image

VodafoneZiggo waarschuwt klanten na datalek bij marktonderzoeker Blauw

woensdag 29 maart 2023, 12:10 door Redactie, 32 reacties

VodafoneZiggo waarschuwt klanten die meededen aan een tevredenheidsonderzoek voor een mogelijk datalek met hun gegevens. Aanleiding is het datalek bij marktonderzoeker Blauw, dat dergelijke onderzoeken voor onder andere VodafoneZiggo uitvoert. Het bedrijf maakt daarvoor gebruik van bepaalde software. De leverancier van deze software heeft te maken gekregen met een datalek.

Daarbij zijn mogelijk ook de gegevens die Blauw voor klanttevredenheidsonderzoeken verzamelt en verwerkt gestolen. Het gaat dan om gegevens die nodig zijn om mensen uit te nodigen om mee te doen aan het onderzoek, zoals namen, e-mailadressen en telefoonnummers, en de gegeven antwoorden in het onderzoek. Om welke softwareleverancier het gaat is niet bekendgemaakt.

Gisteren kwam de NS, dat ook van de diensten van Blauw gebruikmaakt, al met een soortgelijke waarschuwing. De Efteling, Albert Heijn, Etos, bol.com en Vattenfall zijn ook klant bij Blauw, maar hebben nog niet aangegeven of ze door het datalek zijn getroffen, zo meldt het AD. Het marktonderzoeksbedrijf heeft al melding bij de Autoriteit Persoonsgegevens gedaan.

Reacties (32)
29-03-2023, 13:24 door Bass850 - Bijgewerkt: 29-03-2023, 13:41
Blaauw geeft aan dat het lek bij hun IT leverancier heeft plaatsgevonden. Nergens te vinden welke IT leverancier aan wordt gerefereerd. Weet iemand dat? Is het nebu.com?
29-03-2023, 13:28 door Anoniem
Dus prive gegevens zijn bij een leverancier van een leverancier van ziggo gekomen.
Alleen dat is al belachelijk
29-03-2023, 13:36 door Anoniem
Op de Ons Team pagina geeft men aan over eigen systeembeheerders te beschikken. Het IP-adres van hun website leidt naar een colocatie site van Trans-IP in Amsterdam. Of er nog een IT leverancier tussen zit is niet direct duidelijk.
29-03-2023, 13:45 door Anoniem
Door Bass850: Blaauw geeft aan dat het lek bij hun IT leverancier heeft plaatsgevonden. Nergens te vinden welke IT leverancier aan wordt gerefereerd. Weet iemand dat? Is het nebu.com?

Ook ik zit mijn geld in op NEBU, bijzonder dat Blauw dit niet bevestigd.
29-03-2023, 13:57 door Anoniem
archive.org is wellicht een bron. Ze zullen alle huidige referenties wel verwijderd hebben van hun communicatie. Ik kwam o.a. satmatrix tegen. En verder online communities (zonder referentie.) Iemand met meer tijd kan wellicht archive.org doorzoeken.
29-03-2023, 14:27 door Anoniem
Blauw op Zwart dus... zwart van zwarte lijst.
29-03-2023, 14:27 door Anoniem
Door Anoniem: Dus prive gegevens zijn bij een leverancier van een leverancier van ziggo gekomen.
Alleen dat is al belachelijk

Mee eens. We hebben hier veel overbodige wet en regelgeving, maar dat zou misschien beter verboden kunnen worden.
29-03-2023, 14:56 door Anoniem
Door Anoniem: Op de Ons Team pagina geeft men aan over eigen systeembeheerders te beschikken. Het IP-adres van hun website leidt naar een colocatie site van Trans-IP in Amsterdam. Of er nog een IT leverancier tussen zit is niet direct duidelijk.

