Nieuws

Boze supermarktmedewerker lekte gegevens 100.000 collega's

zaterdag 18 juli 2015, 08:06 door Redactie, 5 reacties

Een voormalige medewerker van de Britse supermarktketen Morrisons is veroordeeld tot een gevangenisstraf van acht jaar wegens het lekken van de salarisgegevens en andere gegevens van zo'n 100.000 collega's. De 43-jarige man handelde uit woede over een eerder incident in 2013 waarbij hij werd gedisciplineerd omdat hij de postkamer van het bedrijf voor zaken op eBay gebruikte.

Uit woede over de disciplinering een jaar eerder plaatste de Brit, die als interne auditor bij de supermarktketen werkte, vorig jaar op verschillende websites informatie over salarisgegevens, bankrekeningen en verzekeringsnummers, alsmede namen en adresgegevens. Ook stuurde hij de de data naar een aantal kranten. Vervolgens probeerde hij zijn sporen te wissen door met de gegevens van een collega een vals e-mailaccount aan te maken, aldus de BBC.

Een aantal dagen na het lekken van de gegevens werd de Brit echter aangehouden. Het incident kostte de supermarktketen uiteindelijk zo'n 3 miljoen euro. Tijdens het onderzoek vond de politie een concept ontslagbrief die de man op het moment van het incident had geschreven en waarin hij zijn woede en frustratie over het bedrijf uitte, zo meldt de Mirror.

Ziekenhuis VS waarschuwt 4,5 miljoen patiënten na hack

IDC: Nederlandse pc-verkoop in elkaar gestort

Reacties (5)

18-07-2015, 09:18 door karma4

Die man heeft fout gehandeld. Dan verder om er lering uit te trekken:
- had de impact niet verminderd kunnen zijn. Waarom heeft een auditor zelf persoolijk toegang tot alle data?
Als hij een security auditor zou zijn dan gaat het toch om de vraag "wie die toegang heeft" en of dat kwaad kan
Als hij een boekhoudkunding auditor zou zijn dan gaat het toch om steekproeven met die controles.
In beide gevallen had hij geen toegang tot alle data zelf nodig.
- Als het werk een vertrouwenspositie betreft dan is dat verhaal raar met dat eerdere postkamer misbruik. Dan is er reden om aan de benodigde integriteit te twijfelen. Helaas speelt dat ook vaak op zo'n manier in het top management.

Nu is het een auditor.
De toegang tot alle data zit vaak op dezelfde wijze in het marketing dan wel big-data gebeuren. Die krijgen toegang tot alle data met de redden dat daar bijzondere verbanden uit te halen zouden zijn. Dit bericht toont het negatieve aspect aan van die kant. Het kan met die toagang tot "alle data" ook gelekt worden.

18-07-2015, 20:01 door Eric-Jan H te D

Een auditor dient onbeperkte toegang tot alle data te hebben. Hij heeft deze nodig om:
- zijn steekproeven te valideren
- verantwoordelijkheid voor zijn conclusies te kunnen nemen
- die verantwoordelijkheid te kunnen afwijzen als achteraf blijkt dat er cruciale data is achter gehouden

19-07-2015, 15:11 door karma4

Eens kijken: https://nl.wikipedia.org/wiki/Interne_audit en https://en.wikipe dia.org/wiki/Internal_audit
Ik mis elke eis dat een auditor overal bij zou moeten kunnen. Hij is adviserend en onderzoekend meer niet.

Nu heb ik daarvan het nodige meegemaakt en gezien intern en extern. Ik heb ook gezien hoe de boel achtergehouden werd (gebrek aan kennis, niet gebrek aan gegevens) dan wel zo gedraaid werd om er toch een goedkeuring aan te geven. Het zijn de praktijken waar KPMG EY het nieuws mee gehaald hebben, dat waren wel gevallen op andere schaal.

In het kort: nog nooit gezien dat een auditor ongelimiteerde toegansrechten nodig had. Er zijn andere methoden.

20-07-2015, 13:36 door Anoniem

Precies. Een auditor vraagt gewoon goed door, en vraagt bijvoorbeeld naar een specifieke dataset, bijvoorbeeld alle toegangslogs uit systeem X in de periode Y to Z. Als er twijfels zijn of die dataset wel helemaal compleet is, roep je desnoods bijvoorbeeld hulp in van de leverancier van de betreffende software om er zeker van te zijn dat je alles hebt. Toegang tot allerhande informatie gevoelige informatie uit personele systemen (waar het in deze case om gaat) heb je normaliter helemaal niet nodig, en is ook niet wenselijk.

20-07-2015, 23:10 door Anoniem

"wie bewaakt de bewaker" ??

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Wie wordt de volgende president van de Verenigde Staten?

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Chief Information Security Officer

Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Boze supermarktmedewerker lekte gegevens 100.000 collega's

Wie wordt de volgende president van de Verenigde Staten?

Wachtwoord Vergeten

Password Reset

Registreren