Energiemaatschappij lekte energieverbruik Nederlandse huishoudens
Het energieverbruik van alle Nederlandse huishoudens was via de website van energiemaatschappij OM voor iedereen in te zien, zo ontdekte Bram Talman, algemeen bestuurslid van D66 Gouda. Bij de aanmeldfunctie op de website samenom.nl kon elk willekeurig adres worden ingevuld, waarna het elektra- en gasverbruik werd weergegeven. Talman waarschuwde de energiemaatschappij, maar kreeg geen reactie, zo laat hij via Twitter weten.
Ook informeerde hij de Autoriteit Persoonsgegevens. Nadat Talman zijn bevindingen met BNR deelde werd de functie op de website uitgeschakeld, hoewel die nog wel in de broncode aanwezig is, aldus Talman. Het is niet de eerste keer dat energiedata op straat komt te liggen. Vorig jaar maakten Netbeheer Nederland en Energie-Nederland bekend dat een medewerker van een energieleverancier de energiedata van 2 miljoen Nederlandse huishoudens had gestolen.
Reacties (22)
JAJAJAJJA Meer slimme meters. Nog meer data verzamelen!!!! De mijne krijgen ze niet
TheYOSH
TheYOSH
Dat is wel zo'n beetje het grootste voordeel van deze "digitale transformatie" van de electriciteitsinfrastructuur. Iedereen kan meekijken. Weer een teken, zoals we ook met "slimme meters" zagen, dat informatiebeveiliging nog altijd een ondergeschoven kindje is en dat eigenlijk de enige manier om hier zeker tegen te beveiligen is om dit soort systemen gewoon niet te vernetwerken.
Met andere woorden, doe mij maar een draaischijfmeter en stuur maar een mannetje langs om twee keer per jaar even wat getalletjes op te komen schrijven. Dan weet ik tenminste zeker dat de informatie die ze kunnen lekken, beperkt is. Veel werk? Niet echt. Je mag ook de getalletjes van een machineleesbare markering voorzien zodat je een plaatje kan schieten met je opneemapparaat ofzo. Geen tweewegcommunicatie en geen radio, passief optisch. Maar laat het maar door iemand doen die af en toe langskomt, dan weet ik zeker waar de limieten van de dataset zitten. Zulke duidelijk hard te maken garanties horen ook bij databeveiliging.
Met andere woorden, doe mij maar een draaischijfmeter en stuur maar een mannetje langs om twee keer per jaar even wat getalletjes op te komen schrijven. Dan weet ik tenminste zeker dat de informatie die ze kunnen lekken, beperkt is. Veel werk? Niet echt. Je mag ook de getalletjes van een machineleesbare markering voorzien zodat je een plaatje kan schieten met je opneemapparaat ofzo. Geen tweewegcommunicatie en geen radio, passief optisch. Maar laat het maar door iemand doen die af en toe langskomt, dan weet ik zeker waar de limieten van de dataset zitten. Zulke duidelijk hard te maken garanties horen ook bij databeveiliging.
Talman waarschuwde de energiemaatschappij, maar kreeg geen reactie, zo laat hij via Twitter weten.
Ook informeerde hij de Autoriteit Persoonsgegevens. Nadat Talman zijn bevindingen met BNR deelde werd de functie op de website uitgeschakeld, hoewel die nog wel in de broncode aanwezig is, aldus Talman. Het is niet de eerste keer dat energiedata op straat komt te liggen. Vorig jaar maakten Netbeheer Nederland en Energie-Nederland bekend dat een medewerker van een energieleverancier de energiedata van 2 miljoen Nederlandse huishoudens had gestolen.
En maar zeggen: Uw gegevens en data is bij ons veilig
En een "Autoriteit Persoonsgegevens" die niet optreedt.
En NIEMAND die PERSOONLIJK AANSPRAKELIJK IS. Iedereen gaat ONBESTRAFT.
Is dit nu niet een BANANENREPUBLIEK???
