Nieuws

AP ontvangt 75 datalekmeldingen na inbraak op Exchange-servers

vrijdag 19 maart 2021, 17:18 door Redactie, 9 reacties

De Autoriteit Persoonsgegevens heeft de afgelopen weken 75 meldingen van datalekken ontvangen die zijn veroorzaakt door inbraken op Microsoft Exchange-servers. De toezichthouder verwacht dat het werkelijke aantal datalekken veel hoger ligt en veel inbraken nog niet door organisaties zijn ontdekt.

Door vier kwetsbaarheden in Microsoft Exchange is het mogelijk om kwetsbare servers op afstand over te nemen en met malware te infecteren. Microsoft rolde op 2 maart noodpatches voor de beveiligingslekken uit, maar de kwetsbaarheden zijn al voor het uitkomen van de updates misbruikt. "Als criminelen eenmaal binnen zijn, gaan ze vaak een tijdje hun gang binnen het systeem van zo’n organisatie. Door ransomware-software te installeren, houden ze de organisatie in hun greep, zelfs nadat het lek gedicht is", aldus AP-voorzitter Aleid Wolfsen.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid meldde eerder deze week dat er nog twaalfhonderd kwetsbare Exchange-servers in Nederland zijn te vinden waarop de beveiligingsupdates niet zijn geïnstalleerd. Van deze machines moet worden aangenomen dat ze met malware zijn geïnfecteerd, zo waarschuwde het NCSC. De Autoriteit Persoonsgegevens vreest daarom dat er nog veel meer problemen zijn dan alleen de 75 binnengekomen datalekmeldingen.

Organisaties worden met klem door de privacytoezichthouder opgeroepen om hun systemen te controleren en alert te zijn op verdachte bewegingen binnen hun netwerk. Ook roept de Autoriteit Persoonsgegevens organisaties op om datalekken te melden. De AP merkt namelijk dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. Dat wordt bijvoorbeeld duidelijk als slachtoffers een klacht of tip bij de AP achterlaten.

"Dit is zeer ernstig. Want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen", merkt Wolfsen op. De Autoriteit Persoonsgegevens is bezig met onderzoek naar negen datalekken die niet op tijd zijn gemeld. Organisaties die een datalek te laat melden kunnen een boete krijgen.

Politie doorzoekt telefoonwinkel in onderzoek naar sim-swapping

Microsoft Defender beschermt Exchange-servers tegen kritiek lek

Reacties (9)

19-03-2021, 17:59 door karma4

Een mail adres of wat dan ook is niet hetzelfde als een wachtwoord.
Nog even en je moet aan de AP gaan melden en bijhouden wie je gezien en gebeld hebt. Een ander zou van die kennis misbruik kunnen maken. De totale controle over de burger in het kader van privacy is een thema van big brother.

19-03-2021, 19:22 door Anoniem

Hebben ze daar wel tijd voor dan, ze lopen toch 9 maand achter

19-03-2021, 19:27 door Anoniem

Dit is zeer ernstig. Want als mensen niet weten dat hun gegevens mogelijk in het bezit zijn van criminelen, kunnen zij geen maatregelen treffen. Zoals hun wachtwoord wijzigen of hun creditcard blokkeren. De schade kan dan flink oplopen", merkt Wolfsen op. De Autoriteit Persoonsgegevens is bezig met onderzoek naar negen datalekken die niet op tijd zijn gemeld. Organisaties die een datalek te laat melden kunnen een boete krijgen.

Dat internet niet veilig is wel bekend bij een klein groepje nu nog de massa, helaas zij geloven alles wat hun wordt wijsgemaakt.

Het achteraf betalen moet verboden worden, boter bij de vis, mensen die dat willen moeten gewoon weer naar een
bank in buurt kunnen, en ga zo maar verder. Banken, winkels, instanties die toch alles willen doen via internet zijn
zelf verantwoordelijk voor hun miskleunen.

Maar helaas de massa is goed gelovig en doen braaf wat hun wordt voorgekauwd, gaat het fout dan moeten zich
zich zelf verantwoorden voor wat andere fout hebben gedaan. Het is toch waanzinnig dat jij alles doet om je zelf te
beschermen en andere zorgen wel dat al je gegevens op straat komt te liggen.

Helaas we leven in een maatschappij waar het slachtoffer de dader is en de dader het slachtoffer, hier is al een discussie
over geweest.

19-03-2021, 19:49 door Anoniem

Door karma4: Een mail adres of wat dan ook is niet hetzelfde als een wachtwoord.
Nog even en je moet aan de AP gaan melden en bijhouden wie je gezien en gebeld hebt. Een ander zou van die kennis misbruik kunnen maken. De totale controle over de burger in het kader van privacy is een thema van big brother.

Ook de inhoud van de mailboxen worden gelekt door middel van deze lekken. Komt niet in dit artikel naar voren, maar wel als je het hele verhaal hebt gevolgd. Dat is wel ernstig toch? Ik denk dat jij ook wel dingen in je mailbox hebt staan waar mee gefraudeerd kan worden.. Volgens mij heb je de zin er voor niet gelezen:

De AP merkt namelijk dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. Dat wordt bijvoorbeeld duidelijk als slachtoffers een klacht of tip bij de AP achterlaten.