Blauw geeft aan op de eigen website dat het NEBU is.
29-03-2023, 15:12 door Anoniem
En dan krijg ik net om 13.00uur een vragenlijst via de mail van ze....erg tactisch...
29-03-2023, 15:16 door Anoniem
Inderdaad Nebu. Wel bijzonder dat deze partij geen melding maakt van een datalek of hack.
29-03-2023, 15:34 door Anoniem
Waarom gehoor geven om hieraan mee te werken, als ik die link ziet ga ik daar echt niet mee in.
29-03-2023, 15:39 door Anoniem
Maar nu het NEBU is, dan is probleem toch veel groter op www.nebu.com staat dat ze 125 clients hebben. Dan gaat het AP het nog druk krijgen ;-)

(Al zitten de klanten van NEBU blijkbaar over de hele wereld).
29-03-2023, 16:03 door Anoniem
Door Anoniem: Dus prive gegevens zijn bij een leverancier van een leverancier van ziggo gekomen.
Alleen dat is al belachelijk

Dat is heel normaal. daar zijn verwerkersovereenkomsten voor. dacht je werkelijk dat je gegevens alleen toegankelijk zijn voor het bedrijf waar je ze aan geeft? Zeer waarschijnlijk zullen veel meer bedrijven met de data werken in opdracht van het bedrijf waar jij de gegevens achter laat. marketing bureaus of onderzoeksbureau.
29-03-2023, 16:25 door Anoniem
Door Anoniem: Dus prive gegevens zijn bij een leverancier van een leverancier van ziggo gekomen.
Alleen dat is al belachelijk
Deze opmerking is belachelijk. Dit gebeurt met (bijna) alle data. Denk aan hosting en housing partijen. Je wilt toch niet dat elk bedrijf weer een servertje in de schuur zet. Iets meer nadenken, iets minder emotioneel
29-03-2023, 16:58 door Anoniem
Ik kom er pas vandaag (via de krant!!) er achter dat mijn gegevens van BOL.COM mogelijk ook in handen van de verkeerde partij terecht zijn gekomen. Daarom heb ik voor alle zekerheid mijn (unieke) wachtwoord veranderd. Ik raad iedereen met een BOL.COM account het zelfde te doen. Van BLAUW kan je namelijk alleen maar verwachten dat ze hun kaken voor de klanten dichthouden.
29-03-2023, 17:02 door Erik van Straten
De olifant in de kamer is de vraag hoe lang er nog sprake is van een (AVG-) "gerechtvaardigd belang" om -zonder mijn expliciete toestemming- mijn gegevens met welke derde partij dan ook te delen - indien die gegevens vervolgens (met welk excuus dan ook) op straat belanden.

Hoe zit het met MIJN gerechtvaardigde belangen?

De AVG zuigt.
29-03-2023, 17:38 door Anoniem
Ik dacht al dat het met twee niveaus van uitbesteding wel eens veel groter zou kunnen zijn dan alleen NS. Nu dient zich een tweede klant van Blauw aan, en dat kunnen er meer worden, maar als Blauw niet de enige afnemer is van deze softwareleverancier voor deze software (as a service, neem ik aan) dan kan het nog veel en veel groter blijken te zijn.
29-03-2023, 18:04 door Anoniem
Volgens BLAUW zijn er 14 partnerbedrijven slachtoffer van het datalek.
Maar van die 14 worden er in het artikel maar 6 genoemd.

Wie zijn die andere partners waar wij nog niets van weten?
29-03-2023, 18:09 door Anoniem
Door Erik: De AVG zuigt.
Exact. Het maakt misbruik van persoonsgegevens kinderlijk eenvoudig legitiem.
29-03-2023, 18:10 door [Account Verwijderd]
Ik denk dat het beter is dat - hoewel bedrijven zeggen niet getroffen te zijn - toch maar even de wachtwoorden veranderd moeten worden.
29-03-2023, 18:26 door Anoniem
Dit is het gevolg van een ondoorzichtige keten. Je geeft je leverancier toestemming om bijvoorbeeld je data te gebruiken voor onderzoek. Dan komt dat bij een 3e partij diende data bij een 4e partij heeft staan, en met een beetje pech zit dat ook weer in Azure of AWS wat weer een 5e partij is.

