De Autoriteit Persoonsgegevens (AP) is vorig jaar slachtoffer geworden van een social engineering-aanval, waarbij een legitiem lijkend pdf-bestand naar de privacytoezichthouder werd verzonden. Het openen van de link naar het pdf-bestand zorgde ervoor dat er een poortscan op de systemen van de AP werd uitgevoerd. In totaal kreeg de Autoriteit Persoonsgegevens vorig jaar met vijftig beveiligingsincidenten te maken, zo staat in het jaarverslag over 2022 (pdf).
In 26 gevallen was er sprake van een datalek, aangezien het om een incident met persoonsgegevens ging. Voor vier datalekken deed de toezichthouder een melding bij zichzelf. Van de datalekken gaat het grootste deel om verkeerd geadresseerde brieven en e-mails. Een volgens de AP noemenswaardige uitzondering is het datalek dat ontstond bij de Dag van de FG-website.
De leverancier van de website had third party-plug-ins op de pagina staan, die gegevens naar Google doorstuurden. Op verzoek van de Autoriteit Persoonsgegevens heeft de leverancier deze plug-ins verwijderd. Ook heeft Google bevestigd dat de persoonsgegevens bij Google Fonts en reCaptcha zijn verwijderd. Verder deden zich enkele incidenten voor tijdens de verhuizing naar de locatie van de Autoriteit Persoonsgegevens. Ook noemt de toezichthouder een aantal verstoringen waardoor de kantoorautomatisering onbeschikbaar was.
De AP meldt verder dat het slachtoffer van een social engineering-aanval is geworden. Er werd een legitiem lijkend pdf- bestand aan de toezichthouder verzonden, dat via een onvertrouwde website werd aangeboden. Het openen van de link naar het bestand zorgde ervoor dat er een poortscan werd uitgevoerd op de systemen van de AP. Omdat deze poortscan een paar specifieke netwerkpoorten scande die horen bij systemen die niet in gebruik zijn bij de AP, heeft er volgens de toezichthouder geen verdere inbreuk op de beveiliging plaatsgevonden. Naar aanleiding van dit incident is er extra aandacht besteed aan de ‘security awareness’ van medewerkers.
Deze posting is gelocked. Reageren is niet meer mogelijk.