Harde schijf met data 30.000 mensen gestolen bij gemeente Amsterdam
Een harde schijf met de gegevens van 30.000 mensen is gestolen uit een pand van Belastingen Amsterdam, dat heeft de Amsterdamse wethouder financiën Victor Everhardt in een brief aan de gemeenteraad laten weten (pdf). De harde schijf zat in een computer die wordt gebruikt voor het scannen van inkomende poststukken.
Uit onderzoek blijkt dat de gestolen harde schijf scans van documenten bevat die in de periode juli 2020 tot en met maart 2021 per post zijn gestuurd door zo'n 30.000 belastingplichtigen. Het gaat om uiteenlopende documenten, waaronder bezwaren, aangiftes en verzoeken om kwijtschelding, waarbij bijvoorbeeld contactgegevens, kopieën van ID-bewijzen en zorgpolisbladen kunnen zijn meegestuurd. De opgeslagen informatie verschilt van geval tot geval.
Everhardt merkt op dat de schijf is voorzien van "authenticatie-beveiliging" en de gegevens niet zomaar kunnen worden uitgelezen. "Gelet op het risico dat de beveiliging is of wordt omzeild en de gegevens kunnen worden doorverkocht of gebruikt voor oplichting en (identiteits)fraude, wordt de diefstal van de schijf behandeld als een datalek conform de voorschriften van de Autoriteit Persoonsgegevens", aldus de wethouder.
De gemeente heeft op 7 april aangifte bij de politie gedaan en zal alle gedupeerde inwoners vanaf volgende week via een brief informeren. In deze brief wordt aangegeven dat betrokkenen contact op kunnen nemen met Belastingen Amsterdam om uit te laten zoeken welke documenten het in hun geval betreft. Ook raadt de gemeente Amsterdam gedupeerden aan om alert te zijn op facturen, telefoontjes, appjes en e-mails van zowel bekende als onbekende afzenders.
Afsluitend meldt Everhardt dat er geen documenten verloren zijn gegaan. Eerder opgestuurde poststukken hoeven dus niet opnieuw te worden gestuurd.
Reacties (39)
Nou, ik raad al de uitkomst van een onderzoek naar deze diefstal : "is niet meer te achterhalen".
Die disk is toch gewoon met full disk encryption beveiligd.
Toch?
Ohnee. Windows password. Want het zijn ambtenaren, dus dat is veilig.
Er zal wel weer een boete van 50 cent per persoon uitrollen. In plaats van 50k per persoon ofzo.
Toch?
Ohnee. Windows password. Want het zijn ambtenaren, dus dat is veilig.
Er zal wel weer een boete van 50 cent per persoon uitrollen. In plaats van 50k per persoon ofzo.
"authenticatie-beveiliging"... wat is *dat* dan weer?
Zeg nou gewoon transparant of dat ding versleuteld is (zoals zou moeten) of niet.
Misschien onbedoeld, maar "authenticatie-beveiliging" klinkt als een term om de argeloze voorbijganger zand in de ogen te strooien.
Zeg nou gewoon transparant of dat ding versleuteld is (zoals zou moeten) of niet.
Misschien onbedoeld, maar "authenticatie-beveiliging" klinkt als een term om de argeloze voorbijganger zand in de ogen te strooien.
16-04-2021, 17:38 door
Erik van Straten
Een schijf "voorzien van authenticatie-beveiliging", een "datakluis-systeem" waarin "enkel nog gegevens worden opgeslagen/gewijzigd, maar kunnen geen gegevens meer worden ingezien" - 1 april duurt wel erg lang dit jaar.
Door Erik van Straten: Een schijf "voorzien van authenticatie-beveiliging", een "datakluis-systeem" waarin "enkel nog gegevens worden opgeslagen/gewijzigd, maar kunnen geen gegevens meer worden ingezien" - 1 april duurt wel erg lang dit jaar.
+1Door Erik van Straten: Een schijf "voorzien van authenticatie-beveiliging", een "datakluis-systeem" waarin "enkel nog gegevens worden opgeslagen/gewijzigd, maar kunnen geen gegevens meer worden ingezien" - 1 april duurt wel erg lang dit jaar.
+2. Klinkt als een "stijgende nulgroei".Een harde schijf met de gegevens van 30.000 mensen is gestolen uit een pand van Belastingen Amsterdam, dat heeft de Amsterdamse wethouder financiën Victor Everhardt in een brief aan de gemeenteraad laten weten (pdf). De harde schijf zat in een computer die wordt gebruikt voor het scannen van inkomende poststukken.
Uit onderzoek blijkt dat de gestolen harde schijf scans van documenten bevat die in de periode juli 2020 tot en met maart 2021 per post zijn gestuurd door zo'n 30.000 belastingplichtigen.
Uit onderzoek blijkt dat de gestolen harde schijf scans van documenten bevat die in de periode juli 2020 tot en met maart 2021 per post zijn gestuurd door zo'n 30.000 belastingplichtigen.
Waarom werden dit soort scans langere tijd op een harde schijf in een PC bewaard?
Waarom niet op een onderdeel van het netwerk, waarvan de storage gebackupped wordt en achter slot en grendel zit.
