Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties

Gegevens van 27.000 klanten van zorgverzekeraar VGZ hebben twee jaar online gestaan in een onbeveiligde omgeving. Het gaat om een 'menselijke fout' van een medewerker die nieuwe software wilde testen.

VGZDe medewerker kopieerde de gegevens van verzekerden naar zijn eigen ftp-server om er nieuwe software op te kunnen testen, zo heeft de zorgverzekeraar bekendgemaakt. Het ging onder meer om declaratiegegevens. "Zo hoort dat niet te gaan', aldus woordvoerder Mark van der Wolf van VGZ.

"Waarschijnlijk heeft de medewerker in de gauwigheid van het project ertoe besloten om de gegevens op zijn eigen server te zetten", aldus Van der Wolf. De ftp-server was echter niet met een wachtwoord beveiligd, waardoor iedereen in theorie er bij kon. Eind 2013 kwam de verzekeraar er pas achter dat de gegevens onbeveiligd online stonden en werden ze offline gehaald.

Volgens de zorgverzekeraar is de kans klein dat er misbruik is gemaakt van het probleem, omdat iemand daarvoor gericht op zoek had moeten gaan. Ook waren de gegevens 'deels gefingeerd', al is niet duidelijk wat daarmee wordt bedoeld. VGZ durft misbruik ook niet expliciet uit te sluiten. Als gevolg van het beveiligingslek zijn de beveiligingsprocedures aangescherpt, verzekert de organisatie.

Moderatie-faq Wijzig weergave

Reacties (73)

Wat ik me afvraag, waarom is het überhaupt mogelijk dat iemand de gegevens naar zijn thuis/eigen-server kan kopieëren?
Ik heb meerdere jaren voor VGZ (UVIT) gewerkt en ik kan je deze vraag heel makkelijk beantwoorden aan de hand van een persoonlijke ervaring:
Mijn baas moest elke dag aan het einde van de dag een mutatie uitvoeren op een bestand, met daarin onder andere klantgegevens. Dit duurde echter zo lang op de pc's van VGZ ( de pc's draaien daar hoofdzakelijk op Oracle en in een virtuele omgeving, dus niet op de pc waar je op dat moment achter zit ) dat ik hem een keer aanbood om dit voor hem thuis te doen waar het een kwestie van minuten werk was in plaats van een uur. Mijn baas vond dit natuurlijk hartstikke fijn en zodoende heb ik maanden lang elke dag klant gegevens mee naar huis genomen. Hier heb ik natuurlijk geen misbruik van gemaakt omdat ik zo niet in elkaar zit en ik kan van de meeste van mijn ex collega's zeggen dat zij zo ook niet in elkaar zitten.

[Reactie gewijzigd door saintsdonvito op 2 juli 2014 19:04]

ai, ik twijfel absoluut niet aan jouw integriteit maar ik vind dit wel heel schokkend en schadelijk. Het is niet dat het om een kleine organisatie met 5 man gaat of zo, maar dit is toch echt puur amateurisme. Zou er mijn medische zaken in ieder geval niet met een gerust hart aan toevertrouwen.
Precies, wat hij had moeten doen is het volgende:

1) Voorstellen een nieuwe PC speciaal voor dat doel aan te schaffen/aan te vragen bij de ICT afdeling. En dit eerst met hen te bespreken.

Het kan namelijk heel goed zijn dat er afspraken (verzekeringsmaatschappijen) en zelfs wetgeving is die wat jij deed strafbaar maakte! Zowel voor het bedrijf als wellicht ook jijzelf! En ook de voorwaarden van jouw arbeiscontract verwijzen vaak naar regelementen die hij hierbij gebroken had, dus zoiets kan hen ontslag opleveren.

Nu zeg je wellicht dat dat niet zo'n vaart zal lopen, maar als het fout gaat is opeens alles anders en begint het juridische vingerwijzen en sta 'jij' daar als de persoon die het naar huis nam. Zowel de directe baas als hijzelf hadden in grote juridische problemen kunnen komen.

