet zo nauw neemt met de gegevens van burgers en bedrijven
Dat lijkt mij ook wel duidelijk;
Het door Atos opgestelde document
Zal wel weinig keus zijn voor zowel burger (er is maar 1 overheid) als overheid (extern onderzoeksbureau is de norm), maar dat kan natuurlijk ook met anonieme gegevens. Niemand bij Atos hoefde te weten dat het Mevr. Jansen is, i.p.v. 'casus #381', om hun conclusies te kunnen trekken *tenzij* uit die conclusies blijkt dat er geen reden lijkt te zijn en dat mogelijk de naam in het spel zou kunnen zijn - waarna namen zonder verdere details aan een andere partij zou kunnen worden gegeven. Echter is dat scenario sowieso erg onwaarschijnlijk en was het al door de media opgevallen (bijv. 'in elk geval blijkt de achternaam met een A te beginnen')
Waarom geef je nu af op de overheid? Denk je dat het in de private sector beter gaat? Denk dan maar snel wat anders ... . Enkel in sectoren waar vertrouwelijkheid en veiligheid belangrijk zijn vormt veiligheid van het netwerk en data ook echt een prioriteit.
Omdat je bij een bedrijf er voor kan kiezen om géén zaken meer te doen met ze. Bij de overheid is dat wat lastig en daarom moet de overheid extra zorgvuldig omgaan met de gegevens van haar `klanten`.
Inderdaad gaat het private sector ook fout, maar de overheid meent altijd andere de les voor te schrijven. Dan moet je het toch op z'n minst zelf beter doen.
Dat ik mijn gegevens bij private bedrijven neerleg is een keuze.

Daarnaast zie ik mijn NAW gegevens en gegevens welke makkelijk gebruikt kunnen worden voor chantage middels imagoschade als vertrouwelijk. Precies de gegevens die ik in kan zien...
En zie hier waarom ik per definitie tegen ben als de overheid weer een extra database wil aanleggen. Ze zijn gewoon incompetent als het op databeveiliging aan komt.

(Zeker het gekozen deel van de overheid, maar ja als je competent was ging je wel eerst het bedrijfsleven in en niet na je loopbaan in de politiek op je naamsbekendheid)
Dit dus, helemaal mee eens. Er wordt te pas en te onpas data verzameld en opgeslagen en niemand maakt zich er druk over, want je kunt er zogenaamd toch niets mee en het ligt bij de overheid, dus dan is het wel veilig.
De praktijk bewijst het tegendeel, en dit is wederom een voorbeeld dat de overheid niet in staat is, of niet bereid is, om de privacy van zijn burgers te bewaken. De enige logische respons is dat om gewoon géén gegevens meer af te staan...
Misschien wel erger dan het verspreiden van deze data is de manier waarop het geld is teruggevorderd. De bank heeft de betalingen van de gemeente teruggedraaid. Dat mag helemaal niet!

Formeel had de gemeente het geld bij de burgers moeten vorderen, maar dan zouden ze maanden bezig zijn geweest en tegen hoge incasseringskosten.
En dat zullen ze ook zeker niet gedaan hebben. Dit is namelijk gewoon strafbaar. Je kunt niet zonder toestemming van de eigenaar van de rekening geld van die rekening afhalen. Het enige wat mag, en daar tekent een klant ook voor, is dat een bank automatische incasso's storneert op het moment dat een rekening ongeoorlooft debet (rood) staat.

Daarnaast zal het niet één bank zijn die dit gedaan kan hebben, want ze moeten hier altijd de medewerking van de banken van de mensen die het geld hebben ontvangen, nodig hebben gehad. Kan me niet voorstellen dat dat gebeurd is.

Ja overheid en ict.. twee handen op één buik..... NOT.
De fout is gemaakt op 12 december. Er is toen 188 miljoen per ongeluk uitgekeerd aan zo'n 9000 gezinnen. Op 18 december was 180 miljoen alweer teruggestort.

Dat was dan de snelste en meest succesvolle incasso ooit, maar waarschijnlijker is dat het een illegale actie betrof.

Gezien dit verhaal lijkt het laatste 't meest waarschijnlijk:
http://www.at5.nl/artikel...t-blunderen-met-miljoenen

[Reactie gewijzigd door Budha op 23 januari 2014 22:46]

Tsja overheden en banken schrijven de regeltjes tegenwoordig. Heb je als klootjesvolk weinig over te zeggen. Andersom moet je altijd maar zien hoe je aan je geld komt als je iets van hen tegoed hebt.
Wat zijn criminelen met enkel een iban-nummer?
Met naam en rekeningnummer kun je vrij eenvoudig een incassocontract tekenen en flink wat fraude plegen, bij veel bedrijven in ieder geval.
De echte rekeninghouder kan dit heel eenvoudig weer storneren hoor, zeker nu met Europese incasso. Het bedrijf waar het incassocontract bij afgesloten wordt is dan wel de klos, maar dan hadden die de geïncasseerde maar beter moeten checken.
En als het bedrijf geen bedrijf is maar een mule? Van een kale kip kun je niet plukken en hoe je het wend of keert, de kosten komen uiteindelijk terug op de maatschappij.

