Noorwegen en Zwitserland monitoren e-mailadressen via HIBP
De Noorse en Zwitserse autoriteiten hebben besloten om e-mailadressen van overheidsdiensten via datalekzoekmachine Have I Been Pwned te monitoren. Inmiddels maken zeven landen gebruik van de dienst. Have I Been Pwned is een zoekmachine waarmee gebruikers in een database met meer dan 9,1 miljard gestolen e-mailadressen kunnen kijken of hun data ooit bij een website is gestolen.
De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Gebruikers kunnen zich opgeven om te worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. Daarnaast is het voor domeineigenaren mogelijk om binnen de database van Have I Been Pwned op e-mailadressen van hun eigen domein te zoeken. Volgens oprichter van de zoekmachine Troy Hunt maken al veel bedrijven, onder andere in de Fortune 500, hier gebruik van.
Nu laten ook de Noorse en Zwitserse overheid verschillende van hun domeinen gratis via Have I Been Pwned monitoren en ontvangen een waarschuwing wanneer e-mailadressen van deze domeinen in toekomstige datalekken verschijnen. Eerder besloten ook de Australische, Britse, Ierse, Oostenrijkse en Spaanse overheid om via de zoekmachine hun e-mailadressen te monitoren. Hunt laat weten dat de komende maanden meer overheden zich zullen aansluiten.
Datalekken zullen er helaas altijd zijn, met of zonder de GDPR.
HIBP is een mooie aanvulling om de waarde van de gegevens te verminderen. Bovendien kan er ook actiever worden gereageerd bij een groot datalek; als die in de datalekzoekmachine (mooi woord voor scrabble) staat, kunnen eigenaren die zijn aangesloten met HIBP ingelicht worden.
Wetgeving, zoals de GDPR, is geen oplossing voor het criminele gebruik van gegevens; criminelen houden zich per definitie niet aan de wet ...
DDK
Daarnaast zijn buitenlandse bedrijven ook allemaal verplicht om zich te melden? En doen ze dit ook allemaal?
Ik voorzie wat losse eindjes
DDK
En acties met lekken tot gevolg die van buiten EU/EEA landen plaatsvinden moet men wel even netjes melden aan de nederlandse toezichthouders?
Die partijen kunnen gewoon beweren dat ze niet in locatie gegevens van ieder slachotffer zijn gaan snuffelen, en wat doe je dan met de gdpr in de hand, lekker ermee blijven zwaaien?
Daarvoor hoeft HIBP toch niet zelf ook een kopie van alle gegevens bij te houden, zoals nu wel gedaan wordt?
Wat is stelselmatig. Als je als Amerikaans bedrijf een congres organiseert voor 5000 mensen en een handjevol Europeanen schrijft zich in, is dat dan stelselmatig?
Ik kom dergelijke zaken bijna wekelijks tegen bij de domeinen die ik heb opgegeven.
Daarnaast zijn er ook veel Europese bedrijven met een .com registratie of universiteiten met een .edu.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
