NAM lekt persoonsgegevens 19.000 gedupeerden aardbevingsschade
De Nederlandse Aardolie Maatschappij (NAM) heeft de persoonsgegevens van 19.000 mensen gelekt die zijn gedupeerd door aardbevingsschade. Aanvallers wisten toegang te krijgen tot de Accellion File Transfer Appliance (FTA)-server van de NAM, zo laat de maatschappij op de eigen website weten.
De NAM gebruikt de FTA-server voor het uitwisselen van bestanden. Afgelopen december maakten aanvallers gebruik van verschillende zerodaylekken om toegang tot FTA-servers van organisaties te krijgen. Nadat er toegang was verkregen installeerden de aanvallers een webshell om hun toegang te behouden en gegevens te stelen. Op 21 december rolde Accellion een hotfix voor de kwetsbaarheden uit.
De afgelopen weken maakten verschillende organisaties bekend dat ze slachtoffer van een inbraak op hun FTA-server waren geworden. In het geval van de NAM werd de FTA-server gebruikt om het Instituut Mijnbouwschade Groningen (IMG) informatie te verstrekken met gegevens over de afhandeling van waardedalingsclaims. Door de inbraak is deze informatie in handen van aanvallers gekomen. Het gaat om persoons- en adresgegevens.
"Wij adviseren u uit voorzorg de komende periode extra alert te zijn op verdachte berichten via e-mail, telefoon of ander communicatiemiddelen. Ga nooit op deze berichten in en klik niet op onbekende links. Wij benadrukken dat NAM of uw eigen bank nooit telefonisch, per mail, per WhatsApp of op welke andere wijze dan ook zal vragen om pincodes, persoonlijke inloggegevens of om overboekingen tussen bankrekeningen of andere vertrouwelijke financiële handelingen uit te voeren", zo laat de NAM aan slachtoffers van het datalek weten.
De Nederlandse Aardolie Maatschappij zegt het datalek te betreuren. "Vanzelfsprekend is dit datalek volstrekt onacceptabel. Wij betreuren deze situatie dan ook enorm. Wij doen er alles aan om herhaling van dergelijke aard te voorkomen."
Eerder lieten securitybedrijf Qualys, de centrale bank van Nieuw-Zeeland, de Australian Securities and Investments Commission (ASIC), de Amerikaanse staat Washington, de Amerikaanse supermarktketen Kroger en advocatenkantoor Jones Day weten dat er op hun FTA-server was ingebroken.
En zit ie nou ook lekker na tegenieten van wachtgeld of heeft ie daar nadrukkelijk zelf afstand van gedaan toen ie onlangs aftrad?
Om over de capaciteit en wanorde bij de software en servers van de belastingdienst achter de schermen nog maar te zwijgen.
Ik dacht dat ze in de energie zaten..zal wel door corona komen dat ze nu ook in persoonsgegevens..han...
Als instanties zoals de NAM beschikken over vertrouwelijke persoonsgegevens, moeten ze ook de infrastructuur zodanig opzetten dat ze er verantwoordelijk mee om (kunnen) gaan.
Misschien wordt het tijd om managers die denken dat "de cloud" altijd beter en goedkoper is te vervangen door ter zake deskundige ICT'ers.
Een klein kind laat je ook niet met vuur spelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