2) Disk encryptie. Elke laptop, telefoon of tablet die het bedrijf uit gaat met klantegevens heeft disk-encryptie. Denk aan verlies en diefstal. Geen excuus om ooit anders te doen.
Dus het VGZ heeft brakke software die computers zo takketraag maakt dat mensen maar thuis gaan zitten hacken?
Het is niet de eerste keer dat ik hier van hoor, want dit is niet uniek voor alleen dit bedrijf. En ook niet de eerste keer dat mensen maar opgeven om hier verbeteringen in te brengen, er moedeloos van worden en van ellende maar job gaan hoppen. Dat komt best wel veel voor nl.

Als je zelf in die positie verkeerd ga je niet tegen een muur van onverschilligheid te pletter lopen. Probeer met constructieve oplossingen te komen gebracht op een neutrale manier die niemand verwijten maakt. Werk het dan ook netjes uit op papier zodat je kan uitleggen waar de schoen wringt, hoe je het op kan lossen, wat het gaat kosten en hoe lang het gaat duren.
Blijkt dit allemaal niet te werken ondanks je zo redelijk mogelijk hebt opgesteld maak als de sodemieter dat je een andere baan gaat zoeken. Elk normaal en gezond bedrijf zal dit soort initiatieven juist ondersteunen belonen.
Ja en nee, Zoals in bijna elk bedrijf hebben we het hier over "werk" computers en je moet dan meer denken in de lijn van HP en Dell workstations.

Het grote verschil met de andere bedrijven waarvoor ik werkzaam ben geweest, is dat bij VGZ (en overigens ook Univé, het is namelijk 1 bedrijf) de computers in een virtuele omgeving draait. Zodra je daar op een computer inlogt, neemt de server het over van de pc en vanaf dat moment is de pc alleen nog maar als een doorgeefluik met de server. Windows, Office, Oracle.. liep allemaal via de centrale server.

Dit moest onder meer ten goede komen dat je geen vaste werkplek had en dat je in principe op elke aangesloten pc kon werken.

Daarbij vind ik persoonlijk dat de meeste mensen moeten beseffen dat het verwerken van gegevens over het algemeen nog steeds mensenwerk is, en dus krijgt een vreemde jouw gegevens onder ogen. Hierbij kan je niet anders dan het te accepteren, omdat het gewoon (nog) niet kan of mag worden geautomatiseerd of omdat het gemak van de mens bediend wordt.

[Reactie gewijzigd door saintsdonvito op 3 juli 2014 19:30]

Waarom is het mogelijk? Eenvoudig: men heeft hem echte data gegeven om mee te testen in een test omgeving (ipv deze eerst te anonimiseren). En waarom doet iemand dat naar zijn eigen server? Waarschijnlijk omdat deze persoon onder druk stond en in zijn vrije tijd ook verder wenste te werken. Doe ik zelf trouwens ook wel eens.
Of omdat ICT-OPS geen server beschikbaar stelde voor test doeleinden.
Dan ga je maar om de limitaties heen werken.
Dan ga je maar om de limitaties heen werken door gevoelige files op je eigen onbeveiligde open FTP server te zetten?

Sorry hoor, maar in mijn boekje heet dat gewoon incompetentie. Incompetentie die je niet zomaar op de leiding af kunt schuiven. Als je als programmeur niet weet dat je (gevoelige data op) een open FTP server moet beveiligen met een wachtwoord dan ben je in je vak niet veel waard. Nog even los van het feit dat het dan handiger is om SFTP te gebruiken en liefst door een reverse SSH of VPN tunnel heen. En überhaupt met echte persoonlijke gegevens testen?! wh0t?!

