Klantgegevens Hotels.com door gestolen laptop uitgelekt
Een laptop van Ernst & Young die eerder dit jaar uit een auto werd gestolen bevatte de persoonlijke gegevens van duizenden Hotels.com klanten. Op 3 mei waarschuwde Hotels.com 243.000 klanten dat een laptop met gegevens, waaronder naam, adressen en creditcardgegevens, eind februari uit de auto van een werknemer van Ernst & Young was gestolen.
Of het hier gaat om dezelfde laptopdiefstal die al eerder in het nieuws kwam is niet bekend. Op een eerder gestolen laptop stonden de gegevens van duizenden werknemers van BP en IBM. Verder bevatte de computer ook de persoonlijke gegevens van Sun Microsystems CEO Scott McNealy, die werd ingelicht dat zijn SoFi-nummer en persoonlijke informatie waren gecompromitteerd.
"Wij zijn de auditor van Expedia; dit was onderdeel van de audit" aldus een woordvoerder van Ernst & Young. De audit was nog bezig toen de diefstal plaatsvond. Volgens een woordvoerder mocht de werknemer daarom de informatie meenemen.
Het zou gaan om transacties die door Hotels.com in 2004 zijn uitgevoerd, hoewel het ook om informatie van 2002 en 2003 kan gaan. De brief die het bedrijf naar haar klanten heeft gestuurd bevat een telefoonnummer dat men kan bellen, ook kunnen gedupeerde gebruikers een jaar lang gratis de afschriften in de gaten laten houden. Hotels.com heeft daarnaast creditcardmaatschappijen ingelicht welke creditcards gecompromitteerd zijn.
En juist daarom moet zeker een renomeerd bedrijf als E&Y dan weten dat
ze deze informatie adequaat moeten beschermen (bijvoorbeeld door
versleutelen) om onrechtmatige kennisname ook bij diefstal uit te sluiten.
Dan nog dit: dergelijke auditors zijn vaak de eersten die te controleren
partijen op de vingers tikken als dat soort voor de hand liggende
beveiligingsmaatregelen niet genomen zijn. Dus "dat dit onderdeel was
van de audit" mag dan wel zo zijn, maar dat pleit E&Y niet vrij van
onzorgvuldig handelen in dit geval.
En juist daarom moet zeker een renomeerd bedrijf als E&Y dan weten dat
ze deze informatie adequaat moeten beschermen (bijvoorbeeld door
versleutelen) om onrechtmatige kennisname ook bij diefstal uit te sluiten.
Dan nog dit: dergelijke auditors zijn vaak de eersten die te controleren
partijen op de vingers tikken als dat soort voor de hand liggende
beveiligingsmaatregelen niet genomen zijn. Dus "dat dit onderdeel was
van de audit" mag dan wel zo zijn, maar dat pleit E&Y niet vrij van
onzorgvuldig handelen in dit geval.
gegevens toe aan dit bedrijf?
laptop niet in de auto kan laten liggen!
omgang met vertrouwelijke gegevens. Dat zijn geen auditors
maar prutsers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