Voldoet dit wel aan het beveiligingsbeleid van de gemeente? Of was er een hobbyist bij belastingen solo bezig?
Als enkel een versleutelde harddisk met persoonsgegevens gestolen wordt waarvan de sleutel zich niet op die harddisk bevindt, moet dat dan ook als datalek worden aangegeven bij AP?
Deze HD is gestolen uit een computer ik weet niet of dit nalatigheid is, maar wat ik wel weet is dat we
heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
en of deze HD goed is beveiligd is maar een vraag als ik dit zo lees.
Als ik de reacties op meerdere site lees over die datalek bij allekabels lijkt er toch op dat mensen gaan begrijpen
wat een datalek kan inhouden, en nu maar hopen dat de gegevens op deze HD niet gebruikt kunnen worden om
te frauderen.
heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
Gelet op het risico dat de beveiliging is of wordt omzeild
Op deze HD staan alle gegevens op om mensen het leven zuur te maken en ze hebben hier geen schuld aan,en of deze HD goed is beveiligd is maar een vraag als ik dit zo lees.
Afsluitend meldt Everhardt dat er geen documenten verloren zijn gegaan. Eerder opgestuurde poststukken hoeven dus niet opnieuw te worden gestuurd.
Deze opmerking komt bij mij over als we hebben toch iets goed geregeld, wat een opmerking.Als ik de reacties op meerdere site lees over die datalek bij allekabels lijkt er toch op dat mensen gaan begrijpen
wat een datalek kan inhouden, en nu maar hopen dat de gegevens op deze HD niet gebruikt kunnen worden om
te frauderen.
Door Anoniem: "authenticatie-beveiliging"... wat is *dat* dan weer?
Zeg nou gewoon transparant of dat ding versleuteld is (zoals zou moeten) of niet.
Misschien onbedoeld, maar "authenticatie-beveiliging" klinkt als een term om de argeloze voorbijganger zand in de ogen te strooien.
Zeg nou gewoon transparant of dat ding versleuteld is (zoals zou moeten) of niet.
Misschien onbedoeld, maar "authenticatie-beveiliging" klinkt als een term om de argeloze voorbijganger zand in de ogen te strooien.
Welkom2020 , dat is de authenticatie-beveiliging.
Die wethouder Financiën weet niet dat je helemaal geen wachtwoord hoeft te gebruiken als de disk niet volledig versleuteld is.
Door Anoniem: Die disk is toch gewoon met full disk encryption beveiligd.
Toch?
Ohnee. Windows password. Want het zijn ambtenaren, dus dat is veilig.
Er zal wel weer een boete van 50 cent per persoon uitrollen. In plaats van 50k per persoon ofzo.
Toch?
Ohnee. Windows password. Want het zijn ambtenaren, dus dat is veilig.
Er zal wel weer een boete van 50 cent per persoon uitrollen. In plaats van 50k per persoon ofzo.
En die boete van 50k pp wie gaat dat betalen? Oh wacht, belastinggeld dus de Amsterdammers zelf.
Dat is de fucking pest met die klungelende overheden.
Everhardt merkt op dat de schijf is voorzien van "authenticatie-beveiliging" en de gegevens niet zomaar kunnen worden uitgelezen.
Nou, ik ken wel twee-factor authenticatie, maar of dit ook wordt bedoeld door de wethouder, is mij niet duidelijk geworden na het lezen van zijn brief. Mogelijk wordt dus een gewone authenticatie bedoeld, en mogelijk is de zaak ook niet versleuteld. Dat zou ook verklaren waarom van een "omzeiling" van de beveiliging wordt gesproken en de gegevens dus door derden kunnen worden ingezien. Als dat laatste klopt, dan heeft de gemeente Amsterdam wel een erg groot probleem.Ze gaan mij toch niet vertellen dat de Belastingdienst het wachtwoord Welkom2021 heeft gebruikt hè?
Ik lees op de website van AT5 (Amsterdam) dat er sprake zou zijn geweest van twee-staps-verificatie. Dat is mooi, maar ik lees nergens dat de gegevens versleuteld zijn met AES bijvoorbeeld. Misschien dat we daar wel meer over gaan horen de komende dagen? Dus redactie, stay tuned zou ik zeggen.
https://www.at5.nl/artikelen/208489/harde-schijf-met-persoonlijke-gegevens-30-duizend-amsterdammers-gestolen-uit-pand-gemeente
https://www.at5.nl/artikelen/208489/harde-schijf-met-persoonlijke-gegevens-30-duizend-amsterdammers-gestolen-uit-pand-gemeente
De harde schijf zat in een computer.
Ik stel mij zo voor: bak open, schroevendraaier, prutsen, bak weer dicht. Vingerafdrukken genoeg. Waarom niet de computer zelf meenemen.
En hoe weet iemand dat ie in die ene computer moet zijn. Een inside-job misschien?
Ik stel mij zo voor: bak open, schroevendraaier, prutsen, bak weer dicht. Vingerafdrukken genoeg. Waarom niet de computer zelf meenemen.