[Reactie gewijzigd door GeoBeo op 2 juli 2014 16:21]

Inderdaad het betreft hier jou boekje, en niet het boekje van de praktijk. Echter gaat de praktijk anders dan dat boekje van jou. Wind je er maar niet te veel over op, het is erger dan je denkt.
Nou blij dat ik niet voor jouw werkgever werk. Als er bij ons zoiets gebeurd (zit in de consultancy) dan word er gelijk een legertje security specialisten opgetrommeld om de situatie onder de loep te nemen.

Een beetje organisatie laat dit niet toe en een beetje professional krabt zich nog eens goed achter z'n oren voordat hij zoiets als dit zou doen. Deadlines zijn nooit een excuus hiervoor. Je hebt gewoon een verantwoordelijkheid als IT specialist. En daarmee bedoel ik ook de verantwoordelijkheid om je meerdere tegen te spreken als hij/zij je onder druk zet.
Dan is er iets goed mis met ons onderwijs.
Dat ben ik niet met je eens, ik heb professioneel te maken met zorgdossiers en allerhande gegevens van burgers, maar dit soort kwalijke zaken kom ik in de praktijk niet tegen. Ik vind dit onwaarschijnlijk onprofessioneel en gemakzuchtig.
Komt ook nog bij dat het hier om een 'FTP server' gaat zonder specificatie. Is dat een rack in een verder goed beveiligde server-kamer, of een Linux PC die ergens in het kantoor of erger thuis in een hoekje stond.

Ik meld dat ivm de vraag of de harddisk encrypted was met Bitlocker of aanverwante encryptie-software. Immers diefstal van de fysieke disk, of in de toekomst bij afschrjiving van die PC, dumping kan die disk ook in handen van anderen doen vallen.

Elk jaar lees je weer honderden keren over instanties waar mensen een laptop verliezen of oude PC bij de milieustraat of liefdadigheid wordt afgeleverd met talloze privacy gevoelige gevevens van derden erop.

Harddisks horen standaard encrypted, zonder uitzondering.
Dat soort gestrubbel wil wel eens voor dit soort dingen zorgen ja..
al het om het hoofd IT gaat die zullen uiteraard alle rechten hebben die denken te makkelijk soms over de data en maken rustig een back up op een externe server
wel slordig van de ITer om zoiets te doen met data van een zorgverzekeraar.
Iemand toevallig de solicitatie al voorbij zien komen op de tweakers solicitatie pagina ? :P
Ik vraag me af of gedupeerde op de hoogte worden gesteld. Als mijn gegevens daar een jaar lang onbeschermd op een ftp servertje hebben gedraaid dan zou ik dat wel graag willen weten.
Alle "gedupeerden" hebben een brief gekregen, alle 27.000. Staat er op andere sites wel bij :-)
Waarom dan niet hier?
Dat moet je aan tweakers vragen!
Jep, gisteren een brief van ze gehad
Er is helemaal niks gebeurd, er is niks buit gemaakt. Het betreft hier enkel een security slordigheid. Tevens wordt hier gecommuniceerd over theoretische mogelijkheden. Chill out.
"Chill out" is echt niet van toepassing als het om mijn medische gegevens gaat. En mijn declaraties vallen daar zeker wel onder.
Waarom kan iemand die het niet voor zijn functie nodig heeft (IT'er) in die gegevens, en laat staan ze kopiëren? Wat een enorm slechte zaak dit!
Er moeten ook alarmbellen gaan rinkelen als het systeem zo'n grote of anderszins afwijkende lees-operatie detecteert. Het is echt niet goed te praten dit.
Inderdaad, basis beginners fouten.

1) Test-servers horen test-data te hebben, en geen user data zelfs al is die ''deels gefingeerd''.