Er is een reden om zeer terughoudend te zijn met dergelijke gegevens en dat is omdat het systeem niet perfect is. Is niet erg want geen enkel systeem is 100%,
alleen moeten we er dan wel voor zorgen dat bedrijven/instanties die dergelijke gegevens hebben ook zeer zorgvuldig met die gegevens omgaan totdat we een beter systeem hebben

Er zijn voorbeelden te vinden waarbij kleine bedragen zijn afgeschreven en daar kijkt de massa niet eens naar om en er wordt ook weinig heisa om gemaakt als het wordt gestorneerd. Makkelijk verdienen dan.
Jij doelt nu op een malafide bedrijf wat incasseert bij particulieren zonder geldige reden en zonder het leveren van een dienst. Waarbij dat "bedrijf" uiteraard niet piept als er een storno door die particulier gedaan wordt.

In dat geval is het de verantwoordelijkheid van de bank die het incassocontact opstelt en toestaat om zijn "klant" goed na te gaan.

Ik ga er van uit dat Woutske het heeft over een particulier die andermans naam en rekening gebruikt om ergens iets te bestellen en af te rekenen via een eenmalige incasso. Het klopt inderdaad wel dat bij kleine bedragen de echte rekeninghouder misschien niets merkt.

Het is dan ook altijd zaak om geregeld je rekening te controleren, je hebt 56 dagen de tijd voor een storno.
Dus omdat de kosten van deze fraude afgewenteld worden op een bedrijf of de bank is het geen probleem? |:(
Het is inderdaad geen probleem voor degene waarvan het rekeningnummer misbruikt wordt, deze kan de transactie weer ongedaan laten maken.

Voor het bedrijf of de bank hóeft het geen probleem te zijn, voor het bedrijf niet zonder eerst het automatische incassoverzoek te valideren middels een incassomachtiging. Voor de bank niet als ze eerst de incassant goed controleren alvorens deze de mogelijkheid bieden te gaan incasseren.

Als ze dat nalaten hebben ze een probleem ja...
Hoe kom je er bij dat het plunderen van je rekening geen probleem is omdat je het weer kan laten terugstorten ?
Stel je eens voor dat je na een weekend bij familie elders in het land op het station staat en een kaartje naar huis wil kopen... alleen sta je nu 2000 euro rood. Geen probleem, maandag even de bank bellen en het wordt weer teruggestort.
Of je bent net aangekomen in Rome, heerlijk weer daar, maar wel lastig genieten zonder geld he.

Voor de betrokkenen is het echt een ramp, ik snap niet hoe je dat zo makkelijk kan bachetaliseren.

Het is nog dubbel zuur voor de betrokkenen omdat dit de zelfde groep is die vlak voor kerst ook al de sjaak was met 100 maal teveel uitgekeerde woonkosten toeslag en vervolgens die tienduizenden euros per persoon weer afgeschreven, ook als ze het al hadden teruggestort... Leuk joh, 20k roodstaan in het weekend voor kerst.
Of cross reference de data met andere bronnen. De woonkostenbijdrage is voor mensen met een laag inkomen en te hoge woonkosten, dus dit kan gelijk iets over de financiële situatie zeggen.
Gemeente amsterdam blundert wel vaker. Dit is geen rant, maar weet wel zeker dat het niet de eerste keer namelijk is. Ook hier is weinig kaas gegeten van het intern plaatsen van een privacy-gevoelig document ipv ver voor de buitenwereld.
Waarom zaten er überhaupt zulke voorbeelden bij? Het lijkt mij dat vrijwel niemand iets bij die gegevens nodig heeft behalve degenen die het geld moeten terugvorderen. Ik ben niet zo heel paranoïde wat betreft gelekte informatie, alles kan namelijk gehacked worden maar ik voel me wel ongemakkelijk dat gemeenten hier zo slordig mee om (kunnen) gaan dat ze het praktisch weggeven. Of is het gewoon een gevalletje digibete wethouder?
Ik neem aan dat, zodra de pagina via de blog van retecool bekend werd, het document een behoorlijk aantal keer gedownload is. Serverlogs zijn waarschijnlijk al geschoond, want die laat je niet te lang doorlopen. Daar zullen ook wel geen backups van zijn, want dat is natuurlijk niet noodzakelijk, dus niet ingericht.
Kortom, de informatie ligt op straat en niemand die nog kan achterhalen waar, wanneer of wie.
Nu maar hopen dat de gemeente de verantwoordlijkheid neemt en iedereen helpt om zo snel mogelijk nieuwe banknummers aan te vragen en helpt om al incasso's en dergelijke om te zetten.
Dit soort stommiteiten zijn helaas nooit uit te sluiten, dus puinruimen is de enige optie.
Heerlijk! Een onderzoeksrapport (laten) publiceren over wat er fout is gegaan in de gemeente en dar meteen weer een grote blunder mee maken. Lekker bezig jongens.

Zouden ze nog contact opnemen met de mensen van wie hun gegevens zijn gepubliceerd zodat die in ieder geval gewaarschuwd zijn. Lijkt me wel het minste dat ze kunnen doen. Zal mogelijk nog wel een schadeclaim volgen van "gedupeerden" (tussen haakjes want ik kan niet goed inschatten of hier echt mensen de dupe van worden in de vorm van geplunderde bankrekeningen etc).
Zou het niet kunnen dat de xml bestanden met voorbeelddata gescrambled waren?
Of zijn er echt mensen uit Amsterdam die kunnen bevestigen dat de data overeen komt?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True