En hoe weet iemand dat ie in die ene computer moet zijn. Een inside-job misschien?
16-04-2021, 23:32 door
Erik van Straten
Door Anoniem: Als enkel een versleutelde harddisk met persoonsgegevens gestolen wordt waarvan de sleutel zich niet op die harddisk bevindt, moet dat dan ook als datalek worden aangegeven bij AP?
De term "datalek" dekt de lading onvoldoende. Als persoonsgegevens onbedoeld verloren gaan en de organisatie er geen up-to-date en restorable back-up van heeft, is ook sprake van een "inbreuk in verband met persoonsgegevens" (in de volksmond "datalek" genoemd).Ook is er m.i. sprake van een datalek indien een versleutelde harddisk met persoonsgegevens gestolen wordt waarvan de sleutel zich niet op die harddisk bevindt, doch het wachtwoord "12345" luidt of sterker is maar op een post-it aan het scherm stond (of de dader een medewerker is die het wachtwoord kent), of als er van zwakke versleuteling zoals ROT-13 of AES in ECB mode gebruik gemaakt wordt.
Door Anoniem: Als enkel een versleutelde harddisk met persoonsgegevens gestolen wordt waarvan de sleutel zich niet op die harddisk bevindt, moet dat dan ook als datalek worden aangegeven bij AP?
Ja. Het gaat om de bron data die AVG plichtig is. De genomen maatregelen om die data te beschermen doen er niet toe want die kunnen immers falen. Wel is het zo dat als de maatregelen goed waren de AP natuurlijk kan afzien van nader onderzoek.
Door Anoniem: Deze HD is gestolen uit een computer ik weet niet of dit nalatigheid is, maar wat ik wel weet is dat we
heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
Is een beetje een rare conclusie uit dit voorval. Met meer recht zou je kunnen stellen dat het sturen van papierenheel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
17-04-2021, 00:37 door
Erik van Straten
Door Anoniem: Ik lees op de website van AT5 (Amsterdam) dat er sprake zou zijn geweest van twee-staps-verificatie. Dat is mooi, maar ik lees nergens dat de gegevens versleuteld zijn met AES bijvoorbeeld.
Uit https://www.at5.nl/artikelen/208489/harde-schijf-met-persoonlijke-gegevens-30-duizend-amsterdammers-gestolen-uit-pand-gemeente:Volgens de gemeente is de schijf voorzien van authenticatie-beveiliging (twee-staps-verificatie) wat inhoudt dat de bestanden niet meteen kunnen worden uitgelezen.
In de brief aan de gemeenteraad waar de redactie bovenaan deze pagina naar verwijst, staat niets over twee-staps-verificatie. Dit lijkt mij een "vertaling" van iemand bij AT5.Maar sowieso vermoed ik dat met "authenticatie-beveiliging" bestandspermissies worden bedoeld (als de betreffende bestanden of de hele schijf fatsoenlijk versleuteld zou(den) zijn, zouden ze daar in A'dam wel heel suf zijn om dat niet te vermelden en was de hele ophef niet nodig geweest).
Oftewel, waarschijnlijk kunnen alleen medewerkers die lid zijn van de groep "Postkamer" o.i.d. bij deze bestanden (naast root of leden van de local groep Administrators). Al zouden leden van de groep "Postkamer" zich met een wachtwoord, irisscan en pas in een paslezer moeten authenticeren, dan maakt dat niks uit voor die bestandspermissies; die beschermen die data voor ongeautoriseerde toegang zolang die schijf gekoppeld is aan een draaiend besturingssysteem dat die bestandspermissies op de juiste manier interpreteert en handhaaft.
Zodra je zo'n schijf aan een PC met besturingssysteem hangt waarop jij root bent of lid van de groep Administrators (en dat ben je of kun je worden als je zelf dat besturingssysteem hebt geïnstalleerd), kun je bij elke bit op die schijf (desnoods met een diskeditor). Mocht het om NTFS gaan, Administrators de toegangsrechten zijn ontnomen en je via verkenner bestanden willen benaderen, dan kun je, na "take ownership", jezelf weer toegangsrechten geven. Da's geen beveiliging maar een hobbeltje.
Kortom, bestandspermissies bieden geen enkele bescherming tegen ongeautoriseerde toegang als een opslagmedium aan een besturingssysteem wordt gekoppeld dat die bestandspermissies negeert of waarin iemand anders root is, lid is van de groep Administrators of op andere wijze "alles mag" (zoals onder DOS met een diskeditor). Nb. dus ook als een schijf niet wordt gestolen maar bijv. een schoonmaker op de betreffende PC een besturingssysteem naar keuze kan starten (bijv. vanaf een USB memory-stick), bieden bestandspermissies geen beveiliging meer.
Everhardt (Amsterdamse wethouder financiën) merkt op dat de schijf is voorzien van "authenticatie-beveiliging"
Zo da's toch knap geregeld....De schijf is beveiligd tegen authenticatie ??
Ik moet er niet aan denken dat mijn betaalrekening zo zou zijn 'beveiligd'. In een oogwenk was het saldo minimaal € 0,00
En die boete van 50k pp wie gaat dat betalen? Oh wacht, belastinggeld dus de Amsterdammers zelf.