En als eindgebruiker kan je niemand aansprakelijk stellen voor de tijd en kosten die het kost om van e-mail adres te wisselen.
29-03-2023, 18:40 door Anoniem
Door Erik van Straten: De olifant in de kamer is de vraag hoe lang er nog sprake is van een (AVG-) "gerechtvaardigd belang" om -zonder mijn expliciete toestemming- mijn gegevens met welke derde partij dan ook te delen - indien die gegevens vervolgens (met welk excuus dan ook) op straat belanden.
Dit staat los van de verwerkingsgrondslagen. Dit gaat om onderzoeken onder klanten die NS en VodafoneZiggo zelf mogen uitvoeren maar hebben uitbesteed aan Blauw. Voor de AVG zijn dit verwerkingsverantwoordelijken die een deel van hun verwerking aan een verwerker hebben uitbesteed. Dat mag, met een goede verwerkersovereenkomst, maar daarmee besteden ze hun verantwoordelijkheid voor de verwerking niet uit.

Hoe zit het met MIJN gerechtvaardigde belangen?
Die zijn geschonden. Die zouden ook zijn geschonden als er helemaal niets was uitbesteed en het lek bij NS en VodafoneZiggo zelf had plaatsgevonden. Met een dikke maar die zo komt.

De AVG zuigt.
Wat zuigt is (en dat is de dikke maar) dat werk steeds meer zo wordt georganiseerd dat het bij grote partijen geconcentreerd raakt. Bij Blauw zijn verwerkingen voor NS en ZiggaVodafone en mogelijk nog ettelijke andere bedrijven samengekomen en samen fout gegaan. O nee, het is misgegaan bij een "softwareleverancier" van Blauw die kennelijk niet de software levert maar de data ontvangt en verwerkt, dat zal wel SaaS of zoiets zijn. Daar kunnen weer verwerkingen van meer partijen zoals Blauw bij elkaar komen. Wie weet hoe enorm dit lek nog zal blijken te zijn. Dát zuigt.

De AVG stelt dat technische of organisatorische maatregelen moeten worden genomen om een passend beveiligingsniveau te waarborgen. Dat is bewust een heel open formulering die dient om te voorkomen dat de AVG achterhaald raakt waar je bij staat. Het is de bedoeling dat organisaties maatregelen nemen die passen bij wat op dat moment de risico's zijn. Ik denk dat een werkwijze met hele ketens van uitbestede verwerkingen, en het bij elkaar komen van veel van die verwerkingen op plekken waar het dan heel in het groot mis kan gaan, een risico vormt. Zo'n werkwijze kan je dus niet bepaald een organisatorische maatregel die helpt om een passend beveiligingsniveau te waarborgen, integendeel. Maar dan is deze werkwijze in strijd met de AVG. Als dit geen incident is maar een patroon gaat blijken te zijn (wat mij niets zou verbazen) dan zou dat wel eens het standpunt van de toezichthouders kunnen worden en dan kunnen bedrijven daarop aangepakt gaan worden.

Of dat ook werkelijk gebeurt, op precies deze manier gebeurt, en hoe lang dat dan op zich laat wachten weet ik natuurlijk niet. Maar in de AVG is doelbewust de mogelijkheid ingebouwd om met de praktijk mee te groeien, dus het zou kunnen gebeuren. Dat zuigt niet, dat is juist sterk. We lopen nog steeds achter de feiten aan, maar veel minder ver dan wanneer telkens wetswijzigingen nodig zijn voor wetten die veel te expliciet de techniek en organisatiekeuzes van het moment beschrijven.
29-03-2023, 19:06 door Anoniem
Door Anoniem:
Door Anoniem: Dus prive gegevens zijn bij een leverancier van een leverancier van ziggo gekomen.
Alleen dat is al belachelijk

Dat is heel normaal. daar zijn verwerkersovereenkomsten voor. dacht je werkelijk dat je gegevens alleen toegankelijk zijn voor het bedrijf waar je ze aan geeft? Zeer waarschijnlijk zullen veel meer bedrijven met de data werken in opdracht van het bedrijf waar jij de gegevens achter laat. marketing bureaus of onderzoeksbureau.

