Computerbeveiliging - Hoe je bad guys buiten de deur houdt

117.000 CV's gestolen bij UWV

03-05-2019, 18:34 door Anoniem, 23 reacties
Bij het UWV zijn tussen 16 april en 30 april 117.000 CV's gedownload met e e n enkel werkgevers account.


Tja, een limiet erin programmeren kostte nog meer belastinggeld.

Zucht, dit soort dingen zijn zo simpel te voorkomen, ten eerste wordt er kennelijk geen MFA toegepast en ten tweede is er geen limiet op gezet en kan je zo alles leegzuigen. Veel mensen zullen ook hun BSN op een CV hebben staan en de rest van hun doopceel.


GIGA faal.
Reacties (23)
04-05-2019, 13:57 door Anoniem
Medewerkers die wellicht corrupt zijn en criminelen die invloed hebben op het uwv,
word daar al naar gekeken?
04-05-2019, 18:11 door Anoniem
Zie: berichtgeving van zaterdag 4 mei 2019, geplaatst door Redactie:

>> https://www.security.nl/posting/607624/Gegevens+117_000+werkzoekenden+bij+UWV+gestolen
08-05-2019, 19:00 door Anoniem
Weet iemand of er al reactie is geweest van het AP over deze privacyschending en wanneer er onderscheid gemaakt wordt tussen breach en privacyschending? Of wordt in dit geval "handig" gepraat over een hack/breach en niet over een privacyschending omdat het een "collega" overheidsdienst betreft?

Zo maar een vrije gedachte.
16-05-2019, 02:11 door Anoniem
Door Anoniem: Bij het UWV zijn tussen 16 april en 30 april 117.000 CV's gedownload met e e n enkel werkgevers account.


Tja, een limiet erin programmeren kostte nog meer belastinggeld.

Zucht, dit soort dingen zijn zo simpel te voorkomen, ten eerste wordt er kennelijk geen MFA toegepast en ten tweede is er geen limiet op gezet en kan je zo alles leegzuigen. Veel mensen zullen ook hun BSN op een CV hebben staan en de rest van hun doopceel.


GIGA faal.


De grote vraag is: aan wie is de data verkocht, en loont het zich om in deze sector te werken? ;)
16-05-2019, 08:58 door Anoniem
Door Anoniem: Weet iemand of er al reactie is geweest van het AP over deze privacyschending en wanneer er onderscheid gemaakt wordt tussen breach en privacyschending? Of wordt in dit geval "handig" gepraat over een hack/breach en niet over een privacyschending omdat het een "collega" overheidsdienst betreft?

Zo maar een vrije gedachte.

Nee, het is wel degelijk een breach:

"‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;" (GDPR Artikel 4 Lid 12).

Security is niet meer intact: Check.
(In dit geval) unauthorised access to personal data: Check.

Een hack kan je over twisten, maar gegevensbeschermings-wise zijn we 'niet geïnteresseerd' in de oorzaak.
16-05-2019, 09:04 door Anoniem
Door Anoniem: Bij het UWV zijn tussen 16 april en 30 april 117.000 CV's gedownload met e e n enkel werkgevers account.

Tja, een limiet erin programmeren kostte nog meer belastinggeld.
Tja... Is inderdaad een mogelijkheid. Maar blijkbaar heb jij inside informatie over wat de mogelijkheden of requirements zijn geweest?

Zucht, dit soort dingen zijn zo simpel te voorkomen, ten eerste wordt er kennelijk geen MFA toegepast en ten tweede is er geen limiet op gezet en kan je zo alles leegzuigen.
Aangezien je alle wijsheid hebt, waarom solliseert je niet bij het UWV als Architect? Aangezien jij "DE" oplossing hebt voor hun problemen.

Veel mensen zullen ook hun BSN op een CV hebben staan en de rest van hun doopceel.
Waarom? Is nergens voor noodzakelijk, wordt ook juist geadviseerd om dit niet te doen.
Dus op basis waarvan doe jij deze constatering?

GIGA faal.
Je eigen topic bedoel je? Mede omdat dit onderwerp al een keer voorbij is gekomen?
16-05-2019, 12:32 door Bitje-scheef - Bijgewerkt: 16-05-2019, 12:32
Ja het is allemaal complex, vooral bij de overheid. Fail nummer 1 bij de overheid is het "flexibele" bestek van het te starten project. Gedurende het ontwerp worden altijd zaken toegevoegd, die eigenlijk niet in de scope horen. Gevolg scheef groeiend fundament en slecht doordachte gevolgen. Whitespots tot en met.
16-05-2019, 13:08 door Anoniem
Heeft iemand van jullie toevallig al bericht gehad van het UWV over het datalek ?
Ik namelijk nog niet, vraag me af of ze ook daadwerkelijk mensen die in het lek zitten ook door middel van een email netjes laten weten.. Ik betwijfel eigenlijk wel of ze dit gedaan hebben !
16-05-2019, 13:43 door Anoniem
Heeft iemand van jullie toevallig al bericht gehad van het UWV over het datalek ?
Ik namelijk nog niet, vraag me af of ze ook daadwerkelijk mensen die in het lek zitten ook door middel van een email netjes laten weten.. Ik betwijfel eigenlijk wel of ze dit gedaan hebben !