De organisatie bestaat daarna niet meer.Precies zoals het zou horen bij dergelijke blunders.
Is een beetje een rare conclusie uit dit voorval. Met meer recht zou je kunnen stellen dat het sturen van papieren
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
Ik begrijp uit jou reactie dat je geen weet heb wat deze ‘lek’ kan inhouden voor de getroffen. Wees blij dat jij nog brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
niet bij deze mensen hoort die het wel weten, er zijn die door een hel gegaan en zij wordt verantwoordelijk gehouden
voor iets wat je niet in de hand hebt.
Ik ben ervan overtuigd dat het een kwestie van tijd is voor wij het allemaal komen te weten. En hier op deze site is
het net als voetbal, in de rust wordt er verteld wat er allemaal fout ging en hoe het beter moet. Als je weet hoe het
gros van de mensen denkt dan begrijp je ook dat dit nooit te voorkomen is en daarmee bedoel ik mee hoe onze
hersenen werken. En zeker zijn er hier reacties geplaatst door slimme mensen en die ook begrijpen waar het over gaat.
Ik ben benieuwd hoe jij denkt hoe al deze datalekken kunnen worden voor komen zie ook reactie van 22:51.
En ik ben het met hem eens, een HD is heel snel verwijdert alleen ook normaal heel snel ontdekt maar dat kan
ik hier niet beoordelen.
En wat bij die papieren betreft, ik krijg een mail van de belastingdienst dat er een bericht is in mijn box en een paar
dagen later komt dat zelfde bericht via een brief in mijn brievenbus. Mijn vraag is dan ook wat bedoelt je met het
afschaffen van brieven ondanks dat dit steeds werkt.
Maar alles moet via internet want een klein moet toch ook ergens groot in worden en die dat beslissen weten helaas
niet waar ze over praten.
Door Anoniem:
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
Door Anoniem: Deze HD is gestolen uit een computer ik weet niet of dit nalatigheid is, maar wat ik wel weet is dat we heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
Is een beetje een rare conclusie uit dit voorval. Met meer recht zou je kunnen stellen dat het sturen van papierennaar face to face identificatie.
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
Ook dat is een vreemde conclusie. Want alle computers waar dagelijks op gewerkt wordt staan in dat beveiligde rekencentrum?
De scans van binnenkomende post (in dit geval belasting gerelateerd) hoeven helemaal niet permanent opgeslagen te worden op de harddisk van een scan-pc of een belasting-afdeling pc. Dat kan direct op storage van het beveiligde datacentrum.
Al was het maar omdat een losse schijf in een PC kan crashen. Ook dan ben je je data kwijt.
En dezelfde slimmerik die deze constructie bedacht heeft, kan de digitale stukken die via internet binnenkomen ook lokaal gaan opslaan. Wat (be)let hem? Lekker makkelijk, al die dubbele lokale archiefjes. (Tot het is gaat)
Een betere oplossing is om de gebruikers geen toegang tot de lokale schijven van hun PCs te geven. Bij opstarten meteen de applicatie (die naar het netwerk kijkt) of citrix starten.
Door Erik van Straten:
Maar sowieso vermoed ik dat met "authenticatie-beveiliging" bestandspermissies worden bedoeld (als de betreffende bestanden of de hele schijf fatsoenlijk versleuteld zou(den) zijn, zouden ze daar in A'dam wel heel suf zijn om dat niet te vermelden en was de hele ophef niet nodig geweest).
Oftewel, waarschijnlijk kunnen alleen medewerkers die lid zijn van de groep "Postkamer" o.i.d. bij deze bestanden (naast root of leden van de local groep Administrators). Al zouden leden van de groep "Postkamer" zich met een wachtwoord, irisscan en pas in een paslezer moeten authenticeren, dan maakt dat niks uit voor die bestandspermissies; die beschermen die data voor ongeautoriseerde toegang zolang die schijf gekoppeld is aan een draaiend besturingssysteem dat die bestandspermissies op de juiste manier interpreteert en handhaaft.
Zodra je zo'n schijf aan een PC met besturingssysteem hangt waarop jij root bent of lid van de groep Administrators (en dat ben je of kun je worden als je zelf dat besturingssysteem hebt geïnstalleerd), kun je bij elke bit op die schijf (desnoods met een diskeditor). Mocht het om NTFS gaan, Administrators de toegangsrechten zijn ontnomen en je via verkenner bestanden willen benaderen, dan kun je, na "take ownership", jezelf weer toegangsrechten geven. Da's geen beveiliging maar een hobbeltje.
Kortom, bestandspermissies bieden geen enkele bescherming tegen ongeautoriseerde toegang als een opslagmedium aan een besturingssysteem wordt gekoppeld dat die bestandspermissies negeert of waarin iemand anders root is, lid is van de groep Administrators of op andere wijze "alles mag" (zoals onder DOS met een diskeditor). Nb. dus ook als een schijf niet wordt gestolen maar bijv. een schoonmaker op de betreffende PC een besturingssysteem naar keuze kan starten (bijv. vanaf een USB memory-stick), bieden bestandspermissies geen beveiliging meer.
