image

Landal GreenParks waarschuwt 12.000 gasten voor mogelijk datalek

donderdag 8 juni 2023, 15:34 door Redactie, 9 reacties

Landal Greenparks heeft twaalfduizend gasten gewaarschuwd voor een mogelijk datalek nadat criminelen toegang wisten te krijgen tot het MOVEit Transfer-systeem dat het bedrijf gebruikt voor het uitwisselen van gegevens, zo laat een woordvoerder aan Security.NL weten. Bij de aanval zijn mogelijk naam, geboortedatum, geslacht, adresgegevens en e-mailadres buitgemaakt, meldt Landal Greenparks in een e-mail aan gasten.

MOVEit Transfer is een applicatie oor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Door middel van SQL Injection is het mogelijk voor een aanvaller om ongeautoriseerde toegang tot de database van een MOVEit-server te krijgen, om zo vertrouwelijke data te stelen. Daarnaast blijkt dat de aanvallers een webshell op het systeem installeren om zo toegang te behouden. Misbruik van de kwetsbaarheid vindt al plaats voordat een patch beschikbaar was.

Ontwikkelaar Progress Software kwam op 31 mei met een beveiligingsupdate en stelde dat klanten hun systemen voor minstens de afgelopen dertig dagen op aanwijzingen van ongeautoriseerde toegang moesten controleren. Vanwege de impact kwamen de Amerikaanse, Duitse en Nederlandse autoriteiten met waarschuwingen. De aanvallen tegen MOVEit-servers zijn volgens Microsoft het werk van de criminelen achter de Clop-ransomware. Ook de Amerikaanse overheid kwam met een waarschuwing voor misbruik van het lek door de ransomwaregroep.

"Omdat we na onderzoek niet kunnen uitsluiten dat de internetcriminelen daadwerkelijk persoonsgegevens hebben buitgemaakt, brengen wij je hiervan op de hoogte. Wij betreuren dit incident ten zeerste, het incident is inmiddels opgelost en bij de Autoriteit Persoonsgegevens gemeld als mogelijke datalek", zo laat de e-mail van Landal weten. "We betreuren het incident, helaas ligt dit beveiligingsrisico buiten onze invloedsfeer."

Landal GreenParks ontdekte de aanval zelf en heeft daarop de MOVEit-server uitgeschakeld en volledig opnieuw opgebouwd, aldus een woordvoerder tegenover Security.NL. Het onderzoek naar de aanval is nog gaande. Mocht er meer informatie beschikbaar komen zegt het bedrijf dit bekend te maken. Eerder deze week bleek dat British Airways, BBC, de Britse apothekersketen Boots, de Ierse luchtvaartmaatschappij Aer Lingus en de Canadese provincie Nova Scotia vanwege de aanval op MOVEit Transfer met datalekken te maken hebben gekregen.

Reacties (9)
08-06-2023, 15:38 door Anoniem
Pijnlijk, maar waarom had Landal de noodzaak om deze gegevens langdurig op te slaan?
En waarom is het een 'mogelijk datalek' heeft hun EDR suite dit niet gezien?
08-06-2023, 15:56 door Anoniem
Het is gewoon wachten tot je een keer onderdeel bent van een datalek en je daarna de problemen van gaat ondervinden.
08-06-2023, 16:47 door Anoniem
Door Anoniem: Het is gewoon wachten tot je een keer onderdeel bent van een datalek en je daarna de problemen van gaat ondervinden.

Dat is met brand en diefstal thuis ook zo, dus bereid je je voor op de gevolgen, middels een verzekering, scheiding van spullen, extra backup op een veilige plek, dubbel uitgevoerde foto-albums, blusdekens, twee sloten op je fiets in plaats van een...

Maar brand en diefstal komen zeker een keer.
08-06-2023, 20:06 door Anoniem
Door Anoniem:
Door Anoniem: Het is gewoon wachten tot je een keer onderdeel bent van een datalek en je daarna de problemen van gaat ondervinden.

Dat is met brand en diefstal thuis ook zo, dus bereid je je voor op de gevolgen, middels een verzekering, scheiding van spullen, extra backup op een veilige plek, dubbel uitgevoerde foto-albums, blusdekens, twee sloten op je fiets in plaats van een...

Maar brand en diefstal komen zeker een keer.
Ik kan mijn huis beveiliging ik kan ik rookmelder plaatsen ik kan brand blussers kopen, bij een data lek kan ik alleen
maar bidden dat het goed gaat. Waarom vraag ik mij af datalekken bagatelliseren, dit heeft een geestelijke en
emotionele uitwerking op de betroffen personen.
09-06-2023, 09:21 door _R0N_
Door Anoniem:
Door Anoniem:
Door Anoniem: Het is gewoon wachten tot je een keer onderdeel bent van een datalek en je daarna de problemen van gaat ondervinden.

Dat is met brand en diefstal thuis ook zo, dus bereid je je voor op de gevolgen, middels een verzekering, scheiding van spullen, extra backup op een veilige plek, dubbel uitgevoerde foto-albums, blusdekens, twee sloten op je fiets in plaats van een...

