Coronatestbedrijf lekt opnieuw persoonsgegevens, dit keer via e-mailfout
Het Coronatestbedrijf Testcoronanu heeft opnieuw persoonsgegevens van mensen gelekt, dit keer via een e-mailfout. De VVD heeft demissionair ministers Grapperhaus van Justitie en Veiligheid, De Jonge van Volksgezondheid en Van Nieuwenhuizen van Infrastructuur en Waterstaat om opheldering gevraagd.
Testcoronanu kwam vorige week in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen. Zondag besloot Testcoronanu alle locaties te sluiten. Mensen die een afspraak hadden werden hier via e-mail over ingelicht, maar het testbedrijf plaatste alle e-mailadressen in de cc, zodat die voor alle ontvangers zichtbaar waren, meldt RTL-journalist Daniel Verlaan op Twitter.
Eerder liet minister De Jonge al weten dat het pentestrapport naar de beveiliging van de door Testcoronanu gebruikte systemen zal worden onderzocht. Naar aanleiding van het nieuwe datalek en de penetratietest hebben VVD-Kamerleden Rajkowski en Aukje de Vries om opheldering gevraagd. "Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?", vragen ze aan de ministers.
De drie bewindslieden moeten ook duidelijk maken welke eisen worden gesteld aan de pentest van testaanbieders, wat die met de uitkomsten moeten doen en hoe de overheid hierop toeziet. Om op CoronaCheck te worden aangesloten moeten testaanbieders aan de aansluitvoorwaarden voldoen. Hiervoor moet onder andere een rapport van een penetratietest worden aangeleverd.
"Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?", vragen Rajkowski en De Vries verder, die tevens willen weten of de bewijsstukken van alle aanbieders worden onderzocht voordat ze worden aangesloten. "Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?", vragen de Kamerleden.
Als laatste moeten De Jonge, Grapperhaus en Van Nieuwenhuizen laten weten of ze de bevindingen van het onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer willen delen en wanneer die zijn te verwachten. De ministers hebben drie weken de tijd om de vragen te beantwoorden.
Nee.
Hoog tijd dat we onveilig werken gewoon strafbaar gaan stellen. Preventieve evaluaties! Er dient gewoon een overheidsinstantie te komen die regelmatig bedrijven bezoekt en keiharde boetes uitdeelt. Er hoort gewoon in elk bedrijf een policy te zijn die gebruik van gevoelige zaken zoals in dit geval e-mail, alleen toestaat aan daarvoor gekwalificeerd personeel. Een heel adresboek in CC zetten? Dat kan ik van mijn oma van 80 of mijn kleindochter van 10 verwachten. Maar een firma die met persoonsgegevens omgaat, behoort al een vette boete te krijgen als ongekwalificeerd personeel toegang tot die gegevens blijkt te hebben.
Dat is niet het bedrijf als zodanig, maar een medewerker met een IQ van 80. Uiteindelijk zijn ze natuurlijk wel verantwoordelijk. Probleem is de crimineel met de naam "Ervaring". Die zeht vaak tegen mij: "Waarom zo moeilijk? Nog noch een probleem me gehad". Ha ja voor de veiligheid dus? Ja maar...
Op dat moment moer er een "ja maar knuppel" uit de zak komen.
Outlook kan omgaan...
Als je dan iets wilt bereiken vraag dan liever aan de minister of ie bij Microsoft kan vragen dit soort acties (een nieuw
opgestelde mail met een groot aantal CC adressen) onmogelijk te maken in hun software. Dan helpt het tenminste
nog iets. Nu gaan scoren met "zelfs dat kunnen ze niet bij Testcoronanu" dat heeft totaal geen nut.
Kan het zijn dat je dit soort dingen beoordeelt vanuit hoe je het zelf zou doen als jij op je best bent? Daar gaat het al mis: je bent niet altijd op je best, en je bent ook wel eens op je slechtst. Dát is wanneer dit soort dingen misgaan, en dat is dan ook een betere maatstaf. Waarbij je wel realistisch en eerlijk genoeg moet zijn om je eigen zwakke momenten niet weg te cijferen.
Dit gaat gewoon fout zolang e-mailsystemen niet voorkomen dat het fout gaat. Iets waarin mensen inherent foutgevoelig zijn is bij uitstek iets om met betrouwbare hulpmiddelen te verbeteren, en in dit geval zijn de gebruikte hulpmiddelen e-mailsystemen. Ik vind het onbegrijpelijk dat de makers van voor zover ik overzie alle e-mailsoftware hier niet allang oplossingen voor bedacht hebben. Maar misschien redeneren die allemaal zoals jij: dat het dom is om fouten te maken en dat de oplossing ligt bij niet dom zijn. Dat klopt alleen niet, het gaat hier om heel andere dingen dan dom zijn.
We hebben ook een lijst met document nummers en tags die nooit per mail verstuurd mogen worden naar extern domein (denk aan interne regelementen of directie strategie) als dat wel gebeurt krijgen we alert wordt IP user geblocked gaat belletje naar teamleider en nemen we verdere maatregelen waar nodig.
Daar staat namelijk puntje 10: Aanhef. Gebruik de naam van de ontvanger in de aanhef van de e-mail als deze bekend is. Phishingmails beginnen veelal met generieke begroetingen ('Dear customer') of met de gebruikersnaam ('Dear gebruiker123').
En als je dat punt goed wilt uitvoeren dan kun je dus nooit CC of BCC bulk-mailings doen.
Realiseren kan gewoon met mailmerge in Word als je MKB bent.
Sla je twee vliegen in 1 klap: en je klant ontvangt een persoonlijke e-mail en dit soort datalekken horen tot het verleden.
Ik blijf het zeggen: gecertificeerd is een ander woord voor disfunctioneel of incapabel.
Eerste les hoe open ik een mail, :meneer mijn computer komputer is kapot het scherm ziet zwart ? Dus is het onderwerp snel hoe start ik een computer op. Laat je die mensen een bijlage openen of nog maar een mail sturen dan weet wat je kan krijgen. En daar ben je programmeur voor
Met een diploma hoe re-produseer ik een silabus kom je niet ver in een bedrijf. Of hun kennis papegaai talen waar google dit ook kan , dat is dan ook het enigste nuttige aan dat bedrijf.
Die pentesten maken het af , dat zal de oplossing zijn :van buitenaf proberen in te breken om de problemen van binnenuit op te lossen.
Een ontslagbrief was mogelijks betere optie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
