Datalek Amerikaanse universiteit door gestolen usb-stick
De Universiteit van Vermont heeft een onbekend aantal onderzoekers gewaarschuwd dat hun persoonlijke data zijn gelekt nadat een portemonnee met daarin een usb-stick is gestolen. De usb-stick bevatte een gescande verklaring met daarop de naam, social security nummer en geboortedatum van de onderzoeker.
Daarnaast stond er op de datadrager ook een gescand document met de naam, social security nummer, geboortedatum, aliassen, rijbewijsnummer, telefoonnummer, e-mailadres, huidige adres en vorige adressen. De twee formulieren werden door de universiteit gebruikt voor het screenen van onderzoekers. De onderzoekers in kwestie deden mee aan een onderzoek naar mishandelde kinderen. De universiteit werd op 15 september over de diefstal ingelicht en stuurde op 30 november een brief naar de getroffen individuen (pdf).
Die krijgen het advies om hun kredietrapporten en afschriften een jaar lang op identiteitsdiefstal te laten controleren. Verder stelt de universiteit dat het maatregelen heeft getroffen om persoonlijke informatie te beschermen, maar die maatregelen niet waterdicht zijn. "Het is belangrijk dat elk persoon waakzaam blijft in het beschermen van zijn of haar persoonlijke informatie", zo laat de brief weten. Waarom de data op de usb-stick niet versleuteld waren staat niet vermeld.
"Exacerbating the problem of using the social security number as an identifier is the fact that the social security card contains no biometric identifiers of any sort, making it essentially impossible to tell whether a person using a certain SSN truly belongs to someone without relying on other documentation (which may itself have been falsely procured through use of the fraudulent SSN). Congress has proposed federal laws that restricts the use of SSNs for identification and bans their use for a number of commercial purposes—e.g., rental applications"
Wauw je noemt een nummer en er wordt niets gecontroleerd of dat nummer en de persoon bij elkaar horen.
https://www.ssa.gov/history/ssn/misused.html briefjes van 50 halve grootte andere kleuren zijn blijkbaar ook geldig om mee te betalen. Laat de schade zitten bij degenen die zo'n valse ID onterecht geaccepteerd hebben. Dan zal het snel over zijn.
Wat mist in het oorspronkelijke artikel en bekendmaking of die usb stick encrypted is of niet. Als data loss melding maakt het niet uit, voor commentaar en de commotie wel. In ieder geval slingerde het niet lukraak rond. Het zat in zijn portemonnee.
Even kijken naar de BGS policies http://bgs.vermont.gov/commissioner/adminpolicies/0038 Die zijn best strict met eis scheiding thuisgebruik werkgebruik. Ik vermoed dat de persoon met gestolen portemonnee er onder viel. o
Welles:
Maar: "Waarom de data niet versleuteld was, dát werd niet vermeld." Door de redactie net iets anders geformuleerd:
In het oorspronkelijke artikel wordt dus niet vermeld waaróm de USB-stick niet versleuteld was.
Maar als je zoveel persoonlijke informatie op een onversleutelde USB-stick zet, ben je dan waard om een sufferd te worden genoemd of niet? Dat is wat mij betreft ook de reden. (d.w.z.: dat het erg suf was om zulke gegevens onversleuteld op te slaan, en zelfs ook nog op een USB-stick nota bene). Die oorzaak was in mijn optiek dus een sufferd:
een sufferd was wat mij betreft de reden waarom de data op de USB-stick niet versleuteld was.
Zijn we weer wakker?
Welles:
Zijn we weer wakker?
Daarom even verder gekeken of er een ict organisatie mee in verband gebracht kan worden. Ik kwam tot de bgs als mogelijke optie.
Ook als is de data goed versleuteld dan nog steeds is er die meldplicht. Die meldplicht geld ook hier in NL voor het AP als je zelf data kwijtraakt met een falende backup. Je kunt zelf niet bij de gegevens iemand anders ook niet. Melden...! http://legislature.vermont.gov/statutes/section/09/062/02435 Ziet er in lijn het zefde als bij het AP.
Nee ik ga niet op horen zeggen en iemand zei af.... Ik wel het dicht bij de bron en onderbouwd zien. Ok nu je wakker bent, heb je iets uit die hoek?
Welles:
Zijn we weer wakker?
