Randstad lekte privégegevens werkzoekenden
Uitzendbureau Randstad heeft van een onbekend aantal werkzoekenden de privégegevens gelekt, waaronder naam, salariseisen en e-mailadressen. Door een fout waren de profielen van werkzoekenden voor iedereen toegankelijk, zo melden RTL Z en de NOS.
Alleen het bezoeken van een specifieke url was voldoende. Het datalek werd veroorzaakt door een update van een functie waarmee werkzoekenden hun profielen kunnen downloaden. Hierdoor werden op de pagina om het profiel te downloaden opeens profielen van andere werkzoekenden getoond. In het profiel staan onder andere volledige naam, woonadres, geboortedatum, e-mailadres, mobiele telefoonnummer, gewenste functies, salariseis, werkervaring en opleiding.
Hoeveel werkzoekenden door het datalek zijn getroffen is onbekend. Volgens Randstad zijn negen profielen door onbevoegden ingezien, maar kan er niet worden uitgesloten dat er meer profielen openbaar zijn geworden. Na te zijn ingelicht werd de kwetsbaarheid binnen enkele uren verholpen. Randstad gaat melding van het datalek maken bij de Autoriteit Persoonsgegevens. Alle personen van wie het profiel openbaar was worden persoonlijk ingelicht.
Reacties (19)
Wow wat een nieuws, impact voor 9 mensen ;) Komkommertijd, in IT beveiligingsland ?
Door Anoniem: Wow wat een nieuws, impact voor 9 mensen ;) Komkommertijd, in IT beveiligingsland ?
Jij zal maar net één van die negen zijn dan geef je wel andere reactie denk ik.
Door Anoniem: Wow wat een nieuws, impact voor 9 mensen ;) Komkommertijd, in IT beveiligingsland ?
Impact voor iedereen die in dat systeem staat.
Tot nu toe slechts 9 bevestigde lekken.
Door Anoniem: Wow wat een nieuws, impact voor 9 mensen ;) Komkommertijd, in IT beveiligingsland ?
Zou willen zeggen, alleen maar goed dat dit wordt gemeld als nieuws. Misschien gaan andere bedrijven beter opletten en wordt het informatie/privacy-bewustzijn van 'gewone burgers' verhoogd.
Ja hoor 9 geloof je het zelf ;D, geef eens een timeline van hoelang dit al mogelijk is?
Het hadden er meer kunnen zijn als jet lek langer open had gestaan en men meer tijd had om het te exploitem.
Eens met poster van 10:55
Al zou het er 1 zijn, dan is dat er nog 1 te veel. Alleen als leermoment al de moeite waard.
Bveiligingslekken door de vingers zien tijdens komkommertijd of vanwege welk ander "lame" excuus dan ook,
is nog erger.
De poster van 10:46 zou bij mij, als ik een beveiligingsbedrijf zou hebben, na zo'n uitspraakje never nooit in dienst komen. Vanwege de grondhouding totaal ongeschikt voor dit soort werk. Nu begrijp ik ook waarom er zoveel vaak zo drastisch iets fout gaat hier en daar.
Al zou het er 1 zijn, dan is dat er nog 1 te veel. Alleen als leermoment al de moeite waard.
Bveiligingslekken door de vingers zien tijdens komkommertijd of vanwege welk ander "lame" excuus dan ook,
is nog erger.
De poster van 10:46 zou bij mij, als ik een beveiligingsbedrijf zou hebben, na zo'n uitspraakje never nooit in dienst komen. Vanwege de grondhouding totaal ongeschikt voor dit soort werk. Nu begrijp ik ook waarom er zoveel vaak zo drastisch iets fout gaat hier en daar.
Dat maakt de gegevens van je zelf beveiligen zo moeilijk? Teveel partijen kunnen fouten maken en jou gegevens stromen over internet. De particulier wordt altijd alles verweten in verband met veiligheid maar kunnen geen deskundige inschakelen zoals zulke bedrijven wel kunnen. Harder aanpakken is noodzakelijk.
Door Anoniem:
Impact voor iedereen die in dat systeem staat.
Tot nu toe slechts 9 bevestigde lekken.