Luister eens Erik, ik sluit helemaal niets uit. Ik ga altijd uit van de stelling: "als dit klopt", of "als dit waar is". Of het ook klopt, daar kan ik op dit moment helemaal niets over zeggen. De ene bron zegt "authenticatie" de andere bron zegt "twee-staps-verificatie". Ga maar uitzoeken (dat is overigens altijd met de pers) wie er nu gelijk heeft en wie niet.Door Anoniem: Ik lees op de website van AT5 (Amsterdam) dat er sprake zou zijn geweest van twee-staps-verificatie. Dat is mooi, maar ik lees nergens dat de gegevens versleuteld zijn met AES bijvoorbeeld.
Uit https://www.at5.nl/artikelen/208489/harde-schijf-met-persoonlijke-gegevens-30-duizend-amsterdammers-gestolen-uit-pand-gemeente:Volgens de gemeente is de schijf voorzien van authenticatie-beveiliging (twee-staps-verificatie) wat inhoudt dat de bestanden niet meteen kunnen worden uitgelezen.
In de brief aan de gemeenteraad waar de redactie bovenaan deze pagina naar verwijst, staat niets over twee-staps-verificatie. Dit lijkt mij een "vertaling" van iemand bij AT5.Maar sowieso vermoed ik dat met "authenticatie-beveiliging" bestandspermissies worden bedoeld (als de betreffende bestanden of de hele schijf fatsoenlijk versleuteld zou(den) zijn, zouden ze daar in A'dam wel heel suf zijn om dat niet te vermelden en was de hele ophef niet nodig geweest).
Oftewel, waarschijnlijk kunnen alleen medewerkers die lid zijn van de groep "Postkamer" o.i.d. bij deze bestanden (naast root of leden van de local groep Administrators). Al zouden leden van de groep "Postkamer" zich met een wachtwoord, irisscan en pas in een paslezer moeten authenticeren, dan maakt dat niks uit voor die bestandspermissies; die beschermen die data voor ongeautoriseerde toegang zolang die schijf gekoppeld is aan een draaiend besturingssysteem dat die bestandspermissies op de juiste manier interpreteert en handhaaft.
Zodra je zo'n schijf aan een PC met besturingssysteem hangt waarop jij root bent of lid van de groep Administrators (en dat ben je of kun je worden als je zelf dat besturingssysteem hebt geïnstalleerd), kun je bij elke bit op die schijf (desnoods met een diskeditor). Mocht het om NTFS gaan, Administrators de toegangsrechten zijn ontnomen en je via verkenner bestanden willen benaderen, dan kun je, na "take ownership", jezelf weer toegangsrechten geven. Da's geen beveiliging maar een hobbeltje.
Kortom, bestandspermissies bieden geen enkele bescherming tegen ongeautoriseerde toegang als een opslagmedium aan een besturingssysteem wordt gekoppeld dat die bestandspermissies negeert of waarin iemand anders root is, lid is van de groep Administrators of op andere wijze "alles mag" (zoals onder DOS met een diskeditor). Nb. dus ook als een schijf niet wordt gestolen maar bijv. een schoonmaker op de betreffende PC een besturingssysteem naar keuze kan starten (bijv. vanaf een USB memory-stick), bieden bestandspermissies geen beveiliging meer.
Feit is, zoals het nu uitziet, dat er ontstellend is geblunderd. De externe harde schijven van mij zijn versleuteld met AES-128. Sommige bestanden die op die harde schijven staan en gevoelig zijn, zijn met een andere module versleuteld met AES-256. Ik geef ze dus heel erg weinig kans dit te kunnen kraken en de gegevens in te zien. Maar aangezien beide bronnen uit Amsterdam hierover zwijgen, ga ik er maar van uit dat er alleen een wachtwoord is gebruikt, en mogelijk ook nog een wachtwoord dat makkelijk te kraken is. Wie weet kunnen we over een bepaalde tijd zeggen: "zie je wel, ze hebben de gegevens van de mensen toch ingezien."
Door Anoniem:
niet bij deze mensen hoort die het wel weten, er zijn die door een hel gegaan en zij wordt verantwoordelijk gehouden
voor iets wat je niet in de hand hebt.
Je begrijpt helemaal NIETS van mijn reactie! Ik heb het niet over getroffenen, ik heb het over de rare conclusie dat Is een beetje een rare conclusie uit dit voorval. Met meer recht zou je kunnen stellen dat het sturen van papieren
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
Ik begrijp uit jou reactie dat je geen weet heb wat deze ‘lek’ kan inhouden voor de getroffen. Wees blij dat jij nog brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
niet bij deze mensen hoort die het wel weten, er zijn die door een hel gegaan en zij wordt verantwoordelijk gehouden
voor iets wat je niet in de hand hebt.
het "allemaal door internet komt" terwijl internet hier helemaal niet bij betrokken is, het gaat over verwerking van
papieren brieven. Je weet wel, die stukken platgemaakt hout die volgens de internet-haters zoveel beter waren!