Ook informeerde hij de Autoriteit Persoonsgegevens. Nadat Talman zijn bevindingen met BNR deelde werd de functie op de website uitgeschakeld, hoewel die nog wel in de broncode aanwezig is, aldus Talman. Het is niet de eerste keer dat energiedata op straat komt te liggen. Vorig jaar maakten Netbeheer Nederland en Energie-Nederland bekend dat een medewerker van een energieleverancier de energiedata van 2 miljoen Nederlandse huishoudens had gestolen.
En maar zeggen: Uw gegevens en data is bij ons veilig
En een "Autoriteit Persoonsgegevens" die niet optreedt.
En NIEMAND die PERSOONLIJK AANSPRAKELIJK IS. Iedereen gaat ONBESTRAFT.
Is dit nu niet een BANANENREPUBLIEK???
02-11-2017, 12:03 door
Briolet
Dit lekken heeft niet met de soort meter te doen.
Veel erger vind ik dat de netwerkbeheerder inzage geeft in de complete database met alle stroomafnemers en niet alleen het energieverbruik van OM klanten. Dit staat los van het lekken van deze data naar het publiek.
Veel erger vind ik dat de netwerkbeheerder inzage geeft in de complete database met alle stroomafnemers en niet alleen het energieverbruik van OM klanten. Dit staat los van het lekken van deze data naar het publiek.
Door Anoniem: JAJAJAJJA Meer slimme meters. Nog meer data verzamelen!!!! De mijne krijgen ze niet
TheYOSH
TheYOSH
Klok en klepel?
Ze krijgen je verbruik wel, want dat hebben ze nodig om een rekening te sturen. Dat staat los van *hoe* ze het verbruik krijgen (slimme meter of gewoon handmatig doorgeven).
Mij valt de AP steeds meer tegen.
Eerst begonnen ze wel heel stoer maar inmiddels zijn ze erg afgezakt naar het niveau van de NVWA.
De echt grote overtreders worden niet aangepakt maar links en rechts worden er wel ineens flinke knauwen uitgedeeld aan partijen die eigenlijk niet zoveel verkeerd doen behalve dat ze niet zo goed lobbyen of in de juiste (haagse) banencircuitjes zitten.
Het valt me tegen dat ik dat moet schrijven, want ik ben nogal wars van complotdenken en overheidsbashen, maar de AP had in mijn verwachting veel meer de rol van luis in de pels moeten pakken zoals de Nationale Ombudsman dat doet.
De AVG is verdorie ter bescherming van de burger, niet voor de gevesitgde belangen en om het overheden makkelijk te maken. He, wat jammer toch weer. Hebben de doemdenkers weer gelijk gekregen met hun geschreeuw toen Wolfsen aantrad.
En ik maar hopen dat de verwachting het een keer zou winnen van de werkelijkheid. Wat ben ik toch een naieve sukkel.
Eerst begonnen ze wel heel stoer maar inmiddels zijn ze erg afgezakt naar het niveau van de NVWA.
De echt grote overtreders worden niet aangepakt maar links en rechts worden er wel ineens flinke knauwen uitgedeeld aan partijen die eigenlijk niet zoveel verkeerd doen behalve dat ze niet zo goed lobbyen of in de juiste (haagse) banencircuitjes zitten.
Het valt me tegen dat ik dat moet schrijven, want ik ben nogal wars van complotdenken en overheidsbashen, maar de AP had in mijn verwachting veel meer de rol van luis in de pels moeten pakken zoals de Nationale Ombudsman dat doet.
De AVG is verdorie ter bescherming van de burger, niet voor de gevesitgde belangen en om het overheden makkelijk te maken. He, wat jammer toch weer. Hebben de doemdenkers weer gelijk gekregen met hun geschreeuw toen Wolfsen aantrad.
En ik maar hopen dat de verwachting het een keer zou winnen van de werkelijkheid. Wat ben ik toch een naieve sukkel.
