image

AddComm maakt afspraak met criminelen om gestolen klantdata te verwijderen

dinsdag 28 mei 2024, 09:17 door Redactie, 22 reacties

Klantcommunicatiebedrijf AddComm zegt afspraken te hebben gemaakt met de criminelen achter de recente ransomware-aanval om gestolen klantgegevens te verwijderen en niet te publiceren. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Bij de ransomware-aanval werden gegevens van klanten buitgemaakt. Het gaat om een 'selecte groep', zo laat het bedrijf weten.

AddComm verstuurt belastingaanslagen, rekeningen en aanmaningen voor zo'n zestig gemeenten en commerciële partijen. Hiervoor verwerkt AddComm gegevens van klanten van deze partijen. "Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen. Daarom zijn er onder begeleiding van externe cyber security experts afspraken gemaakt met de cybercriminelen over het niet-publiceren en verwijderen van buitgemaakte klantdata."

Volgens AddComm is het besluit weloverwogen genomen om de schade voor onze klanten zoveel mogelijk te beperken. Details over de afspraken zijn niet gegeven. Zo wordt er geen melding gemaakt van losgeld of de hoogte van een eventueel bedrag. Klanten van wie gegevens zijn gestolen zijn inmiddels persoonlijk ingelicht. Daarnaast zullen alle 'relevante klanten' een e-mail ontvangen met informatie over de laatste stand van zaken.

ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD, de Regionale Belasting Groep (RBG), Essent en Vattenfall waarschuwden klanten vorige week nog voor een mogelijk datalek na de ransomware-aanval bij AddComm.

Reacties (22)
28-05-2024, 09:33 door Anoniem
Misschien veel, veel, veel hogere straffen voor deze vorm van afpersen? Dat schrikt af.
En je eigen beveiliging op orde hebben?
En vooral NIET betalen van criminelen die daardoor dit zooitje afpersing in houdt. (Het betalen darvan strafbaar maken)
Heeft men bij deze "selecte groep" alleen "belangrijke" mensen zoals ministers e.d. uitzondering gekregen? Of ook de rest van het volk?
Misschien dit bedrijf onder de loep leggen vanwege haar beveiliging en aanklagen vanwege het betalen van een criminele organisatie?
Dit zaakje rammelt aan alle kanten.
Zet de AIVD/NCTV maar eens in tegen deze criminelen, want je gaat je toch wel afvragen; wat hebben al die sleepwetten dan voor zin he?
28-05-2024, 09:38 door Anoniem
"Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen."
Ze hebben zich dus wel laten afpersen. Ze vermijden het expliciete gebruik van het woord "losgeld", maar ik zie niet in wat dit anders kan betekenen dan dat ze losgeld hebben betaald.
28-05-2024, 09:45 door Anoniem
Gewoon addcomm dumpen en en ander bedrijf in handen nemen, wat een k@tbedrijf met hun falende beveiliging.
Aan de ene kant heeft mijn woningbouwvereniging mijn info gelekt, daarna mijn ISP, en nu dit bedrijf?
Neem betere beveiliging in handen en beter personeel, stelletje domoren.
Ik zorg zelf altijd voor TOP beveiliging op mijn apparaten, (ik bewaar veel versleuteld offline, airgapped, full disk encryption, GNU+Linux, Yubikeys, etc, etc)de enige spam die ik krijg (laatst nog poging tot afpersing) komt van deze falende groepen.
Daarnaast is mijn geld in gevaar omdat men vroeg of laat mijn BSN lekt.
Bij de ISP en woningbouwvereniging had ik deze onzichtbaar gemaakt, al stuurt addcomm uw BSN nummer doodleuk per briefpost in allerlei brieven...
En nu wil de overheid ook nog overstappen op Amazon of Microsoft servers om al onze persoonlijke overheidsgegevens op te slaan omdat ze falen? Wat een stelletje slappe punddingen, neem gewoon wat GOEDE mensen in handen die meer van beveiliging weten dan je gemiddelde secretaresse en doe wat meer moeite, waarvoor betalen we nou nog belasting??
28-05-2024, 09:52 door Anoniem
Door Anoniem:
"Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen."
Ze hebben zich dus wel laten afpersen. Ze vermijden het expliciete gebruik van het woord "losgeld", maar ik zie niet in wat dit anders kan betekenen dan dat ze losgeld hebben betaald.
Zoals daarboven ook al geschreven, het kan ook zijn dat de afpersers alsnog gepakt worden, wellicht doordat de recherche aan de gang gaat met de interactie en betaling die ze naar de criminelen gedaan hebben.
Dat zou niet de eerste keer zijn.
28-05-2024, 09:58 door Anoniem
Door Anoniem:
"Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen."
Ze hebben zich dus wel laten afpersen. Ze vermijden het expliciete gebruik van het woord "losgeld", maar ik zie niet in wat dit anders kan betekenen dan dat ze losgeld hebben betaald.
Je leest het verkeerd; Ze laten zich liever wél afpersen omdat ze de privacy van hun klanten zwaarder vinden wegen.