Hoeft ook niet, als er voor jou geen impact is. Reden om aan te nemen dat dat wel zo zou zijn ?
16-05-2019, 14:11 door Anoniem
Door Anoniem: Heeft iemand van jullie toevallig al bericht gehad van het UWV over het datalek ?
Ik namelijk nog niet, vraag me af of ze ook daadwerkelijk mensen die in het lek zitten ook door middel van een email netjes laten weten.. Ik betwijfel eigenlijk wel of ze dit gedaan hebben !
Waarom ga jij ervan uit, dat jij een van de slachtoffers bent?
17-05-2019, 09:28 door Anoniem
Door Anoniem:
Door Anoniem: Heeft iemand van jullie toevallig al bericht gehad van het UWV over het datalek ?
Ik namelijk nog niet, vraag me af of ze ook daadwerkelijk mensen die in het lek zitten ook door middel van een email netjes laten weten.. Ik betwijfel eigenlijk wel of ze dit gedaan hebben !
Waarom ga jij ervan uit, dat jij een van de slachtoffers bent?

Misschien omdat ik het artikel gelezen heb, en ook misschien gebruik heb gemaakt van het domein werk.nl..
Waarom moet ik mij eigenlijk ook verantwoorden. Gaat eigenlijk nergens over, maar goed hier heb je de reden. Ergens ook niet vreemd, als u in een lek aanwezig bent zou u dat ook graag willen weten. By the way; gelukkig ben ik niet zo'n slaaphoofd die zijn BSN nummer op zijn curriculum vitae heeft gezet (epic fail). Maar ja zal helaas wel weer extra spam op mijn mailadres/telefoonnummer zijn daarmee ben ik dus absoluut niet blij.
17-05-2019, 09:55 door Anoniem
Door Anoniem: Heeft iemand van jullie toevallig al bericht gehad van het UWV over het datalek ?
Ik namelijk nog niet, vraag me af of ze ook daadwerkelijk mensen die in het lek zitten ook door middel van een email netjes laten weten.. Ik betwijfel eigenlijk wel of ze dit gedaan hebben !

Ik heb helaas deze mail mogen ontvangen. Dus ze hebben wel degelijk de e-mails doorgestuurd.
17-05-2019, 12:28 door Anoniem
Door Anoniem: Ik heb helaas deze mail mogen ontvangen. Dus ze hebben wel degelijk de e-mails doorgestuurd.
Heb je ondertussen een nieuwe mail gehad waarin ze excuses aanbieden?
17-05-2019, 16:14 door Anoniem
Door Anoniem: Ik heb helaas deze mail mogen ontvangen. Dus ze hebben wel degelijk de e-mails doorgestuurd.

Wat ze daarmee kenbaar maken, is dat uw CV is gestolen. Als individuele burger kunt u daarvan ook zelf aangifte doen, temeer omdat u als werkzoekende gedwongen bent u zich bij het UWV in te schrijven en dus geen keuze heeft:

Aangifte of melding doen: van diefstal en/of oplichting
https://www.politie.nl/aangifte-of-melding-doen

Om daarna zelf een schade advocaat in te schakelen om de schade te verhalen, hetzij via de vakbond, middels het Juridisch Loket of via de eigen rechtsbijstand verzekering. Mocht u hierdoor later namelijk het slachtoffer blijken te zijn geworden van identiteitsfraude, dan is het uitlekken van uw UWV inschrijving en de diefstal van uw CV bij politie bekend. Mocht er misbruik van uw identiteit door derden worden gemaakt, dan gaat er eerder een lampje branden bij de politie.
17-05-2019, 16:49 door karma4 - Bijgewerkt: 17-05-2019, 16:51
Iemand al onverwacht een prachtige aanbieding voor een baan gekregen op een manier die uwv niet kan waarmaken?

Let wel de toegang was bedoeld open gezet voor werkgevers.
Het enige wat opviel is dat er heel veel opgevraagd werd.
17-05-2019, 20:41 door Anoniem
Door karma4: Iemand al onverwacht een prachtige aanbieding voor een baan gekregen op een manier die uwv niet kan waarmaken?