Ja. En aangezien de ontdekker minstens 1 profiel heeft gezien en zowel NOS en RTL Z melden dat ze er 7 hebben opgevraagd zit het bekende totaal volgens mij al op 15. Als die niet als onbevoegd zijn meegerekend door Randstad zitten we op 24.Door Anoniem: Wow wat een nieuws, impact voor 9 mensen ;) Komkommertijd, in IT beveiligingsland ?
Impact voor iedereen die in dat systeem staat.
Tot nu toe slechts 9 bevestigde lekken.
Ik snap niet waarom Randstad niet kan kan uitsluiten dat er meer dan 9 of welk aantal dan ook is opgevraagd. De pagina liet per keer een willekeurig profiel zien (niet meerdere tegelijk), dus moet het aantal onterecht getoonde profielen maximaal gelijk zijn aan het aantal keer dat die pagina is opgevraagd in de uren dat de fout aanwezig is geweest. Dat zou uit de serverlog moeten blijken, lijkt me. Je ziet niet welke gegevens zijn opgevraagd, maar wel hoe vaak het gebeurd kan zijn.
Door Anoniem: Wow wat een nieuws, impact voor 9 mensen ;) Komkommertijd, in IT beveiligingsland ?
De burger heeft geen keus,pen en papier zijn verdwenen,gedwongen door de digitalisering,
gekoppeld aan profielen,databanken,algoritmes het nieuwe werken,altijd maar weer lekken moeten patchen
meltdown en spectre,lekke servers met data,beheerders die niet op tijd hun servers up to date houden,
menselijke fouten en daardoor weer onveilig,en al die velen hacks op de digitale infrastructuur,
ja we worden afhankelijk als burgers van het digitale systeem dat zeker niet veilig is,maar waar je wel
je gegevens op MOET invullen.
Maar ja de burger mag niet klagen want dat is oh zo makkelijk.
Jij zal maar net één van die negen zijn dan geef je wel andere reactie denk ik.
Sure, en als ik mijn been breek, dan moet dat ook op het journaal. Natuurlijk heeft het impact voor die paar personen.
Al zou het er 1 zijn, dan is dat er nog 1 te veel
Natuurlijk is dat er 1 teveel, staat los van de vraag of het ook erg nieuwswaardig is.....
De poster van 10:46 zou bij mij, als ik een beveiligingsbedrijf zou hebben, na zo'n uitspraakje never nooit in dienst komen. Vanwege de grondhouding totaal ongeschikt voor dit soort werk.
LOL leuk hoe mensen hier altijd de aanval op personen inzetten. Overigens heb ik nergens gezegd dat 1 *niet* teveel is. Of dat er geen melding gedaan wordt. Ik ben blij dat jij mijn werkgever niet bent; je oordeelt op basis van ongefundeerde aannames ;)
Alleen als leermoment al de moeite waard
Tja, misschien dat jij hier nog iets van kan leren. Mij vertelt het als IT beveiliger niets nieuws, dit artikel.
De poster van 10:46 zou bij mij, als ik een beveiligingsbedrijf zou hebben, na zo'n uitspraakje never nooit in dienst komen. Vanwege de grondhouding totaal ongeschikt voor dit soort werk.
Je bent dan ook volslagen ongeschikt als werkgever, gezien je houding. Dus dat zijn we alvast eens. Ik zou nimmer willen werken bij iemand die, zonder een ander te kennen, dit soort zaken roept. Op basis van halfzwakke aannames.
Ik vind het kwalijker als zulk nieuws geen reden zou zijn voor een analyse van wat er fout kan gaan en als mensen dan gaan roepen, dat zulk nieuws niet boeit. Het lijkt verdacht veel op een web reputation management reactie. Te veel van dat soort uitlatingen van mensen aan de knoppen tegenwoordig. Achteraf kan je dan alles goedpraten. Ook een anoniem geplaatste downgrading van een security incident, is zoiets. Wie kaatst moet de bal verwachten
In een eindeloze rij van security incidenten, wat moet er eigenlijk dan nog boeien op den duur? Wanneer komt het moment, dat we echt actie gaan nemen om de onveiligheid wat terug te gaan dringen? Of moet er weer iets gebeuren als het Cambridge Analytica incident om nog een half oog heel even open te krijgen?