Maar brand en diefstal komen zeker een keer.
Ik kan mijn huis beveiliging ik kan ik rookmelder plaatsen ik kan brand blussers kopen, bij een data lek kan ik alleen
maar bidden dat het goed gaat. Waarom vraag ik mij af datalekken bagatelliseren, dit heeft een geestelijke en
emotionele uitwerking op de betroffen personen.

Met outsourcen ben je afhankelijk van de betrouwbaarheid van de partij die je inhuurt.
Je kunt een bewaker inhuren en een brandblusser geven voor de momenten dat je niet thuis bent maar als deze bewaker in slaap valt of op je vrouw ligt als er brand uitbreekt heb je er weinig aan.

Zo is het ook met digitale diensten, als de ontwikkelaar in slaap valt en op de Bahama's zit van jouw centen en even geen aandacht heeft voor de beveiliging van de diensten die je afneemt....
09-06-2023, 09:35 door Anoniem
Met outsourcen ben je afhankelijk van de betrouwbaarheid van de partij die je inhuurt.
Ik denk dat er maar weinig mensen zijn die geld hebben voor wat je schrijft. Ik bedoel dat gewone
mensen hun eigen huis best veilig kunnen maken maar op internet ben je afhankelijk van andere
ook hoe goed je zelf je gegevens beveiligd het maakt niets uit. En daarbij ik geef zowat geen
gegevens weg maar dat doen andere voor, denk maar aan als bijvoorbeeld huurt.
12-06-2023, 11:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het is gewoon wachten tot je een keer onderdeel bent van een datalek en je daarna de problemen van gaat ondervinden.

Dat is met brand en diefstal thuis ook zo, dus bereid je je voor op de gevolgen, middels een verzekering, scheiding van spullen, extra backup op een veilige plek, dubbel uitgevoerde foto-albums, blusdekens, twee sloten op je fiets in plaats van een...

Maar brand en diefstal komen zeker een keer.
Ik kan mijn huis beveiliging ik kan ik rookmelder plaatsen ik kan brand blussers kopen, bij een data lek kan ik alleen
maar bidden dat het goed gaat. Waarom vraag ik mij af datalekken bagatelliseren, dit heeft een geestelijke en
emotionele uitwerking op de betroffen personen.
Totdat je in een flat woont.
Of dat je buurman groene vingers heeft, maar weinig met NEN1010 doet.

Ik acht de impact op brand nog altijd groter dat de impact van een datalek.
12-06-2023, 11:39 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem:
Door Anoniem: Het is gewoon wachten tot je een keer onderdeel bent van een datalek en je daarna de problemen van gaat ondervinden.

Dat is met brand en diefstal thuis ook zo, dus bereid je je voor op de gevolgen, middels een verzekering, scheiding van spullen, extra backup op een veilige plek, dubbel uitgevoerde foto-albums, blusdekens, twee sloten op je fiets in plaats van een...

Maar brand en diefstal komen zeker een keer.
Ik kan mijn huis beveiliging ik kan ik rookmelder plaatsen ik kan brand blussers kopen, bij een data lek kan ik alleen
maar bidden dat het goed gaat. Waarom vraag ik mij af datalekken bagatelliseren, dit heeft een geestelijke en
emotionele uitwerking op de betroffen personen.

Met outsourcen ben je afhankelijk van de betrouwbaarheid van de partij die je inhuurt.
Je kunt een bewaker inhuren en een brandblusser geven voor de momenten dat je niet thuis bent maar als deze bewaker in slaap valt of op je vrouw ligt als er brand uitbreekt heb je er weinig aan.

Zo is het ook met digitale diensten, als de ontwikkelaar in slaap valt en op de Bahama's zit van jouw centen en even geen aandacht heeft voor de beveiliging van de diensten die je afneemt....
Is dit ook niet het geval als je zelf iets maakt? Moet je eerst zorgen dat de brandweer getraind is, maar ook dat je meerdere brandweer in huis hebt. Want je eigen brandweer kan zo maar eens op vakantie zijn.

Nog afgezien je continue je brandweer moet trainen in de laatste technieken.
12-06-2023, 17:32 door Anoniem
Natuurlijk is het hoofd-probleem de beveiliging.
Maar een ander groot deel van het probleem is, dat er blijkbaar wat te doen is met de gegevens die zo uitgelekt zijn. Vroeger stond je met naam en adres in een telefoonboek. het ergste wat kon gebeuren was, dat je gebeld kon worden of post krijgen, maar het leverde geen risico op, want met alleen naam, adres en nummer kon je niets, geen instantie, bank of winkel waar je terecht kon met zo'n "gestolen" identiteit.
Probleem is dus, dat je tegenwoordig wel van alles hiermee kan. daar zou ook eens tegen opgetreden moeten worden (dus bv bank bellen, zeggen dat je iemand bent, en dan als controle vraag de geboortedatum noemen, en dat de bank dan aanneemt dat het inderdaad hun klant is, en zo toegang geeft tot de rekening).
PS: waarom vraagt en bewaart een vakantiepark beheerder het geslacht van hun klanten eigenlijk? lijkt me een totaal irrelevant gegeven op het formulier
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.