Schoolboekenleverancier Iddink opnieuw getroffen door datalek
De Gelderse schoolboekenleverancier Iddink is opnieuw getroffen door een datalek, zo laat ict-coöperatie voor het onderwijs SIVON weten. Bij het proces voor het inleveren van schoolboeken door leerlingen, wordt een link gebruikt om in te loggen bij Iddink. Deze link, die via e-mail was gestuurd naar leerlingen van scholen in de vakantieregio zuid, was eenvoudig aan te passen waardoor toegang kon worden verkregen tot gegevens van andere leerlingen uit heel Nederland.
Het gaat hierbij om de naam, straatnaam, postcode en woonplaats, schoolinformatie en de schoolboeken van schooljaar 2023-2024. De meeste van deze gegevens werden ook al gecompromitteerd bij de ransomware-aanval op Iddink die eerder dit jaar plaatsvond. "Iddink heeft deze link en werkwijze inmiddels aangepast waardoor deze kwetsbaarheid is verholpen."
Volgens Iddink is er misbruik van de kwetsbaarheid gemaakt, maar zijn er geen gegevens geautomatiseerd gedownload. "Er is een aantal meldingen bekend van ouders die deze kwetsbaarheid hebben gezien en getest. Ook al lijkt de impact van het datalek beperkt en gaat het om een kleine set met persoonsgegevens, er is een risico (geweest) voor de gegevensbescherming van betrokkenen", laat SIVON weten. De schoolboekenleverancier komt, als het onderzoek is afgerond, nog met meer informatie over wat er met de gegevens is gebeurd.
SIVON meldt dat Iddink het risico op misbruik van gegevens niet hoog inschat. "Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek. Als de school de betrokkenen niet informeert over het datalek, dan moet dat bij de datalekmelding van de AP worden gekozen als optie, waarbij er uitleg moet worden gegeven waarom de betrokkenen niet worden geïnformeerd. Als de school wil wachten met de keuze om betrokkenen te informeren, is het advies om het datalek voorlopig te melden bij de AP."
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!
Wat een prachtige wet is die AVG toch hè?
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!
Je vergeet een klein stukje te citeren:
"Als de school de betrokkenen niet informeert over het datalek, dan moet dat bij de datalekmelding van de AP worden gekozen als optie, waarbij er uitleg moet worden gegeven waarom de betrokkenen niet worden geïnformeerd."
en:
"Als de school wil wachten met de keuze om betrokkenen te informeren, is het advies om het datalek voorlopig te melden bij de AP."
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!
Want zonder AVG was het allemaal veeeel beter?
Zouden slachtoffers dan wel geinformeerd worden?
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!
Zorgwekkender is dat dit überhaupt gebeurd is. Dit is een type kwetsbaarheid dat zo bekend is dat die fout domweg al vele jaren niet meer over het hoofd gezien zou moeten worden (ik weet dat ik er in 1997 in een webapplicatie waar ik toen aan mee-ontwikkelde al rekening mee hield). Een ontwikkelaar (ook een goede onder hoge werk- of andere druk, of simpelweg na een nacht slecht slapen) kan steekjes laten vallen, maar daarvoor is zoiets als kwaliteitscontrole bedacht, en controleren op dit soort kwetsbaarheden zou daar standaard deel van uit moeten maken. Dus de vraag hoe dit zo ver heeft kunnen komen lijkt me een heel belangrijke voor Iddink om uit te zoeken; ik hoop dat ze doorhebben dat dit echt niet goed genoeg is, dat deze fout afgevangen had moeten zijn voor hij live ging.
Het is wel zo dat een bedrijf zijn logbestanden mag (nee: moet) inspecteren om uit te zoeken hoe groot de gevolgen van het lek in de praktijk zijn. Als daaruit blijkt dat het waarschijnlijke hoge risico dat de AVG noemt er niet is, omdat de gegevens simpelweg niet door een ander zijn gedownload, dan is op grond daarvan het melden aan de betrokkenen niet verplicht.
En ja, het is wel zo dat bedrijven de situatie zelf moeten uitzoeken en beoordelen, zoals er zoveel is dat bedrijven en burgers zelf in de gaten moeten houden. Als aan het licht komt dat ze dingen verkeerd hebben beoordeeld, bijvoorbeeld nadat benadeelden klachten erover indienen, kunnen ze daarvoor stevig op de vingers worden getikt. De AP zit niet bij alle medewerkers van alle bedrijven permanent over hun schouders mee te kijken om elke slipper af te vangen, net zo min als belastingdienst, politie, ACM en al die andere toezichthouders dat doen. We leven niet in een politiestaat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!