image

Gelderse schoolboekenleverancier Iddink getroffen door ransomware-aanval

zaterdag 13 april 2024, 15:50 door Redactie, 15 reacties

De Gelderse schoolboekenleverancier Iddink is getroffen door een ransomware-aanval, waarbij ook persoonlijke gegevens van klanten zijn gecompromitteerd. Het gaat onder andere om namen, e-mailadressen en bankgegevens van scholen en studenten die bij het bedrijf boeken of leermaterialen hebben besteld. Dat heeft Iddink zelf bekendgemaakt.

"Door de cyberaanval zijn bepaalde gegevens uit het systeem van Iddink Learning Materials gecompromitteerd. Het gaat om persoonlijke informatie zoals namen, e-mailadressen en bankgegevens van klanten van Iddink Learning Materials", aldus de verklaring van het bedrijf. "Er wordt momenteel een grondig onderzoek uitgevoerd om vast te stellen welke gegevens precies zijn gecompromitteerd om de omvang van het datalek te bepalen."

Volgens Iddink is de aanval het werk van de criminelen achter de Cactus-ransomware. Er is melding gedaan bij de Autoriteit Persoonsgegevens en de politie, die ook betrokken is bij het onderzoek. Tevens zegt de schoolboekenleverancier dat het alle mogelijk getroffen organisaties en individuen gaat informeren. Tegenover de NOS laat Iddink weten dat het door de aanval geen toegang meer tot de eigen systemen heeft en niet bereid is tot het betalen van losgeld.

Reacties (15)
13-04-2024, 18:44 door Anoniem
Wanneer gaan we beginnen met het automatisch laten vervallen van klantgegevens binnen x gegeven tijd?
13-04-2024, 21:13 door walmare
Iddink is ook eigenaar van Magister, een windowsonly platform waar ik een spuughekel aan had omdat windows hierdoor op school verplicht was met een silverlight plugin. Nu hebben ze een koekje van eigen deeg door windows ransomware. Zo langzamerhand wordt dit gebruikersonvriendelijke ecosysteem eindelijk gesloopt.
Wat iedereen gebruikt moeten ze vooral zelf weten maar systemen met een vendor lock aan kinderen (en gemeenschap) opdringen waardoor ze verplicht een windowslaptop moeten aanschaffen had al veel eerder afgeserveerd moeten worden.
Nu worden ze eindelijk ontmanteld door de garbage collector.
13-04-2024, 21:27 door Anoniem
Door Anoniem: Wanneer gaan we beginnen met het automatisch laten vervallen van klantgegevens binnen x gegeven tijd?

Waarom worden dit soort gevoelige gegevens uberhaupt opgeslagen?
Waarom niet alles via de scholen laten lopen ipv individuele personen?
Waarom opslaan in een systeem dat (indirect) benaderbaar is via het internet?


"Toen was geluk heel gewoon" (in het pre-internet tijdperk):

- Boeken werden (in bulk) besteld bij een boekhandel of via de school.
- De uitgever had toen geen individuele gegevens van leerlingen nodig.
- Geen magister om iedereen 24/7 te monitoren. (je vertelde zelf wel/niet thuis wat je cijfers waren of wat je aan huiswerk had)
- Geen social media die je konden afleiden of in de problemen brengen.

0XD
13-04-2024, 21:27 door Anoniem
Door walmare: Iddink is ook eigenaar van Magister, een windowsonly platform waar ik een spuughekel aan had omdat windows hierdoor op school verplicht was met een silverlight plugin. Nu hebben ze een koekje van eigen deeg door windows ransomware. Zo langzamerhand wordt dit gebruikersonvriendelijke ecosysteem eindelijk gesloopt.
Wat iedereen gebruikt moeten ze vooral zelf weten maar systemen met een vendor lock aan kinderen (en gemeenschap) opdringen waardoor ze verplicht een windowslaptop moeten aanschaffen had al veel eerder afgeserveerd moeten worden.
Nu worden ze eindelijk ontmanteld door de garbage collector.
Het leersysteem wordt nog steeds niet voor chromebooks aangeboden, terwijl er heel veel scholen chromebooks gebruiken.
Waarschijnlijk krijgen ze een Microsoft bonus via een partner.
14-04-2024, 10:27 door Anoniem
Dit is niet de eerste keer dat ze "data" kwijt raken.
Jammer dat de eerste keer niet vermeld wordt.

