Datalek Amerikaanse universiteit door gestolen usb-stick
De Universiteit van Vermont heeft een onbekend aantal onderzoekers gewaarschuwd dat hun persoonlijke data zijn gelekt nadat een portemonnee met daarin een usb-stick is gestolen. De usb-stick bevatte een gescande verklaring met daarop de naam, social security nummer en geboortedatum van de onderzoeker.
Daarnaast stond er op de datadrager ook een gescand document met de naam, social security nummer, geboortedatum, aliassen, rijbewijsnummer, telefoonnummer, e-mailadres, huidige adres en vorige adressen. De twee formulieren werden door de universiteit gebruikt voor het screenen van onderzoekers. De onderzoekers in kwestie deden mee aan een onderzoek naar mishandelde kinderen. De universiteit werd op 15 september over de diefstal ingelicht en stuurde op 30 november een brief naar de getroffen individuen (pdf).
Die krijgen het advies om hun kredietrapporten en afschriften een jaar lang op identiteitsdiefstal te laten controleren. Verder stelt de universiteit dat het maatregelen heeft getroffen om persoonlijke informatie te beschermen, maar die maatregelen niet waterdicht zijn. "Het is belangrijk dat elk persoon waakzaam blijft in het beschermen van zijn of haar persoonlijke informatie", zo laat de brief weten. Waarom de data op de usb-stick niet versleuteld waren staat niet vermeld.
"Exacerbating the problem of using the social security number as an identifier is the fact that the social security card contains no biometric identifiers of any sort, making it essentially impossible to tell whether a person using a certain SSN truly belongs to someone without relying on other documentation (which may itself have been falsely procured through use of the fraudulent SSN). Congress has proposed federal laws that restricts the use of SSNs for identification and bans their use for a number of commercial purposes—e.g., rental applications"
Wauw je noemt een nummer en er wordt niets gecontroleerd of dat nummer en de persoon bij elkaar horen.
https://www.ssa.gov/history/ssn/misused.html briefjes van 50 halve grootte andere kleuren zijn blijkbaar ook geldig om mee te betalen. Laat de schade zitten bij degenen die zo'n valse ID onterecht geaccepteerd hebben. Dan zal het snel over zijn.
Wat mist in het oorspronkelijke artikel en bekendmaking of die usb stick encrypted is of niet. Als data loss melding maakt het niet uit, voor commentaar en de commotie wel. In ieder geval slingerde het niet lukraak rond. Het zat in zijn portemonnee.
Even kijken naar de BGS policies http://bgs.vermont.gov/commissioner/adminpolicies/0038 Die zijn best strict met eis scheiding thuisgebruik werkgebruik. Ik vermoed dat de persoon met gestolen portemonnee er onder viel. o
Welles:
Maar: "Waarom de data niet versleuteld was, dát werd niet vermeld." Door de redactie net iets anders geformuleerd:
In het oorspronkelijke artikel wordt dus niet vermeld waaróm de USB-stick niet versleuteld was.
Maar als je zoveel persoonlijke informatie op een onversleutelde USB-stick zet, ben je dan waard om een sufferd te worden genoemd of niet? Dat is wat mij betreft ook de reden. (d.w.z.: dat het erg suf was om zulke gegevens onversleuteld op te slaan, en zelfs ook nog op een USB-stick nota bene). Die oorzaak was in mijn optiek dus een sufferd:
een sufferd was wat mij betreft de reden waarom de data op de USB-stick niet versleuteld was.
Zijn we weer wakker?
Welles:
Zijn we weer wakker?
Daarom even verder gekeken of er een ict organisatie mee in verband gebracht kan worden. Ik kwam tot de bgs als mogelijke optie.
Ook als is de data goed versleuteld dan nog steeds is er die meldplicht. Die meldplicht geld ook hier in NL voor het AP als je zelf data kwijtraakt met een falende backup. Je kunt zelf niet bij de gegevens iemand anders ook niet. Melden...! http://legislature.vermont.gov/statutes/section/09/062/02435 Ziet er in lijn het zefde als bij het AP.
Nee ik ga niet op horen zeggen en iemand zei af.... Ik wel het dicht bij de bron en onderbouwd zien. Ok nu je wakker bent, heb je iets uit die hoek?
Welles:
Zijn we weer wakker?
