image

Coronatestbedrijf lekt opnieuw persoonsgegevens, dit keer via e-mailfout

dinsdag 20 juli 2021, 13:32 door Redactie, 14 reacties

Het Coronatestbedrijf Testcoronanu heeft opnieuw persoonsgegevens van mensen gelekt, dit keer via een e-mailfout. De VVD heeft demissionair ministers Grapperhaus van Justitie en Veiligheid, De Jonge van Volksgezondheid en Van Nieuwenhuizen van Infrastructuur en Waterstaat om opheldering gevraagd.

Testcoronanu kwam vorige week in het nieuws nadat bleek dat de database van het bedrijf voor iedereen op internet toegankelijk was. Daardoor was het mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Zo konden er valse toegangswijzen binnen de CoronaCheck-app worden gegenereerd. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen. Zondag besloot Testcoronanu alle locaties te sluiten. Mensen die een afspraak hadden werden hier via e-mail over ingelicht, maar het testbedrijf plaatste alle e-mailadressen in de cc, zodat die voor alle ontvangers zichtbaar waren, meldt RTL-journalist Daniel Verlaan op Twitter.

Eerder liet minister De Jonge al weten dat het pentestrapport naar de beveiliging van de door Testcoronanu gebruikte systemen zal worden onderzocht. Naar aanleiding van het nieuwe datalek en de penetratietest hebben VVD-Kamerleden Rajkowski en Aukje de Vries om opheldering gevraagd. "Klopt het dat Testcoronanu een (tweede data)lek heeft veroorzaakt door alle emailadressen van de mensen waarvan hun coronatest werd geannuleerd, in de CC te zetten? Hoe beoordeelt u dit?", vragen ze aan de ministers.

De drie bewindslieden moeten ook duidelijk maken welke eisen worden gesteld aan de pentest van testaanbieders, wat die met de uitkomsten moeten doen en hoe de overheid hierop toeziet. Om op CoronaCheck te worden aangesloten moeten testaanbieders aan de aansluitvoorwaarden voldoen. Hiervoor moet onder andere een rapport van een penetratietest worden aangeleverd.

"Softwarecode is doorgaans aan verandering onderhevig, welke criteria stelt u aan het opnieuw uitvoeren van een pentest na het wijzigen van de softwarecode?", vragen Rajkowski en De Vries verder, die tevens willen weten of de bewijsstukken van alle aanbieders worden onderzocht voordat ze worden aangesloten. "Zo ja, hoe worden de bewijsstukken gecontroleerd en beoordeeld?", vragen de Kamerleden.

Als laatste moeten De Jonge, Grapperhaus en Van Nieuwenhuizen laten weten of ze de bevindingen van het onderzoek naar de aangeleverde stukken, zoals een Data Protection Impact Assessment (DPIA) en pentestrapportage met de Tweede Kamer willen delen en wanneer die zijn te verwachten. De ministers hebben drie weken de tijd om de vragen te beantwoorden.

Reacties (14)
20-07-2021, 13:33 door Anoniem
Het houdt niet op, niet vanzelf...
20-07-2021, 13:36 door Anoniem
Maar het testbedrijf plaatste alle e-mailadressen in de cc, zodat die voor alle ontvangers zichtbaar waren, meldt RTL-journalist Daniel Verlaan op Twitter.
Há,..dat wordt wel een hele flinke FACEPALM zeg...
20-07-2021, 13:39 door Anoniem
Nou zeg, als je dit al niet goed doet (CC gebruiken in plaats van BCC) dan stel je als bedrijf ook niet veel voor. Jammer om dit te moeten zeggen overigens.
20-07-2021, 14:01 door Anoniem
Het zou toch fijn zijn als een mail client een te configureren waarde X heeft waarbij je zegt "U heeft X mensen in de CC staan, is dit echt te bedoeling? We verplaatsen de namen alvast even naar de BCC." Dat zal stellig te omzeilen zijn met maisld die via een andere client worden verstuurd (of via de command prompt), maar deze fout blijft maar gemaakt worden, keer op keer op keer. Iedereen mag de fout zelf nog een keer opnieuw uitvinden... Een vergelijkbare optie zouden ze in Windows in moeten bouwen tegen ransomware. "We blokkeren even deze actie, want er worden nu meer dan X bestanden versleuteld in een tijdsperiode van Y seconden. Benader uw systeembeheerder".
20-07-2021, 14:51 door RuudU
Door Anoniem: Het houdt niet op, niet vanzelf...