Maar daarna zullen deze kosten wel weer doorberekend gaan worden naar hun klanten die het weer door gaan berekenen aan ons, de burger. Uiteindelijk betalen wij dus die afkooopsom!
28-05-2024, 10:26 door Anoniem
Door Anoniem:
Door Anoniem:
"Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen."
Ze hebben zich dus wel laten afpersen. Ze vermijden het expliciete gebruik van het woord "losgeld", maar ik zie niet in wat dit anders kan betekenen dan dat ze losgeld hebben betaald.
Je leest het verkeerd; Ze laten zich liever wél afpersen omdat ze de privacy van hun klanten zwaarder vinden wegen.

Maar daarna zullen deze kosten wel weer doorberekend gaan worden naar hun klanten die het weer door gaan berekenen aan ons, de burger. Uiteindelijk betalen wij dus die afkooopsom!
Als ze hun klanten zo waarderen hdden ze wel voir betere beveiliging gezord... Ze willen geen gezichtsverlies.Bedrijven hebben geen gevoel, ze willen alleen de aandeelhouder tevreden houden.
28-05-2024, 10:32 door Anoniem
Door Anoniem: Gewoon addcomm dumpen en en ander bedrijf in handen nemen, wat een k@tbedrijf met hun falende beveiliging.
Aan de ene kant heeft mijn woningbouwvereniging mijn info gelekt, daarna mijn ISP, en nu dit bedrijf?
Neem betere beveiliging in handen en beter personeel, stelletje domoren.
Ik zorg zelf altijd voor TOP beveiliging op mijn apparaten, (ik bewaar veel versleuteld offline, airgapped, full disk encryption, GNU+Linux, Yubikeys, etc, etc)de enige spam die ik krijg (laatst nog poging tot afpersing) komt van deze falende groepen.
Daarnaast is mijn geld in gevaar omdat men vroeg of laat mijn BSN lekt.
Bij de ISP en woningbouwvereniging had ik deze onzichtbaar gemaakt, al stuurt addcomm uw BSN nummer doodleuk per briefpost in allerlei brieven...
En nu wil de overheid ook nog overstappen op Amazon of Microsoft servers om al onze persoonlijke overheidsgegevens op te slaan omdat ze falen? Wat een stelletje slappe punddingen, neem gewoon wat GOEDE mensen in handen die meer van beveiliging weten dan je gemiddelde secretaresse en doe wat meer moeite, waarvoor betalen we nou nog belasting??
De ISP bewaart ook alle DNS-verzoeken van gebruiker, dan hebben criminelen gelijk de gehele internetgeschiedenis in handen.
Ik versleutel/obfusceer atijd mijn DNS-verzoeken om deze reden.
28-05-2024, 10:38 door Anoniem
Door Anoniem: Gewoon addcomm dumpen en en ander bedrijf in handen nemen, wat een k@tbedrijf met hun falende beveiliging.
Aan de ene kant heeft mijn woningbouwvereniging mijn info gelekt, daarna mijn ISP, en nu dit bedrijf?
Neem betere beveiliging in handen en beter personeel, stelletje domoren.
Ik zorg zelf altijd voor TOP beveiliging op mijn apparaten, (ik bewaar veel versleuteld offline, airgapped, full disk encryption, GNU+Linux, Yubikeys, etc, etc)de enige spam die ik krijg (laatst nog poging tot afpersing) komt van deze falende groepen.
Daarnaast is mijn geld in gevaar omdat men vroeg of laat mijn BSN lekt.
Bij de ISP en woningbouwvereniging had ik deze onzichtbaar gemaakt, al stuurt addcomm uw BSN nummer doodleuk per briefpost in allerlei brieven...
En nu wil de overheid ook nog overstappen op Amazon of Microsoft servers om al onze persoonlijke overheidsgegevens op te slaan omdat ze falen? Wat een stelletje slappe punddingen, neem gewoon wat GOEDE mensen in handen die meer van beveiliging weten dan je gemiddelde secretaresse en doe wat meer moeite, waarvoor betalen we nou nog belasting??
Ik ken het gevoel, het is net alsof je je dierbare spulletjes zelf altijd heel voorzichtig behandeld en de verhuizer het in een slappe doos inpakt en de hele boel uit de onderkant kapotvalt omdat het bedrijf kosten op dozen wou besparen...
Ik zou fiks boos zijn en de verhuizer aansprakelijk stellen.
Daarna zou ik logischerwijs nooit meer met ze in zee gaan.
28-05-2024, 10:57 door Anoniem
Lol, criminelen vertrouwen dat ze de data zullen vernietigen. Beetje zelfde als onze veiligheidsdiensten die datasets zullen verwijderen ivm privacy.

