Roemeens drinkwaterbedrijf krijgt boete voor datalek door To-veld in e-mail
Een Roemeens drinkwaterbedrijf heeft van de Roemeense privacytoezichthouder een AVG-boete van drieduizend euro gekregen omdat er bij het versturen van een e-mail geen gebruik was gemaakt van de BCC-optie, maar het To-veld. Daardoor waren de gebruikte e-mailadressen voor alle ontvangers zichtbaar. Het drinkwaterbedrijf waarschuwde de Roemeense privacytoezichthouder ANSPDCP, dat een onderzoek instelde.
Volgens de databeschermingsautoriteit bleek dat het datalek zich had voorgedaan door een menselijke fout, waarbij een medewerker van het drinkwaterbedrijf het To-veld in plaats van BCC had gebruikt. Hoeveel klanten slachtoffer van het datalek werden laat de ANSPDCP niet weten, maar de toezichthouder spreekt van een "aanzienlijk aantal personen".
Het onderzoek liet ook zien dat het drinkwaterbedrijf geen adequate technische en organisatorische maatregelen had genomen om voor een beveiligingsniveau te zorgen dat overeenkomt met het verwerkingsrisico. Daarmee heeft de onderneming verschillende leden van artikel 32 van de AVG overtreden, aldus de Privacytoezichthouder, die een boete van drieduizend euro passend vond.
Vertrouw jij emails waar jij in de bcc staat, als ze niet direct van een collega komen die jouw even “ter info” meeneemt?
De boete zal wel weer een schijntje zijn - zoals gebruikelijk een factor 10 tot 100 te laag. Daarmee blijft het een kosten afweging: het een keer fatsoenlijk organiseren of zo nu en dan een schijntje betalen. Dat laatste is het minste werk, dus dat blijft het.
Volgens de website van de Roemeense beschermingsautoriteit bedraagt de boete ongeveer 3000 euro (14.757 Roemeense lei). Of dat veel is voor een Apa Canal Ilfov SA, een organisatie met 500+ medewerkers (cijfers van 2021), dat laat ik in het midden.
Wat is dan het verschil tussen "Blind send" en BCC (met de B van Blind) ...?
Je bedoelde CC maar schreef BCC ..?
De boete zal wel weer een schijntje zijn - zoals gebruikelijk een factor 10 tot 100 te laag. Daarmee blijft het een kosten afweging: het een keer fatsoenlijk organiseren of zo nu en dan een schijntje betalen. Dat laatste is het minste werk, dus dat blijft het.
En wat doet "blind send" precies anders? Is het een aparte send-knop die alle adressen uit de e-mailheaders sloopt of zo? Waarom is dat superieur? In beide gevallen moet je iets doen om de adressen niet zichtbaar te maken voor de ontvanger. Bij Bcc zie je in de kopie van de e-mail die je zelf bewaart terug aan welke adressen die is gestuurd en hoe precies. Zie je in de met "blind send" verstuurde e-mail dat ook terug?
En over welke e-mailclient heb je het eigenlijk?
3.6. Field definitions
The destination fields of a message consist of three possible fields,
each of the same form: The field name, which is either "To", "Cc", or
"Bcc", followed by a comma-separated list of one or more addresses
(either mailbox or group syntax).
to = "To:" address-list CRLF
cc = "Cc:" address-list CRLF
bcc = "Bcc:" (address-list / [CFWS]) CRLF
The destination fields specify the recipients of the message. Each
destination field may have one or more addresses, and each of the
addresses indicate the intended recipients of the message. The only
difference between the three fields is how each is used.
The "To:" field contains the address(es) of the primary recipient(s)
of the message.
The "Cc:" field (where the "Cc" means "Carbon Copy" in the sense of
making a copy on a typewriter using carbon paper) contains the
addresses of others who are to receive the message, though the
content of the message may not be directed at them.
The "Bcc:" field (where the "Bcc" means "Blind Carbon Copy") contains
addresses of recipients of the message whose addresses are not to be
revealed to other recipients of the message. There are three ways in
which the "Bcc:" field is used. In the first case, when a message
containing a "Bcc:" field is prepared to be sent, the "Bcc:" line is
removed even though all of the recipients (including those specified
in the "Bcc:" field) are sent a copy of the message. In the second
case, recipients specified in the "To:" and "Cc:" lines each are sent
a copy of the message with the "Bcc:" line removed as above, but the
recipients on the "Bcc:" line get a separate copy of the message
containing a "Bcc:" line. (When there are multiple recipient
addresses in the "Bcc:" field, some implementations actually send a
separate copy of the message to each recipient with a "Bcc:"
containing only the address of that particular recipient.) Finally,
since a "Bcc:" field may contain no addresses, a "Bcc:" field can be
sent without any addresses indicating to the recipients that blind
copies were sent to someone. Which method to use with "Bcc:" fields
is implementation dependent, but refer to the "Security
Considerations" section of this document for a discussion of each.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
