Nieuws

Boze supermarktmedewerker lekte gegevens 100.000 collega's

zaterdag 18 juli 2015, 08:06 door Redactie, 5 reacties

Een voormalige medewerker van de Britse supermarktketen Morrisons is veroordeeld tot een gevangenisstraf van acht jaar wegens het lekken van de salarisgegevens en andere gegevens van zo'n 100.000 collega's. De 43-jarige man handelde uit woede over een eerder incident in 2013 waarbij hij werd gedisciplineerd omdat hij de postkamer van het bedrijf voor zaken op eBay gebruikte.

Uit woede over de disciplinering een jaar eerder plaatste de Brit, die als interne auditor bij de supermarktketen werkte, vorig jaar op verschillende websites informatie over salarisgegevens, bankrekeningen en verzekeringsnummers, alsmede namen en adresgegevens. Ook stuurde hij de de data naar een aantal kranten. Vervolgens probeerde hij zijn sporen te wissen door met de gegevens van een collega een vals e-mailaccount aan te maken, aldus de BBC.

Een aantal dagen na het lekken van de gegevens werd de Brit echter aangehouden. Het incident kostte de supermarktketen uiteindelijk zo'n 3 miljoen euro. Tijdens het onderzoek vond de politie een concept ontslagbrief die de man op het moment van het incident had geschreven en waarin hij zijn woede en frustratie over het bedrijf uitte, zo meldt de Mirror.

Ziekenhuis VS waarschuwt 4,5 miljoen patiënten na hack

IDC: Nederlandse pc-verkoop in elkaar gestort

Reacties (5)

18-07-2015, 09:18 door karma4

Die man heeft fout gehandeld. Dan verder om er lering uit te trekken:
- had de impact niet verminderd kunnen zijn. Waarom heeft een auditor zelf persoolijk toegang tot alle data?
Als hij een security auditor zou zijn dan gaat het toch om de vraag "wie die toegang heeft" en of dat kwaad kan
Als hij een boekhoudkunding auditor zou zijn dan gaat het toch om steekproeven met die controles.
In beide gevallen had hij geen toegang tot alle data zelf nodig.
- Als het werk een vertrouwenspositie betreft dan is dat verhaal raar met dat eerdere postkamer misbruik. Dan is er reden om aan de benodigde integriteit te twijfelen. Helaas speelt dat ook vaak op zo'n manier in het top management.

Nu is het een auditor.
De toegang tot alle data zit vaak op dezelfde wijze in het marketing dan wel big-data gebeuren. Die krijgen toegang tot alle data met de redden dat daar bijzondere verbanden uit te halen zouden zijn. Dit bericht toont het negatieve aspect aan van die kant. Het kan met die toagang tot "alle data" ook gelekt worden.

18-07-2015, 20:01 door Eric-Jan H te D

Een auditor dient onbeperkte toegang tot alle data te hebben. Hij heeft deze nodig om:
- zijn steekproeven te valideren
- verantwoordelijkheid voor zijn conclusies te kunnen nemen
- die verantwoordelijkheid te kunnen afwijzen als achteraf blijkt dat er cruciale data is achter gehouden

19-07-2015, 15:11 door karma4

Eens kijken: https://nl.wikipedia.org/wiki/Interne_audit en https://en.wikipe dia.org/wiki/Internal_audit
Ik mis elke eis dat een auditor overal bij zou moeten kunnen. Hij is adviserend en onderzoekend meer niet.

Nu heb ik daarvan het nodige meegemaakt en gezien intern en extern. Ik heb ook gezien hoe de boel achtergehouden werd (gebrek aan kennis, niet gebrek aan gegevens) dan wel zo gedraaid werd om er toch een goedkeuring aan te geven. Het zijn de praktijken waar KPMG EY het nieuws mee gehaald hebben, dat waren wel gevallen op andere schaal.

In het kort: nog nooit gezien dat een auditor ongelimiteerde toegansrechten nodig had. Er zijn andere methoden.

20-07-2015, 13:36 door Anoniem

Precies. Een auditor vraagt gewoon goed door, en vraagt bijvoorbeeld naar een specifieke dataset, bijvoorbeeld alle toegangslogs uit systeem X in de periode Y to Z. Als er twijfels zijn of die dataset wel helemaal compleet is, roep je desnoods bijvoorbeeld hulp in van de leverancier van de betreffende software om er zeker van te zijn dat je alles hebt. Toegang tot allerhande informatie gevoelige informatie uit personele systemen (waar het in deze case om gaat) heb je normaliter helemaal niet nodig, en is ook niet wenselijk.

20-07-2015, 23:10 door Anoniem

"wie bewaakt de bewaker" ??

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

End-to-end encryptie:

Vacature

IT Security Officer

Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Boze supermarktmedewerker lekte gegevens 100.000 collega's

End-to-end encryptie:

Wachtwoord Vergeten

Password Reset

Registreren