image

ABN Amro, Staedion, Waterbedrijf Groningen, RBG en WMD melden mogelijk datalek

zondag 26 mei 2024, 08:12 door Redactie, 26 reacties

ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD en de Regionale Belasting Groep (RBG) hebben klanten gewaarschuwd voor een mogelijk datalek na een ransomware-aanval bij leverancier AddComm. Eerder gaven Hoogheemraadschap Hollands Noorderkwartier (HHNK) en de Amsterdamse woningcorporatie Eigen Haard een zelfde waarschuwing.

AddComm verstuurt belastingaanslagen, rekeningen en aanmaningen voor zo'n zestig gemeenten en commerciële partijen. Hiervoor verwerkt AddComm gegevens van klanten van deze partijen. "Het gaat om naam, adres, woonplaats, burgerservicenummer (BSN), bankrekeningnummer, een aantal e-mailadressen en eigendomsgegevens van huizen en bedrijfspanden", zo laat RBG weten. In het geval van Staedion kan het gaan om namen, adressen, e-mailadressen, telefoonnummers en bankrekeningnummers.

"Het bedrijf onderzoekt momenteel of er gegevens van WMD-klanten in verkeerde handen terecht zijn gekomen. Dat is nu nog niet bekend. Wij hopen hierover zo snel mogelijk uitsluitsel te kunnen geven", zo laat het Drentse drinkwaterbedrijf weten. Ook Waterbedrijf Groningen meldt dit. ABN Amro meldt dat onbevoegden mogelijk toegang tot klantgegevens hebben gekregen. "Het betreft een beperkt aantal klanten. Klanten, die mogelijk geraakt zijn, zullen door ons schriftelijk benaderd worden."

Alle getroffen organisaties hebben een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens. Na een eerdere verklaring heeft AddComm nog geen verdere informatie gegeven.

Reacties (26)
26-05-2024, 08:24 door Anoniem
"Het bedrijf onderzoekt momenteel of er gegevens van WMD-klanten in verkeerde handen terecht zijn gekomen. Dat is nu nog niet bekend.
Natuurlijk zijn di in verkeerde handen gekomen. Nl. in de handen van een bedrijf wat de boel - blijkbaar - niet op orde heeft. Die conclusie is niet heel moeilijk.
26-05-2024, 08:25 door Anoniem
Jammer dat leren zo moeilijk is dus gewoon stug doorgaan, verder geen commentaar.
26-05-2024, 10:04 door Anoniem
Ooit draaide iedere organisatie die automatiseerde typisch zijn eigen software op zijn eigen hardware. Natuurlijk waren hardware en besturingssysteem afkomstig van leveranciers, dus was er generieke software die hetzelfde was als bij anderen, maar de eigen software was uniek voor een organisatie.

Vervolgens kwamen voor steeds meer dingen pakketten beschikbaar, en gingen organisaties, nog steeds op hun eigen hardware, dat ook steeds meer gebruiken in plaats van eigen software.

Nu leven we in een tijd dat de leveranciers van die pakketten ook de verwerking doen, zodat ze ook de data van alle organisaties krijgen die klant van ze zijn. En als er dan een datalek is worden meteen ettelijke organisaties en dus ook klanten van ettelijke organisaties daardoor getroffen.

Die manier van werken levert enorme single points of failure op en dat is een serieuze zwakte in hoe nu gewerkt wordt. Een verwerkingsverantwoordelijke mag van de AVG verwerkingen uitbesteden aan een verwerker, met een goede verwerkersovereenkomst om de persoonsgegevens te beschermen, maar dit houdt geen rekening met het feit dat dat leidt tot enorme concentraties van persoonsgegevens en dat dat risico's verhoogt.

Je kan natuurlijk stellen dat zo'n organisatie waar alles samenkomt supervakkundig kan zijn zodat per saldo de risico's lager uitvallen. Maar zelfs als ze inderdaad heel vakkundig zijn dan is zo'n dataconcentratie ook een aantrekkelijker doelwit voor kwaadwillenden, die net zo goed supervakkundig kunnen zijn. En goed beveiligen is moeilijker dan inbreken, want de beveiliging moet alle zwakheden proberen af te dichten terwijl een cybercrimineel maar één of enkele zwakheden hoeft te misbruiken om binnen te komen. Het ligt daarom voor de hand dat er een punt is vanaf waar verder concentreren van dingen bij dezelfde partij meer risico's oplevert dan ermee voorkomen worden. Ik vermoed dat we dat punt allang gepasseerd zijn en dat het verstandig zou zijn om een stap terug te doen om die risicoconcentraties te verhelpen en voortaan te voorkomen.
26-05-2024, 10:32 door Anoniem
Het gaat om naam, adres, woonplaats, burgerservicenummer (BSN), bankrekeningnummer, een aantal e-mailadressen en eigendomsgegevens van huizen en bedrijfspanden", zo laat RBG weten.
Als je BSN in handen van criminelen is gevallen, wie geeft je dan een nieuw BSN? Oh, wacht...dat kan niet hè?
26-05-2024, 11:00 door Anoniem
Jezus kan je als bedrijf niet eens meer je eigen rekeningen en aanmaningen versturen. Misschien eens ophouden met al dat centraliseren.