Administratief uitzetten van meters... Zogenaamd "administratief" uitzetten doet HELEMAAL niets, de "slimme" ondingen blijven gewoon gegevens sturen.
Wenst u ook zo'n site te maken en van alle Nederlanders met zo'n nieuwe meter de gegevens op te vragen? KVK nummer maken, formulier opsturen en plechtig beloven dat je niets doet wat niet ok is. Iederen is vrij een -engergiebedrijf- te starten. Dan krijg je toegang tot de energiegegevens en kun je zo een database vullen.
Slimme producten? Domme consumenten.
Wenst u ook zo'n site te maken en van alle Nederlanders met zo'n nieuwe meter de gegevens op te vragen? KVK nummer maken, formulier opsturen en plechtig beloven dat je niets doet wat niet ok is. Iederen is vrij een -engergiebedrijf- te starten. Dan krijg je toegang tot de energiegegevens en kun je zo een database vullen.
Slimme producten? Domme consumenten.
Door Anoniem: En een "Autoriteit Persoonsgegevens" die niet optreedt.
Door Anoniem: Mij valt de AP steeds meer tegen.
Hebben jullie naar de Twitterberichten gekeken? De melding bij AP is gisteren tussen 14:51 en 15:02 gedaan. Dat is minder dan 24 uur geleden. Een beetje vroeg om conclusies over hun reactie te trekken, lijkt me.Tenzij je verwacht dat ze direct met hun Ghostbusters-wagen uitrukken en ter plekke het kwaad gaan opzuigen, natuurlijk.
Door Anoniem: Ze krijgen je verbruik wel, want dat hebben ze nodig om een rekening te sturen. Dat staat los van *hoe* ze het verbruik krijgen (slimme meter of gewoon handmatig doorgeven).
Er zit nogal een verschilletje in *hoeveel* data ze verkrijgen, dus het maakt wel uit. Twee keer per jaar of iedere twee minuten (een slordige tweehonderdzestigduizend keer per jaar), oftewel vijf nulletjes verschil, is wel een "nogal" verschilletje, ja.Maar ik zou nog meer willen aanstippen dat deze data gewoon niet online hoeft te zijn en al helemaal niet bij de netbeheerder want die verstuurt geen verbruiksrekeningen. Dus mischien dat het bestaansrecht van de netbeheerder, het politieke gefap op (nep-)"vrije markt", uiteindelijk toch niet zo'n geweldig idee blijkt, want het werkt evident volstrekt onnodige datalekken en privacyschendingen in de hand. En deze netbeheerder was kennelijk niet bij machte dat datalekken en privacyschenden te voorkomen.
Door Anoniem:
Tenzij je verwacht dat ze direct met hun Ghostbusters-wagen uitrukken en ter plekke het kwaad gaan opzuigen, natuurlijk.
Door Anoniem: En een "Autoriteit Persoonsgegevens" die niet optreedt.
Door Anoniem: Mij valt de AP steeds meer tegen.
Hebben jullie naar de Twitterberichten gekeken? De melding bij AP is gisteren tussen 14:51 en 15:02 gedaan. Dat is minder dan 24 uur geleden. Een beetje vroeg om conclusies over hun reactie te trekken, lijkt me.Tenzij je verwacht dat ze direct met hun Ghostbusters-wagen uitrukken en ter plekke het kwaad gaan opzuigen, natuurlijk.
Nee, niet naar het twitterbericht gekeken, ik kan namelijk niet akkoord gaan met hun voorwaarden voor het gebruik.
Wat schrijft de AP aangezien er op hun website geen melding staat.
Door Anoniem:
Tenzij je verwacht dat ze direct met hun Ghostbusters-wagen uitrukken en ter plekke het kwaad gaan opzuigen, natuurlijk.
Door Anoniem: En een "Autoriteit Persoonsgegevens" die niet optreedt.
Door Anoniem: Mij valt de AP steeds meer tegen.