Door Anoniem:
Ook dat is een vreemde conclusie. Want alle computers waar dagelijks op gewerkt wordt staan in dat beveiligde rekencentrum?
Is niet relevant toch? het gaat voor dit soort incidenten over waar de informatie opgeslagen is, en dat is alsDoor Anoniem:
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
Door Anoniem: Deze HD is gestolen uit een computer ik weet niet of dit nalatigheid is, maar wat ik wel weet is dat we heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
Is een beetje een rare conclusie uit dit voorval. Met meer recht zou je kunnen stellen dat het sturen van papierennaar face to face identificatie.
brieven naar de gemeente moet worden afgeschaft, omdat deze voor efficiente verwerking moeten worden gescand
en dit uiteindelijk geleid heeft tot het probleem.
Als alles "via internet" verlopen was dan was er vast geen computer geweest buiten een beveiligd datacentrum waar
dergelijke documenten op verzameld waren. Stelen van een schijf is dan veel lastiger.
Ook dat is een vreemde conclusie. Want alle computers waar dagelijks op gewerkt wordt staan in dat beveiligde rekencentrum?
het proces via internet loopt meestal niet een computer ergens op een bureau.
De scans van binnenkomende post (in dit geval belasting gerelateerd) hoeven helemaal niet permanent opgeslagen te worden op de harddisk van een scan-pc of een belasting-afdeling pc. Dat kan direct op storage van het beveiligde datacentrum.
Al was het maar omdat een losse schijf in een PC kan crashen. Ook dan ben je je data kwijt.
Men schrijft dat het laatste geen issue is, de data is niet kwijt.Al was het maar omdat een losse schijf in een PC kan crashen. Ook dan ben je je data kwijt.
En ik neem aan dat het eerste komt door het gebruik van een off-the-shelf pakket wat "nou eenmaal zo werkt".
Dwz je scant de brief, de PDF komt op de lokale schijf en wordt dan tevens doorgezet naar een of ander achterliggend
systeem, echter het off-the-shelf pakket wist niet de tijdelijke lokale copie.
Een betere oplossing is om de gebruikers geen toegang tot de lokale schijven van hun PCs te geven. Bij opstarten meteen de applicatie (die naar het netwerk kijkt) of citrix starten.
Zeker is dat beter, alleen gaat dat waarschijnlijk niet werken op "een scan PC". Je begrijpt helemaal NIETS van mijn reactie! Ik heb het niet over getroffenen
Mijn reactie ging daarover dus ging ik daar over door, en hoe met deze slachtoffers wordt omgegaan vind ik belangrijk.Door Anoniem:
En ik neem aan dat het eerste komt door het gebruik van een off-the-shelf pakket wat "nou eenmaal zo werkt".
Dwz je scant de brief, de PDF komt op de lokale schijf en wordt dan tevens doorgezet naar een of ander achterliggend
systeem, echter het off-the-shelf pakket wist niet de tijdelijke lokale copie.
De scans van binnenkomende post (in dit geval belasting gerelateerd) hoeven helemaal niet permanent opgeslagen te worden op de harddisk van een scan-pc of een belasting-afdeling pc. Dat kan direct op storage van het beveiligde datacentrum.
Al was het maar omdat een losse schijf in een PC kan crashen. Ook dan ben je je data kwijt.
Men schrijft dat het laatste geen issue is, de data is niet kwijt.Al was het maar omdat een losse schijf in een PC kan crashen. Ook dan ben je je data kwijt.
En ik neem aan dat het eerste komt door het gebruik van een off-the-shelf pakket wat "nou eenmaal zo werkt".
Dwz je scant de brief, de PDF komt op de lokale schijf en wordt dan tevens doorgezet naar een of ander achterliggend
systeem, echter het off-the-shelf pakket wist niet de tijdelijke lokale copie.
Nou, het systeem dat wij op kantoor gebruiken (off the shelf) heeft dat probleem niet.
Netjes configueerbaar. En geen tijdelijke lokale kopien.
En zeker geen historie van een jaar.
Door Anoniem:
Een betere oplossing is om de gebruikers geen toegang tot de lokale schijven van hun PCs te geven. Bij opstarten meteen de applicatie (die naar het netwerk kijkt) of citrix starten.
Zeker is dat beter, alleen gaat dat waarschijnlijk niet werken op "een scan PC".Onze scan-PC op akntoor heeft daar geen last van. Dus ja, het kan wel.
Aannames zijn leuk, maar waar baseer je jouw aannames op?
Ik op mijn kennis en ervaring.
"Authenticatiebeveiliging" zou moeten gaan over een beveiliging die verifieert of de persoon die de data probeert te benaderen wel bevoegd is om die data te benaderen.
Zo ja, dan wordt door het systeem toegang tot de data verleent.
Dit zegt echter niets over hoe die data op de harde schijf is georganiseerd,
en het zegt dus ook niets over de vraag of de data op die harde schijf wel of niet was versleuteld. (encryptie).
Zelfs als het zou gaan om een 2-factor-authenticatie-beveiliging zegt dit helemaal niets over de eventuele (on)mogelijkheid van het kunnen uitlezen van data direct van de harde schijf in geval deze harde schijf bijvoorbeeld in een andere computer zou worden geplaatst.
