Gemeente Woerden: Nebu weet niet welke data is gestolen en van wie
Softwarebedrijf Nebu waar criminelen toegang tot de systemen kregen weet niet welke data is gestolen en van wie, zo stelt de gemeente Woerden. Wel is bekend geworden hoe de aanval ongeveer is verlopen. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken. Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt.
Blauw, één van de getroffen marktonderzoekers, spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wilde hebben. De rechter gaf Blauw gelijk en oordeelde dat Nebu de informatie moest verstrekken. Begin april waarschuwde de gemeente Woerden duizenden inwoners die meededen aan een onderzoek van marktonderzoeksbureau Dimensus voor het datalek bij softwareleverancier Nebu. Daarbij zouden mogelijk ook hun gegevens zijn gelekt. Net als Blauw maakte ook Dimensus gebruik van de software van Nebu.
"Nebu (het bedrijf dat daadwerkelijk is gehackt) heeft een onderzoek laten doen naar het datalek. Uit dat onderzoek blijkt hoe de cyberaanval ongeveer is verlopen. Het is uiteindelijk niet bekend geworden welke data is gestolen en van wie", laat de gemeente Woerden vandaag in een update over het incident weten. Volgens de onderzoekers zijn er geen aanwijzingen dat gestolen data is aangeboden op internet’. Ook is er geen losgeld geëist.
Aan de hand hiervan stellen de onderzoekers naar het datalek dat de risico's beperkt zijn. Nu het onderzoek naar is afgerond heeft de gemeente Woerden besloten de zaak te sluiten. "Het blijft onduidelijk of gegevens van Woerdenaren gestolen zijn", zo concludeert de gemeente op Twitter. Details over hoe de aanval is verlopen zijn niet door de gemeente gegeven.
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
De mogelijkheid bestaat om huwelijkse staat, leeftijd, opleiding, inkomen, emailadres etc. achter te laten... niet wereldschokkend inderdaad ?
Dit wordt ook wel het "No logs no crime" principe genoemd. Het wordt onder andere toegepast bij de belastingdienst en politie (artikel 32A Wet Politiegegevens).
Nee dat kunnen ze zeker niet. de wetgeving stelt dat indien er niet te achterhalen is welke informatie gelekt is alle informatie als gelekt moet worden beschouwd. In dit geval is Nebu dus in ernstige gebreken en kan aansprakelijk gesteld gaan worden.
Niet Nebu maar de verwerkingsverantwoordelijken kunnen aangesproken worden.
Bij Nebu is de vraag of het verwijtbaar was zo niet, dan is zeer de vraag wie het risico draagt.
Niet verwijtbaar betekent vaak niet aansprakelijk .
Toen alle sporen vernietigd waren mocht de IT forensics mannen aan de slag… kansloze actie.
Dit wordt ook wel het "No logs no crime" principe genoemd. Het wordt onder andere toegepast bij de belastingdienst en politie (artikel 32A Wet Politiegegevens).
Een blik op een vragenlijst moet voldoende zijn en er is een mailadreslijst aan gekoppeld.
Maar ze zetten wel een krabbel onder een verwerkings overeenkomst...
Wat kan hier nog meer misgaan.. Marktonderzoeksbureau wat data niet snapt icm met een security bureau dat geen basaal inschattings onderzoek kan doen.
Een mooie collectie prutsers.
https://www.security.nl/posting/791516/Pensioenfondsen+PME+en+PFZW+ook+getroffen+door+datalek+bij+marktonderzoeker
De graaier, die op zijn of haar handen blijft zitten,
graait dus gewoon door en komt er steeds meer weg.
Goed om in het achterhoofd te houden.
In eerste instantie is al van belang:
- heeft men gewoon ALLE informatie over potentiele deelnemers verstuurd of is er sprake van een voorselectie of zelfs een vraag of men wel geintesseerd is om mee te doen
- wat is er precies van de betrokkenen aan data overhandigd
Alles wat richting Nebu gegaan is kan in principe gestolen zijn.
Daar komt dan nog bij: als mensen op de uitnodiging in zijn gegaan en een enquete hebben ingevuld, wat is er dan
per persoon opgeslagen. Ook dit kan in principe gestolen zijn.
