Aanvallers stelen 20GB aan data bij gemeente Almelo
Bij de gemeente Almelo hebben aanvallers 20GB aan data weten te stelen. Volgens de gemeente gaat het zo goed als zeker om persoonsgegevens die vermoedelijk door malware zijn gestolen, zo meldt de Twentse krant Tubantia. Bij een onderzoek dat volgde werd echter geen malware aangetroffen.
Aangezien het onderzoek nog loopt probeert de gemeente Almelo vooral te achterhalen wat er precies is gebeurd en welke gegevens er zijn buitgemaakt. Aangezien de gestolen data uit de netwerkomgeving van het Werkplein Twente afkomstig zijn, heeft de gemeente 'sterke vermoedens' dat het om persoonsgegevens gaat. Het incident is inmiddels bij de Autoriteit Persoonsgegevens gemeld.
Reacties (25)
Klinkt als een gevalletje TYPO3 verwaarlozing. Eerst Ede nu Almelo. Gaat lekker.
Een van de vele vervolghoofdstukken uit het boekje :"OVERHEID en ICT"
En maar doorgaan met het datagraaien.
Waarom gebeurt dit?
Omdat 1.) veel kneusjes bij de overheid werken en 2.) er geen consequencies (eventueel ontslag) zijn en 3.) de baas ook een klungel is.
En maar doorgaan met het datagraaien.
Waarom gebeurt dit?
Omdat 1.) veel kneusjes bij de overheid werken en 2.) er geen consequencies (eventueel ontslag) zijn en 3.) de baas ook een klungel is.
Ben zelf ingeschreven geweest als werkzoekende (werkplein) van het uwv, maar na afloop heb ik wel mijn profiel volledig weggehaald. Je kunt maar beter niet wachten op de volgende databreuk.
09-09-2016, 11:00 door
[Account Verwijderd]
-
Bijgewerkt: 09-09-2016, 11:03
[Verwijderd]
Door Anoniem: Klinkt als een gevalletje TYPO3 verwaarlozing. Eerst Ede nu Almelo. Gaat lekker.
Beetje domme opmerking. https://www.werkpleintwente.nl/ is helemaal geen TYPO3 site!Alle schade die hier uit voortvloeit laten betalen door leidinggevende uit eigen zak.
Wanneer gaan mensen eens de voor en nadelen van internet begrijpen, en inzien dat het niet veilig is.
Wanneer gaan mensen eens de voor en nadelen van internet begrijpen, en inzien dat het niet veilig is.
Door MAC-user: En kijk eens wat op de site van Tubantia staat:
Als je weet dat je zoveel gevoelige informatie opslaat en bijhoudt, waarom wordt er dan een loopje genomen met de beveiliging? De mensen die hun gegevens kwijt zijn en zware schade ondervinden (d.m.v. identiteitsdiefstal) kunnen het beste collectief naar de rechter stappen voor een schadevergoeding.
Met die mogelijke identiteitsdiefstal dat hoort een non-issue te zijn. Enkel het weten van een BSN en naw hoort niet geaccepteerd te wolrden als een bewijs van de identiteit. Dat zoiets toch gebeurd is fout, dat die fout nog verdedigd wordt als waarheid is fouter.De inbraak in het systeem is min of meer bij toeval ontdekt. De hoeveelheid dataverkeer wordt in Almelo niet structureel in de gaten gehouden.
Als je weet dat je zoveel gevoelige informatie opslaat en bijhoudt, waarom wordt er dan een loopje genomen met de beveiliging? De mensen die hun gegevens kwijt zijn en zware schade ondervinden (d.m.v. identiteitsdiefstal) kunnen het beste collectief naar de rechter stappen voor een schadevergoeding.
Wil je ids siem goed inrichten dan zul je alle benaderingen moeten loggen. Dat is het inrichten van een big data omgeving voor secùrity analyse. Daar hoort een bewaartermijn bij en een event processing. Telemetrie is een van benoemingen om die data te verkrijgen. eg log4j log4net zijn logging frameworks.
Het zijn de technieken die hier constant verfoeid worden als een inbreuk op de privacy welke nodig zijn om de privacy te beschermen.
Het is niet goedkoop om zoiets te doen en operationeel te houden. Dat is de andere uitdaging waarom het niet gebeurt. Als het functioneel maar werkt en goedkoop is....dat is de visie.
Door Anoniem:Waarom gebeurt dit?
Omdat 1.) veel kneusjes bij de overheid werken en 2.) er geen consequencies (eventueel ontslag) zijn en 3.) de baas ook een klungel is.
Omdat 1.) veel kneusjes bij de overheid werken en 2.) er geen consequencies (eventueel ontslag) zijn en 3.) de baas ook een klungel is.