Midaad loont in dit lant of wordt achteraf gelegaliseerd.
28-05-2024, 11:00 door Anoniem
Door Anoniem: Misschien veel, veel, veel hogere straffen voor deze vorm van afpersen? Dat schrikt af.
En je eigen beveiliging op orde hebben?
Criminelen zijn niet bang voor straffen, zolang ze anoniem achter hun toetsenbord kunnen zitten, of in een land zoals Rusland bijvoorbeeld "kan ze niks overkomen"
En beveiliging op orde hebben is belangrijk, alleen zijn er helaas ook 0-day exploits.


En vooral NIET betalen van criminelen die daardoor dit zooitje afpersing in houdt. (Het betalen darvan strafbaar maken)
Ben het er mee eens dat je dit soort praktijken niet moet belonen.... maar data is data.... beter 1 miljoen betalen bijvoorbeeld dan heel je bedrijf naar de grond gewerkt.


Misschien dit bedrijf onder de loep leggen vanwege haar beveiliging en aanklagen vanwege het betalen van een criminele organisatie?
Dit zaakje rammelt aan alle kanten.
Ik zie niks rammelen, ben ik van mening dat je criminelen moet betalen? Nee, maar het is soms wel "de beste oplossing"

Zet de AIVD/NCTV maar eens in tegen deze criminelen, want je gaat je toch wel afvragen; wat hebben al die sleepwetten dan voor zin he?

Mochten de criminelen in Rusland zitten bijvoorbeeld kan de AIVD / INTERPOL etc vrij weinig
28-05-2024, 11:30 door Anoniem
Nooit het punt bereikt, dat je ziet dat het credo "Ordo ab Chao" echt in onze tijd speelt.
En al deze ellende (ook cybercrime & ransomware) er onderdeel van uitmaakt.

Het is de "club", die dit doet, en wij maken er echt geen deel van uit.

Laat G*ds water maar ober G*ds akker stromen,
totdat je de meest totalitaire dictatuur over de ganse wereldbevolking kan vestigen.

Je mag uit twee smaakjes kiezen, en allebei voeren ze je naar dezelfde puinhoop voor jou en mij.
28-05-2024, 11:36 door Anoniem
Door Anoniem:
Door Anoniem: Misschien veel, veel, veel hogere straffen voor deze vorm van afpersen? Dat schrikt af.
En je eigen beveiliging op orde hebben?
Criminelen zijn niet bang voor straffen, zolang ze anoniem achter hun toetsenbord kunnen zitten, of in een land zoals Rusland bijvoorbeeld "kan ze niks overkomen"
En beveiliging op orde hebben is belangrijk, alleen zijn er helaas ook 0-day exploits.


En vooral NIET betalen van criminelen die daardoor dit zooitje afpersing in houdt. (Het betalen darvan strafbaar maken)
Ben het er mee eens dat je dit soort praktijken niet moet belonen.... maar data is data.... beter 1 miljoen betalen bijvoorbeeld dan heel je bedrijf naar de grond gewerkt.


Misschien dit bedrijf onder de loep leggen vanwege haar beveiliging en aanklagen vanwege het betalen van een criminele organisatie?
Dit zaakje rammelt aan alle kanten.
Ik zie niks rammelen, ben ik van mening dat je criminelen moet betalen? Nee, maar het is soms wel "de beste oplossing"

Zet de AIVD/NCTV maar eens in tegen deze criminelen, want je gaat je toch wel afvragen; wat hebben al die sleepwetten dan voor zin he?

Mochten de criminelen in Rusland zitten bijvoorbeeld kan de AIVD / INTERPOL etc vrij weinig
Als de criminelen in Rusland zitten Rusland dwingen ze op te pakken, ander geen geld meer voor olie/gas, en geen toegang voor rijke Russen tot ons land.
Daarnaast kunnen we geheimen lekken van Russen als ze niet meewerken, Russen zjn niet immuun voor pijn, als men er van uitgaat dat er niks gedaan kan worden gebeurd er ook niks, mogelijkheden zat.

Zerodays kunnen vermeden worden door ze uberhaubt niet te ontvangen en het systeem inherent veiliger te maken, dat kan zo'n bedrijf best maar daar moeten ze wel een beetje moeite voor doen (oa. dataminimalisatie, read-only+air gapped systemen, MTE en meer)
En betalen is geen oplossing aangezien men de data al in handen heeft en er geen bewijs van vernietiging is geleverd, het staat straks gegarandeerd op het darkweb te koop voor heel veel geld.
28-05-2024, 11:44 door Anoniem
Ik begrijp een hoop frustratie, Maar we moeten niet vergeten dat er niet altijd een technische oplossing is voor menselijk falen. Gezien we niet het volledige verhaal kennen achter wat er exact is gebeurd veroordelen we vaak een organisatie al en op basis van emoties. Ja ook mijn gegeven zullen waarschijnlijk ergens in een lek zitten gezien de hoeveelheid klanten die ze hebben.
Bedrijven die hebben besloten hun diensten buiten de deur te zetten blijven verantwoordelijk. Nu besparen we ABN Amro, Essent, Vattenval, WMD etc. Maar laten we de gehele keten nu eens aansprakelijk stellen zodat er meer en betere controle uitgevoerd gaat worden. Overstappen naar een ander bedrijf die het dan gaat doen wil niet zeggen dat het daarmee ook veiligiger is. Het afsluiten van een cybersecurity verzekering om te betalen. lost niet het probleem op dat mijn informatie op straat komt te liggen en mogelijk misbruikt kan worden.
Ook de overheid zou iets moeten gaan doen om er voor te zorgen dat misbruik in de toekomst voorkomen kan worden. Mijn BSN kan ik niet aanpassen die krijg ik bij mijn geboorte. Er is een dienst die onderzoek doet of controle uitvoert zoals in Amerika die je credit report onderzoekt of daar afwijkingen in zijn. Er is dus nog een hoop te doen. Zomaar overstappen naar een ander bedrijf lost dus niet op. hogere boetes? die betaald uiteindelijk de burger bij dit soort bedrijven,
28-05-2024, 13:33 door linuxpro
Zoals sommige al opmerkten, je kan geen afspraken met criminelen maken zonder met geld over de brug te komen. Leuk verhaal van Addcom maar ze hebben dus gewoon betaald en vertrouwen de criminelen er nu op dat ze niets met de buit gemaakte data doen. Komt iig lekker betrouwbaar over.
28-05-2024, 13:45 door Anoniem
Onze digitale veiligheidssituatie wordt inderdaad steeds penibeler.

Iedereen heeft de macht uit handen gegeven aan grootgraai en criminelen.

Hoe moet het nu verder?
28-05-2024, 13:47 door Anoniem
Door Anoniem: Ik begrijp een hoop frustratie, Maar we moeten niet vergeten dat er niet altijd een technische oplossing is voor menselijk falen. Gezien we niet het volledige verhaal kennen achter wat er exact is gebeurd veroordelen we vaak een organisatie al en op basis van emoties. Ja ook mijn gegeven zullen waarschijnlijk ergens in een lek zitten gezien de hoeveelheid klanten die ze hebben.
Bedrijven die hebben besloten hun diensten buiten de deur te zetten blijven verantwoordelijk. Nu besparen we ABN Amro, Essent, Vattenval, WMD etc. Maar laten we de gehele keten nu eens aansprakelijk stellen zodat er meer en betere controle uitgevoerd gaat worden. Overstappen naar een ander bedrijf die het dan gaat doen wil niet zeggen dat het daarmee ook veiligiger is. Het afsluiten van een cybersecurity verzekering om te betalen. lost niet het probleem op dat mijn informatie op straat komt te liggen en mogelijk misbruikt kan worden.
Ook de overheid zou iets moeten gaan doen om er voor te zorgen dat misbruik in de toekomst voorkomen kan worden. Mijn BSN kan ik niet aanpassen die krijg ik bij mijn geboorte. Er is een dienst die onderzoek doet of controle uitvoert zoals in Amerika die je credit report onderzoekt of daar afwijkingen in zijn. Er is dus nog een hoop te doen. Zomaar overstappen naar een ander bedrijf lost dus niet op. hogere boetes? die betaald uiteindelijk de burger bij dit soort bedrijven,
Het moet gewoon niet meer zo makkelijk kunnen.
Niets is immuun voor hacken, desnoods via rubber duckies of social engineering, maar we hoeven het ze ook niet zo gemakkelijk te maken.
Er mag best het één en ander verbeterd worden, de cybersecurity is Nederland is echt een enorme grap, stomzinnig gewoon.
Het is echt te triest voor woorden.
28-05-2024, 16:02 door Anoniem
Door linuxpro: Zoals sommige al opmerkten, je kan geen afspraken met criminelen maken zonder met geld over de brug te komen. Leuk verhaal van Addcom maar ze hebben dus gewoon betaald en vertrouwen de criminelen er nu op dat ze niets met de buit gemaakte data doen. Komt iig lekker betrouwbaar over.
JuistJa, nou maar hopen dat criminelen zich houden aan afspraken en regels!
Oh wacht , het zijn criminelen ... zoiets als de vos en de schorpioen die over een rivier heen wilde!
28-05-2024, 18:07 door Anoniem
29-05-2024, 05:03 door Anoniem
Addcomm had hun personeel beter moeten trainen... ransomware krijg je door op verdachte links in emails te klikken of dingen te downloaden als er dus 1 iemand daar een halve hersencel heeft en gewoon dood leuk op een link in een email gaat klikken omdat ze willen weten wat het is krijg je dit sort dingen veel bedrijven geven geen cyber security trainingen aan personeel maar je zou verwachten dat addcomm dat wel zou doen! En gewoon om
De 6 maande training geeft aan hun personeel. Zo moeilijk is het allemaal niet
Gewoon je personeel blijven herhalen met een cyber security trainingen een mens leert pas dingen door alles 1000x te herhalen.
30-05-2024, 08:22 door Anoniem
Door Anoniem:
Door Anoniem: Ze hebben zich dus wel laten afpersen. Ze vermijden het expliciete gebruik van het woord "losgeld", maar ik zie niet in wat dit anders kan betekenen dan dat ze losgeld hebben betaald.
Je leest het verkeerd; Ze laten zich liever wél afpersen omdat ze de privacy van hun klanten zwaarder vinden wegen.
Wat totaal niet in tegenspraak is met wat ik schreef. Las jij niet verkeerd wat ik schreef?
08-06-2024, 16:03 door Anoniem
Kreeg vandaag een spambericht met in het onderwerp (naast de omschrijving van het onderwerp van de spam boodschap ook) de voorletters van mijn doopnamen. Die gebruik ik nooit in combinatie met dat e-mailadres. Er moeten dus meer bedrijven getroffen zijn dan tot nu toe bekend zijn gemaakt.
23-07-2024, 18:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
"Het privacybelang van onze klanten en hun data weegt zwaar. Zwaarder dan het principe om ons niet te laten afpersen door de cybercriminelen."
Ze hebben zich dus wel laten afpersen. Ze vermijden het expliciete gebruik van het woord "losgeld", maar ik zie niet in wat dit anders kan betekenen dan dat ze losgeld hebben betaald.
Je leest het verkeerd; Ze laten zich liever wél afpersen omdat ze de privacy van hun klanten zwaarder vinden wegen.