Hebben jullie naar de Twitterberichten gekeken? De melding bij AP is gisteren tussen 14:51 en 15:02 gedaan. Dat is minder dan 24 uur geleden. Een beetje vroeg om conclusies over hun reactie te trekken, lijkt me.Tenzij je verwacht dat ze direct met hun Ghostbusters-wagen uitrukken en ter plekke het kwaad gaan opzuigen, natuurlijk.
Dat zou het animo om bij de AP te gaan werken wel verhogen denk ik.
Maar in het algemeen is de AP niet helemaal wat ik ervan verwacht. In dit specifieke geval is er nog wat weinig over te zeggen, al kan de AP natuurlijk best van tevoren al fronsen over het verzamelen van bepaalde gegevens. Ze hoeven niet te wachten tot er een datalek is, het verzamelen en bewerken zelf kan ook al strijdig met de AVG zijn en dus aanleiding tot mopperen.
Internet of things , de toekomst. Yeah right !https://www.security.nl/glitch/javascript
Door Anoniem: JAJAJAJJA Meer slimme meters. Nog meer data verzamelen!!!! De mijne krijgen ze niet
TheYOSH
TheYOSH
In 2020 wel. Of je het wil of niet, de politiestaat zal er komen ;) Zelfs in de WW2 hadden mensen meer privacy.
Door Anoniem: JAJAJAJJA Meer slimme meters. Nog meer data verzamelen!!!! De mijne krijgen ze niet
TheYOSH
TheYOSH
Das mooi. Maar staat lost van dit probleem en heeft er eigenlijk niets mee te maken. Dit is gewoon een bedrijf dat zijn zaakjes niet in orde heeft, en gewoon hard aangepakt moet worden.
Door Anoniem:
In 2020 wel. Of je het wil of niet, de politiestaat zal er komen ;) Zelfs in de WW2 hadden mensen meer privacy.
In 2020 wel. Of je het wil of niet, de politiestaat zal er komen ;) Zelfs in de WW2 hadden mensen meer privacy.
Ik denk dat je eens de geschiedenis boekjes moet lezen over WW2.
Of naar andere landen gaan, waar er echt een politie staat is. En die is er zeker in Nederland niet.
Als je dit soort dingen spreekt, dan heb je eigenlijk geen idee wat geschiedenis is. En hoe het er aan toe ging in WW2.
Zo jammer zijn dit soort opmerkingen in deze tijden. Mensen weten gewoon niet meer hoe de wereld tegenwoordig in elkaar zit. Verantwoordelijkheid nemen willen ze niet, maar zeuren kunnen ze als de beste......
Door Anoniem:
In 2020 wel. Of je het wil of niet, de politiestaat zal er komen ;) Zelfs in de WW2 hadden mensen meer privacy.
Het betreffende kek duid eerder op falende ict security op servers. Alles is toch vanzelfsprekend veilig als je oss hebt. Hoef je niets meer aan informatieveiligheid te doen.Door Anoniem: JAJAJAJJA Meer slimme meters. Nog meer data verzamelen!!!! De mijne krijgen ze niet
TheYOSH
TheYOSH
In 2020 wel. Of je het wil of niet, de politiestaat zal er komen ;) Zelfs in de WW2 hadden mensen meer privacy.
Ga dat van ict beleid nu eens goed doen.
Het energiegebruik per postcode geaggregeerd is trouwens openbare informatie. Hoef je bergen uit iets per adres te halen. Pdok
Dat je een getal op een website ziet verschijnen zegt niets of het ook het echte werkelijke verbruik is. Daarvoor zou je over die gegevens moeten beschikken. Waarom denken mensen nu dat iets wat een computer toont de waarheid zal zijn. Die kan namelijk liegen alsof het gedrukt is.
Door karma4: Waarom denken mensen nu dat iets wat een computer toont de waarheid zal zijn. Die kan namelijk liegen alsof het gedrukt is.
