image

Afperser zet privégegevens duizend Nederlanders online

vrijdag 2 januari 2015, 09:25 door Redactie, 16 reacties
Laatst bijgewerkt: 02-01-2015, 10:39

De groep Rex Mundi die de afgelopen jaren bij tal van Belgische bedrijven en ook een Nederlands bedrijf wist in te breken heeft alle gestolen privégegevens nu online gezet. In totaal gaat het om de persoonsdata van zeker duizend Nederlanders en tienduizenden Belgen, zo blijkt uit onderzoek van Security.NL.

De afpersers dreigden de gegevens te publiceren tenzij er losgeld werd betaald. Voor zover bekend gingen de getroffen bedrijven hier niet op in. Afgelopen dinsdag publiceerde de groep een "archief" van eerdere gestolen data. De gegevens zijn afkomstig van het Nederlandse uitzendbureau Accord, de Italiaanse hostingprovider Websolutions, het Canadese recruitmentbureau Drake International, hostingprovider Alfahosting, kredietbureau Buy Way, Domino's Pizza, HR-bedrijf EasyPay, uitzendbureau Exaris, medische controledienst Mensura, internetprovider Numericable en uitzendbureaus Tobasco, Z-Staffing en Xtra Interim. Deze laatste tien bedrijven zijn allen uit België afkomstig.

De nu online gepubliceerde informatie bestaat uit c.v.'s, namen, adresgegevens, e-mailadressen, onversleutelde wachtwoorden, sollicitaties, reden dat werknemers afwezig waren, mobiele telefoonnummers, wachtwoorden van systeembeheerders en nog veel meer gegevens. Een snelle inventarisatie van de gegevens laat zien dat het om de data van vele tienduizenden mensen gaat. Zo staan van tenminste duizend Nederlanders nu de privégegevens online. Het gaat hier om gegevens die in juli 2012 al werden buitgemaakt. Zeker bij de gegevens van de medische controledienst of de sollicitaties worden daar soms zeer privacygevoelige zaken in vermeld.

Rex Mundi plaatste de gegevens voorheen vaak op websites zoals Pastebin, waar ze na korte tijd werden verwijderd. Het nu online geplaatste archief bevindt zich op het Tor-netwerk, wat het lastiger maakt om de pagina uit de lucht te halen. De groep stelt in een verklaring dat er onder andere voor de lol en uitdaging bij bedrijven wordt ingebroken, maar dat ze het uiteindelijk om het geld te doen is.

Reacties (16)
02-01-2015, 10:41 door Anoniem
is er al ergens een lijst waar je kan nagaan of je erop staat?
02-01-2015, 10:43 door Anoniem
Het is niet de vraag of het fout gaat, maar wanneer.

De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen
02-01-2015, 11:36 door Anoniem
Het helpt al een heleboel als beveiliging als de eerste kerntaak gezien wordt bij het ontwerpen van een systeem.
Onversleutelde wachtwoorden is bijvoorbeeld een amateuristische fout die eenvoudig vermeden kon worden.
Verder het zowel fysiek als electronisch gescheiden houden van een eigen bedrijfswebsite
of e-mailsysteem en het productiesysteem waarop de klanten bediend worden
zou ook al veel helpen.
02-01-2015, 12:00 door Anoniem
...en dat is de reden waarop ik opnieuw geen gevolg heb gegeven aan de herhaalde vraag van het gezondheidscentrum waar ik sta ingeschreven om een kopie van mijn ID bewijs af te geven.
02-01-2015, 12:22 door Anoniem
Door Anoniem: Het is niet de vraag of het fout gaat, maar wanneer.

De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen
Nee, de fout zit hem in het feit dat je bij elke sollicitatie, aanmelding website e.d. jij verplicht bent om je hele privé-informatie in te voeren. En er zijn genoeg websites die zo lek zijn als een mandje. Voorbeelden vind ik er genoeg, en als je daar een aanmerking op maakt, krijg je vervolgens nooit meer een bericht terug. Daarom moet die verzamelzucht van je gegevens maar eens drastisch ingeperkt worden.
02-01-2015, 12:50 door [Account Verwijderd] - Bijgewerkt: 02-01-2015, 13:22
[Verwijderd door moderator]
02-01-2015, 12:56 door Anoniem
Door Anoniem:
Door Anoniem: Het is niet de vraag of het fout gaat, maar wanneer.

De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen
Nee, de fout zit hem in het feit dat je bij elke sollicitatie, aanmelding website e.d. jij verplicht bent om je hele privé-informatie in te voeren. En er zijn genoeg websites die zo lek zijn als een mandje. Voorbeelden vind ik er genoeg, en als je daar een aanmerking op maakt, krijg je vervolgens nooit meer een bericht terug. Daarom moet die verzamelzucht van je gegevens maar eens drastisch ingeperkt worden.

Dat is dan ook de reden waarom er op mijn cv geen persoonlijke informatie staat, behalve mijn naam een een emailadres waar ik te bereiken ben :-)
02-01-2015, 20:16 door Anoniem
Ik vind dat bedrijven die met zulke afpersing te maken krijgen ook daadwerkelijk moeten betalen omdat hun hun zaakjes niet op orde hebben. Als zei dit niet doen hebben zij blijkbaar lak aan hun klanten en daarmee vervalt hun bestaansrecht.

Nu beginnen er vast een paar te roepen, maar andere bedrijven betalen wel voor goede beveiliging dus van mij mag er ook een belasting boete achteraan. Hier bestaat vast een mooie belasting term voor.
Tevens vind ik dat zij smarte geld aan de slachtoffers moeten betalen. Misschien stimuleert dat ze te zorgen dat ze hun zooi wel op orde hebben.