2) ICT ontwikkelaars hebben standaard geen toegang tot de gegevens (anders onvermijdelijk dan de beheerders van VGZ zelf).
En dat weet je hoe? Omdat VGZ denkt dat er nooit op ingelogd is? Of omdat er op die prive server een duidelijke audit trial is van alle logins en mutaties?
vind het ook raar dat echte mensen gegevens gebruikt worden. meeste test omgevingen gebruiken fictieve mensen die ze hebben aangemaakt.

toch leuk dat een tweaker zegt dat er niets is buit gemaakt terwijl vgz dat niet durft te zeggen

VGZ durft misbruik ook niet expliciet uit te sluiten

beetje raar om het te zeggen. en als ik als beveiliger jou huis 2 jaar lang "open" heb laten staan zal je ook niet blij wezen ondanks dat er niets verdwenen is.
Denk dat goed Nederlands kunnen schrijven een pré is voor die vacature.
beetje offtopic maar bedankt man zoek dit woord is op op google "Dyslexie"
Dyslexie gebruiken als excuus is echt zo onhandig.

Het kan best dat je door dyslexie af en toe wat fouten maakt, maar voor een groot deel zijn foutjes gewoon te herleiden tot het te snel willen of niet nalezen van wat je getypt hebt.

In je post zijn je zinnen gewoon krom, dat heeft echt niets met dyslexie te maken maar vooral met een slechte kennis van de taal. Net als "zoek dit woord is op". Wellicht dat je daar "eens" wilt gebruiken in plaats van "is".

Elke dyslect kan de regels leren, ze moeten er alleen niet te lui voor zijn. Mij inclusief.
Aha, excuus. Het internet staat ons toe dit soort dingen zomaar te 'roepen' en dat was in dit geval ongepast.
geen probleem excuus aanvaard, now lets talk some more tech :D
al het om het hoofd IT gaat die zullen uiteraard alle rechten hebben die denken te makkelijk soms over de data en maken rustig een back up op een externe server
Management met rechten op een database? Nog nooit in de praktijk meegemaakt en waarom zou je ook. Geen enkele reden voor te bedenken.
Ik durf te wedden dat de systemen van zijn werkomgeving te beperkt waren ingericht om goed te testen. Vervolgens heeft hij op eigen houtje besloten om even een eigen omgeving op te tuigen op zijn eigen servertje om dan snel te kunnen testen in plaats van uren/dagen/weken te wachten totdat het geregeld was bij VGZ zelf.
Dit zie je wel vaker gebeuren.
Idd zie je dat in het veld vrij veel gebeuren.
Dat die persoon data dan op een open ftp server zet is wel degelijk een domme fout.
Het is ook een fout om geen policy te hebben of na te streven die testgegevens anonimiseerd.

En ze zullen toch die 27000 personen af moeten gaan om te kijken of die gegevens niet zijn misbruikt door mensen met kwade bedoelingen. En dus ook die mensen zelf waarschuwen dat zelf moeten nagaan of er iets relevant is gebeurd.
Ik mag dan ook zwaar hopen dat de desbetreffende medewerker inmiddels noodgedwongen op zoek is naar een nieuwe baan ???
Kunnen we deze zorgverzekeraar aanklagen voor onzorgvuldig handelen met persoonsgegevens?

Ik acht de kans vrij groot dat een of andere scriptkiddie dat brakke ftp servertje wel heeft gevonden... ik bedoel .. kreng heeft 2 jaar opengestaan..
De vraag is wist de medewerker dat het om live data ging :)
Ik vind het zo ontzettend raar dit hier "zomaar" mee getest mag worden 8)7
Het testen op fictieve data is soms extreem onhandig/onmogelijk omdat bijvoorbeeld met beeldherkenning gewerkt word. Je kan dit niet anonimiseren omdat dan het nut van de herkenning wegvalt aangezien je werkelijke documenten probeert te herkennen. Dit gebeurt veel bij zorgverzekeraars die declaraties/facturen verwerken. Doordat dit soort documenten te veel verschillen (te veel mogelijkheden) met gegenereerde/geanonimiseerde wil je werkelijke data gebruiken en niet met fictieve.