Wat er toe doet, is of de data sterk encrypted op de harde schijf terecht komt of niet,
en zo ja: of de dief wel of niet beschikt over de "sleutel" om die data weer te kunnen ontsleutelen.
Zo ja, dan wordt door het systeem toegang tot de data verleent.
Dit zegt echter niets over hoe die data op de harde schijf is georganiseerd,
en het zegt dus ook niets over de vraag of de data op die harde schijf wel of niet was versleuteld. (encryptie).
Zelfs als het zou gaan om een 2-factor-authenticatie-beveiliging zegt dit helemaal niets over de eventuele (on)mogelijkheid van het kunnen uitlezen van data direct van de harde schijf in geval deze harde schijf bijvoorbeeld in een andere computer zou worden geplaatst.
Wat er toe doet, is of de data sterk encrypted op de harde schijf terecht komt of niet,
en zo ja: of de dief wel of niet beschikt over de "sleutel" om die data weer te kunnen ontsleutelen.
Er zal zich wel een "brute force authenticatie expert" over gebogen hebben en zich de data hebben eigengemaakt.
Even 'ge-Hydra-at' en de gegevens liggen vervolgens op de Dam.
De analoge poppenkast van weleer daar verplaatst zich geleidelijk naar het digitale theater van 'elckerlyc'.
Misschien zaten zijn of haar data er ook wel tussen?
Dit gaat wel van kwaad tot erger. De grote afbraak ten behoeve van Build Back Better is echt al begonnen.
Je kunt immers van een digitale wolvenroedel niet verwachten,
dat ze zoals zo vaak al beloofd, nu echt vegetariër gaan worden.
Geen kans, no way.
Men wil eventjes kijken, hoe "pn3w3d" het er overal in den lande al voor staat.
Bizar, dat wel, maar "sign of the times".
Met later de door/voor hen gewenste uitslag en resultaat.
Ik kan het ook niet helpen, het is ons uiteindelijke lot simpel zat,
#sockpuppet
Even 'ge-Hydra-at' en de gegevens liggen vervolgens op de Dam.
De analoge poppenkast van weleer daar verplaatst zich geleidelijk naar het digitale theater van 'elckerlyc'.
Misschien zaten zijn of haar data er ook wel tussen?
Dit gaat wel van kwaad tot erger. De grote afbraak ten behoeve van Build Back Better is echt al begonnen.
Je kunt immers van een digitale wolvenroedel niet verwachten,
dat ze zoals zo vaak al beloofd, nu echt vegetariër gaan worden.
Geen kans, no way.
Men wil eventjes kijken, hoe "pn3w3d" het er overal in den lande al voor staat.
Bizar, dat wel, maar "sign of the times".
Met later de door/voor hen gewenste uitslag en resultaat.
Ik kan het ook niet helpen, het is ons uiteindelijke lot simpel zat,
#sockpuppet
Door Anoniem: "Authenticatiebeveiliging" zou moeten gaan over een beveiliging die verifieert of de persoon die de data probeert te benaderen wel bevoegd is om die data te benaderen.
Zo ja, dan wordt door het systeem toegang tot de data verleent.
Dit zegt echter niets over hoe die data op de harde schijf is georganiseerd,
en het zegt dus ook niets over de vraag of de data op die harde schijf wel of niet was versleuteld. (encryptie).
Zelfs als het zou gaan om een 2-factor-authenticatie-beveiliging zegt dit helemaal niets over de eventuele (on)mogelijkheid van het kunnen uitlezen van data direct van de harde schijf in geval deze harde schijf bijvoorbeeld in een andere computer zou worden geplaatst.
Wat er toe doet, is of de data sterk encrypted op de harde schijf terecht komt of niet,
en zo ja: of de dief wel of niet beschikt over de "sleutel" om die data weer te kunnen ontsleutelen.
Zo ja, dan wordt door het systeem toegang tot de data verleent.
Dit zegt echter niets over hoe die data op de harde schijf is georganiseerd,
en het zegt dus ook niets over de vraag of de data op die harde schijf wel of niet was versleuteld. (encryptie).
Zelfs als het zou gaan om een 2-factor-authenticatie-beveiliging zegt dit helemaal niets over de eventuele (on)mogelijkheid van het kunnen uitlezen van data direct van de harde schijf in geval deze harde schijf bijvoorbeeld in een andere computer zou worden geplaatst.
Wat er toe doet, is of de data sterk encrypted op de harde schijf terecht komt of niet,
en zo ja: of de dief wel of niet beschikt over de "sleutel" om die data weer te kunnen ontsleutelen.
Precies!
Ik denk dat de betrokken manager het zich "verkeerd herinnert"
Joh ze hadden een keer Amsterdam Sloterdijk UWV alle pcs opengehaald en daar ook de schijven van ontvreemd. Moest angstvallig stilgehouden worden...
waren ze gewoon met een trap naar de eerste etage gekomen
stelletje schijnh..
waren ze gewoon met een trap naar de eerste etage gekomen
stelletje schijnh..
Door Anoniem: De harde schijf zat in een computer.
