Nou wil het dat ik vandaag voor alle zekerheid het domein van mijn zorgverzekering heb gecheckt. Voorlopig is daar alles in orde. Maar misschien is het goed dat iedereen dit even bij de zorgverzekeraar uitvoert. Wie weet zit er nog meer kaf tussen het koren. Ik hoop van niet natuurlijk...

Ja. het is misselijkmakend. Hier zijn óók echt geen woorden voor vanuit de blunderveroorzaker en dat is maar goed ook. Elke verontschuldiging is totaal absurd irreel en voedt dan slechts terecht de totale 100% terecht afbrekende kritiek die dit geblunder verdient.
Het bewijst temeer dat we op een digitaal armageddon afstevenen. Die wal zal het schip niet keren maar breken.

Overdrijven is ook een vak! Het gaat over JeugdRIAG en dan zouden er miljoenen mensen in die database staan?

Cutting Fingers / Otoshimae (Yubitsume) | The Outsider (2018)

https://youtu.be/oR2kpF4wLpQ

Neen, je goed en volledig laten informeren is een vak!
https://www.nu.nl/tech/6081062/medische-dossiers-jeugdhulpcentrum-jeugdriagg-gelekt.html

Het gaat om een database van Vecozo en inderdaad, daar staan miljoenen mensen in. Niks overdreven dus.

Slordig om een domein te laten verlopen; slordig om medische dossiers leesbaar te emaillen; helemaal slordig om dat naar een verouderd adres te doen. Ik weet niet of we nog over "slordig" mogen praten wanneer inloggegevens voor een privacy-gevoelige database onversleuteld naar hetzelfde adres gestuurd worden.

En de consument staat wederom met lege handen wanneer criminelen misbruik maken van zijn gegevens.

Ik neem aan dat het domein een tijdje gebounced heeft(*) omdat er simpelweg geen mailserver was voor het domein, dus eigenlijk is het ook raar dat de andere instanties dat niet opgemerkt hebben en zijn gestopt met mailen naar dit domein.

* Ik weet, assumptions are the mother of all ......

Het lijkt me dat "de schuld" van dit lek niet ligt bij JeugdRIAGG maar bij Vecozo. En eventuele andere instellingen die
kennelijk lang na het vervallen/veranderen van een mail adres daar nog plaintext persoonsgegevens en wachtwoorden
heen sturen.

Waarom noemen ze het geen Vecozo lek?

Lezers van deze, allen gegroet,

Let binnenkort goed op uw mailbox als u een spammailtje krijgt, kennelijk van uw zorgverzekeraar.
Troy Hunt heeft weer iets meer data in/voor z'n al uitpuilende AmIPnewed-verzameling.

Ga maar een extra 16 cijferige twee-factor authenticatie zetten op uw sociale media appjens.
Daar gaat weer een klap geld naar diverse criminele organisaties, opgebracht door de hardwerkende burger..

Hoe vrijwaren wij ons tegen het gestuntel van dombo's en hun nog dommere collega's.
Misschien is het veiliger voor hen om een carriere als gamer te beginnen.
De hoofdprijs hebben ze al laten vallen.(iron.).

Kijk alles goed na, eer u vanavond uw computermuis omgedraaid neerlegt op uw muismat ;)

#sockpuppet

Het ging hier over het domein Jeugdriagg.nl...
Als een NL domein verloopt, gaat deze voor 40 dagen in quarantaine. In deze periode kan niemand de domeinnaam registreren, maar alleen uit quarantaine gehaald worden door de laatste domeinnaamhouder.

Dus zal er inderdaad gedurende deze tijd geen mailserver gedraaid hebben.

Dat andere bekt zo lekker!

Als er geen server is maar nog wel een geldige DNS setup dan bounced mail niet meteen. Het zal een aantal dagen duren voor er een bericht in de inbox van de verzender komt dat het mailtje niet kon worden afgeleverd.
Die berichten zijn vaak zeer technisch opgesteld en de gemiddelde medewerker uit die wereld (en eigenlijk uit de hele wereld buiten de security.nl bezoekers) snapt helemaal niks van dat bericht, durft het eigenlijk zelfs niet eens te lezen want hen is altijd voorgehouden "nooit mail van onbekende afzenders openen en zeker niet met rare Engelse namen en onderwerpen".
Dus wat moeten ze met een mail van Mailer-Daemon@eenofanderdomein met als onderwerp "Postmaster notify: see transcript for details"? Ongelezen wegmikken natuurlijk.
Plus, als ze het wel openen en begrijpen, verwacht je dan dat als zo'n bericht op een druk moment binnenkomt men er meteen even voor gaat zitten om uit te zoeken waarom er naar dat adres gemaild is (een paar dagen geleden), welke zaak dat ook weer was en waar dat mailadres ergens vandaan kwam? (een oud mailtje, een of ander informatiesysteem)
En verwacht je dan dat men gaat proberen die foute adressen te verwijderen? Daar heeft men wellicht niet eens de rechten voor.
Dus het verwijderen van die oude informatie gaat maar heel langzaam.

Zelfs met technische dingen waarop meteen actie kan worden genomen gaat het nog heel moeizaam. Ik heb toevallig begin van de week een berichtje naar 50 man gestuurd met een duidelijke uitleg hoe even 2 instellingen in de mobiele telefoon te veranderen. 3 dagen later hebben misschien 5 het gedaan. Als ik langsloop dan blijkt dat men het maar even heeft laten liggen, te druk, men snapte het niet, enz enz. En dat was dan gewoon "ga even naar de instellingen, ga naar dit item, tik dat aan, verzet dat schuifje". Een handeling van 1-2 minuten. Maar je komt in een totaal andere wereld terecht waar men met dat soort dingen net zoveel moeite mee heeft als wanneer je hier zou vragen "omschrijf waarom je plezier hebt in het leven" (ofzo).