Let wel de toegang was bedoeld open gezet voor werkgevers.
Het enige wat opviel is dat er heel veel opgevraagd werd.

1. Toegang met authenticatie op een onvolledige manier en daarmee dus fout. MFA had hier van toepassing MOETEN zijn.
2. Het viel veel te laat op, daarnaast is het een fout dat er geen limiet op staat in het aantal requests.
17-05-2019, 20:44 door Anoniem
Door Anoniem:
Door Anoniem: Bij het UWV zijn tussen 16 april en 30 april 117.000 CV's gedownload met e e n enkel werkgevers account.

Tja, een limiet erin programmeren kostte nog meer belastinggeld.
Tja... Is inderdaad een mogelijkheid. Maar blijkbaar heb jij inside informatie over wat de mogelijkheden of requirements zijn geweest?

Zucht, dit soort dingen zijn zo simpel te voorkomen, ten eerste wordt er kennelijk geen MFA toegepast en ten tweede is er geen limiet op gezet en kan je zo alles leegzuigen.
Aangezien je alle wijsheid hebt, waarom solliseert je niet bij het UWV als Architect? Aangezien jij "DE" oplossing hebt voor hun problemen.

Veel mensen zullen ook hun BSN op een CV hebben staan en de rest van hun doopceel.
Waarom? Is nergens voor noodzakelijk, wordt ook juist geadviseerd om dit niet te doen.
Dus op basis waarvan doe jij deze constatering?

GIGA faal.
Je eigen topic bedoel je? Mede omdat dit onderwerp al een keer voorbij is gekomen?

De redactie lag nog te slapen toen dit bericht gepost werd, daarna kwam er pas een redactioneel artikel.
18-05-2019, 07:35 door karma4
Door Anoniem:

1. Toegang met authenticatie op een onvolledige manier en daarmee dus fout. MFA had hier van toepassing MOETEN zijn.
2. Het viel veel te laat op, daarnaast is het een fout dat er geen limiet op staat in het aantal requests.
Nope het was een correcte legale gebruiker.
Er is nog niets gebracht dat deze gegevens niet door werkgevers benaderd mochten worden.
Ergo: vrij toegangkelijke gegevens zoals het bedoeld was.
Het enige wat het UWV niet beviel was het aantal downloads.
19-05-2019, 10:36 door Anoniem
Door karma4:
Door Anoniem:
1. Toegang met authenticatie op een onvolledige manier en daarmee dus fout. MFA had hier van toepassing MOETEN zijn.
2. Het viel veel te laat op, daarnaast is het een fout dat er geen limiet op staat in het aantal requests.
Nope het was een correcte legale gebruiker.
Er is nog niets gebracht dat deze gegevens niet door werkgevers benaderd mochten worden.
Ergo: vrij toegangkelijke gegevens zoals het bedoeld was.
Het enige wat het UWV niet beviel was het aantal downloads.

1. Het was geen legale gebruiker, het stelen van iemands credentials maakt je geen legale gebruiker.
2. Geen vrij toegankelijke gegevens, alleen als je geauthoriseerd bent om deze te downloaden zoals dat voor werkgevers blijkbaar geldt, het kan nooit de bedoeling zijn geweest om 117.000 gegevens te doenloaden op één enkel account in een paar dagen tijd.
19-05-2019, 15:03 door karma4 - Bijgewerkt: 19-05-2019, 15:05
Door Anoniem:
1. Het was geen legale gebruiker, het stelen van iemands credentials maakt je geen legale gebruiker.
2. Geen vrij toegankelijke gegevens, alleen als je geauthoriseerd bent om deze te downloaden zoals dat voor werkgevers blijkbaar geldt, het kan nooit de bedoeling zijn geweest om 117.000 gegevens te doenloaden op één enkel account in een paar dagen tijd.
https://www.uwv.nl/overuwv/pers/nieuwsberichten/2019/computervredebreuk-werkgeversaccount-op-werk-nl.aspx
"Op werk.nl is een account van een werkgever misbruikt, waardoor 117.000 cv’s onrechtmatig zijn gedownload.
UWV geeft zelf aan dat het om een legale gebruiker ging en dat de downloadfunctie bedoeld is door het uwv.
" Voor werk.nl gelden spelregels: werkgevers maken eerst een account aan om cv’s te kunnen bekijken en vervolgens gebruiken zij deze cv’s om actieve vacatures te vervullen."