Wanneer zij geen van beide doen mogen ze mij publiekelijk aan de schandpaal genageld worden want dan interesseert het ze dus echt niets en kunnen ze ook geen verbetering garanderen.
03-01-2015, 04:26 door Anoniem
Door Anoniem: Ik vind dat bedrijven die met zulke afpersing te maken krijgen ook daadwerkelijk moeten betalen omdat hun hun zaakjes niet op orde hebben. Als zei dit niet doen hebben zij blijkbaar lak aan hun klanten en daarmee vervalt hun bestaansrecht.

Nu beginnen er vast een paar te roepen, maar andere bedrijven betalen wel voor goede beveiliging dus van mij mag er ook een belasting boete achteraan. Hier bestaat vast een mooie belasting term voor.
Tevens vind ik dat zij smarte geld aan de slachtoffers moeten betalen. Misschien stimuleert dat ze te zorgen dat ze hun zooi wel op orde hebben.

Wanneer zij geen van beide doen mogen ze mij publiekelijk aan de schandpaal genageld worden want dan interesseert het ze dus echt niets en kunnen ze ook geen verbetering garanderen.
Je kan niet zomaar stellen dat ze hun zaakjes niet op orde hebben, want de aanvalshoek is naar mijn weten niet bekend. En de stelling dat een pizzaboer als domino's geen bestaansrecht heeft omdat hun website waardeloos is is ook een giller. De meeste van hun klanten is nog nooit op hun website geweest.

En eigenlijk vind ik het een behoorlijk vreemde gedachte dat een afperser op de stoel van de wetgever, aanklager en rechter gaat zitten en zomaar willekeurige bedragen mag gaan eisen omdat personen hun zaken niet op orde hebben.

Waarschijnlijk heeft de afperser niet eens een belang bij de bescherming van die gegevens, dus het gaat hem helemaal niks aan. Als hij zo graag de website wil verbeteren dan stuurt hij maar een mailtje met feedback op. Daar kunnen die bedrijven nog iets mee.
03-01-2015, 06:57 door Anoniem
De staat moet maar eens een rechtzaak beginnen tegen deze bedrijven: smartegeld eisen en het vervolgens aan de slachtoffers uitkeren. Anders zal dit niet alleen blijven gebeuren maar zelfs toenemen. Het zijn niet hun gegevens dus het intersseert ze geen zier.
03-01-2015, 12:26 door [Account Verwijderd] - Bijgewerkt: 03-01-2015, 12:33
[Verwijderd]
03-01-2015, 15:58 door Anoniem
@
Door U-7: De moderator heeft mijn eerdere bijdrage verwijderd. Ik wil wel even toelichten waarom ik het plaatste:

Ik zat met het dilemma wat te doen: bekend maken (en slachtoffers informeren of hun informatie gelekt is) of vanwege privacy-overwegingen daarover zwijgen. Maar als je zwijgt kan een slachtoffer niet weten of zijn gegevens zijn gecompromitteerd.
In het laatste geval kan hij voor een tweede keer slachtoffer worden, maar nu van een spear-phishingaanval eventueel voorzien van malware. Anderzijds kan een kwaadwillende ook met de informatie aan de haal gaan. Welke beslissing is nu de juiste? Welke laat je zwaarder wegen?

Om die reden gaf ik de link via dit forum zodat eventuele slachtoffers hun voordeel konden doen, maar echt vrede had ik er niet mee.

Ik respecteer daarom de beslissing van de redactie van Security.nl in deze, want het is uiteindelijk hun website en niet de mijne. Zij mogen dus bepalen wat wel en niet op hun site geplaatst wordt.

Een Belgische blogger heeft ook reeds een brief van advocaten gekregen met dreigen met een rechtzaak. Begrijpelijk dat de redactie jouw post geschrapt heeft.
05-01-2015, 14:13 door Anoniem
De huidige werkwijze om alles aan elkaar te koppelen en softwarebouwers ongehinderd toegang te blijven gegeven naar onze gegevens blijft het vragen naar zulke problemen

Softwarebouwers hebben meestal *geen* toegang tot produktie omgevingen waar klant data in zit. In test en acceptatie omgeving is fictieve data afdoende.
05-01-2015, 14:17 door Anoniem
Door Anoniem: Ik vind dat bedrijven die met zulke afpersing te maken krijgen ook daadwerkelijk moeten betalen omdat hun hun zaakjes niet op orde hebben. Als zei dit niet doen hebben zij blijkbaar lak aan hun klanten en daarmee vervalt hun bestaansrecht.

Indien bedrijven nooit zouden toegeven aan afpersing, dan zouden dit soort zaken snel voorbij zijn. Wat dat betreft vind ik je reactie extreem kortzichtig. Kennelijk wil je de criminelen vooral aanmoedigen om hiermee door te gaan.
05-01-2015, 14:20 door Anoniem
Wanneer zij geen van beide doen mogen ze mij publiekelijk aan de schandpaal genageld worden want dan interesseert het ze dus echt niets en kunnen ze ook geen verbetering garanderen.

Tja, en de daders die wil je kennelijk niet aan de schandpaal nagelen, maar die wil je financieel belonen, gezien je oproep om toch vooral te betalen.

Tevens vind ik dat zij smarte geld aan de slachtoffers moeten betalen. Misschien stimuleert dat ze te zorgen dat ze hun zooi wel op orde hebben.

Daar heb je wel een punt, wanneer er inderdaad sprake is van verwijtbare nalatigheid. Maar dat staat geheel los van de vraag of men zou moeten betalen aan de crimineel.

Overigens vraag ik mij af wanneer justitie eindelijk eens de daders van Rex Mundi weet op te sporen.....
06-01-2015, 11:05 door Joep Meloen
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.