Wat een marketing gewauwel op de site, gelukkig zijn ze wel "ISO/IEC 27001" gecertificeerd op hun informatiebeveiliging. Laat meteen weer eens zien dat dit echt helemaal geen reet betekent.
26-05-2024, 11:02 door Anoniem
ga lekker zo..en ik maar de bank amro waarschuwen van jo hebben jullie je beveiliging op orde ja hoor meneer hoe zo meneer nou ik zegt ik heeft geen vertrouwen in de beveiliging van de bank.....nou zie hier het resultaat de gedachte is grooter dan
de IT kennis.....en maar lekker bij de hand doen...m'n broek
zak er van af......sukkels....had ik het toch gelijk......
26-05-2024, 12:02 door Anoniem
Raar dat gemeenten en een hoogheemraadschap dit uitbesteden. Belasting inning is voor hen een primair proces (levenslijn voor geld). Door de extra tussenschakel maken ze de kans op datalekken weer groter. Dat maakt de kans op lekken groter EN creëert alleen maar kans op misverstanden / verwarring over welke organisatie legitiem met een rekeninghouder communiceert. Een woningbouwcorporatie is een twijfelgeval maar bij twijfel niet oversteken. Banken zouden de communicatie ook niet moeten uitbesteden, zie de gevallen van phishing en fraude bij banken.

Moet de AP ook eens op induiken.
26-05-2024, 12:18 door Anoniem
Er zijn veeeel meer bedrijven van addcomm alleen hebben die nog niks gemeld! Komt van de week wel dit is trouwens de grooste datalek ever ! De hackers hebben letterlijk goud in handen door de addcomm datalek
26-05-2024, 12:48 door Anoniem
Het zal niet bij de nu genoemde getroffen bedrijven blijven. Ook Vattenfall en Infomedics maken deel uit van hun clientele.
https://web.archive.org/web/20230127222011/https://www.addcomm.nl/cases/
26-05-2024, 13:23 door Anoniem
Door Anoniem: Er zijn veeeel meer bedrijven van addcomm alleen hebben die nog niks gemeld! Komt van de week wel dit is trouwens de grooste datalek ever ! De hackers hebben letterlijk goud in handen door de addcomm datalek
En dat "goud" is niet van hun. Wat ze ook willen gaan doen, het mag niet.
26-05-2024, 14:15 door Anoniem
Zij lekken en jij gebruikt een ad-blokker.

It is all about the ad-money, stupid.

Net als bij je voedsel, beetje kleurstof erop, ziet het er weer wat verser uit, die zoete aardappel.

De waakhonden snurken door, terwijl alle data op straat komen te liggen.

Bevreemdt het U? Nu toch niet meer als het dagelijkse kost begint te worden.
26-05-2024, 16:31 door Anoniem
Door Anoniem: Het zal niet bij de nu genoemde getroffen bedrijven blijven. Ook Vattenfall en Infomedics maken deel uit van hun clientele.
https://web.archive.org/web/20230127222011/https://www.addcomm.nl/cases/
Bij Vattenfall zijn ze ook wakker geworden vattenfall.nl/privacy/datalek/datalek-bij-onze-partners/#addcomm (express geen linkje, onveilige website).
"We zijn geschrokken van het datalek bij AddComm. En vinden het belangrijk dat je goed op de hoogte bent. Ook wanneer een datalek niet bij ons is gebeurd. Om je goed te beschermen tegen een datalek en wat je kunt doen als je gegevens gelekt zijn, leggen we uit op de pagina ‘Zo bescherm je jezelf tegen een datalek’."
Lekkere houding van Vattenfall, het is niet onze fout en u had het zelf kunnen voorkomen. Leg dan maar eens uit hoe dan?

Tenenkrommend dit soort bedrijven die privacy van klanten totaal niet belangrijk vinden.
26-05-2024, 17:49 door Nescio
Heb het al eerder gezegd,maak een site als weerradar met de dagelijkse standen aangaande lekken gegevens.
26-05-2024, 18:55 door Anoniem
Door Anoniem:
"Het bedrijf onderzoekt momenteel of er gegevens van WMD-klanten in verkeerde handen terecht zijn gekomen. Dat is nu nog niet bekend.
Natuurlijk zijn di in verkeerde handen gekomen. Nl. in de handen van een bedrijf wat de boel - blijkbaar - niet op orde heeft. Die conclusie is niet heel moeilijk.
Op orde houden? Neeeee, ze houden van uitdagingen. Lees maar:
"Over AddComm. Met de jarenlange ervaring van ons familiebedrijf staan we voor zekerheid en toewijding. En tegelijkertijd zijn we altijd in ontwikkeling. Want we houden van uitdagingen en bedenken steeds nieuwe, betere en efficiëntere oplossingen. Zo staan we garant voor optimale klantcommunicatie."

