Boze supermarktmedewerker lekte gegevens 100.000 collega's
Een voormalige medewerker van de Britse supermarktketen Morrisons is veroordeeld tot een gevangenisstraf van acht jaar wegens het lekken van de salarisgegevens en andere gegevens van zo'n 100.000 collega's. De 43-jarige man handelde uit woede over een eerder incident in 2013 waarbij hij werd gedisciplineerd omdat hij de postkamer van het bedrijf voor zaken op eBay gebruikte.
Uit woede over de disciplinering een jaar eerder plaatste de Brit, die als interne auditor bij de supermarktketen werkte, vorig jaar op verschillende websites informatie over salarisgegevens, bankrekeningen en verzekeringsnummers, alsmede namen en adresgegevens. Ook stuurde hij de de data naar een aantal kranten. Vervolgens probeerde hij zijn sporen te wissen door met de gegevens van een collega een vals e-mailaccount aan te maken, aldus de BBC.
Een aantal dagen na het lekken van de gegevens werd de Brit echter aangehouden. Het incident kostte de supermarktketen uiteindelijk zo'n 3 miljoen euro. Tijdens het onderzoek vond de politie een concept ontslagbrief die de man op het moment van het incident had geschreven en waarin hij zijn woede en frustratie over het bedrijf uitte, zo meldt de Mirror.
- had de impact niet verminderd kunnen zijn. Waarom heeft een auditor zelf persoolijk toegang tot alle data?
Als hij een security auditor zou zijn dan gaat het toch om de vraag "wie die toegang heeft" en of dat kwaad kan
Als hij een boekhoudkunding auditor zou zijn dan gaat het toch om steekproeven met die controles.
In beide gevallen had hij geen toegang tot alle data zelf nodig.
- Als het werk een vertrouwenspositie betreft dan is dat verhaal raar met dat eerdere postkamer misbruik. Dan is er reden om aan de benodigde integriteit te twijfelen. Helaas speelt dat ook vaak op zo'n manier in het top management.
Nu is het een auditor.
De toegang tot alle data zit vaak op dezelfde wijze in het marketing dan wel big-data gebeuren. Die krijgen toegang tot alle data met de redden dat daar bijzondere verbanden uit te halen zouden zijn. Dit bericht toont het negatieve aspect aan van die kant. Het kan met die toagang tot "alle data" ook gelekt worden.
- zijn steekproeven te valideren
- verantwoordelijkheid voor zijn conclusies te kunnen nemen
- die verantwoordelijkheid te kunnen afwijzen als achteraf blijkt dat er cruciale data is achter gehouden
Ik mis elke eis dat een auditor overal bij zou moeten kunnen. Hij is adviserend en onderzoekend meer niet.
Nu heb ik daarvan het nodige meegemaakt en gezien intern en extern. Ik heb ook gezien hoe de boel achtergehouden werd (gebrek aan kennis, niet gebrek aan gegevens) dan wel zo gedraaid werd om er toch een goedkeuring aan te geven. Het zijn de praktijken waar KPMG EY het nieuws mee gehaald hebben, dat waren wel gevallen op andere schaal.
In het kort: nog nooit gezien dat een auditor ongelimiteerde toegansrechten nodig had. Er zijn andere methoden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
