AP ontvangt 75 datalekmeldingen na inbraak op Exchange-servers
De Autoriteit Persoonsgegevens heeft de afgelopen weken 75 meldingen van datalekken ontvangen die zijn veroorzaakt door inbraken op Microsoft Exchange-servers. De toezichthouder verwacht dat het werkelijke aantal datalekken veel hoger ligt en veel inbraken nog niet door organisaties zijn ontdekt.
Door vier kwetsbaarheden in Microsoft Exchange is het mogelijk om kwetsbare servers op afstand over te nemen en met malware te infecteren. Microsoft rolde op 2 maart noodpatches voor de beveiligingslekken uit, maar de kwetsbaarheden zijn al voor het uitkomen van de updates misbruikt. "Als criminelen eenmaal binnen zijn, gaan ze vaak een tijdje hun gang binnen het systeem van zo’n organisatie. Door ransomware-software te installeren, houden ze de organisatie in hun greep, zelfs nadat het lek gedicht is", aldus AP-voorzitter Aleid Wolfsen.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid meldde eerder deze week dat er nog twaalfhonderd kwetsbare Exchange-servers in Nederland zijn te vinden waarop de beveiligingsupdates niet zijn geïnstalleerd. Van deze machines moet worden aangenomen dat ze met malware zijn geïnfecteerd, zo waarschuwde het NCSC. De Autoriteit Persoonsgegevens vreest daarom dat er nog veel meer problemen zijn dan alleen de 75 binnengekomen datalekmeldingen.
Organisaties worden met klem door de privacytoezichthouder opgeroepen om hun systemen te controleren en alert te zijn op verdachte bewegingen binnen hun netwerk. Ook roept de Autoriteit Persoonsgegevens organisaties op om datalekken te melden. De AP merkt namelijk dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. Dat wordt bijvoorbeeld duidelijk als slachtoffers een klacht of tip bij de AP achterlaten.
"Dit is zeer ernstig. Want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen", merkt Wolfsen op. De Autoriteit Persoonsgegevens is bezig met onderzoek naar negen datalekken die niet op tijd zijn gemeld. Organisaties die een datalek te laat melden kunnen een boete krijgen.
Nog even en je moet aan de AP gaan melden en bijhouden wie je gezien en gebeld hebt. Een ander zou van die kennis misbruik kunnen maken. De totale controle over de burger in het kader van privacy is een thema van big brother.
Het achteraf betalen moet verboden worden, boter bij de vis, mensen die dat willen moeten gewoon weer naar een
bank in buurt kunnen, en ga zo maar verder. Banken, winkels, instanties die toch alles willen doen via internet zijn
zelf verantwoordelijk voor hun miskleunen.
Maar helaas de massa is goed gelovig en doen braaf wat hun wordt voorgekauwd, gaat het fout dan moeten zich
zich zelf verantwoorden voor wat andere fout hebben gedaan. Het is toch waanzinnig dat jij alles doet om je zelf te
beschermen en andere zorgen wel dat al je gegevens op straat komt te liggen.
Helaas we leven in een maatschappij waar het slachtoffer de dader is en de dader het slachtoffer, hier is al een discussie
over geweest.
Nog even en je moet aan de AP gaan melden en bijhouden wie je gezien en gebeld hebt. Een ander zou van die kennis misbruik kunnen maken. De totale controle over de burger in het kader van privacy is een thema van big brother.
Ook de inhoud van de mailboxen worden gelekt door middel van deze lekken. Komt niet in dit artikel naar voren, maar wel als je het hele verhaal hebt gevolgd. Dat is wel ernstig toch? Ik denk dat jij ook wel dingen in je mailbox hebt staan waar mee gefraudeerd kan worden.. Volgens mij heb je de zin er voor niet gelezen:
Als de organisatie zelf de gebruiker had ingelicht dan was de gebruiker waarschijnlijk niet naar het AP gestapt. En als de organisatie het wel had gemeld aan het AP, had die aan de gebruiker kunnen laten weten wat er aan de hand is.
Beetje verder denken dan je neus lang is Karma...
De meldingen van lekken via Exchange indien het door overheid organisaties betreft dan kunnen er natuurlijk indirect ook gegevens van particulieren bij geraakt zijn.
Zijn er al initiatieven om een gezamenlijke schadevergoeding te eisen van de maker van deze software van belabberde kwaliteit? Je kan natuurlijk aandragen dat je geen software voor licht consumentengebruik moet inzetten voor professionele toepassingen maar uiteindelijk is toch de fabrikant die dit aanbiedt voor dergelijk gebruik en zijn zij verantwoordelijk voor de deugdelijkheid in dat soort toepassingen. Keer op keer op keer op keer op keer op keer blijkt dat dit niet het geval is en ontstaan problemen met malware, ransomware en datalekken. Hoog tijd dus voor een stichting waarin slachtoffers zich verenigen en een gezamenlijke schadeclaim indienen! Neem bv. de stiching https://www.teslaclaim.nl/ als voorbeeld.
Dat is, neem het BSN, wettelijk onjuist. BIj gebruik van een BSN dient de verwerker een gedegen controle van de juiste persoon te doen. De AP frustreert die eis daar te stellen dat elke controle (biometrie) een privacyinbreuk zo zijn. De AP gaat zelfs tegen andere wetgeving in zoals PSD2 (europees) waar banken verplicht zijn een gedegen controle te doen.
Gan nu dat eens invullen dat de politie moet weten wanneer jij je huisdeur hebt afgesloten of niet, Als je het niet goed doet ben verwijtbaar nalatig voor diefstal. Als dat geopperd wordt zou men gaan steigeren wegens te veel inmenging in de privacy. De AP wordt geloofd met privacy activisme ook al neigt het naar een sleepnet.
Beetje verder denken dan je neus lang is Karma...
Er is niets complex aan als je het objectief bekijkt. De rechtszaak heeft grote kans van slagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