Uitdagingen wilden ze en efficiëntere oplossingen, Daar vroegen ze zelf om.
Ik daag AddComm daarom uit dat ze ervoor zorgen dat ik geen greintje last zal krijgen van dit akkefietje.
Dit is je kans, AddComm!
26-05-2024, 19:26 door Anoniem
Het lijkt me prima om de eindverantwoordelijken (lees: de directie) voor dit soort wanbeleid waarbij klanten de dupe worden, hoofdelijk aansprakelijk te houden en gewoon flinke straffen uit te delen.
26-05-2024, 19:56 door Anoniem
Tenenkrommend dit soort bedrijven die privacy van klanten totaal niet belangrijk vinden.
Het lijkt wel of ze zelf de wetten maken want die data lekkende bedrijven kunnen gewoon doorgaan,
alleen de klant kan hier mee in de problemen komen, maar dat is niet hun probleem, en blijkbaar wordt
dit ook als normaal gezien.
26-05-2024, 20:12 door Anoniem
De hack heeft plaatsgevonden tussen 5 mei en 17 mei. Op 17 mei werd het beveiligingsincident kenbaar voor AddComm doordat de systemen door de cybercriminelen werden versleuteld.
De hierboven tekst staat op de website van AddComm. Dus 12 dagen heeft men niet doorgehad gehackt te zijn geweest. Nou zeg, wat een security van de bovenste plank!
26-05-2024, 22:32 door cyberpunk
Dit is precies de Nederlandse versie van ons Limburg.net fiasco.
27-05-2024, 09:11 door Anoniem
Door Anoniem:
"Het bedrijf onderzoekt momenteel of er gegevens van WMD-klanten in verkeerde handen terecht zijn gekomen. Dat is nu nog niet bekend.
Natuurlijk zijn di in verkeerde handen gekomen. Nl. in de handen van een bedrijf wat de boel - blijkbaar - niet op orde heeft. Die conclusie is niet heel moeilijk.

Inderdaad. De data is weggekopieerd. Maar naar wie dan? En is het daarna nog doorgestuurd naar anderen. Hoe kom je er ook achter wie dat dat precies is? Je kunt onderzoeken tot je een ons (oeps geen SI eenheid, bedoelde 0.1 kg) weegt, maar er komt geen duidelijkheid.
27-05-2024, 09:28 door Anoniem
Ik wilde net even kijken wie hun klanten zijn, maar ze hebben alle klantinformatie van hun site gehaald. Evenals pagina's met teksten als "Van grote multinationals tot de huisarts of kapper om de hoek: jaarlijks verwerken wij nog zo'n 250 miljoen documenten voor onze klanten".... Alle facturen en andere communicatie van InfoMedics bijvoorbeeld. Ofwel: dagelijks ruim 100.000 declaraties van de medische behandelingen van 7.500 zorgverleners in de mondzorg, paramedie, GGZ, hulpmiddelen (audiciens/opticiens) en medisch specialistische zorg
27-05-2024, 10:08 door linuxpro
Lekker zo veel mogelijk uitbesteden, dat werkt zoooo goed.
27-05-2024, 11:30 door Anoniem
Hoeveel cybercriminelen zitten er al binnen de poorten bij vele respectabele bedrijven?

De handhaving wordt dweilen met de kraan open.

Wie screent deze kans-pareltjes en hun vrindjes?

Wanneer komt het punt - genoeg ellende is genoeg ellende.

Tandeloze waakhonden, inactieve overheden, zeer graailustigen naar het data-goud dezer dagen - onze data.
Zie daar de formule die een dystopische toestand binnen de kortste keren garandeert.

#cyberbot
27-05-2024, 12:12 door Anoniem
Via de link van de poster van 16u31, naar 'over ons' links onder.
Essent, afterpay, bol.com worden daar ook genoemd.
Zelfde pagina, in het stukje onder 'leading customer communication'
Wordt ook 'mijn overheid' genoemd.
27-05-2024, 19:10 door Anoniem
Addcomm zou verplicht een lijst moeten geven met bedrijven die bij hen zijn aangesloten!
27-05-2024, 22:45 door Anoniem
Door Anoniem: Addcomm zou verplicht een lijst moeten geven met bedrijven die bij hen zijn aangesloten!
300% mee eens.
Op de website van Infomedics staat bijvoorbeeld nog helemaal niets over het lek bij AddComm.
13-06-2024, 14:43 door Briolet
ABN Amro meldt dat onbevoegden mogelijk toegang tot klantgegevens hebben gekregen. "Het betreft een beperkt aantal klanten. Klanten, die mogelijk geraakt zijn, zullen door ons schriftelijk benaderd worden."

Ik werd vandaag telefonisch over het lek ingelicht door mijn bank. Bij mij betrof het een kwartaaloverzicht die blijkbaar door Addcomm verstuurd wordt. Wel ruim 2 week na dato.

Ik moest oppassen voor vreemde mailtjes etc. Wel vreemd dat Addcomm een klantenbestand krijgt waar mijn e-mail adres in staat terwijl het om een papieren verzending gaat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.