Privacy - Wat niemand over je mag weten

StudyStore lekt studentengegevens

30-04-2018, 11:22 door [Account Verwijderd], 14 reacties
Laatst bijgewerkt: 30-04-2018, 11:32
In het weekend van 28 op 29 april j.l. werd op twitter door iemand opgemerkt dat op PasteBin een groot aantal studentengegevens waren gelekt van StudyStore. Het betrof hier 25 pagina's met de volledige naw-gegevens, dus naam, woonplaats, adres met huisnummer, e-mailadres, bestelde boeken, studentennummer en aangeschaft studiemateriaal.
https://twitter.com/pbtrends/status/990523003560751104

Uit veiligheidsoverweging heb ik de PasteBin gegevens niet gekopieerd naar mijn computer. Morgen namelijk gaat zover ik heb begrepen de z.g. "hackwet" in, waarin het voor een burger verboden is om digitaal gestolen gegevens te bezitten na aankoop. Dit wordt - volgens de informatie op het internet - gelijk getrokken met heling. Hoewel ik de informatie niet heb gekocht, ben ik toch voorzichtig geweest om de gestolen informatie (uit voorzorg) niet naar mijn computer te laten verhuizen. Hierdoor was het ook niet mogelijk om de studenten persoonlijk te waarschuwen, aangezien het daarvoor te lang zou duren. Zie voor meer informatie heling en hackwet: https://www.rtlnieuws.nl/economie/home/politie-wordt-inbreker-hoe-oom-agent-je-mag-gaan-hacken

Wie student is en bij StudyStore iets heeft besteld kan maar beter een aantal maatregelen nemen, zoals het voor alle zekerheid veranderen van wachtwoorden. Er is bij mij nog niet bekend of dit alle gegevens waren die in deze hack bij StudyStore is buitgemaakt. Houdt rekening met phishing-aanvallen waarbij men ook via de mail wordt aangesproken met de eigen voornaam. Klik zeker niet op links die in e-mails worden meegestuurd.
Reacties (14)
30-04-2018, 11:42 door Anoniem
Uit veiligheidsoverweging heb ik de PasteBin gegevens niet gekopieerd naar mijn computer. Morgen namelijk gaat zover ik heb begrepen de z.g. "hackwet" in, waarin het voor een burger verboden is om digitaal gestolen gegevens te bezitten na aankoop.

Er is nogal een verschil tussen het ''aankopen'' van gestolen informatie - duidelijk heling - en het gebruik van de informatie van pastebin, enkel om studenten te informeren. Kans dat je problemen krijgt met justitie, laat staan dat je wordt veroordeeld, is echt niet aanwezig. Rechters kijken ook zeer zeker naar de intentie.

Eerder dit jaar op basis van een gelekte database met >1 miljard credentials honderden Nederlanders gewaarschuwd die impacted zijn. Geen enkele klacht ontvangen, en ook geen telefoontje of bezoek van de politie.

Op welke manier denk jij problemen te krijgen als je studenten er enkel op wijst dat hun gegevens door derden op pastebin staan ? Ben je bang dat studenten naar de politie gaan hiermee, en dat de politie (die toch al overbelast is) vervolgens tijd gaat steken in het vervolgen van jou, wegens het verder helpen van je medemens ?
30-04-2018, 11:47 door Anoniem
Weet studystore hier al van? Kan mij voorstellen dat ze dit niet leuk vinden.
30-04-2018, 11:48 door Anoniem
Heb je je ooit wel eens verdiept in het responsible disclosure beleid van onze overheid ? Eigenlijk wordt het alleen maar aangemoedigd om zaken te melden en is vervolging niet aan de orde, zolang je je ethisch gezien correct opstelt, en geen misbruik maakt. Je kan ook altijd contact opnemen met het NCSC, mocht je meldingen willen doen, of vragen willen stellen, over dit onderwerk.

Leidraad responsible disclosure
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html
30-04-2018, 14:14 door Anoniem
Sowieso is voor heling geen enkele vorm van aankoop nodig. Slechts het bezit van een goed is voldoende.

Er gaat geen nieuwe "hackwet" in. De nieuwe wet op de inlichtingen- en veiligheidsdiensten gaat in. Dat is een andere dan de wet waar jij een referentie aan geeft.
30-04-2018, 15:48 door Anoniem
Door Anoniem: Heb je je ooit wel eens verdiept in het responsible disclosure beleid van onze overheid ? Eigenlijk wordt het alleen maar aangemoedigd om zaken te melden en is vervolging niet aan de orde, zolang je je ethisch gezien correct opstelt, en geen misbruik maakt. Je kan ook altijd contact opnemen met het NCSC, mocht je meldingen willen doen, of vragen willen stellen, over dit onderwerk.

Leidraad responsible disclosure
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Niet dat ik zo fan ben van responsible disclosure maar inderdaad even melden aan studystore zou wel gepast zijn.
Die zullen ook actie moeten ondernemen en het melden bij AP als er een datalek is.
30-04-2018, 16:36 door Anoniem
een belletje leert dat ze op de hoogte zijn. De website zegt nu nog niks hierover.
01-05-2018, 09:37 door Studystore
Namens Studystore:

Afgelopen weekend zijn er gegevens van studenten online gezet. Na uitgebreid onderzoek hebben we vastgesteld dat er geen datalek of hack bij Studystore is geweest. Wel is er sprake van ongewenste verspreiding van een rapport via 1 van onze klanten. We hebben het betreffende rapport met deze klant gedeeld als onderdeel van een contractuele overeenkomst. De klant heeft inmiddels melding gedaan bij de Autoriteit Persoonsgegevens en alle betrokken studenten worden z.s.m. door de klant geïnformeerd.
01-05-2018, 10:58 door Krakatau
Door Fidelis: ...