Dat is niet waar. Een computer liegt niet. De computer is een ding zonder eigen wil.
De programmeur liegt, of er wordt shit ingevoerd. En dan komt er ook shit uit.
Door karma4: falende ict security op servers. Alles is toch vanzelfsprekend veilig als je oss hebt. Hoef je niets meer aan informatieveiligheid te doen.
Ga dat van ict beleid nu eens goed doen.
Ga dat van ict beleid nu eens goed doen.
Tuurlijk. Regel alles technisch goed in, en je kunt vrijlijk alles verzamelen wat je wilt.
Ipv niet registreren en beschikbaar stellen tot een openbaar toegankelijk netwerk wat niet geregistreerd of geopenbaard hoeft te worden.
Informatieveiligheid is weldegelijk belangrijk. En voed de maatregelen die je proactief moet nemen. Anders doe je maar wat.
Met name de keuze om dingen niet te ontsluiten of verzamelen. Wat is het doel? Nut vs risico afweging.
Het probleem hier zit hem in de verzamelwoede en alles dwangmatig achter internetapplicaties hangen.
Een beetje gezond verstand doet soms wonderen. Maar dat ontbreekt in veel bedrijven (en overheid/politiek).
(@Kartma4) Kun je nu eindelijk eens een keer wat beter Nederlands gaan gebruiken. Ik heb onderhand een vertaalcomputer nodig om je teksten te interpreteren. Of schrijf eens wat langzamer.
03-11-2017, 06:37 door
karma4
Door Anoniem:
...
Tuurlijk. Regel alles technisch goed in, en je kunt vrijlijk alles verzamelen wat je wilt.
Ipv niet registreren en beschikbaar stellen tot een openbaar toegankelijk netwerk wat niet geregistreerd of geopenbaard hoeft te worden.
Informatieveiligheid is weldegelijk belangrijk. En voed de maatregelen die je proactief moet nemen. Anders doe je maar wat.
Met name de keuze om dingen niet te ontsluiten of verzamelen. Wat is het doel? Nut vs risico afweging.
.....
In de hypes om maar vooral niet de boot te missen maakt men dat soort overwegingen niet meer....
Tuurlijk. Regel alles technisch goed in, en je kunt vrijlijk alles verzamelen wat je wilt.
Ipv niet registreren en beschikbaar stellen tot een openbaar toegankelijk netwerk wat niet geregistreerd of geopenbaard hoeft te worden.
Informatieveiligheid is weldegelijk belangrijk. En voed de maatregelen die je proactief moet nemen. Anders doe je maar wat.
Met name de keuze om dingen niet te ontsluiten of verzamelen. Wat is het doel? Nut vs risico afweging.
.....
Hetgeen ik naar verwees is het gangbare argument om ook de technische bezwaren te negeren. Moet men wel over de impact en risico's nadenken dan is dat lastig moeilijk en veel te duur.
Dat moet veel eenvoudiger kunnen (devops). Gewoon in sprints met dagelijkse standups bij een tribe met zo nodig wat chapter contacten (scrummen) voor de agile aanpak. Dit taalgebruik is de moderne aanpak.
Door Anoniem:
Dat is niet waar. Een computer liegt niet. De computer is een ding zonder eigen wil.
De programmeur liegt, of er wordt shit ingevoerd. En dan komt er ook shit uit.
Je geeft de belevingswereld van een ict er aan die de werking van computers (domme dingen) begrijpt.Dat is niet waar. Een computer liegt niet. De computer is een ding zonder eigen wil.
De programmeur liegt, of er wordt shit ingevoerd. En dan komt er ook shit uit.
Nu de belevingswereld van een niet ict er die gebruiker de manager beleidsmakers. Computers zijn de wonderdingen van de moderne tijd waar de meest onbegrijpelijke dingen mee kunnen. Met Watson zijn ze veel beter dan wat mensen doen.