Nee.
Hoog tijd dat we onveilig werken gewoon strafbaar gaan stellen. Preventieve evaluaties! Er dient gewoon een overheidsinstantie te komen die regelmatig bedrijven bezoekt en keiharde boetes uitdeelt. Er hoort gewoon in elk bedrijf een policy te zijn die gebruik van gevoelige zaken zoals in dit geval e-mail, alleen toestaat aan daarvoor gekwalificeerd personeel. Een heel adresboek in CC zetten? Dat kan ik van mijn oma van 80 of mijn kleindochter van 10 verwachten. Maar een firma die met persoonsgegevens omgaat, behoort al een vette boete te krijgen als ongekwalificeerd personeel toegang tot die gegevens blijkt te hebben.
20-07-2021, 14:55 door RuudU
Door Anoniem: Nou zeg, als je dit al niet goed doet (CC gebruiken in plaats van BCC) dan stel je als bedrijf ook niet veel voor. Jammer om dit te moeten zeggen overigens.

Dat is niet het bedrijf als zodanig, maar een medewerker met een IQ van 80. Uiteindelijk zijn ze natuurlijk wel verantwoordelijk. Probleem is de crimineel met de naam "Ervaring". Die zeht vaak tegen mij: "Waarom zo moeilijk? Nog noch een probleem me gehad". Ha ja voor de veiligheid dus? Ja maar...
Op dat moment moer er een "ja maar knuppel" uit de zak komen.
20-07-2021, 15:19 door spatieman
bedrijf simpelweg permanent sluiten....
20-07-2021, 16:02 door Anoniem
Beetje suf om aan de minister te gaan vragen hoe het kan dat bij bedrijf X een of andere tiepmiep niet met haar
Outlook kan omgaan...

Als je dan iets wilt bereiken vraag dan liever aan de minister of ie bij Microsoft kan vragen dit soort acties (een nieuw
opgestelde mail met een groot aantal CC adressen) onmogelijk te maken in hun software. Dan helpt het tenminste
nog iets. Nu gaan scoren met "zelfs dat kunnen ze niet bij Testcoronanu" dat heeft totaal geen nut.
20-07-2021, 16:40 door Anoniem
Door RuudU: Dat is niet het bedrijf als zodanig, maar een medewerker met een IQ van 80.
Met een IQ van 130 kan het je ook overkomen, hoor. Ook als je uitstekend weet dat je Bcc moet gebruiken en waarom kan een ongeluk in een klein hoekje zitten. Ook intelligente mensen worden wel eens net op het verkeerde moment gestoord, hebben wel eens hun dag niet, kunnen gevoelig zijn voor stress, noem maar op.

Kan het zijn dat je dit soort dingen beoordeelt vanuit hoe je het zelf zou doen als jij op je best bent? Daar gaat het al mis: je bent niet altijd op je best, en je bent ook wel eens op je slechtst. Dát is wanneer dit soort dingen misgaan, en dat is dan ook een betere maatstaf. Waarbij je wel realistisch en eerlijk genoeg moet zijn om je eigen zwakke momenten niet weg te cijferen.