Als de organisatie zelf de gebruiker had ingelicht dan was de gebruiker waarschijnlijk niet naar het AP gestapt. En als de organisatie het wel had gemeld aan het AP, had die aan de gebruiker kunnen laten weten wat er aan de hand is.
Beetje verder denken dan je neus lang is Karma...

20-03-2021, 15:52 door Anoniem

Ik vraag me af of de voorzitter bepaalde meldingen als deze voorrang geeft in de behandeling BOVEN die van klacht-meldingen door burgers.
De meldingen van lekken via Exchange indien het door overheid organisaties betreft dan kunnen er natuurlijk indirect ook gegevens van particulieren bij geraakt zijn.

21-03-2021, 11:52 door [Account Verwijderd] - Bijgewerkt: 21-03-2021, 11:53

Zijn er al initiatieven om een gezamenlijke schadevergoeding te eisen van de maker van deze software van belabberde kwaliteit? Je kan natuurlijk aandragen dat je geen software voor licht consumentengebruik moet inzetten voor professionele toepassingen maar uiteindelijk is toch de fabrikant die dit aanbiedt voor dergelijk gebruik en zijn zij verantwoordelijk voor de deugdelijkheid in dat soort toepassingen. Keer op keer op keer op keer op keer op keer blijkt dat dit niet het geval is en ontstaan problemen met malware, ransomware en datalekken. Hoog tijd dus voor een stichting waarin slachtoffers zich verenigen en een gezamenlijke schadeclaim indienen! Neem bv. de stiching https://www.teslaclaim.nl/ als voorbeeld.

21-03-2021, 13:43 door karma4

Door Anoniem: Ook de inhoud van de mailboxen worden gelekt door middel van deze lekken. Komt niet in dit artikel naar voren, maar wel als je het hele verhaal hebt gevolgd. Dat is wel ernstig toch? Ik denk dat jij ook wel dingen in je mailbox hebt staan waar mee gefraudeerd kan worden..

De AP stelt dat het kunnen weten van iets van een ander tot verwijtbare fraude leidt.
Dat is, neem het BSN, wettelijk onjuist. BIj gebruik van een BSN dient de verwerker een gedegen controle van de juiste persoon te doen. De AP frustreert die eis daar te stellen dat elke controle (biometrie) een privacyinbreuk zo zijn. De AP gaat zelfs tegen andere wetgeving in zoals PSD2 (europees) waar banken verplicht zijn een gedegen controle te doen.

Volgens mij heb je de zin er voor niet gelezen:

De AP merkt namelijk dat organisaties lang niet alle datalekken melden die zij zouden moeten melden. Dat wordt bijvoorbeeld duidelijk als slachtoffers een klacht of tip bij de AP achterlaten.

[/quote]Wel zeker heb ik hen gelezen. De GDPR stelt dat er een datalek moet hebben plaatsgevonden. Je ziet een verschuiving dat een dat het AP dat ander invult met zou hebben kunnen plaatsvinden. Een kwetsbaarheid / hack betekent nog geen datalek.
Gan nu dat eens invullen dat de politie moet weten wanneer jij je huisdeur hebt afgesloten of niet, Als je het niet goed doet ben verwijtbaar nalatig voor diefstal. Als dat geopperd wordt zou men gaan steigeren wegens te veel inmenging in de privacy. De AP wordt geloofd met privacy activisme ook al neigt het naar een sleepnet.

Ik denk wat verder en zie de ontwikkeling richting stasi praktijken, daarvoor is de gdpr nooit bedoeld.

21-03-2021, 13:46 door karma4

Door Toje Fos: Zijn er al initiatieven om een gezamenlijke schadevergoeding te eisen van de maker van deze software van belabberde kwaliteit? Je kan natuurlijk aandragen dat je geen software voor licht consumentengebruik moet inzetten voor professionele toepassingen maar uiteindelijk is toch de fabrikant die dit aanbiedt voor dergelijk gebruik en zijn zij verantwoordelijk voor de deugdelijkheid in dat soort toepassingen. Keer op keer op keer op keer op keer op keer blijkt dat dit niet het geval is en ontstaan problemen met malware, ransomware en datalekken. Hoog tijd dus voor een stichting waarin slachtoffers zich verenigen en een gezamenlijke schadeclaim indienen! Neem bv. de stiching https://www.teslaclaim.nl/ als voorbeeld.

Het verhaal erachter met een bugzilla lek bij een vertrouwde partner is complexer dan je lief is. Hebben we hier te maken met wat saboteurs die nog een os oorlog aan het voeren zijn en bijkomende schade als goed voor hun zaak zien.?

21-03-2021, 22:52 door [Account Verwijderd]

Door karma4:

Door Toje Fos: ...

Er is niets complex aan als je het objectief bekijkt. De rechtszaak heeft grote kans van slagen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer