Gemeente Amersfoort: gegevens inwoners gelekt uit testomgeving
De gemeente Amersfoort heeft opnieuw te maken gekregen met een datalek waarbij gegevens van inwoners zijn gelekt. Het gaat om de persoonsgegevens van 24 huidige en voormalige inwoners, waaronder naam, geslacht, burgerservicenummer en geboortedatum. "Bij een voormalig softwareleverancier van ons belastingsysteem is sprake van een beveiligingsincident", zo laat het college van burgemeester en wethouders in een brief aan de gemeenteraad weten.
"Het gaat om gegevens uit een testomgeving van de voormalig leverancier, waarin naast voornamelijk fictieve persoonsgegevens ook bestaande persoonsgegevens staan. Dit was nodig om realistische tests uit te voeren voor de werking van het systeem", voegt het college toe (pdf). Aanvallers wisten door middel van een 'zwakke plek in de software' toegang tot de testomgeving en daarop aanwezige gegevens te krijgen.
De gemeente heeft de getroffen inwoners, waarvan er vier inmiddels zijn overleden, ingelicht. Tevens is er een voorlopige melding bij de Autoriteit Persoonsgegevens gedaan. Het contract met de betreffende leverancier was al beëindigd en loopt in februari af. "Op dat moment wordt alle data bij deze leverancier verwijderd. Er is nauw contact met de softwareleverancier over het vervolg van dit beveiligingsincident", aldus het college. Vorige maand werd bekend dat Amersfoort de gegevens van 100.000 inwoners had gelekt.
Oefendata (of gepseudonimseerde) data levert helaas niet altijd het gewenste resultaat bij het testen.
Werkelijke klantdata zal altijd onvoorspelbaarder en weerbarstiger zijn dat oefendata. En dus fouten in de software vinden die die oefendata niet zien.
Dat zou onderzocht kunnen worden, analoog, voor de veiligheid.
Oefendata (of gepseudonimseerde) data levert helaas niet altijd het gewenste resultaat bij het testen.
Werkelijke klantdata zal altijd onvoorspelbaarder en weerbarstiger zijn dat oefendata. En dus fouten in de software vinden die die oefendata niet zien.
Goed anonimiseren in een testomgeving zonder database connecties stuk te maken is inderdaad erg lastig, en als dit niet goed doordacht gebeurt levert het veel fase positives op met test werk. Vooral met veel gekoppelde applicaties .
Maar we zien dat het ondanks de uitdagingen een must is, want plenty it leveranciers zitten hier ook in te wroeten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?