Zorgverzekeraar CZ lekt gegevens 55.000 klanten
Door een ernstig en zeer eenvoudig te vinden beveiligingslek op de website van zorgverzekeraar CZ was het mogelijk om van 55.000 mensen vertrouwelijke informatie te achterhalen. Het ging om naam, adres, telefoonnummer, geboortedatum, Burger Service Nummer, rekeningnummer, soort verzekering, relatienummer en gegevens van meeverzekerde familieleden.
De Tilburgse zorgverzekeraar, met 3 miljoen klanten een van de grootste zorgverzekeraars, werd vorige week ingelicht, maar afgelopen woensdag was de informatie nog steeds bereikbaar. "Stommer dan dit had nauwelijks gekund", laat woordvoerder Dirk-Jan Westerwoudt tegenover het AD weten. "Er is maandag een reparatie-actie begonnen, maar die kwam veel te traag op gang." Hoe lang de gegevens al te zien waren, is niet duidelijk.
CZ meldt op haar website dat het het gewraakte offertesysteem, MijnCZ, het extranet voor collectiviteiten en intermediairs tijdelijk uit de heeft lucht gehaald. Het gaat nu controleren of deze systemen goed zijn beveiligd. Inmiddels is er ook een "vraag en antwoord" online waarin de verzeker uitleg over het incident geeft.
Update: Tekst aangepast, link CZ geplaatst
Hopelijk blijft het niet bij een éénmalige controle-actie. Je moet op zijn
minst iedere maand een security scan uitvoeren. Zeker dit soort bedrijven.
hiermee. Blijf dus nog wel even bij Nationale Nederlanden.
Nielsk
- Securitylab.ws
creeert en de impact wordt steeds groter hoe meer men centraliseert en
de security te wensen overlaat.
En de grootste gemene deler is constant dat de burgers er onder leiden.
Mijn inziens worden bepaalde stappen veels te snel genomen en is
security bij veel bedrijven onterecht een soort sluitpost waarop enkel en
alleen geacteerd wordt tot er issue's zijn.
Managers moeten leiden en zich laten sturen door de adviezen van o.a. de
specialisten en afgerekend worden wanneer het bedrijf of derden schade
leiden waarbij adviezen van specialisten bewust zijn genegeerd.
Een manager met security bewustzijn moet ik nog tegenkomen. De
meesten denken enkel aan hun jaarlijkse target en voordat ze afgerekend
kunnen worden zijn ze al weer weg met een afzwaaipremie en is het
project " succesvol" afgesloten.
Daarbij zou de wetgeving ook een stuk duidelijker moeten worden want
zeg nou zelf..wat is dat nou eigenlijk: minimale beveiliging?
Kunnen ze de hackers en crackers wel gaan aanpakken maar die blijven
veelal buiten schot (m.a.w. ze zijn niet aan te pakken door allerlei
beslommeringen) en daarbij is dit reactief gedrag en niet proaktief.
Voorkomen is beter dan genezen, toch?
De balans is totaal zoek nu. Het verbaast me allemaal niets.
Dweilen met de kraan open.
fraai, hoewel...
Wat doet CZ om dit in de toekomst te voorkomen?
CZ heeft aan het Algemeen Dagblad gevraagd wie de hackers
zijn en zal hen met spoed uitnodigen om ook andere systemen
te bekijken op mogelijke lekken. Ook de externe partijen die
normaal gesproken de controles uitvoeren bij CZ worden
ingeschakeld.
Snif, diep treurig dit.
terecht op de site van een van de knutselaars die het
gevonden heeft. pascal.scheffers.net
Leuk net nu ik bij hun een zorgverzekering af wou sluiten komen ze
hiermee. Blijf dus nog wel even bij Nationale Nederlanden.
Nielsk
- Securitylab.ws
Hmmm...
Klinkt logisch maar denk er es goed over na.
Van CZ weet je nu tenminste dat ze iets aan hun beveiliging gedaan
hebben en dat ze op gaan letten (een gemiddelde ezel stoot zich als het
goed is geen tweede keer), van NN weet je waarschijnlijk enkel dat ze niet
met een incident in het nieuws zijn geweest.
eigenlijk in dat systeem stonden. Op de offerte staat namelijk meer dan
wat ze op de website aangeven.
Gelukkig we hoeven ons geen zorgen te maken, CZ heeft de hackers zelf
in gehuurd om de gaten te dichten, aldus de (overigens vriendelijke) man
op het callcenter. :-|
Dus mensen die willens en wetens een groot beveiligings lek openbaar
maken kunnen er vervolgens goed geld aan verdienen?
Ze hadden natuurlijk ook even kunnen bellen met CZ zelf om hun diensten
aan te bieden, zonder de vuile was op straat te gooien.
Pascal Scheffers, wellicht toch nog maar eens een lesje beveiligings
ethiek volgen?
Klinkt logisch maar denk er es goed over na.
Van CZ weet je nu tenminste dat ze iets aan hun beveiliging
gedaan
hebben en dat ze op gaan letten (een gemiddelde ezel stoot
zich als het
goed is geen tweede keer), van NN weet je waarschijnlijk
enkel dat ze niet
met een incident in het nieuws zijn geweest.
er wat aan willen doen, dus ben je er voortaan veiliger....
zo simpel werkt het niet. Neem alleen al het stuk tekst dat
ze met hun bestaande onderzoekers en deze amateurbughunters
om de tafel gaan zitten en ze de applicaties laten
onderzoeken. Ten eerste had het bij die gebruikelijke
onderzoekers allang opgevallen moeten zijn, daar neem je ze
voor in dienst. Ten tweede kan je er niet op vertrouwen dat
als ze de onderzoekers blijven het nu wel goed gaat, want
kennelijk zijn ze niet capabel genoeg om dit soort simpele
problemen te vinden of te laten oplossen. Ten derde ga je
geen amateurs op je applicaties loslaten omdat ze simpelweg
een nummertje hebben weten te veranderen toen ze als klant
de applicatie wilden gebruiken. En dan nog ten vierde: omdat
er van NN niets bekend is wil dat niet zeggen dat het daar
dus slechter of beter geregeld is. Beveiliging gaat niet om
als gebruiker iets wel of niet in het nieuws horen maar of
de eigenaren hun werk goed doen. Wel of niet in het nieuws
horen doet niets af aan de veiligheid.
gekoppeld?
Ik snap wel dat ze ons allemaal het werk willen laten doen
wat ze zelf hebben gedaan.Maar ik word er niet voor betaald
en mijn gegevens mogen niet aan het internet hangen!!!!!
want ik heb daar geen toestemming voor gegeven. Dit geld ook
voor KPN/ESSENT/ATHOME noem maar op. Wij willen dit niet
denk ik....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.