image

Britse makelaar krijgt 89.000 euro boete voor datalek via ftp

vrijdag 19 juli 2019, 14:34 door Redactie, 5 reacties
Laatst bijgewerkt: 22-07-2019, 15:42

Een Brits makelaarskantoor heeft een boete van omgerekend 89.000 euro gekregen voor het lekken van klantgegevens via een onbeveiligde ftp-server. Persoonlijke gegevens van bijna 19.000 klanten waren voor iedereen op internet toegankelijk, waaronder bankafschriften, salarisgegevens, kopieën van paspoorten en rijbewijzen, e-mailadressen, adresgegevens en geboortedata van zowel huurders als verhuurders.

Om bestanden met een partnerorganisatie te delen had de makelaar een ftp-server opgezet. In eerste instantie werd de ftp-server gebruikt voor het uitwisselen van foto's. De makelaar en partnerorganisatie besloten om de server voor een ander doel in te zetten. De makelaar configureerde de server op een verkeerde manier waardoor anonieme toegang werd ingesteld. Iedereen kon zodoende zonder wachtwoord inloggen. Daarnaast was de communicatie met de server niet versleuteld.

Ook waren er geen toegangsbeperkingen ingesteld, waardoor alle gebruikers, waaronder mensen die anoniem inlogden, volledige toegang tot de data op de ftp-server hadden. De blootgestelde data op de ftp-server bestond uit 60 verschillende documentcategorieën, waarvan er 52 persoonlijke data bevatten. Uiteindelijk bleek dat de gegevens van 18.610 mensen risico hebben gelopen. Analyse van de logbestanden liet zien dat er 512.000 keer door anonieme gebruikers was ingelogd, afkomstig van 1213 unieke ip-adressen. Het grootste deel was afkomstig van hetzelfde ip-adres en er wordt aangenomen dat het om een programma ging.

"Uit ons onderzoek blijkt dat de makelaar medewerkers niet had getraind, die een onveilig systeem voor bestandsoverdracht verkeerd configureerden en gebruikten en het vervolgens niet monitorden. Door deze tekortkomingen zijn klanten blootgesteld aan mogelijk identiteitsfraude. Bedrijven moeten accepteren dat ze een juridische verplichting hebben om persoonlijke data die ze ontvangen te beschermen", aldus Steve Eckersley van de ICO.

Reacties (5)
19-07-2019, 15:28 door Anoniem
Een schijntje als je je bedenkt wat voor schade een ieder van die 19.000 zielen kan oplopen door identiteitsfraude op basis van de verkregen persoonlijke gegevens.
19-07-2019, 16:09 door Anoniem
Door Anoniem: Een schijntje als je je bedenkt wat voor schade een ieder van die 19.000 zielen kan oplopen door identiteitsfraude op basis van de verkregen persoonlijke gegevens.
Een boete is geen schadevergoeding maar een straf. Het geld verdwijnt in de schatkist. Aangezien de gedupeerden er niet beter van worden (die kunnen via een civiele procedure genoegdoening claimen) is het niet erg zinvol om de hoogte van de boete aan hun schade of risico op schade af te meten. Ik neem aan dat de ICO de jaaromzet van het makelaarskantoor heeft meegenomen bij het bepalen van de hoogte.
20-07-2019, 15:22 door Anoniem
Dan zie je weer hoe gevaarlijk een beetje kennis is. Was er met je tengels afgebleven, amateur.
22-07-2019, 10:06 door Anoniem
Blijkbaar zijn de gegevens van 1 persoon 4.5 euro waard ofzo.
Een schijntje! Zet er eens 3 of 4 nullen achter (zo je wilt: schuif de punt op) en het begint ergens over te gaan...
23-07-2019, 15:20 door Anoniem
Leuk hoor die boetes. Maar wat schiet je daar nu met je privacy mee op... Je data is gejat en je kunt dat niet terugdraaien. Dit is echt dweilen met de kraan open.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.