Afperser zet privégegevens duizend Nederlanders online
De groep Rex Mundi die de afgelopen jaren bij tal van Belgische bedrijven en ook een Nederlands bedrijf wist in te breken heeft alle gestolen privégegevens nu online gezet. In totaal gaat het om de persoonsdata van zeker duizend Nederlanders en tienduizenden Belgen, zo blijkt uit onderzoek van Security.NL.
De afpersers dreigden de gegevens te publiceren tenzij er losgeld werd betaald. Voor zover bekend gingen de getroffen bedrijven hier niet op in. Afgelopen dinsdag publiceerde de groep een "archief" van eerdere gestolen data. De gegevens zijn afkomstig van het Nederlandse uitzendbureau Accord, de Italiaanse hostingprovider Websolutions, het Canadese recruitmentbureau Drake International, hostingprovider Alfahosting, kredietbureau Buy Way, Domino's Pizza, HR-bedrijf EasyPay, uitzendbureau Exaris, medische controledienst Mensura, internetprovider Numericable en uitzendbureaus Tobasco, Z-Staffing en Xtra Interim. Deze laatste tien bedrijven zijn allen uit België afkomstig.
De nu online gepubliceerde informatie bestaat uit c.v.'s, namen, adresgegevens, e-mailadressen, onversleutelde wachtwoorden, sollicitaties, reden dat werknemers afwezig waren, mobiele telefoonnummers, wachtwoorden van systeembeheerders en nog veel meer gegevens. Een snelle inventarisatie van de gegevens laat zien dat het om de data van vele tienduizenden mensen gaat. Zo staan van tenminste duizend Nederlanders nu de privégegevens online. Het gaat hier om gegevens die in juli 2012 al werden buitgemaakt. Zeker bij de gegevens van de medische controledienst of de sollicitaties worden daar soms zeer privacygevoelige zaken in vermeld.
Rex Mundi plaatste de gegevens voorheen vaak op websites zoals Pastebin, waar ze na korte tijd werden verwijderd. Het nu online geplaatste archief bevindt zich op het Tor-netwerk, wat het lastiger maakt om de pagina uit de lucht te halen. De groep stelt in een verklaring dat er onder andere voor de lol en uitdaging bij bedrijven wordt ingebroken, maar dat ze het uiteindelijk om het geld te doen is.
De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen
Onversleutelde wachtwoorden is bijvoorbeeld een amateuristische fout die eenvoudig vermeden kon worden.
Verder het zowel fysiek als electronisch gescheiden houden van een eigen bedrijfswebsite
of e-mailsysteem en het productiesysteem waarop de klanten bediend worden
zou ook al veel helpen.
De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen
De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen
Dat is dan ook de reden waarom er op mijn cv geen persoonlijke informatie staat, behalve mijn naam een een emailadres waar ik te bereiken ben :-)
Nu beginnen er vast een paar te roepen, maar andere bedrijven betalen wel voor goede beveiliging dus van mij mag er ook een belasting boete achteraan. Hier bestaat vast een mooie belasting term voor.
Tevens vind ik dat zij smarte geld aan de slachtoffers moeten betalen. Misschien stimuleert dat ze te zorgen dat ze hun zooi wel op orde hebben.
Wanneer zij geen van beide doen mogen ze mij publiekelijk aan de schandpaal genageld worden want dan interesseert het ze dus echt niets en kunnen ze ook geen verbetering garanderen.
Nu beginnen er vast een paar te roepen, maar andere bedrijven betalen wel voor goede beveiliging dus van mij mag er ook een belasting boete achteraan. Hier bestaat vast een mooie belasting term voor.
Tevens vind ik dat zij smarte geld aan de slachtoffers moeten betalen. Misschien stimuleert dat ze te zorgen dat ze hun zooi wel op orde hebben.
Wanneer zij geen van beide doen mogen ze mij publiekelijk aan de schandpaal genageld worden want dan interesseert het ze dus echt niets en kunnen ze ook geen verbetering garanderen.
En eigenlijk vind ik het een behoorlijk vreemde gedachte dat een afperser op de stoel van de wetgever, aanklager en rechter gaat zitten en zomaar willekeurige bedragen mag gaan eisen omdat personen hun zaken niet op orde hebben.
Waarschijnlijk heeft de afperser niet eens een belang bij de bescherming van die gegevens, dus het gaat hem helemaal niks aan. Als hij zo graag de website wil verbeteren dan stuurt hij maar een mailtje met feedback op. Daar kunnen die bedrijven nog iets mee.
Ik zat met het dilemma wat te doen: bekend maken (en slachtoffers informeren of hun informatie gelekt is) of vanwege privacy-overwegingen daarover zwijgen. Maar als je zwijgt kan een slachtoffer niet weten of zijn gegevens zijn gecompromitteerd.
In het laatste geval kan hij voor een tweede keer slachtoffer worden, maar nu van een spear-phishingaanval eventueel voorzien van malware. Anderzijds kan een kwaadwillende ook met de informatie aan de haal gaan. Welke beslissing is nu de juiste? Welke laat je zwaarder wegen?
Om die reden gaf ik de link via dit forum zodat eventuele slachtoffers hun voordeel konden doen, maar echt vrede had ik er niet mee.
Ik respecteer daarom de beslissing van de redactie van Security.nl in deze, want het is uiteindelijk hun website en niet de mijne. Zij mogen dus bepalen wat wel en niet op hun site geplaatst wordt.
Een Belgische blogger heeft ook reeds een brief van advocaten gekregen met dreigen met een rechtzaak. Begrijpelijk dat de redactie jouw post geschrapt heeft.
Softwarebouwers hebben meestal *geen* toegang tot produktie omgevingen waar klant data in zit. In test en acceptatie omgeving is fictieve data afdoende.
Indien bedrijven nooit zouden toegeven aan afpersing, dan zouden dit soort zaken snel voorbij zijn. Wat dat betreft vind ik je reactie extreem kortzichtig. Kennelijk wil je de criminelen vooral aanmoedigen om hiermee door te gaan.
Tja, en de daders die wil je kennelijk niet aan de schandpaal nagelen, maar die wil je financieel belonen, gezien je oproep om toch vooral te betalen.
Daar heb je wel een punt, wanneer er inderdaad sprake is van verwijtbare nalatigheid. Maar dat staat geheel los van de vraag of men zou moeten betalen aan de crimineel.
Overigens vraag ik mij af wanneer justitie eindelijk eens de daders van Rex Mundi weet op te sporen.....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