In het artikel staat dat de persoon bij het invullen van het adres waardes te zien kreeg. Zie jij ergens de notie dat het exact de juiste waarden voor die adressen voor de betreffende periode zijn? Alleen in dat laatste geval heb je het bewijs van een datalek. Een schatting uit een geaggregeerd iets is dat niet.
Door Anoniem: Maar in het algemeen is de AP niet helemaal wat ik ervan verwacht. In dit specifieke geval is er nog wat weinig over te zeggen, al kan de AP natuurlijk best van tevoren al fronsen over het verzamelen van bepaalde gegevens. Ze hoeven niet te wachten tot er een datalek is, het verzamelen en bewerken zelf kan ook al strijdig met de AVG zijn en dus aanleiding tot mopperen.
Dat een netbeheerder over meterstanden beschikt is nogal wiedes. Dat netbeheerders meterstanden doorgeven aan de energieleveranciers van adressen waar die aan leveren ook . Het klopt gewoon dat die gegevens worden bijgehouden, wat hier niet klopt is dat een energieleverancier verbruiksgegevens krijgt voor adressen waar ze niet aan leveren en al helemaal niet dat ze die vervolgens lieten zien aan iedereen die ze opvraagt.Ik zie niet in hoe AP verkeerd gebruik van op zich legitiem bijgehouden gegevens kan aanpakken voordat bekend is dat er iets mis mee gaat. Ze zijn veel te klein om heel Nederland actief te kunnen monitoren en als ze dat wel zouden doen zouden ze zelf een privacyrisico van hier tot gunder vormen. En dat niet alles wat aan ze gemeld wordt binnen een dag op hun website staat wil niet zeggen dat er niets met zo'n melding gebeurt.
03-11-2017, 09:59 door
Leo van Lierop
Het is helemaal niet zo moeilijk, dit bedrijf is in overtreding, dus hoort daar een flinke boete op te staan.
03-11-2017, 16:00 door
Briolet
Door karma4: In het artikel staat dat de persoon bij het invullen van het adres waardes te zien kreeg. Zie jij ergens de notie dat het exact de juiste waarden voor die adressen voor de betreffende periode zijn? Alleen in dat laatste geval heb je het bewijs van een datalek. Een schatting uit een geaggregeerd iets is dat niet.
Sommige maatschappijen geven idd alleen een gemiddelde waarde van de buurt. Dat heb ik ook meegemaakt bij mijn maatschappij, toen ik voor mijzelf een volkomen foute waarde zag die zogenaamd mijn verbruik voorstelde.
Hier heeft OM de data direct verwijderd na de melding. Waarom zouden ze dat doen als ze alleen gemiddelden voor de wijk tonen? Voor mij is deze reactie van OM een indirect bewijs dat het wel degelijk om persoonlijke getallen ging.
03-11-2017, 17:13 door
karma4
Door Briolet:
Hier heeft OM de data direct verwijderd na de melding. Waarom zouden ze dat doen als ze alleen gemiddelden voor de wijk tonen? Voor mij is deze reactie van OM een indirect bewijs dat het wel degelijk om persoonlijke getallen ging.
Je vertrouwen in dd onfeilbaarheid van het OM is nogal groot. Als die zo onfeilbaar zijn dan een sleepnet ofwel WIV ook geen probleem zijn.Hier heeft OM de data direct verwijderd na de melding. Waarom zouden ze dat doen als ze alleen gemiddelden voor de wijk tonen? Voor mij is deze reactie van OM een indirect bewijs dat het wel degelijk om persoonlijke getallen ging.
Ik hou niet zo van "als dat waar is dan" vervolgens iets heel anders al het dogma wat bewezen moest worden.
Veel acties gebeuren gewoon omdat men geen zin heeft in alle rompslomp. Wat zou het ze opleveren om alles online te laten versus het stoppen met die site. Mogelijk wat overstappers die ze misschien missen. Je moet ook stevig in de schoenen staan om vol te houden ook het gelijk. Buckler. ... nu Radler
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
