Assen lekt gegevens 530 mensen door verkeerd e-mailadres
De gemeente Assen heeft door het versturen van een e-mail naar een verkeerd adres de gegevens van 530 mensen gelekt. Het gaat om een e-mail die door de afdeling Toezicht en Handhaving "per ongeluk" naar een onbekend privé e-mailadres werd gestuurd, zo laat het college van burgemeester en wethouders in een brief aan de gemeenteraad weten (pdf). De e-mail bevatte een Excel-bestand met de persoonsgegevens van 530 mensen.
Deze gegevens hebben betrekking op lopende en verlopen gebiedsontzeggingen en daarmee samenhangende waarschuwingen, aldus de brief. De gemeente heeft meerdere keren geprobeerd om in contact te komen met de ontvanger om de documenten te laten verwijderen, maar zonder succes. Het datalek is door de gemeente Assen bij de Autoriteit Persoonsgegevens gemeld.
Tevens gaat de gemeente alle getroffen personen deze week waarschuwen. Uit onderzoek blijkt dat van de 530 adressen er 500 actueel zijn. Voor de overige 30 betrokkenen geldt dat er vijf zijn overleden, zes zijn geëmigreerd en vier personen geen vaste woon of verblijfplaats hebben. De resterende vijftien personen zijn niet te traceren. "Dit komt door de foutieve combinatie van volledige naam en geboortedatum", aldus de gemeente.
Volgens de burgemeester en wethouders is een menselijke fout de oorzaak van het incident. "Zoals vaak bij datalekken het geval is. Om dit soort fouten in de toekomst te minimaliseren blijven we inzetten op bewustwording. Zo werken we samen verder aan een privacy bewuste organisatie."
als meer dan 5% van de 530 fout is dan die hypothes waar. Dat betekent dat als er meer dan 26.5 foutief zijn.
vijf overleden, 6 geëmigreerd, 15 niet traceerbaar, 4 geen adres = 30. Hypothese waar, er moet hoognodig wat aan de administratie gedaan worden.. Nog los daarvan: dit soort adressering horen in een database (gecontroleerd), niet in Excel.
als meer dan 5% van de 530 fout is dan die hypothes waar. Dat betekent dat als er meer dan 26.5 foutief zijn.
vijf overleden, 6 geëmigreerd, 15 niet traceerbaar, 4 geen adres = 30. Hypothese waar, er moet hoognodig wat aan de administratie gedaan worden.. Nog los daarvan: dit soort adressering horen in een database (gecontroleerd), niet in Excel.
Maar afgezien daarvan: je hebt hier niet te maken met een aselecte & representatieve steekproef: er is immers geen steekproef gehouden. Bovendien weet je immers daardoor niet of er meer gevallen zijn die bijvoorbeeld onder de statistische radar zijn gebleven. Je kunt niet zomaar even een Normale Verdeling of welke Verdeling dan ook gaan toepassen met een Ho-hypothese zonder enig onderzoek naar die Verdeling, en dan komen stellen dat een bepaald percentage wel in het 5% uitzonderingsgebied zal vallen. Zo werkt mathematische statistiek niet.
Het mag niet. SMTP heeft geen inbouwde veiligheid. Zowel de ontvanger als de verzender kunnen ervoor zorgen dat er helemaal geen encryptie is tot de MX server. Zelfs als er wel encryptie is, kan een MitM aanvaller een zelf gegenereerd certifcaat gebruiken. Er is geen verplichte identiteitscontrole bij een Certifcate Authority (met of zonder lokale lijst).
SMTP moet wat meer gaan lijken op HTTPS en soortgelijken. Plus DANE en CAA. DANE ontbreekt bij veel web servers.
Het mag niet. SMTP heeft geen inbouwde veiligheid. Zowel de ontvanger als de verzender kunnen ervoor zorgen dat er helemaal geen encryptie is tot de MX server. Zelfs als er wel encryptie is, kan een MitM aanvaller een zelf gegenereerd certifcaat gebruiken. Er is geen verplichte identiteitscontrole bij een Certifcate Authority (met of zonder lokale lijst).
SMTP moet wat meer gaan lijken op HTTPS en soortgelijken. Plus DANE en CAA. DANE ontbreekt bij veel web servers.
In de wet staat geen verbod op het versturen van gegevens via de e-mail. Encryptie helpt niet tegen domme gebruikers.
Maar afgezien daarvan: je hebt hier niet te maken met een aselecte & representatieve steekproef: er is immers geen steekproef gehouden. ….,, wel in het 5% uitzonderingsgebied zal vallen. Zo werkt mathematische statistiek niet.
Dat er bij de BRP, mGBA veel mis is, is wat anders.
Zon situatie als dit dat er een aparte handmatige administratie gedaan wordt kan daar een gevolg van zijn.
Het mag niet. SMTP heeft geen inbouwde veiligheid. Zowel de ontvanger als de verzender kunnen ervoor zorgen dat er helemaal geen encryptie is tot de MX server. Zelfs als er wel encryptie is, kan een MitM aanvaller een zelf gegenereerd certifcaat gebruiken. Er is geen verplichte identiteitscontrole bij een Certifcate Authority (met of zonder lokale lijst).
SMTP moet wat meer gaan lijken op HTTPS en soortgelijken. Plus DANE en CAA. DANE ontbreekt bij veel web servers.
In de wet staat geen verbod op het versturen van gegevens via de e-mail. Encryptie helpt niet tegen domme gebruikers.
Het gaat niet om zomaar gegevens. Het gaat om persoonsgegevens en daar worden wel degelijk eisen aan gesteld door de AVG.
Er is hier een menselijke fout gemaakt door het naar het verkeerde adres te sturen, maar los daarvan was er al een fout gemaakt door die gegevens ueberhaupt per email te willen sturen. Dat mag niet.
2 hoog risico incidenten, 51 midden risico incidenten en 84 laag risico incidenten,
zie https://basisbeveiliging.nl/#reports
Sinds 9 maanden wordt het certificaat niet meer vertrouwd -
hetgeen een hoog risico met zich brengt.
En allerlei subdomeinen - voorbeeld: http://widocmksp001.assen.nl/ geeft nu een error 404.
J.O.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