Daarom even verder gekeken of er een ict organisatie mee in verband gebracht kan worden. Ik kwam tot de bgs als mogelijke optie.
Ook als is de data goed versleuteld dan nog steeds is er die meldplicht. Die meldplicht geld ook hier in NL voor het AP als je zelf data kwijtraakt met een falende backup. Je kunt zelf niet bij de gegevens iemand anders ook niet. Melden...! http://legislature.vermont.gov/statutes/section/09/062/02435 Ziet er in lijn het zefde als bij het AP.
Nee ik ga niet op horen zeggen en iemand zei af.... Ik wel het dicht bij de bron en onderbouwd zien. Ok nu je wakker bent, heb je iets uit die hoek?
Je haalt er zoals gewoonlijk weer van alles bij, Karma4.
Het doet er niet toe of deze data diefstal, encrypted of niet, moest worden aangegeven.
Wat er toe doet, is dat nergens valt te lezen dat die USB-drive goed was versleuteld,
maar dat wel iedereen een jaar lang goed zijn financiële zaken in de gaten moest houden!
Ook staat in de brief aan de betrokkenen ".....dat de universiteit policies en procedures heeft
om de privacy de beschermen. "Maar helaas" is dat niet helemaal foolproof, en is het belangrijk
dat iedereen waakzaam blijft in het beschermen van zijn/haar persoonlijke gegevens."
Aldus de officiële brief aan de betrokkenen, vertaald naar het Nederlands.
In die laatste zin voel je op je klompen wel aan dat er hier sprake was van een "fool"
(een sufferd dus...) die hier kennelijk niet alle policies en prodedures had gevolgd.
M.a.w.: de gestolen USB-stick met privacy-gevoelige informatie was simpelweg niet goed beveiligd.
Daarom moesten niet alleen de officiële instanties, maar óók de betrokkenen worden geïnformeerd
én bovendien ook nog gewaarschuwd. Dat laatste is niet echt nodig als er geen reëel gevaar is
vanwege een goede versleuteling. Daar zou men op gewezen hebben.
Helpt dit je eindelijk een beetje uit de droom?
..
Je haalt er zoals gewoonlijk weer van alles bij, Karma4.
Het doet er niet toe of deze data diefstal, encrypted of niet, moest worden aangegeven.
Wat er toe doet, is dat nergens valt te lezen dat die USB-drive goed was versleuteld,
maar dat wel iedereen een jaar lang goed zijn financiële zaken in de gaten moest houden!
Ook staat in de brief aan de betrokkenen ".....dat de universiteit policies en procedures heeft
om de privacy de beschermen. "Maar helaas" is dat niet helemaal foolproof, en is het belangrijk
dat iedereen waakzaam blijft in het beschermen van zijn/haar persoonlijke gegevens."
Aldus de officiële brief aan de betrokkenen, vertaald naar het Nederlands.
In die laatste zin voel je op je klompen wel aan dat er hier sprake was van een "fool"
(een sufferd dus...) die hier kennelijk niet alle policies en prodedures had gevolgd.
M.a.w.: de gestolen USB-stick met privacy-gevoelige informatie was simpelweg niet goed beveiligd.
Daarom moesten niet alleen de officiële instanties, maar óók de betrokkenen worden geïnformeerd
én bovendien ook nog gewaarschuwd. Dat laatste is niet echt nodig als er geen reëel gevaar is
vanwege een goede versleuteling. Daar zou men op gewezen hebben.
Helpt dit je eindelijk een beetje uit de droom?
Je doet een waslijst van aannames haalt er van alles bij zoals de aanname dat de melding niet nodig zou zijn geweest indien alles versleuteld zou zijn geweest.
Het enige wat we echt weten is dat zijn portemonnee is gestolen met die stick. Wie wat daarna heeft gedaan en waarom is speculatie. Indekken met laten we dit maar publiceren baat het niet schaad het niet kan meespelen.
Met de argumentatie dat je als je het goed versleuteld hebt dan hoef je niets te melden kan ik echt niet in meegaan. Het is het te vaak gebruikte argument om niet aan gegevensbeacherming te doen naast wat niet weet wat niet deert. Wachten today iemand zich meld dat zijn gegevens gelekt zijn omdat hij er mee geconfronteerd is is de meest kwalijke situatie.
Waarom verdedig jij die cultuur?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