Magister is inderdaad wel een draak geworden waar ze geen controle over hebben.
Net als "gratis" schoolboeken die zij leveren aan leerlingen.
14-04-2024, 15:21 door Anoniem
Door Anoniem: Wanneer gaan we beginnen met het automatisch laten vervallen van klantgegevens binnen x gegeven tijd?
bewaarplicht voor finianciele gegevens is 7 jaar. Elke bestelling moet 1 voor de klant en 2 voor de organisatie beschikbaar blijven. Alleen dan kun je als klant waar je recht op hebt inzien van hoe en wat, en als bedrijf moet je wel bewaren vanwegen de wet.

Gevevens van niet bestellingen of account dit ooit zijn aangemaakt maar de persoon heeft niets besteld, eens, wis die gegevens. gehttps://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/administratie_bewaren/woon na 3 maanden. Maar helaas er is nu eenmaal een bewaarplicht.

Aan de andere kant, het is 2024, We weten nog niet hoe en wat er exact is gebeurd. maar dit soort hacks zouden incidenten zouden nu toch langzaam aan toch niet meer mogen gebeuren. Genoeg techische oplossingen. al bestaat er nog niets tegen de fout de de mens maakt, Ik vermoed hier ook een verkeerd ingericht netwerk, te duur om dit te vervangen dus we accepteren het risico wel.
14-04-2024, 19:00 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer gaan we beginnen met het automatisch laten vervallen van klantgegevens binnen x gegeven tijd?
bewaarplicht voor finianciele gegevens is 7 jaar. Elke bestelling moet 1 voor de klant en 2 voor de organisatie beschikbaar blijven. Alleen dan kun je als klant waar je recht op hebt inzien van hoe en wat, en als bedrijf moet je wel bewaren vanwegen de wet.

Gevevens van niet bestellingen of account dit ooit zijn aangemaakt maar de persoon heeft niets besteld, eens, wis die gegevens. gehttps://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/administratie_bewaren/woon na 3 maanden. Maar helaas er is nu eenmaal een bewaarplicht.

Aan de andere kant, het is 2024, We weten nog niet hoe en wat er exact is gebeurd. maar dit soort hacks zouden incidenten zouden nu toch langzaam aan toch niet meer mogen gebeuren. Genoeg techische oplossingen. al bestaat er nog niets tegen de fout de de mens maakt, Ik vermoed hier ook een verkeerd ingericht netwerk, te duur om dit te vervangen dus we accepteren het risico wel.

Terug naar het oude systeem dat de scholen zelf in bulk de boeken bestellen en betalen.
Idem voor online materiaal. Via de school laten lopen. Zo nodig bij de scholen zelf binnen hun netwerk hosten.
Geen individuele informatie opslaan bij de uitgever.
Wat er niet is kan ook niet gestolen worden of uitlekken.
Dit is een goudmijn die ze nooit goed genoeg kunnen beschermen.
15-04-2024, 08:39 door Anoniem
"Klanten van Iddink zijn op de hoogte gebracht van de aanval" OH ECHT ? Ik heb namelijk nog geen bericht gehad en mijn zoon ook niet. Dus niet jokken graag.
15-04-2024, 09:31 door Anoniem
Nou, ik vond het system van vroeger zwaar kl@te. Hoe ik nu eenvoudig voor mijn kinderen hun boeken regel (bestellen en weer inleveren) is fijn en volgens mij zoals het zou moeten. Hiermee zeg ik niets over Iddink's beveiligings- / privacymaatregelen. Wel denk ik dat voor elk bedrijf geldt dat het niet de vraag is of je met een securityincident te maken krijgt, maar wanneer. Hoe gaat erom hoe goed je voorbereid bent.
15-04-2024, 10:33 door Anoniem
Door Anoniem:
Door Anoniem: Wanneer gaan we beginnen met het automatisch laten vervallen van klantgegevens binnen x gegeven tijd?
bewaarplicht voor finianciele gegevens is 7 jaar. Elke bestelling moet 1 voor de klant en 2 voor de organisatie beschikbaar blijven. Alleen dan kun je als klant waar je recht op hebt inzien van hoe en wat, en als bedrijf moet je wel bewaren vanwege de wet.