Dit gaat gewoon fout zolang e-mailsystemen niet voorkomen dat het fout gaat. Iets waarin mensen inherent foutgevoelig zijn is bij uitstek iets om met betrouwbare hulpmiddelen te verbeteren, en in dit geval zijn de gebruikte hulpmiddelen e-mailsystemen. Ik vind het onbegrijpelijk dat de makers van voor zover ik overzie alle e-mailsoftware hier niet allang oplossingen voor bedacht hebben. Maar misschien redeneren die allemaal zoals jij: dat het dom is om fouten te maken en dat de oplossing ligt bij niet dom zijn. Dat klopt alleen niet, het gaat hier om heel andere dingen dan dom zijn.
20-07-2021, 18:11 door Anoniem
Door Anoniem: Nou zeg, als je dit al niet goed doet (CC gebruiken in plaats van BCC) dan stel je als bedrijf ook niet veel voor. Jammer om dit te moeten zeggen overigens.
Geldt dat ook voor een bedrijf die hun adressenboek, met adressen van klanten, upload naar linkedin?
20-07-2021, 19:23 door Anoniem
Door Anoniem: Het zou toch fijn zijn als een mail client een te configureren waarde X heeft waarbij je zegt "U heeft X mensen in de CC staan, is dit echt te bedoeling? We verplaatsen de namen alvast even naar de BCC." Dat zal stellig te omzeilen zijn met maisld die via een andere client worden verstuurd (of via de command prompt), maar deze fout blijft maar gemaakt worden, keer op keer op keer. Iedereen mag de fout zelf nog een keer opnieuw uitvinden... Een vergelijkbare optie zouden ze in Windows in moeten bouwen tegen ransomware. "We blokkeren even deze actie, want er worden nu meer dan X bestanden versleuteld in een tijdsperiode van Y seconden. Benader uw systeembeheerder".
Zijn gewoon scripts, softwarepaketten voor sinds begin der digitale tijden.

We hebben ook een lijst met document nummers en tags die nooit per mail verstuurd mogen worden naar extern domein (denk aan interne regelementen of directie strategie) als dat wel gebeurt krijgen we alert wordt IP user geblocked gaat belletje naar teamleider en nemen we verdere maatregelen waar nodig.
20-07-2021, 20:14 door Anoniem
Tip: gebruik de tips van https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-goede-bulkmail-lijkt-niet-op-phishingmail en dit soort fouten worden onmogelijk.

Daar staat namelijk puntje 10: Aanhef. Gebruik de naam van de ontvanger in de aanhef van de e-mail als deze bekend is. Phishingmails beginnen veelal met generieke begroetingen ('Dear customer') of met de gebruikersnaam ('Dear gebruiker123').

En als je dat punt goed wilt uitvoeren dan kun je dus nooit CC of BCC bulk-mailings doen.
Realiseren kan gewoon met mailmerge in Word als je MKB bent.

Sla je twee vliegen in 1 klap: en je klant ontvangt een persoonlijke e-mail en dit soort datalekken horen tot het verleden.
20-07-2021, 21:22 door Anoniem
Door Anoniem: Nou zeg, als je dit al niet goed doet (CC gebruiken in plaats van BCC) dan stel je als bedrijf ook niet veel voor. Jammer om dit te moeten zeggen overigens.
De kern van de fout is natuurlijk dat je geen fatsoenlijke email tool hebt en dergelijke trucjes moet uithalen. Een beetje tool kent gewoon een 'blind send'. Prutsers. Maar wel eh... geaccrediteerd.

Ik blijf het zeggen: gecertificeerd is een ander woord voor disfunctioneel of incapabel.
25-07-2021, 13:46 door Anoniem
Laat me raden vermoedelijk was de verzender psycho-loog . Als ict-er kom ik er wel eens tegen op een hr afdeling .
Eerste les hoe open ik een mail, :meneer mijn computer komputer is kapot het scherm ziet zwart ? Dus is het onderwerp snel hoe start ik een computer op. Laat je die mensen een bijlage openen of nog maar een mail sturen dan weet wat je kan krijgen. En daar ben je programmeur voor

Met een diploma hoe re-produseer ik een silabus kom je niet ver in een bedrijf. Of hun kennis papegaai talen waar google dit ook kan , dat is dan ook het enigste nuttige aan dat bedrijf.

Die pentesten maken het af , dat zal de oplossing zijn :van buitenaf proberen in te breken om de problemen van binnenuit op te lossen.
Een ontslagbrief was mogelijks betere optie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.