De truc is dat dit alleen op servers van de instelling beurt en NOOIT met deze data gekopieerd/verplaatst word. Helaas heeft niet iedereen die zorgvuldigheid in zichzelf ingebouwd.

Voor statistische dataverwerking/analyse en het testen daarvan kan je meestal wel fictieve data gebruiken.

[Reactie gewijzigd door Sloerie op 2 juli 2014 16:03]

Laat ze dan volgende keer maar de gegevens van alle directieleden gebruiken! :)
Die wisten hier hoogstwaarschijnlijk niets vanaf en hun gegevens hadden net zo goed in die lijst kunnen staan.
Dan de gegevens van iedereen die er wel van wist. Maar die van de directieleden mogen er ook wel bij hoor, als het dan allemaal uitlekt moet jij eens eventjes kijken hoe snel het probleem opgelost is ;)
Ik ben gewend dat met databases (werk zelf op een school) vaak met fictieve mensen gewerkt wordt om in te testen, niet met echte mensen. Maar goed, niet elke ITer denkt het zelfde over persoonsgegevens, sommige kijken meer naar een werkend product/testen.
Of het kost de gebruikers organisatie teveel tijd om zulke data op te leveren, waardoor ze maar echte data aanleveren. Kun je ook gelijk met echte data testen en indien bij fouten in productie "meekijken". |:(
Moet toch niet zo'n probleem zijn. Ze hadden bijvoorbeeld dit kunnen gebruiken: http://nl.fakenamegenerator.com/order.php
Tuurlijk, dat is ook het eerste dat ik doe als ik iets wil testen, bedrijfs-cruciale data gebruiken. Je kunt ook 30 test documenten maken en die x keer kopiëren lijkt mij? De inhoud zal minder relevant zijn dan de hoeveelheid. Als dat laatste al relevant is bij een medewerker die gebruik maakt van "zijn eigen ftp-server om er nieuwe software op te kunnen testen"

Overigens vind ik dit ook wel ontzettend naïef
Volgens de zorgverzekeraar is de kans klein dat er misbruik is gemaakt van het probleem, omdat iemand daarvoor gericht op zoek had moeten gaan.
Het hele internet zit vol met mensen/bots die doelloos scannen naar openstaande poorten

[Reactie gewijzigd door lolgast op 2 juli 2014 15:28]

Juist bij verzekeraars is de inhoud ontzettend relevant om mee te test aangezien het vaak om complexe business-logica gaat. Vaak worden gegevens dan ook gefingeerd zoals in het bericht staat. Aan de gegevens worden dan andere klanten gekoppeld, waardood de privacy minder in het geding is.
Waarom niet gewoon alle adres, naam en dat soort gegevens anomiseren? kan je nog steeds je business-logica toepassen maar het is niet meer te koppelen aan een persoon. Er is dan nog minder privacy in het geding dan wat klanten "verwisselen".
Precies, anoniem aanmelden op ftp aan een publiek IP = 100% zekerheid dat er iemand langs komt. Als ik zie hoe veel try-outs er gebeuren op mijn kleine privé website, twijfel ik er geen seconde aan.
Hallo, iets van testdata?
Hoeven mijn gegevens niet te zijn, dit is geen menselijke fout maar een procedure fout.
Dit mag niet kunnen
Het lijkt me dat dit ook een menselijke fout is. Een medewerker van, ik neem aan de ICT afdeling, moet toch wel beter weten! Ik vermoed dat dit toch redelijk wat privacy code's schend, binnen danwel buiten de organisatie.
Dat een ict'er de mogelijkheid heeft om dit te doen vind ik schandalig. Er mogen hier hoger in de organisatie ontslagen voor vallen.
Een ICT'er met beheerderrechten (dus full control) is eigenlijk niet weg te denken voor sommige functies. Begrijp me niet verkeerd, het is echt schandalig, maar dat ICT'ers de mogelijkheid niet mogen hebben kan simpelweg niet.
Dan nog kun je (en moet je) medische gegevens ook voor diegenen afgeschermd houden. En alleen specifieke gebruikers toegang geven. Beheerders rechten is geen alles of niets kwestie.
Nieuwe software testen doe je met test gegevens en niet met echte gegevens van klanten.