Misschien zitten er alleen kneusjes omdat de overheid nog steeds belachelijk lage lonen betaalt en de meer ervaren mensen liever dik betaald worden ipv 'iets goed te doen voor de maatschappij'?
En misschien blijven besturen gebukt gaan onder politieke drijfveren, die dan nog eens om de zoveel tijd wijzigen, waardoor ze weer van nul kunnen beginnen.
En misschien kost het inrichten van een kluiten gewassen IDS/SIEM veel te veel geld voor een kleinere omgeving als een lokaal bestuur, laat staan onderhoud, beheer en operatie.
Overheid zou meer moeten spenderen om betere profielen aan te kunnen trekken en zou meer centraal moeten werken. Al werkt dat dan weer andere risico's in de hand.
09-09-2016, 15:50 door
Ron625
Was er wel een noodzaak, om e.e.a. via internet toegankelijk te hebben?
Daar zet ik vraagtekens bij, veel dingen hangen aan internet, omdat het kan, niet omdat het (24/7) moet.
Geld is niet het probleem bij de overheid, vaak zijn de verantwoordelijken de managers, die Drs. voor hun naam hebben staan, maar niet weten hoe je een PC aan/uit moet zetten..............
Vervang deze Drs. door een ICT'er en alles komt goed, maar er zijn meer taken voor die managers...................
Daar zet ik vraagtekens bij, veel dingen hangen aan internet, omdat het kan, niet omdat het (24/7) moet.
Geld is niet het probleem bij de overheid, vaak zijn de verantwoordelijken de managers, die Drs. voor hun naam hebben staan, maar niet weten hoe je een PC aan/uit moet zetten..............
Vervang deze Drs. door een ICT'er en alles komt goed, maar er zijn meer taken voor die managers...................
Geld is niet het probleem bij de overheid, vaak zijn de verantwoordelijken de managers, die Drs. voor hun naam hebben staan, maar niet weten hoe je een PC aan/uit moet zetten..............
Vervang deze Drs. door een ICT'er en alles komt goed, maar er zijn meer taken voor die managers...................
Ja en wat dacht je van die Topamtenaren.Vervang deze Drs. door een ICT'er en alles komt goed, maar er zijn meer taken voor die managers...................
Door Anoniem: Waar moet ik zijn om een nieuw BSN aan te vragen .....?
Volgens diezelfde overheid is dat niet mogelijk. Is uw BSN gestolen, dan heeft u vette pech.Door Anoniem:
Misschien zitten er alleen kneusjes omdat de overheid nog steeds belachelijk lage lonen betaalt en de meer ervaren mensen liever dik betaald worden ipv 'iets goed te doen voor de maatschappij'?
En misschien blijven besturen gebukt gaan onder politieke drijfveren, die dan nog eens om de zoveel tijd wijzigen, waardoor ze weer van nul kunnen beginnen.
En misschien kost het inrichten van een kluiten gewassen IDS/SIEM veel te veel geld voor een kleinere omgeving als een lokaal bestuur, laat staan onderhoud, beheer en operatie.
Overheid zou meer moeten spenderen om betere profielen aan te kunnen trekken en zou meer centraal moeten werken. Al werkt dat dan weer andere risico's in de hand.
Nee, wij hadden het vast beter gekund omdat wij vaste bezoekers zijn van security.nl. Wat een gezeik zeg. Ik denk dat het komt omdat iedere gemeente de IT zelf in beheer heeft en dat het daarom fout gaat.Door Anoniem:Waarom gebeurt dit?
Omdat 1.) veel kneusjes bij de overheid werken en 2.) er geen consequencies (eventueel ontslag) zijn en 3.) de baas ook een klungel is.
Omdat 1.) veel kneusjes bij de overheid werken en 2.) er geen consequencies (eventueel ontslag) zijn en 3.) de baas ook een klungel is.
Misschien zitten er alleen kneusjes omdat de overheid nog steeds belachelijk lage lonen betaalt en de meer ervaren mensen liever dik betaald worden ipv 'iets goed te doen voor de maatschappij'?
En misschien blijven besturen gebukt gaan onder politieke drijfveren, die dan nog eens om de zoveel tijd wijzigen, waardoor ze weer van nul kunnen beginnen.
En misschien kost het inrichten van een kluiten gewassen IDS/SIEM veel te veel geld voor een kleinere omgeving als een lokaal bestuur, laat staan onderhoud, beheer en operatie.
Overheid zou meer moeten spenderen om betere profielen aan te kunnen trekken en zou meer centraal moeten werken. Al werkt dat dan weer andere risico's in de hand.