Dat het normaal is betekend niet dat het goed is.
Gegevens worden aan de NS of Ziggo verstrekt niet een niet aan een onbekend bedrijfje waar een leverancier van de NS/Ziggo gebruik van maakt.
29-03-2023, 21:54 door Anoniem
Door Anoniem: Ik kom er pas vandaag (via de krant!!) er achter dat mijn gegevens van BOL.COM mogelijk ook in handen van de verkeerde partij terecht zijn gekomen. Daarom heb ik voor alle zekerheid mijn (unieke) wachtwoord veranderd. Ik raad iedereen met een BOL.COM account het zelfde te doen. Van BLAUW kan je namelijk alleen maar verwachten dat ze hun kaken voor de klanten dichthouden.

Waar staat dat dan?
"Albert Heijn, Etos, bol.com en Vattenfall zijn ook klant bij Blauw, maar laten weten niet getroffen te zijn door het datalek. Datzelfde geldt voor de Efteling, Marktplaats, Thuisbezorgd.nl en ESPN."

https://www.ad.nl/tech/vodafoneziggo-persoonsgegevens-van-ongeveer-700-000-klanten-gelekt~a4648bc1/
29-03-2023, 22:42 door Anoniem
Door Anoniem:
Door Anoniem: Ik kom er pas vandaag (via de krant!!) er achter dat mijn gegevens van BOL.COM mogelijk ook in handen van de verkeerde partij terecht zijn gekomen. Daarom heb ik voor alle zekerheid mijn (unieke) wachtwoord veranderd. Ik raad iedereen met een BOL.COM account het zelfde te doen. Van BLAUW kan je namelijk alleen maar verwachten dat ze hun kaken voor de klanten dichthouden.

Waar staat dat dan?
"Albert Heijn, Etos, bol.com en Vattenfall zijn ook klant bij Blauw, maar laten weten niet getroffen te zijn door het datalek. Datzelfde geldt voor de Efteling, Marktplaats, Thuisbezorgd.nl en ESPN."

https://www.ad.nl/tech/vodafoneziggo-persoonsgegevens-van-ongeveer-700-000-klanten-gelekt~a4648bc1/
Dat is wat ze ZEGGEN, maar niet of het feit wel KLOPT!
29-03-2023, 23:36 door Briolet
Door Anoniem: Waarom gehoor geven om hieraan mee te werken, als ik die link ziet ga ik daar echt niet mee in.

Het heeft niets met linkjes van doen. Ziggo heeft de adressen aan Blauw gegeven en daar komt geen link aan te pas.

Blauw is gewoon een 'onbetrouwbaar' bedrijf omdat hun claims niet te controleren zijn. Ik heb de afgelopen jaren ook diverse mailtjes van Blauw gehad waarbij ze claimen namens ziggo een enquête te versturen. De linkjes in de mail hebben echter geen relatie met Blauw. En ook op de Ziggo site wordt Blauw niet genoemd als bedrijf dat namens Ziggo mailtjes verstuurt.

Vanwege het oncontroleerbaar zijn, heb dus nooit op mail van Blauw gereageerd en toch kreeg ik vandaag van Ziggo de mail dat mijn mailadres gelekt was.
29-03-2023, 23:41 door Anoniem
toch kreeg ik vandaag van Ziggo de mail dat mijn mailadres gelekt was.