In een eindeloze rij van security incidenten, wat moet er eigenlijk dan nog boeien op den duur? Wanneer komt het moment, dat we echt actie gaan nemen om de onveiligheid wat terug te gaan dringen? Of moet er weer iets gebeuren als het Cambridge Analytica incident om nog een half oog heel even open te krijgen?
misschien moet een ieder even de AVG erop naslaan en zich realiseren dat er een OMGEKEERDE bewijslast geldt.
er moet niet worden aangetoond hoeveel mensen zijn ingezien; er moet worden vastgesteld middels audit files door Randstad dat er GEEN gegevens zijn gelekt.Dus is het zeker wel nieuwswaardig.
Of je het ermee eens bent doet niet ter zaken; welkom bij de wet.
Eminus
er moet niet worden aangetoond hoeveel mensen zijn ingezien; er moet worden vastgesteld middels audit files door Randstad dat er GEEN gegevens zijn gelekt.Dus is het zeker wel nieuwswaardig.
Of je het ermee eens bent doet niet ter zaken; welkom bij de wet.
Eminus
Door Anoniem: misschien moet een ieder even de AVG erop naslaan en zich realiseren dat er een OMGEKEERDE bewijslast geldt.
er moet niet worden aangetoond hoeveel mensen zijn ingezien; er moet worden vastgesteld middels audit files door Randstad dat er GEEN gegevens zijn gelekt.Dus is het zeker wel nieuwswaardig.
Of je het ermee eens bent doet niet ter zaken; welkom bij de wet.
Eminus
Thanks... je hebt gelijk. AL het gezemel doet er niet toeer moet niet worden aangetoond hoeveel mensen zijn ingezien; er moet worden vastgesteld middels audit files door Randstad dat er GEEN gegevens zijn gelekt.Dus is het zeker wel nieuwswaardig.
Of je het ermee eens bent doet niet ter zaken; welkom bij de wet.
Eminus
Te veel van dat soort uitlatingen van mensen aan de knoppen tegenwoordig. Achteraf kan je dan alles goedpraten.
Hoezo goedpraten. Het is terecht dat er aktie wordt ondernomen. Dat betrokkenen worden geinformeerd. En dat er melding gedaan wordt van het datalek.
Wel kan je je afvragen hoe nieuwswaardig een data lek is dat betrekking houdt op 9 mensen, en of er dan direkt persberichten de deur uit moeten.
Van iedere fysieke inbraak valt ook wat te leren. Dat wil niet zeggen dat je iedere fysieke inbraak, hoe klein ook, uitgebreid dient te behandelen in de media.
Ook een anoniem geplaatste downgrading van een security incident, is zoiets. Wie kaatst moet de bal verwachten
Als je discussieert op een forum, dan zullen er ongetwijfeld reacties komen. Dat verwacht ik inderdaad, beetje saai als dat niet het geval zou zijn.
Of je het ermee eens bent doet niet ter zaken; welkom bij de wet.
Niemand hier stelt dat de wet *niet* dient te worden toegepast. Alsof er iemand zegt dat de wet genegeerd dient te worden, of dat Randstad het datalek niet zou moeten melden bij betrokkenen & AP.
De wet zegt verder weinig over de vraag of je over zo'n datalek, met enkele getroffenen wel/niet een artikel moet schrijven op bijvoorbeeld www.security.nl
Nou zo'n lek met eventuele identiteitsdiefstal consequenties, is best wel heftig voor de betrokkenen of kan dat best zijn.
Dat het mensen als nieuws niet zo boeit in al het nieuws rond grote data breaches, die over mijoenen en mijoenen personen gaan en die de privacy bedreigen van even zovelen, is iets totaal anders.
Er aandacht aan geven, maakt wel dat de verantwoordelijken er even bij stil blijven staan en we het weer bijzonder gaan vinden.
Als zo'n berichtje leidt tot een betere configuratie bij een aantal bedrijven, is dat toch maar mooi meegenomen.
Want "wie het kleine lek niet eert, is het grote niet weerd".
Dat het mensen als nieuws niet zo boeit in al het nieuws rond grote data breaches, die over mijoenen en mijoenen personen gaan en die de privacy bedreigen van even zovelen, is iets totaal anders.
Er aandacht aan geven, maakt wel dat de verantwoordelijken er even bij stil blijven staan en we het weer bijzonder gaan vinden.
Als zo'n berichtje leidt tot een betere configuratie bij een aantal bedrijven, is dat toch maar mooi meegenomen.
Want "wie het kleine lek niet eert, is het grote niet weerd".
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
