Gestolen data Belgische medische controledienst online gezet
Afpersers die een database van de Belgische medische controledienst Mensura Absenteïsme wisten te stelen hebben persoonlijke gegevens uit de database online gezet. Mensura controleert voor allerlei bedrijven werknemers die zich ziek hebben gemeld. Vorige week wisten de aanvallers toegang tot een extern formulier te krijgen dat bedrijven gebruiken om controleaanvragen door te geven.
"De hackers konden zo enkele duizenden records bemachtigen van aanvragen om medewerkers die zich hadden ziek gemeld te controleren", aldus de directeur van het bedrijf tegenover De Morgen. Het gaat onder meer om namen, adresgegevens en werkgever. De diensten van Mensura worden door allerlei grote ondernemingen gebruikt, waaronder Telenet, Ikea, Bart Smit, fastfoodketen Quick en afvalverwerker Van Gansewinkel.
Naast de persoonsgegevens van de mensen stond ook nog een reactie van de werkgever over het ziekteverzuim vermeld. "Hij belde me zondag op dat hij maandag verlof wou hebben omdat hij na zijn uren werkt in ZWART", "hij is het afgelopen jaar meerdere keren ziek geweest en overschrijd het verzuim index cijfer hierdoor" en "In de shop waar deze werkneemster werkt is onlangs een grote som geld gestolen", zijn enkele van de opmerkingen die in de database stonden. Er zouden echter geen medische gegevens zijn gelekt.
De groep achter de inbraak noemt zich Rex Mundi en heeft in het verleden bij meer organisaties en bedrijven ingebroken. Steeds werd er gedreigd om de gestolen data openbaar te maken als er niet werd betaald. Ook nu zou er sprake van afpersing zijn, maar Mensura besloot het gevraagde bedrag niet te betalen. Het formulier in kwestie werd na de ontdekking van de inbraak offline gehaald. Ook is er een klacht de Federal Computer Crime Unit van de Belgische politie ingediend. De pagina waarop de gestolen gegevens waren geplaatst is inmiddels uit de lucht gehaald.
Klinkt echt als iets wat thuis hoort in een medisch dossier. Staat dezelfde opmerking ook in het dossier van de manager van deze shop, aangezien deze manager daar waarschijnlijk eveneens werkt ? Wat doet zo'n opmerking in een persoonlijk en medisch dossier ?
De hacks van Rex Mundi hebben tot doel a) geld te ontvangen en b) zwakheden bloot te leggen.
Goed, fijn om te zien dat bepaalde gevoelige gegevens beter beveiligd moeten worden en/of dat bepaalde dossiers vol staan met zaken die niet in een dergelijk dossier thuishoren, maar niet zo fijn voor individuen om te moeten constateren dat hun eigen gegevens opeens op straat liggen.
Maar laten we het bovenstaande even buiten beschouwing.
Waarom wordt een ICT-er, belast met veiligheid/security, wél betaald, als achteraf blijkt dat er een betere kandidaat was, die de gaten in security naar voren brengt, om vervolgens niets betaald te krijgen?
Ik weet het niet, het klopt allemaal niet, maar ik weet wel dat niemand betaald moet krijgen op basis van dwang/afpersing.
En toch, waarom vinden deze bedrijven en Rex Mundi elkaar niet?
Het kan geen kwaad om Rex Mundi een (lage) pro forma vergoeding te bieden voor diens "werk", dat eindelijk ten goede komt van het bedrijf, dat daarmee de gaten in de beveiliging kan dichten (en de eigen ICT-ers op hun donder kan geven).
Nu heeft het ook allemaal geen zin: de bestaande ICT-ers blijven hun werk houden, krijgen daarvoor betaald, om vroeg of laat wederom een "security gap" te creëren, wat vervolgens weer door partijen als Rex Mundi ontdekt kan worden.
As the world turns..........we stop thinking about it.
Een gemiste kans, als met het mij zou vragen (maar niemand vraagt het mij, punt).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.