Maar daarna zullen deze kosten wel weer doorberekend gaan worden naar hun klanten die het weer door gaan berekenen aan ons, de burger. Uiteindelijk betalen wij dus die afkooopsom!
Als ze hun klanten zo waarderen hdden ze wel voir betere beveiliging gezord... Ze willen geen gezichtsverlies.Bedrijven hebben geen gevoel, ze willen alleen de aandeelhouder tevreden houden.

We laten zich niet afpersen, betalen geen losgeld.

Maar

We weten niet welke gegevens ze precies hebben omdat we onze eigen systemen niet in kunnen. We hebben er wel een hele goede schatting van gemaakt met ons telraam en een cyberparagnost. Die domme hackers hebben alleen maar onbelangrijke gegevens in handen. Het betreft in onze wilde gok ook niet het Kadaster, Medische factoring, incassobureaus en andere zeer gevoelige informatie, goed hè? Dus ZEKER geen BSN nummers, geheime medische gegevens en/of financiële info. Alleen oude telefoonnummers en postcodes en zo, maar onbelangrijke weetjes en feitjes.\

Maar...

Omdat we de privacy mbt tot onbelangrijke data van onze klanten heeeeel serieus nemen. Breken we voor 1 keer,
Speciaal voor onze geliefde klanten, doen we het dit keer binnen 10 dagen EN we laten ze beloven dat de gegevens (nogmaald, niks belangrijks) niet openbaar maken.

En omdat binnen 10 dagen best snel is, maken we ook gewoon de hoogte van het losgeld bekend. Daaraan kan je duidelijk zien dat het echt alleen nutteloze info is van een klein, select groepje klanten.

Na 10 dagen een heel hoog bedrag betalen zou raar zijn voor onbelangrijke gegevens.

Mocht u toch van bijvoorbeeld 'BELAZITINGDINST' een mail ontvangen met de mededeling dat u nog duizenden euro's moet betalen, dan heeft dat meestal niks met deze hack te maken..

oh ik hoor net dat het bedrag zo laag is dat we het niet bekend maken.

nou doooooeeeeg.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.