@Fidelis Pas de titel StudyStore lekt studentengegevens van je post even aan? Nu Studystore heeft laten weten hoe het zit?
01-05-2018, 11:16 door Anoniem
@Studystore

ongewenste verspreiding van een rapport via 1 van onze klanten

ongewenste verspreiding = lek

wie kreeg d'r op z'n kop bij het facebook versus cambridge 'lek' ? -> fb,
waarom ? Omdat fb de primaire eigenaar is en daarmee hoofdverantwoordelijk is
en blijft wanneer het data deelt met derde.
Je kan je handen dr niet zomaar vanaf trekken nadat je de gegevens -bij wijze van spreken- over de schutting heb gegooid.
01-05-2018, 12:26 door Anoniem
Studenten zijn niet de belangrijkste klanten van de StudyStore. Welke partij heeft gelekt wordt dan weer niet bij naam genoemd. DAT MAG BEST WEL EENS. Gewoon bij naam en toenaam, de reputatie en goodwill die het heeft tot economische waarde nul laten dalen. Verwacht maar reacties dat je blafbrieven zult krijgen.
Privacy van economische niet machtige partijen, zoals natuurlijke personen, wordt onbelangrijk gevonden, want gegevens leveren keiharde euro's op.
01-05-2018, 12:30 door Anoniem
Getroffen student hier: het lek was zaterdag al bekent bij veel mensen dankzij meldingen van HaveIBeenPwned. Hierna is het als een lopend vuurtje door groepswhatsapps gegaan. Ik heb nog geen bericht van uit Studystore of iemand anders had.

Door Studystore: We hebben het betreffende rapport met deze klant gedeeld als onderdeel van een contractuele overeenkomst..
https://www.nu.nl/internet/5245949/gegevens-duizenden-saxion-studenten-openbaar-lek-van-data-studystore.html
Bij het doorgeven van bestellingen werden ook persoonsgegevens van studenten doorgestuurd. "Dat was niet de bedoeling", zegt de Studystore-woordvoerder, hoewel het volgens hem ook de standaardwerkwijze is. "Dat gaan we nu aanpassen."
@Studystore: Het rapport dat met de klant gedeeld is lijkt naar aanleiding van het Nu.nl artikel gegevens te bevatten die er niet in hoorde te staan en dat Studystore zelf ook onverantwoord met persoonsgegevens is omgegaan. Kunt u dat toelichten?
01-05-2018, 14:42 door [Account Verwijderd] - Bijgewerkt: 01-05-2018, 14:59
Door Krakatau:
Door Fidelis: ...

@Fidelis Pas de titel StudyStore lekt studentengegevens van je post even aan? Nu Studystore heeft laten weten hoe het zit?
Door een onbekende oorzaak heb ik geen toegang meer tot de posting, alhoewel ik nu ingelogd ben.
Ik kan op dit moment de titel niet aanpassen helaas.

Een betere titel zou kunnen zijn: Gegevens duizenden Saxion-studenten gelekt
01-05-2018, 15:16 door [Account Verwijderd] - Bijgewerkt: 01-05-2018, 15:22
Door Anoniem: Getroffen student hier: het lek was zaterdag al bekent bij veel mensen dankzij meldingen van HaveIBeenPwned. Hierna is het als een lopend vuurtje door groepswhatsapps gegaan. Ik heb nog geen bericht van uit Studystore of iemand anders had.

Door Studystore: We hebben het betreffende rapport met deze klant gedeeld als onderdeel van een contractuele overeenkomst..
https://www.nu.nl/internet/5245949/gegevens-duizenden-saxion-studenten-openbaar-lek-van-data-studystore.html
Bij het doorgeven van bestellingen werden ook persoonsgegevens van studenten doorgestuurd. "Dat was niet de bedoeling", zegt de Studystore-woordvoerder, hoewel het volgens hem ook de standaardwerkwijze is. "Dat gaan we nu aanpassen."
@Studystore: Het rapport dat met de klant gedeeld is lijkt naar aanleiding van het Nu.nl artikel gegevens te bevatten die er niet in hoorde te staan en dat Studystore zelf ook onverantwoord met persoonsgegevens is omgegaan. Kunt u dat toelichten?
Even nog een toelichting: In het weekend van 28 op 29 april heb ik duizenden studentengegevens kunnen inzien, en ik heb moeten wachten totdat de moderatoren of de auteur van de PasteBin-pagina de zaak offline haalden. Toen pas heb ik de link geplaatst van PasteBin en dit via dit forum bekend gemaakt. Dus het ging mij erom dat de informatie niet verder verspreid werd (responseble disclosure). Ik heb even met een probleem gezeten wegens nieuwe wetgeving die eraan zat te komen. Dus er was voor mij ook nog een vraag wat precies te doen. Je moet er dus wel van uitgaan dat deze gegevens in verkeerde handen zijn gekomen, want als ik er via twitter achter kon komen, dan kan iedereen dat die twitter gebruikt.
01-05-2018, 15:57 door [Account Verwijderd]
Nog even een vraag aan StudyStore:

Hoe kan het dat gegevens van duizenden studenten in plain-text in te zien waren door derden?
Of wordt er soms geen encryptie toegepast?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.