En zo durf je dus bijna nergens meer om hulp of steun te vragen, omdat de personen die je te hulp schieten meestal
totaal geen verstand van beveiliging van (jouw!) gegevens op computers/servers hebben.

Zoveel "lek-last" als er nu is, was er niet toen papieren dossiers in archiefkasten de gewoonte waren.

Ik zou eerst eens kijken naar de 5 jaar dat de naam jeugdriagg niet meer in gebruik was voor de instelling maar het domein nog wel geregistreerd was. Wat is er in die tijd gebeurd? Mail gewoon doorgestuurd naar het nieuwe domein? Mail geweigerd met een duidelijk bericht in het Nederlands wat er aan de hand was? Mail niet meer aangepakt waardoor het pas dagen later retour kwam met een cryptisch Engelstalig bericht?
Dat lijkt me heel wat belangrijker dan wat er die laatste 40 dagen eventueel gebeurd is.
Als mail gewoon zonder enig nader bericht is doorgestuurd dan heeft die 5 jaar het domein aanhouden niks opgeleverd.

De Vecozo DB is een ander lek. Bij JeugdRIAG ging het inderdaad over een verlopen domeinnaam.

Allemaal logische opmerkingen en overwegingen hier, maar de praktijk is een stuk weerbarstiger. Ik spreek hier uit ervaring. Bij het al dan niet doorsturen heb je ook weer een afweging. Als er niet doorgestuurd wordt, wordt een dossier niet opgepakt en kan een kind op die wijze in gevaar raken. Automatische antwoorden is een idee, maar wat als de afzender een geautomatiseerd systeem met een no-reply adres is.

Wat hier fout gaat, is het gebruik van e-mail voor gevoelige informatie. E-mail is per definitie niet geschikt voor uitwisseling van dit soort informatie. Nu is het een verlopen domeinnaam, maar er zijn talloze andere risico' s. Encryptie is er ook zo een. Als je geluk hebt, is er nog TLS op de verbinding, maar op een mailserver staan al die dossiers in 'plain tekst'. Er zijn ook instanties die Office 365 gebruiken, die dossiers staan dan 'plain' in de cloud.

Jaren geleden heb ik al een memo geschreven waarin ik dringend adviseer om te stoppen met gebruik van mail voor gevoelige dossiers (Jeugdzorg). Aanleiding was de decentralisastie van Jeugdzorg. Er was een lijst met meer dan 100 domeinnamen die handmatig(!) bijgehouden werd om veilig informatie via mail uit te wisselen. Je weet dat dat nooit goed kan gaan, dat is vragen om ongelukken.

Maar daar is toen niet op doorgepakt, dit zijn de gevolgen.

Ik heb ook vragen over de 5 jaar tussen naamsverandering en verlopen domein. Ik vermoed dat ze gewoon het nieuwe email domein op alle users erbij hebben gezet en primair gemaakt. De oude nooit verwijderd!

Dan blijft de oude mailfunctionaliteit dus in tact ! Anders moeten mensen al 5 jaar lang non-deliverables hebben gehad op oude mail adressen..... dat is dan de grootste fuck-up in deze lijkt mij.

Gebeurt aan de lopende band ook bij bedrijven. Verlopen certificaten en domeinnamen. Probeer eens degene te vinden in een bedrijf, die denkt verantwoordelijk te zijn voor het voorkomen daarvan.

Hoe vaak word je geconfronteerd met bijvoorbeeld een verlopen certificaat, bij een legitieme website ? ;)

Lijkt me niet, ken je het begrip ketenaansprakelijkheid ? Het feit dat ze het beheer uitbesteden aan een dienstverlener, ontslaat hen niet van verantwoordelijkheid.

Juist dus de dader ligt nu en meestal op het kerkhof.
Leuke boel, gaan we weer. Op naar het volgend incident.

Leidt ze maar op die frisse nieuwe IT medewerkers.
Waarom worden aan deze kritische zaken juist niet meer aandacht geschonken,
want het kost later ook niet zo een klein beetje aan materiele maar vooral immateriele schade.

#sockpuppet

Vecozo verzorgt dd declaraties van zorgverleners naar de verzekeraars vice versa. Bsn naam verzekeraar zijn daarbij legitiem benodigde gegevens. Het aantal zorgverleners 80.000 https://www.zorgkaartnederland.nl dan weet je dat de toegangsdefinities een keer in ander handen zullen vallen.

Beter is het om niet zo paniekerig over het bsn te doen.
Het enige doel is persoonsverwisselingen te minimaliseren.
Met door de werkgever aangeboden contracten al de kans groot dat je goede label van een van verzekeraars goed raad.

Nee het probleem is niet dat JeugdRIAGG een domein heeft laten verlopen maar dat Vecozo mailtjes verstuurt met
toegangsgegevens voor hun database zonder te (kunnen) weten wat er dan met die mailtjes gebeurt.
Dat is dus een brak systeem wat nu omvalt doordat iemand een domein heeft laten verlopen, maar waarmee ze ook
op allerlei andere manieren op hun bek hadden kunnen gaan.