Het uwv geeft zelf aan dat de gegevens voor alle werkgevers publiekelijk benaderbaar zjjn.
Het ging dus wel degelijk om een legale gebruiker (extern werkgeversaccount)
Ze geven tevens aan dat deze gegevens bedoeld zijn om werkzoekenden door werkgevers gevonden te krijgen.
" José Lazeroms, lid Raad van Bestuur van UWV, reageert op de computervredebreuk: ‘UWV brengt vraag en aanbod op de arbeidsmarkt samen op basis van de bereidheid van werkzoekenden om cv’s te delen en de integriteit van werkgevers om de cv’s alleen voor het vervullen van vacatures te gebruiken.
Het is het persbericht van het uwv zelf.
Laten we dat niet in twijfel gaan trekken.

Wat dan raar is:
- er staat nergens iets dat het massaal downloaden om analyses op een andere manier te doen verboden zou zijn.
Zo'n beperking en een vermoeden komt ineens uit de lucht vallen. Na gaat er bij het UWV en ICT wel meer mis maar deze als beleid is ook een heel rare. Een beperking die je achteraf als ongewenst proclameert.
19-05-2019, 16:47 door Anoniem
Door karma4:
Door Anoniem:
1. Het was geen legale gebruiker, het stelen van iemands credentials maakt je geen legale gebruiker.
2. Geen vrij toegankelijke gegevens, alleen als je geauthoriseerd bent om deze te downloaden zoals dat voor werkgevers blijkbaar geldt, het kan nooit de bedoeling zijn geweest om 117.000 gegevens te doenloaden op één enkel account in een paar dagen tijd.
https://www.uwv.nl/overuwv/pers/nieuwsberichten/2019/computervredebreuk-werkgeversaccount-op-werk-nl.aspx
"Op werk.nl is een account van een werkgever misbruikt, waardoor 117.000 cv’s onrechtmatig zijn gedownload.
UWV geeft zelf aan dat het om een legale gebruiker ging en dat de downloadfunctie bedoeld is door het uwv.
" Voor werk.nl gelden spelregels: werkgevers maken eerst een account aan om cv’s te kunnen bekijken en vervolgens gebruiken zij deze cv’s om actieve vacatures te vervullen."

Het uwv geeft zelf aan dat de gegevens voor alle werkgevers publiekelijk benaderbaar zjjn.
Het ging dus wel degelijk om een legale gebruiker (extern werkgeversaccount)
Ze geven tevens aan dat deze gegevens bedoeld zijn om werkzoekenden door werkgevers gevonden te krijgen.
" José Lazeroms, lid Raad van Bestuur van UWV, reageert op de computervredebreuk: ‘UWV brengt vraag en aanbod op de arbeidsmarkt samen op basis van de bereidheid van werkzoekenden om cv’s te delen en de integriteit van werkgevers om de cv’s alleen voor het vervullen van vacatures te gebruiken.
Het is het persbericht van het uwv zelf.
Laten we dat niet in twijfel gaan trekken.

Wat dan raar is:
- er staat nergens iets dat het massaal downloaden om analyses op een andere manier te doen verboden zou zijn.
Zo'n beperking en een vermoeden komt ineens uit de lucht vallen. Na gaat er bij het UWV en ICT wel meer mis maar deze als beleid is ook een heel rare. Een beperking die je achteraf als ongewenst proclameert.

Lachwekkend blijf je Karma4 om je 'gelijk' aan te tonen.
Via computervredebreuk bij een werkgever heeft een onbevoegde partij 117.000 cv’s gedownload.

Onbevoegd = ongeauthoriseerd = Illegaal.

Er is niemand die zegt dat het massal downloaden verboden zou zijn, dat maak jij er weer van, het is wel ONWENSELIJK dan één account zoveel CV's kan downloaden.
20-05-2019, 12:54 door Anoniem
Lachwekkend blijf je Karma4 om je 'gelijk' aan te tonen

Hij geeft een goede inhoudelijke onderbouwing. Jij probeert hem belachelijk te maken.... ?
20-05-2019, 16:19 door Anoniem
Door Anoniem:
Onbevoegd = ongeauthoriseerd = Illegaal.

Er is niemand die zegt dat het massal downloaden verboden zou zijn, dat maak jij er weer van, het is wel ONWENSELIJK dan één account zoveel CV's kan downloaden.

Het gebeurt bij veel bedrijven hoor. Goed, ik ben 40 en al jaren uit de IT maar heb het overal gezien bij bedrijven. Uit gemak worden shares/drives opengezet, alle logins en wachtwoorden van tientallen systemen hetzelfde. Als je er op aandringt vanwege de veiligheid dan zeggen de meeste mensen "ja maar dan moeten we teveel handelingen verrichten" of "dat is voor ons niet nodig". Liever lui dan moe. En de meeste mensen interesseert data niet eens, ze worden pas wakker als hun bankrekening op een dag leeg is want dat snappen ze.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.