Daarbij hoe kan het dat een medewerker zo maar deze gegevens mag kopiëren en op zijn server mag zetten?
Data kunnen lezen = data kopieren. Misschien wel niet via reguliere backup-restore of export, danwel gewoon kopieren-plakken vanuit je database of kopieren van txt bestanden.
Ronduit bizar dat er geen testdata wordt gebruikt. En toch... ik kan het me ook wel weer voorstellen. Druk project, strakke deadline, er moet nog iets getest, maar er is geen testdata voor dit specifieke geval... je kan dan een dag kwijt zijn aan het genereren van geschikte testdata, of gewoon snel even live data pakken en die dan meteen weer weggooien...

Tuurlijk, dat is een verkeerde beslissing, maar het blijven mensen en mensen onder druk nemen rare beslissingen. En vergeten nog wel eens dingen, zoals de laatste stap waarin ze die gegevens weer weggooien...
Precies! als er al normale testomgevingen beschikbaar zijn...
Als je keer op keer tegen de brakheid van je omgevingen aanloopt, verzin je zelf wel snellere methodes.
Totdat het over medische gegevens gaat.
en dan moeten wij maar overal goede wachtwoorden voor verzinnen terwijl alle gegevens toch al vaak op straat liggen door dit soort acties. Of USB sticks in treinen, auto's. |:(
Inderdaad tegenwoordig moet je minimaal 1 hoofdletter, 1 kleine letter, en 1 cijfer hebben oh en 8 karakters lang... Maar dan wel lekker dat wachtwoord opslaan in plain text :+ ....

Dit soort acties moeten bestraft worden. Men zegt wel dat er "waarschijnlijk" geen misbruik van is gemaakt maar het is gewoon van de zotte dat dit is gebeurd/gebeuren kon.
waar·schijn·lijk (bijvoeglijk naamwoord, bijwoord)
1 naar ik vermoed
2 vermoedelijk waar of juist
Het is dus niet zeker maar ook zeker niet onzeker of er misbruik van gemaakt is of gaat worden. Het grappig is, een (groot) team van VGZ is meteen social media etc. aan het afstruinen en één vast bericht aan het verspreiden:
Klantgegevens zijn bij VGZ goed beveiligd, betrokken klanten zijn geïnformeerd. Meer info: http://bit.ly/1iUXzf8
Nee wij zijn goed beveiligd, hopelijk toch niet door diezelfde sukkel die deze actie heeft uitgevoerd want dan ben ik daar nu nog niet zo zeker van.
De medewerker had gewoon eerst de database moeten anonimiseren, alvorens hij het een en ander ging testen. Daarnaast, vind ik het bizar en onverantwoord dat hij de gegevens op zijn eigen ftp-server heeft geplaatst. Waarschijnlijk export gemaakt in SQL Server of iets dergelijks en de bak file open en bloot op zijn prive-ftp server geplaatst die waarschijnlijk draait op de default poort 21.

Ik noem dit geen menselijke fout, eerder oliedom.

[Reactie gewijzigd door FREAKJAM op 2 juli 2014 15:36]

Een software ontwikkelaar inhuren die software test met gevoelige persoonlijke gegevens, die hij op zijn eigen FTP server zonder wachtwoord zet?

Das toch wel een beetje hetzelfde als een kleuren blinde schilder zonder armen inhuren?
"Eind 2013 kwam de provider er pas achter dat de gegevens onbeveiligd offline stonden en werden ze offline gehaald"

Hmmm, 'offline stonden, offline gehaald'. Nieuwe techniek?
Ja, die fout zag ik ook al. Heb hem geraporteerd in het topic voor spellings-/tikfouten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True