Vervolgens krijgt iedereen 25 dollar uitbetaalt en klaar :'(

TU-Delft en Universiteit Utrecht zijn samen met 18 andere universiteiten en goede doelen slachtoffer van dit gebrek dat Blackbaud liet ontstaan.
Ben benieuwd of de CRM client, database server en webserver in native microsoft ontwikkel omgeving zijn geprogrammeerd of werken met plug-ins / eigen software die de data-communicatie verwerkt met elementen als :

- Windows Server 2012 R2 with IIS 8.0 or IIS 8.5
- SQL Server 2014 Enterprise SP1 with compatibility level 110 or SP2 with compatibility level 110
- SQL Server 2016 Enterprise SP2 with compatibility level 130, Windows Server 2016
- Microsoft .NET Framework 4.5.2. 64-bit
- PowerShell 5.0 or higher, required for running jobs in SQL2016.

Wat meldt de TU-Delft over de breuk?
Uiteindelijk je 3 Jaar na dato bij de afnemers melden is toch best wel rijkelijk laat van Blackbaud, toch beste AP????
Zo'n lange termijn erover heen laten gaan hindert toch eerder het kunnen reageren met passende maatregelen dan dat het dat versterkt.
Wat is er al die tijd dan door het Blackbaud gedaan?
De boot afhouden?


Risicomatig best wel dom/slordig dat je BSN nummers ook digitaal opslaat waar je als organisatie toch ook al andere kwetsbare ID gegevens bewaart.
Da's bijna hetzelfde als voor inbrekers een paar kogels en een pistool klaarleggen zodat ze alle kluizen in je huis kunnen open knallen om er kostbaarheden uit te stelen.

De TU-Delft meldt meer algemeen de aard van de info maar is niet zeer expliciet dat ze compleet zijn over alle type gecompromitteerde gegevens. Dat de BSN's in het spel zijn meldt de Universiteit Utrecht weer wel.

Je krijgt hier wel het idee dat Universiteit Utrecht wat eerlijker en opener is over de afhandeling door Blackbaud's.


Ok, dus Universiteit Utrecht doet hier alsof de risico's die aan deze hack verbonden waren laag zijn????
Hoe kan ze dan stellen dat ze privacy serieus neemt?
Ze kan wel leuk uitgebreid dingen optuigen maar als je kwalificaties niet echt deugen is dat vooral window dressing.

Het risico zou kennelijk laag zijn om 3 redenen:
1- Als ik een hack actie zou bedenken zou ik toch denken dat het uitzetten van de data server het ongelogd kopiëren van de heel gevoelige gegevens toch een stuk makkelijker maakt. Dus het uitzetten van de servers is wel de meest logische eerste stap die helemaal geen indicatie biedt over de effecten van het werkelijk opgetreden risico van de hack.

2- Blackbaud schakelde kennelijk een bedrijf in dat voor bedrag x en termijn y aan de slag gaat en kijkt of ze sporen van gelekte informatie ergens / op de zwarte markt tegenkomen.
En heeft nog niets gevonden.
Zo'n monitoring is toch tijdgebonden en een zeer beperkte indicatie-bevestiging.
Hoe uitgebreid die ook ingestoken is.
Zo'n monitoring geeft niet eens een maatgevende waarschijnlijkheid van de daadwerkelijke verspreiding, behalve de gevonden data langs de wc-eendjes weg.
Want dergelijke bevindingen van dat bedrijf zeggen bij het niet in beeld raken of krijgen van informatie-sporen die ze niet hebben weten te vinden.
En dus zegt het niets over de daadwerkelijke verspreiding van de privacy gerelateerde gegevens van de afgestudeerden van de Universiteit Utrecht.
Ook is het weinig zeggend omdat de info evengoed buiten zicht van de zoektocht/monitoring op het internet beschikbaar kan zijn.

3- de hack actie zou kennelijk niet specifiek op de Universiteit Utrecht gericht zijn.
Zoiets zeg je hoogstens bij gebrek aan volledige dader kennis, bij gebrek aan compleet bewijs.
Bovendien, gevoelige informatie al kwijtspelen bij een actie die niet op 1 organisatie (Universiteit Utrecht) specifiek gericht zou zijn is juist wel een reden om de gevolgen van het opgetreden risico anders zeer hoog in te schalen.
Namelijk in de trant van ernstig tot zeer ernstig.
Of zijn de afgestudeerden, toch een (soort van) externe relatie voor de Universiteit Utrecht, een onbeduidende categorie mensen?
Als relatie beheerder / account manager ga je echt niet fijn op de koffie bij die relaties met een bericht als deze.
Als dat gesprek van kopje koffie al langer dan 5 minuten zou duren is dat een wonder en heeft de relatie (de afgestudeerde) in dat gesprek misschien niet echt goed de ernst van de gecomrpomitteerde gemaakte gegevens op het netvlies gekregen.
Even relatief anoniem per brief / internet bericht het lek melden maakt de ernst van de inschatting door de Universiteit Utrecht, hoe logisch en gangbaar de aanpak ervan nu ook lijkt/is, helaas niet een stuk geloofwaardiger.
Hierin zit denk ik ook wel een algemeen aandachtspunt voor de TU Delft waar ze samen mee zeggen op te trekken.

Genoeg stof voor de AP om de touwtjes voor aan te trekken.
Want het eenmaal opgetreden risico van compromitteren van gevoelige gegevens is, van oorspronkelijk vermoedelijk beheersbaar, qua ernst sinds 2017-2020 in ieder geval 100%.
En niet van de orde gering, zoals de Universiteit Utrecht misschien niet volledig uitsplitst in haar toelichting.
Waarbij de gevolg-keten met beheersmaatregelen die ze vervolgens volgen/opvolgden qua risico eerder variëreert per uitgesplitste acties en vervolg-gebeurtenissen en gezien bovenstaande toelichting zeker niet langer over het geheel daarvan een uniforme gelijkelijke lage kans-inschatting kan hebben.
Want 1 van de bijbehorende vervolg maatregelen van een hack is dat Universiteit Utrecht die meldt bij de AP.
En alleen al het moeten melden van een hack bij de autoriteiten herbergt bij voorbaat natuurlijk allerlei bestuurlijke risico's met reputatie schade en is dus ook een opgetreden risico -> Ergo 100%.

Uit andere berichten bleek dat er een een oude backup server bij Blackbaud gecompromitteerd was.
Recente hack dus - maar met deels oude data - blijkbaar bestanden van 2017 .

Nou speelde eind jaren 90 al op universiteiten onder ICT beheerders en data toeleveraars de discussie of alle data wel live moet worden kunnen benaderd indien de data bijvoorbeeld ouder dan 1,5 jaar is.
Verder waren er medewerkers en directie-leden bij bedrijven in Nederland die onbewust doen alsof gegevens van 1,5 jaar en ouder op remote access backup servers per definitie geen voorbeeld van "live" data is en dus verder veilig en onaantastbaar is voor hacks.
Misschien hebben CIO's die spagaat / de euvels tussen verschillende data-domeinen in de afgelopen 20 jaar nog altijd niet volledig in de vingers.
Dan scoor je echt nep-punten qua privacy beheersing.

Nee, zo werkt het niet, je krijgt 25 dollar uitbetaald en moet de bank 40 euro betalen voor de transferkosten.

Hier is je 20 dollar, bedankt voor de informatie en tot de volgende keer!
What the F.. Dit slaat echt helemaal nergens op, ze komen er keer op keer weer mee weg alsof het niets is alsof de gegevens geen enkele waarden hebben. Moet eens klaar zijn met dit soort onzin..