09-09-2016, 18:21 door
karma4
Door Anoniem: Waar moet ik zijn om een nieuw BSN aan te vragen .....?
nonsense verzoek. Je gegevens zijn je naw geboortedatum echtgenoot gezinsleden staatslidmaatschap.Het weten van een bsn mag geen bewijs van identiteit zijn. Punt!
Met onze vrijheid mag je zelf kiezen om:
- te verhuizen (adres woonplaats verandering)
- scheiden van je vrouw
- te emigreren waarbij je mag kiezen om alle rechten te laten vervallen
- kinderen geboorteplaats geboortedatum en naam blijven je leven lang aan je hangen.
- om je nu voor te stellen om met leven te stoppen.. Zoiets wil ik niet. Je moet er gewoon het beste van zien te maken.
20 GB aan data is vergeleken met de eerdere lekken in Nederland zo gruwelijk veel data dat ik juist twijfel of het wel om persoonsgegevens gaat. Het zal niet de eerste keer zijn dat iemand die een systeem in een belangrijk netwerk weet te besmetten geen idee heeft op wat voor schat die zit en er alleen maar is om goedkoop muziek en films te verspreiden. Immers, als een netwerk met persoonsgegevens zo slecht is beveiligd dat er data uit dat netwerk kan weglekken dan is het waarschijnlijk ook niet genoeg beveiligd om er processen op te draaien die helemaal niets met de persoonsgegevens op het netwerk te maken hebben.
09-09-2016, 22:32 door
karma4
20 Gb veel? Geen idee.
Het gaat om werkplein en dan nog een regionaal verband. Wat speelt daar met wat voor gegevens? Ik vind Sonar / Wbs voorheen stekker4 maar nauwelijks wat van de technisch invulling van die systemen. Wat er van te zien is dan zou het behoorlijk afgeschermd zijn. Het aantal klanten (ww verplicht) geeft wel wat houvast. Het zijn er tegen de 20.000, zie: http://www.tubantia.nl/regio/almelo-en-omgeving/almelo/almelo-heeft-meeste-werklozen-in-twente-1.5863440
CV's met beeldmateriaal gaat al snel vele Mb's ruimte innemen. Maak er wat videootjes en ander promotiemateriaal bij en dan is 20Gb weinig. Het is wat velen in de smartphone hebben. Moet je die omvang letter voor letter typen neem de mails, dan is het wel aardig veel. Stel dat het gaat om 20000 personen dan is dat per persoon maar 1 Mb (onwaarschijnlijk weinig). Het Klinkt meteen heel anders. we zullen moeten afwachten wat er naar buiten komt voor informatie.
Het gaat om werkplein en dan nog een regionaal verband. Wat speelt daar met wat voor gegevens? Ik vind Sonar / Wbs voorheen stekker4 maar nauwelijks wat van de technisch invulling van die systemen. Wat er van te zien is dan zou het behoorlijk afgeschermd zijn. Het aantal klanten (ww verplicht) geeft wel wat houvast. Het zijn er tegen de 20.000, zie: http://www.tubantia.nl/regio/almelo-en-omgeving/almelo/almelo-heeft-meeste-werklozen-in-twente-1.5863440
CV's met beeldmateriaal gaat al snel vele Mb's ruimte innemen. Maak er wat videootjes en ander promotiemateriaal bij en dan is 20Gb weinig. Het is wat velen in de smartphone hebben. Moet je die omvang letter voor letter typen neem de mails, dan is het wel aardig veel. Stel dat het gaat om 20000 personen dan is dat per persoon maar 1 Mb (onwaarschijnlijk weinig). Het Klinkt meteen heel anders. we zullen moeten afwachten wat er naar buiten komt voor informatie.
Come on... oud nieuws.
Dat de gemiddelde top-ITmanager bij de overheid niet benoemd wordt om de IT-kennis maar om politieke reden is bekend. Dat ze meer geld uitgeven aan mooie plaatjes en vele praatjes in plaats van hun IT-personeel is ook niets nieuws. De overheid krijgt gewoon wat ze vragen. Denk aan Lektober.
Een claim indienen of het bestuur van de gemeente aanklagen wegens nalatigheid zet zoden aan de dijk. Wie weet gooien ze die 'nep-archtecten en nep-SO's' er dan eens uit en besteden ze het werk uit aan professionele bedrijven die wel weten hoe ze met informatiebeveiliging om moeten gaan.
Dat de gemiddelde top-ITmanager bij de overheid niet benoemd wordt om de IT-kennis maar om politieke reden is bekend. Dat ze meer geld uitgeven aan mooie plaatjes en vele praatjes in plaats van hun IT-personeel is ook niets nieuws. De overheid krijgt gewoon wat ze vragen. Denk aan Lektober.