Als Nebu niet hard kan maken dat bijvoorbeeld een van de twee categorieen niet getroffen is (de lijst potentiele deelnemers
of de door de deelnemers ingevulde informatie) dan is in principe alles gestolen. Maar dan is het nog steeds wel interessant
om te weten WAT voor data het is, en in hoeverre die nog aan personen gekoppeld is.
Dat Nebu een niet-kunner is en dus in principe moet stoppen met hun business dat is wel duidelijk, maar de mensen die
nu al getroffen zijn hebben recht op die informatie.
In eerste instantie is al van belang:
- heeft men gewoon ALLE informatie over potentiele deelnemers verstuurd of is er sprake van een voorselectie of zelfs een vraag of men wel geintesseerd is om mee te doen
- wat is er precies van de betrokkenen aan data overhandigd
Alles wat richting Nebu gegaan is kan in principe gestolen zijn.
Daar komt dan nog bij: als mensen op de uitnodiging in zijn gegaan en een enquete hebben ingevuld, wat is er dan
per persoon opgeslagen. Ook dit kan in principe gestolen zijn.
Als Nebu niet hard kan maken dat bijvoorbeeld een van de twee categorieen niet getroffen is (de lijst potentiele deelnemers
of de door de deelnemers ingevulde informatie) dan is in principe alles gestolen. Maar dan is het nog steeds wel interessant
om te weten WAT voor data het is, en in hoeverre die nog aan personen gekoppeld is.
Dat Nebu een niet-kunner is en dus in principe moet stoppen met hun business dat is wel duidelijk, maar de mensen die
nu al getroffen zijn hebben recht op die informatie.
Mee eens. de maximale grootte en reikwijdte van deze hack zou te reconstrueren moeten zijn.
De opdrachtgevers (en tusssenpersonen) zouden moeten weten welke type persoonsgegevens en antwoorden op vragen er als data aan Nebu aangeleverd is.
Dat is de groep die schade van deze hack kan oplopen. (want onbekend of er iets misbruikt is of alsnog zal worden)
Deze mensen dien je uitgebreidt te informeren waar ze op moeten letten. En uitlegtgen hoe ze geholpen kunnen worden om schade te beperken dan wel schadevergoeding te krijgen voor te maken kosten.
Juridische vraag:
Wie is juridisch en financieel verantwoordelijk voor te maken kosten van deze slachtoffers. En wanneer?
Klinkt alsof zowel Nebu als Woerden hier laakbaar, onzorvuldig en amateuristisch gehandeld hebben ! Tijd dat iemand deze partijen met de neus op de feiten drukt en financieel aansprakelijk houdt namens de slachtoffers.
Als je zo graag een verouderde naamvalsvorm wil gebruiken, doe het dan correct s.v.p.:
"In dit geval is Nebu dus in ernstigen gebreke ..."
Overigens wel eens met de conclusie.
Ach, een datalek meer of minder, burgers moeten er maar aan wennen dat de overheid (gemeente) ook niet meer zònder datalekken kan functioneren.
Het is dus een beleidstool wat inventariseert waar de "probleemburgers" in een gemeente zitten om daarop het beleid (en middelen) te kunnen afstemmen.
De inhoud van het onderzoek is in hoge mate privacygevoelig, de impact ervan voor de betrokkenen (de respondenten, degenen die aan het onderzoek mee hebben gedaan) is enigszins te vergelijken met die van de nieuwsoortige diepingrijpende vragenlijsten die in de GGZ zijn ingevoerd; dit onderzoek is a.h.w. het maatschappelijke equivalent wat door gemeenten wordt gebruikt om beleid mee te maken.
Afhankelijk van de omvang van het datalek, d.w.z. of ook de inhoud (gepseudonimiseerd?) benaderbaar is, is de potentiële schade voor de betrokken inwoners van Woerden.
Tegen deze achtergrond is de bagatelliserende opstelling van de gemeente Woerden - die ook niets weet, maar dit verder laat zitten - een cynisch dieptepunt in de relatie tussen (lagere) overheid en burger.
https://dimensus.nl/producten/gemeente-beleidsmonitor-sociale-kracht/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