Ik stel mij zo voor: bak open, schroevendraaier, prutsen, bak weer dicht. Vingerafdrukken genoeg. Waarom niet de computer zelf meenemen.
En hoe weet iemand dat ie in die ene computer moet zijn. Een inside-job misschien?
Broeha...ik geloof er geen snars van die die schijf is gestolen. Er is toch geen inbreker die een 'schijf' uit een PC gaat halen; dan zou die de hele PC wel meenemen.Ik stel mij zo voor: bak open, schroevendraaier, prutsen, bak weer dicht. Vingerafdrukken genoeg. Waarom niet de computer zelf meenemen.
En hoe weet iemand dat ie in die ene computer moet zijn. Een inside-job misschien?
Iets in mij zegt dat ze deze schijf gewoon zijn kwijtgeraakt; een scenario is dat een techneut een disk nodig had en die uit dit systeem heeft gehaald om elders in te zetten. Niemand weet dus waar die disk is en als je moet vertellen dat je geen idee hebt waar die disk is, is dat heel knullig. Dus een of andere communicatieadviseur heeft geopperd om het als diefstal te omschrijven.
Enige diefstal die ik nog kan voorstellen is dat een techneut van de gemeente 'm als 'leuk voor thuis' heeft meegenomen. Als het een dure SSD is, is dat denkbaar scenario.
Maar linksom of rechtsom, het is wederom een datalek...
Hoe kan een schijf met dergelijke data (schijnbaar) tamelijk eenvoudig en ongemerkt gestolen worden?
18-04-2021, 22:29 door
Briolet
Door Anoniem:Broeha...ik geloof er geen snars van die die schijf is gestolen. Er is toch geen inbreker die een 'schijf' uit een PC gaat halen; dan zou die de hele PC wel meenemen.
Voor zo'n PC krijg je hooguit een paar honderd euro. En dan moet je hem ook nog ongezien naar buiten krijgen. De data op de HDD kan duizenden euro waard zijn en die stop je gewoon in je binnenzak en loopt langs de portier naar buiten.
Door Briolet: Voor zo'n PC krijg je hooguit een paar honderd euro. En dan moet je hem ook nog ongezien naar buiten krijgen.
Waarom ongezien.
Ik ben wel eens bij een klant met een printer (laserjet, draagbaar, maar toen duur) fluitend naar buiten gelopen.
Hoi tegen de bewaking én de receptioniste gezegd. Kreeg geen enkele vraag over die printer in mijn armen. Terwijl dit een uitzonderlijke situatie was. Dit gebeurde nooit daar. Ik ging als consultant via de voordeur. ITers normaal gesproken via de achterdeur.
Door Anoniem: "authenticatie-beveiliging"... wat is *dat* dan weer?
Zeg nou gewoon transparant of dat ding versleuteld is (zoals zou moeten) of niet.
Misschien onbedoeld, maar "authenticatie-beveiliging" klinkt als een term om de argeloze voorbijganger zand in de ogen te strooien.
Ik zal het wel even epibreren https://nl.wikipedia.org/wiki/EpibrerenZeg nou gewoon transparant of dat ding versleuteld is (zoals zou moeten) of niet.
Misschien onbedoeld, maar "authenticatie-beveiliging" klinkt als een term om de argeloze voorbijganger zand in de ogen te strooien.
Van een organisatie die bedrijven zomaar apparatuur aan haar netwerk aan laat sluiten, admin-wachtwoorden uit een woordenboek (fruitsoort) kiest, en ditzelfde wachtwoord als snmp community string gebruikte, moet je geen hoge verwachtingen hebben
Door Anoniem: Deze HD is gestolen uit een computer ik weet niet of dit nalatigheid is, maar wat ik wel weet is dat we
heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
heel anders moeten omgaan met alles te regelen via internet. Dat wil dus kort samengevat zeggen terug
naar face to face identificatie.
Dit heeft niets met internet te maken. Zelf *moest* ik documenten opsturen per post (waaronder een scan van mijn paspoort), omdat dit niet via internet te regelen was. Had dit gewoon gekunt, net als andere zaken, door identificatie met DigiD, dan zouden mijn gegevens niet potentieel op straat liggen nu.
Zelf *moest* ik documenten opsturen per post (waaronder een scan van mijn paspoort), omdat dit niet via internet te regelen was.
Daarom schrijf ik ook face to face, dit soort gegevens via post of internet versturen is niet veilig maar ik begrijp wel dat er velen dit niet met me eens zijn. Ik zelf krijg er de kriebels van alleen al als ik er aan moet denken om
deze gegevens via internet of post moet versturen.
En bijvoorbeeld banken sluiten liever hun kantoren om de winstmarge om hoog te krijgen ten behoeve van hun aandeelhouders. Klanten zijn niet meer interessant, zij krijgen zowat gratis geld van de EU en over x aantal jaren
komen ze erachter dat het hele systeem niet meer werkt.
Maar is het ook niet zo dat boeven vangen begint met ze geen kans te geven om iets te stelen en op internet gaat
dit vrij gemakkelijk, lees maar de velen reacties ook deze op de site.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