Een claim indienen of het bestuur van de gemeente aanklagen wegens nalatigheid zet zoden aan de dijk. Wie weet gooien ze die 'nep-archtecten en nep-SO's' er dan eens uit en besteden ze het werk uit aan professionele bedrijven die wel weten hoe ze met informatiebeveiliging om moeten gaan.
Waarom de overheid faalt, dat weet iedereen hier zo goed uit te leggen (kennelijk zonder enige behoefte om er eens wat aan te gaan doen, maar dat terzijde).
Gek wel dat er in het bedrijfsleven net zoveel misgaat. Zitten daar ook allemaal domme ambtenaren? En waarom dan?
Gek wel dat er in het bedrijfsleven net zoveel misgaat. Zitten daar ook allemaal domme ambtenaren? En waarom dan?
dilemma:
het zou een schande zijn als iemand anders jouw adres en BSN weet.
Maar als je een eigen bedrijfje opzet (éénmanszaak) en een webshop optuigt dan krijg je van de belastingdienst een BTW-nummer.... dat gelijk is aan je BSN gevolgd door "/01".
En de overheid verplicht je op je site je adres te noteren. BINGO.
Doe je dat niet krijg je geen payment-provider mee om je betalingen via de webshop af te handelen.
Dank u wel overheid om mij als burger te verplichten mijn identiteit te grabbel te gooien.
het zou een schande zijn als iemand anders jouw adres en BSN weet.
Maar als je een eigen bedrijfje opzet (éénmanszaak) en een webshop optuigt dan krijg je van de belastingdienst een BTW-nummer.... dat gelijk is aan je BSN gevolgd door "/01".
En de overheid verplicht je op je site je adres te noteren. BINGO.
Doe je dat niet krijg je geen payment-provider mee om je betalingen via de webshop af te handelen.
Dank u wel overheid om mij als burger te verplichten mijn identiteit te grabbel te gooien.
Door Anoniem: dilemma:
het zou een schande zijn als iemand anders jouw adres en BSN weet.
......(knip)...
Dank u wel overheid om mij als burger te verplichten mijn identiteit te grabbel te gooien.
Kap dan eens met dat idee dat het weten van BSN en adres iets bijzonders is en een schande. het zou een schande zijn als iemand anders jouw adres en BSN weet.
......(knip)...
Dank u wel overheid om mij als burger te verplichten mijn identiteit te grabbel te gooien.
Enkel het weten van een BSN zou helemaal niet mogen kunnen leiden tot identieitsfraude.
Ehh jij wil zonder aangesproken te kunnen worden op je daden gaan handelen? Dan heb je de essentie van zaken doen gemist.
10-09-2016, 16:13 door
Briolet
Door karma4: 20 Gb veel? Geen idee. …
…. Stel dat het gaat om 20000 personen dan is dat per persoon maar 1 Mb (onwaarschijnlijk weinig). Het Klinkt meteen heel anders…
…. Stel dat het gaat om 20000 personen dan is dat per persoon maar 1 Mb (onwaarschijnlijk weinig). Het Klinkt meteen heel anders…
Wegens de digitale aangifte van een verhuizing moest ik recentelijk een kopie huur/koopkontract bijsluiten. Ik zag dat mijn scan van 5 pagina's ruim 5 MB was en dat was het maximum formaat van de mee te sturen bijlage. Dat mocht dus net. Ik had het vast opnieuw kunnen scannen op lagere resolutie, maar had daar geen zin in.
Dus 1 MB per persoon is inderdaad weinig als er allerlei informatie als gescande A4-tjes bewaard wordt.
Zit die interne server van gemeente Almelo (met Nederlandse hoster en hoogst waarschijnlijk server op Nederlands grondgebied) soms via via aangesloten op een server van Werkplein Twente? (VS cloud provider/hoster met veel overheidprivileges...)?
Is dat niet een recept voor ehh... voor ehh...... toe help us even.
Is dat niet een recept voor ehh... voor ehh...... toe help us even.
We werken er allemaal aan mee. Heb je ook een pc/tablet/mobiel thuis, dan doe je dus mee aan dit soort dingen. Doordat mensen dat soort spul kopen, wordt ICT dus steeds meer gebruikt en gaat alles via pc's/tablet en mobiel. Geef nu niet steeds anderen de schuld en ga zeker niet dingen denken die niet op feiten berust zijn. Als de gegevens niet op straat komen, dan gaat het wel via een andere weg. We leven nu eenmaal in een maatschappij waarbij automatisering de normaalste zaak van de wereld is en Internet dus ook. Geef dan niet anderen de schuld, iedereen draagt bij aan dit succes en mislukken van het geheel. Ik geef ook niet de gemeente de schuld als een inbreker een map met gegevens weghaalt. Over beveiliging kun je alles zeggen, maar niks is veilig (misschien plat html) dus iedereen draait bij !
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