Noemden ze echt alleen het emailadres?
30-03-2023, 01:01 door Erik van Straten - Bijgewerkt: 30-03-2023, 01:06
Door Anoniem: De AVG stelt dat technische of organisatorische maatregelen moeten worden genomen om een passend beveiligingsniveau te waarborgen.
Dank voor het uitgebreide juridische perspectief, maar het doel van de AVG -lijkt mij- is voorkómen dat persoonsgegevens in verkeerde handen vallen - en keer op keer lukt dat niet - trend de verkeerde kant op. De risico's zijn minimaal voor de dataverzamelaars en -delers, en maximaal voor degenen wiens gegevens worden gelekt - terwijl het voor burgers aantonen, ten overstaan van een kudde dikke Audi-rijdende dure advocaten, dat geleden schade het gevolg is van een specifiek datalek, nagenoeg onmogelijk is. Precies daarom zuigt de AVG.

Briolet schiet er helemaal niets mee op dat er in de verre toekomst heel misschien iets minder datalekken zullen zijn "dankzij de AVG". Maar zelfs dat geloof ik niet: verzamelingen van persoonsgegevens worden groter en groter, en "dankzij" initiatieven als de EU ID Wallet (EDIW) zullen gelekte gegevens aanzienlijk betrouwbaarder worden (want digitaal ondertekend door vadertje staat), zijn daardoor wellicht nóg geschikter om identiteitsfraude mee te plegen, en zijn gegevens nóg beter koppelbaar (want aangevuld met het Europese BurgerSurveillanceNummer).

Zelfs klanten informeren is een farce (zie https://www.security.nl/posting/791049/Consumentenbond%3A+waarschuwingen+bij+datalekken+vaak+onduidelijk).

De huidige AVG is een laf compromis, te vaag, too little en too late, met tandenloze handhavers (die, als ze hun mond open doen naar bijv. VWS, gewoon de landsavocaat op hun dak krijgen). En aan stoffige wetten die stellen dat data van niemand is omdat het geen "goed" is (alsof informatie niet het nieuwe goud is), hebben we ook al niks. Laten we vooral doorgaan op de ingeslagen weg van ontmenselijken...
30-03-2023, 03:07 door Anoniem
On the Nebu website:

"Nebu is now ISO 27001 certified
Nebu has been recognized as an ISO 27001 certified company. We have taken all the necessary measures to ensure your data is well-protected and to meet the highest internationally acknowledged security standard"

So many companies throwing with these certifications while their security is worthless. Worrying!
30-03-2023, 09:58 door Briolet
Door Anoniem:
toch kreeg ik vandaag van Ziggo de mail dat mijn mailadres gelekt was.

Noemden ze echt alleen het emailadres?

Niet expliciet, zie onderstaande quote uit de mail. Maar gezien het doel waarom Blauw de gegevens kreeg is het wel aannemelijk dat het hier alleen om de naam en mailadres ging. Meer had Blauw niet nodig voor de mailing.

Tot onze spijt informeren wij u dat één van onze externe partners te maken heeft gehad met een datalek waarbij informatie van (voormalige) klanten van Ziggo betrokken is geweest. Hierdoor zijn mogelijk klantgegevens bij derden beland die hier misbruik van zouden kunnen maken. Het betreft persoonsgegevens zoals naam en e-mailadres. We benadrukken dat het niet gaat om wachtwoorden of bankgegevens. De externe partij heeft maatregelen genomen om het datalek te dichten en om herhaling te voorkomen.
30-03-2023, 15:09 door Anoniem
Vandaag kreeg ik een Phishing email van "Bitvavo", alwaar ik geen eens een account heb, maar pas dus op, dat kan dus een direkt gevolg zijn van dat onzorgvuldig omgaan met gegevens.
30-03-2023, 15:25 door Anoniem
Door Erik van Straten: De olifant in de kamer is de vraag hoe lang er nog sprake is van een (AVG-) "gerechtvaardigd belang" om -zonder mijn expliciete toestemming- mijn gegevens met welke derde partij dan ook te delen - indien die gegevens vervolgens (met welk excuus dan ook) op straat belanden.

Hoe zit het met MIJN gerechtvaardigde belangen?

De AVG zuigt.
Precies! Daar zit 'm de kneep. Wiens rechtvaardig belang, meestal niet de gebruiker en heeft vaak nog minder keuze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.