Gegevens van niet bestellingen of account dit ooit zijn aangemaakt maar de persoon heeft niets besteld, eens, wis die gegevens. gehttps://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/administratie_bewaren/woon na 3 maanden. Maar helaas er is nu eenmaal een bewaarplicht.

Dit vraagt om een aanpassing/verfijning van de wetgeving, die bijvoorbeeld stelt dat dergelijke data na termijn x enkel nog offline beschikbaar mag zijn m.b.t de bewaarplicht.

Termijn x komt dan neer op garantie bepaling bij producten, maar daar wil als klant afstand van kunnen doen(bijv. bij het verwijderen van account) omdat het vaak irrelevant is of de moeite niet loont.

Voor dienstverlening is termijn x zolang de service loopt(zo ben ik bijvoorbeeld al tijden blij toe weg bij Ziggo maar krijg nog steeds spam van ze, deze data staat nu dus gewoon te rotten tot het uitlekt)
15-04-2024, 10:37 door Anoniem
Door Anoniem:
bewaarplicht voor finianciele gegevens is 7 jaar. Elke bestelling moet 1 voor de klant en 2 voor de organisatie beschikbaar blijven. Alleen dan kun je als klant waar je recht op hebt inzien van hoe en wat, en als bedrijf moet je wel bewaren vanwegen de wet. .
Laten we dan eens beginnen met een verwijderplicht na die 7 jaar.
15-04-2024, 10:45 door Anoniem
Door Anoniem: Nou, ik vond het system van vroeger zwaar kl@te. Hoe ik nu eenvoudig voor mijn kinderen hun boeken regel (bestellen en weer inleveren) is fijn en volgens mij zoals het zou moeten. Hiermee zeg ik niets over Iddink's beveiligings- / privacymaatregelen. Wel denk ik dat voor elk bedrijf geldt dat het niet de vraag is of je met een securityincident te maken krijgt, maar wanneer. Hoe gaat erom hoe goed je voorbereid bent.
Niet alleen hoor, ook wat voor software je gebruikt en of het makkelijk en betrouwbaar is te patchen. Kwaliteit bestaat namelijk. Het is niet allemaal even slecht. Geldt ook voor personeel.
15-04-2024, 14:25 door Anoniem
Wat ik niet begrijp; Iddink is onderdeel van Sanoma. Ze zijn eigenaar van Magister. Er zijn mogelijk 300.000 accounts (NAW gevens) van leerlingen ontvreemd.

Waarom doe ze alle communicatie via scholen en een ICT stichting? Ze zijn toch gewoon een commercieel bedrijf? Kunnen ze niet een beetje mans genoeg zijn om toe te geven hoe slecht ze de boel op orde hadden?
19-04-2024, 12:25 door Anoniem
Wat een beetje verbazingwekkend is....

Alle denkbare aspecten en facetten van digitale atomatisering, zijn 100% Voorspelbaar en Manipuleerbaar..... voor iedereen betrokken."

Ransomware is niet nieuw, dat is er alweer en paar jaar. En telkens lees je weer dat bij een ransomware aanval, er niet (goed genoeg) is nagedacht over eenvoudig te nemen maatregelen, die de problemen moeten indammen en de out-tijd moeten verkorten. Dat beteklend ook dat je veel meer en beter moet hebben nagedacht over stappen en maatregelen de data beter te beschermen en te borgen.

Iets wat je dan weer niet terug haalt uit de publicaties. Jammer....
22-04-2024, 08:56 door Anoniem
Scholen worden geacht ook hun oud-leerlingen te verwittigen en dit tot 7 jaar terug. En hoe kan dat als de scholen wel voldoen aan de verplichting om gegevens niet langer te bewaren dan noodzakelijk? Dan hebben die scholen ook geen persoonlijke contactgegevens meer van die oud-leerlingen. Dus als je als oud-leerling van een school een bericht kreeg, en je hebt je nooit akkoord verklaard dat ze je gegevens mochten behouden voor bvb hun alumni werking, dan voldoet de school ook niet aan de AVG en GDPR wetgeving.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.