Datalek gemeente Zoetermeer en Orde Midden-Nederland door cc-fout
Zowel de gemeente Zoetermeer als de Orde van Advocaten Midden-Nederland hebben door een cc-fout een datalek veroorzaakt. Vorige maand verstuurde de gemeente Zoetermeer een e-mail naar honderdtachtig ondernemers die een beroep deden op de Tozo5-regeling. De gemeente wilde via de e-mail vragen welke ondersteuning de ondernemers na de afloop van de coronamaatregelen nodig hadden.
"Bij het versturen van de e-mail zijn per abuis de e-mailadressen in de cc opgenomen in plaats van de bcc. Daarmee is een datalek ontstaan. De e-mail is zo snel mogelijk ingetrokken, dit heeft echter niet kunnen voorkomen dat de mailadressen bekend zijn geworden bij een aantal ontvangers", melden burgemeester Bezuijen en wethouder Van Driel in een memo aan de gemeenteraad (pdf).
Na ontdekking van het datalek en het intrekken van de e-mail is opnieuw een e-mail gestuurd naar de ontvangers, waarin uitgelegd is wat er is gebeurd en waarin excuses zijn gemaakt. Het datalek is vervolgens gemeld bij de functionaris gegevensbescherming. "Na zorgvuldige afweging is besloten het incident niet bij de Autoriteit Persoonsgegevens te melden omdat de nadelige gevolgen van het datalek als beperkt worden ingeschat", stelt het stadsbestuur.
Het college zegt het datalek te betreuren. "Bescherming van persoonsgegevens staat hoog op de agenda en het college blijft zich hiervoor inzetten om herhaling in de toekomst te voorkomen."
Orde van Advocaten
Een soortgelijk datalek deed zich afgelopen maandag voor bij de Orde van Advocaten Midden-Nederland. De orde had aan bijna driehonderd advocatenkantoren een herinnering via e-mail gestuurd om hun financiële kengetallen aan te leveren. De ongeveer 275 mailadressen waren echter in het cc-veld geplaatst en zo voor alle ontvangers zichtbaar, meldt Advocatie.
De Raad van de Orde Midden-Nederland laat in een reactie weten dat er geen sprake is van een meldingsplichtig datalek. "Uiteraard zijn de noodzakelijke maatregelen genomen om dit in de toekomst te voorkomen en is het datalek geregistreerd in ons datalekregister." De verantwoordelijk strafjurist van de Orde stuurde gisteren een excuusmail. "Het spijt mij vreselijk dat deze fout is gemaakt en ik bied daar mijn verontschuldigingen voor aan. Wij zullen alle noodzakelijke maatregelen nemen om dit in de toekomst te voorkomen."
Wordt bcc verwijderd uit de opties om zo persoonlijke mails te verplichten?
De bedoeling is dat er een default maximum aantal zichtbare adressen komt (To en CC) waarboven je een mail niet
kunt versturen. Niet. Ook niet met een dialoogje waarmee het toch mogelijk is.
Wel is er nog strijd over of dat default maximum gemakkelijk moet kunnen worden aangepast door de gebruiker of
alleen via een pref.
Kijk als dit gereleased is zou er mee kunnen worden gewapperd naar Microsoft met het argument dat hun mailprogramma
een datalekker is en dat (en hoe) de "concurrentie" het wel goed voor elkaar heeft. Wellicht volgen die dan.
Dit soort maatregelen heeft uiteraard alleen zin als het default zo is dus niet pas als er een systeembeheerder of een
slimme gebruiker ergens iets geconfigureerd heeft, daarom is het zo belangrijk dat het maximum een default waarde
is van bijvoorbeeld 10. Dit soort fouten wordt dan niet meer gemaakt. Mensen die mails aan heel veel anderen willen
sturen worden verplicht BCC te gebruiken anders krijgen ze de mail niet de deur uit.
(heeft ook het voordeel dat er niet zo gemakkelijk reply-storms ontstaan in bedrijven waar iedereen altijd "reply to all" doet)
Kijk als dit gereleased is zou er mee kunnen worden gewapperd naar Microsoft met het argument dat hun mailprogramma
een datalekker is en dat (en hoe) de "concurrentie" het wel goed voor elkaar heeft. Wellicht volgen die dan.
Zonder vrachtwagenrijbewijs mag je niet in een vrachtwagen rijden.
Ruk dingen alsjeblieft niet uit z'n verband. Staat zo dom.
Ik vrag me af wat voor maatregelen ze kunnen treffen om dit niet meer te laten gebeuren. Volgens mij valt dit niet uit te sluiten (mits je email blijft gebruiken)
Ik vrag me af wat voor maatregelen ze kunnen treffen om dit niet meer te laten gebeuren. Volgens mij valt dit niet uit te sluiten (mits je email blijft gebruiken)
Denk aan software die je hier tegen beschermt zoals Egress.
99,9 % van de reageerders zullen minimaal 1 keer de fout hebben gemaakt dat ze een mail hebben verstuurd naar de verkeerde of dat ze bcc verkeerd hebben gebruikt.
99,9 % van de reageerders zullen minimaal 1 keer de fout hebben gemaakt dat ze een mail hebben verstuurd naar de verkeerde of dat ze bcc verkeerd hebben gebruikt.
Wordt bcc verwijderd uit de opties om zo persoonlijke mails te verplichten?
Het zou andersom moeten zijn, AAN moet verwijderd worden zodra je meer dan één mailadres invult naar een domein buiten je eigen domein, dat is toch niet moeilijk om software matig te controleren....
(dat dit niet gewoon bestaat is eigenlijk vreemd)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