Daarom even verder gekeken of er een ict organisatie mee in verband gebracht kan worden. Ik kwam tot de bgs als mogelijke optie.
Ook als is de data goed versleuteld dan nog steeds is er die meldplicht. Die meldplicht geld ook hier in NL voor het AP als je zelf data kwijtraakt met een falende backup. Je kunt zelf niet bij de gegevens iemand anders ook niet. Melden...! http://legislature.vermont.gov/statutes/section/09/062/02435 Ziet er in lijn het zefde als bij het AP.
Nee ik ga niet op horen zeggen en iemand zei af.... Ik wel het dicht bij de bron en onderbouwd zien. Ok nu je wakker bent, heb je iets uit die hoek?
Je haalt er zoals gewoonlijk weer van alles bij, Karma4.
Het doet er niet toe of deze data diefstal, encrypted of niet, moest worden aangegeven.
Wat er toe doet, is dat nergens valt te lezen dat die USB-drive goed was versleuteld,
maar dat wel iedereen een jaar lang goed zijn financiële zaken in de gaten moest houden!
Ook staat in de brief aan de betrokkenen ".....dat de universiteit policies en procedures heeft
om de privacy de beschermen. "Maar helaas" is dat niet helemaal foolproof, en is het belangrijk
dat iedereen waakzaam blijft in het beschermen van zijn/haar persoonlijke gegevens."
Aldus de officiële brief aan de betrokkenen, vertaald naar het Nederlands.
In die laatste zin voel je op je klompen wel aan dat er hier sprake was van een "fool"
(een sufferd dus...) die hier kennelijk niet alle policies en prodedures had gevolgd.
M.a.w.: de gestolen USB-stick met privacy-gevoelige informatie was simpelweg niet goed beveiligd.
Daarom moesten niet alleen de officiële instanties, maar óók de betrokkenen worden geïnformeerd
én bovendien ook nog gewaarschuwd. Dat laatste is niet echt nodig als er geen reëel gevaar is
vanwege een goede versleuteling. Daar zou men op gewezen hebben.
Helpt dit je eindelijk een beetje uit de droom?
..
Je haalt er zoals gewoonlijk weer van alles bij, Karma4.
Het doet er niet toe of deze data diefstal, encrypted of niet, moest worden aangegeven.
Wat er toe doet, is dat nergens valt te lezen dat die USB-drive goed was versleuteld,
maar dat wel iedereen een jaar lang goed zijn financiële zaken in de gaten moest houden!
Ook staat in de brief aan de betrokkenen ".....dat de universiteit policies en procedures heeft
om de privacy de beschermen. "Maar helaas" is dat niet helemaal foolproof, en is het belangrijk
dat iedereen waakzaam blijft in het beschermen van zijn/haar persoonlijke gegevens."
Aldus de officiële brief aan de betrokkenen, vertaald naar het Nederlands.
In die laatste zin voel je op je klompen wel aan dat er hier sprake was van een "fool"
(een sufferd dus...) die hier kennelijk niet alle policies en prodedures had gevolgd.
M.a.w.: de gestolen USB-stick met privacy-gevoelige informatie was simpelweg niet goed beveiligd.
Daarom moesten niet alleen de officiële instanties, maar óók de betrokkenen worden geïnformeerd
én bovendien ook nog gewaarschuwd. Dat laatste is niet echt nodig als er geen reëel gevaar is
vanwege een goede versleuteling. Daar zou men op gewezen hebben.
Helpt dit je eindelijk een beetje uit de droom?
Je doet een waslijst van aannames haalt er van alles bij zoals de aanname dat de melding niet nodig zou zijn geweest indien alles versleuteld zou zijn geweest.
Het enige wat we echt weten is dat zijn portemonnee is gestolen met die stick. Wie wat daarna heeft gedaan en waarom is speculatie. Indekken met laten we dit maar publiceren baat het niet schaad het niet kan meespelen.
Met de argumentatie dat je als je het goed versleuteld hebt dan hoef je niets te melden kan ik echt niet in meegaan. Het is het te vaak gebruikte argument om niet aan gegevensbeacherming te doen naast wat niet weet wat niet deert. Wachten today iemand zich meld dat zijn gegevens gelekt zijn omdat hij er mee geconfronteerd is is de meest kwalijke situatie.
Waarom verdedig jij die cultuur?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.