image

RDC weet niet hoe data miljoenen Nederlandse autobezitters is gestolen

dinsdag 18 mei 2021, 11:08 door Redactie, 15 reacties

It-bedrijf RDC weet niet hoe de gegevens van miljoenen Nederlandse autobezitters uit één van de systemen konden worden gestolen. Onder andere de retentie van de verschillende logs bleek ontoereikend te zijn om tot een conclusie te komen. Dat laat het bedrijf in een update over het datalek weten.

RDC verzorgt ict-diensten voor autobedrijven. Zo kunnen garages via het product CaRe-Mail hun klanten automatisch een e-mail sturen als het tijd is voor hun APK-keuring. Gegevens uit het systeem werden op internet te koop aangeboden. Het gaat om naam, adresgegevens, e-mailadressen, kentekens, telefoonnummers en geboortedata. Volgens de persoon die de gestolen data op internet aanbood ging het om de gegevens van 7,3 miljoen mensen. RDC liet weten dat in ieder geval 2,5 miljoen e-mailadressen waren buitgemaakt.

Naar aanleiding van het datalek liet RDC een onderzoek uitvoeren. Vorige maand stelde het bedrijf dat het forensisch onderzoek vooralsnog geen sporen van een inbraak had aangetoond. Wel waren er een "aantal inzichten" naar boven gekomen die naar de daadwerkelijke oorzaak van het datalek konden leiden. "Helaas kunnen wij hangende het onderzoek nog niet aangeven wat dit concreet betekent", stelde RDC destijds.

Het onderzoek is nu afgerond en de belangrijkste conclusie is dat de oorzaak niet kon worden achterhaald. Het is onbekend hoe er toegang tot de data is verkregen. "Reden daarvoor is onder andere dat de retentie van de verschillende logs ontoereikend was", laat RDC weten. Uit de penetratietest en het forensisch onderzoek dat werd ingesteld zijn wel verschillende aanbevelingen naar voren gekomen om de RDC-omgeving beter te beveiligen.

Reacties (15)
18-05-2021, 11:49 door Anoniem
It-bedrijf RDC weet niet hoe de gegevens van miljoenen Nederlandse autobezitters uit één van de systemen konden worden gestolen. Onder andere de retentie van de verschillende logs bleek ontoereikend te zijn om tot een conclusie te komen. Dat laat het bedrijf in een update over het datalek weten.
Misschien dat iemand met systeemrechten heeft ingelogd en vervolgens de logbestanden heeft verwijderd?
18-05-2021, 11:54 door Anoniem
Weet iemand soms of deze gelekte e-mailadressen al zijn toegevoegd aan de database van Troy Hunt (Have I been PwNed)? Dus graag een reactie (van een bezorgde automobilist).
18-05-2021, 11:56 door Anoniem
Ik heb wel een mail gestuurd naar mijn garage over deze hack, maar ik heb nooit antwoord gekregen.
Kennelijk vindt niemand het belangrijk genoeg om ons te informeren en worden we van kastje naar de muur gestuurd.
18-05-2021, 12:08 door Anoniem
et onderzoek is nu afgerond en de belangrijkste conclusie is dat de oorzaak niet kon worden achterhaald. Het is onbekend hoe er toegang tot de data is verkregen.

Conclusie: Deze diefstal is voor herhaling vatbaar.

Tijd voor een nieuwe leverancier?
18-05-2021, 12:09 door Anoniem
Door Anoniem: Weet iemand soms of deze gelekte e-mailadressen al zijn toegevoegd aan de database van Troy Hunt (Have I been PwNed)? Dus graag een reactie (van een bezorgde automobilist).
De organisatie die met het RDC wordt gelinkt, blijkt wél in de database van Troy Hunt voor te komen. Hun e-mailadres kwam al bovendrijven na een paar hacks in 2017 en 2019.
18-05-2021, 12:10 door Anoniem
Dat is vaker een probleem bij incidenten, er blijkt een onvoldoende logging te zijn en onvoldoende beschermde logging. En dus is forensisch onderzoek niet goed mogelijk. Je ziet wel vaker dat de beheerders onbeperkt toegang hebben tot logging, de bewering "onze mensen zijn te vertrouwen nietwaar" , klopt vast. Maar als een beheerder er bij kan, dan kan een hacker er ook bij.
Laatste stap van een hackershandboek: verwijder je sporen....

Vaak is zo'n incident nodig om tot inzicht te komen dat er meer geld naar cybersecurity moet, en andere keuzes gemaakt hadden moeten worden.
Ik ben benieuwd of er uberhaubt wel risicoanalyses en/of een DPIA is uitgevoerd en welke risico's onderkend zijn en welke keuzes toen gemaakt zijn.
18-05-2021, 13:17 door Anoniem
Hoe lucratief kan het zijn.. je beschikt over gegevens van miljoenen Nederlanders. Je laat logging en auditing achterwege en je doet alsof je neus bloedt. En je verkoopt die data aan de hoogst biedende.
18-05-2021, 13:26 door [Account Verwijderd]
Door Anoniem: Weet iemand soms of deze gelekte e-mailadressen al zijn toegevoegd aan de database van Troy Hunt (Have I been PwNed)? Dus graag een reactie (van een bezorgde automobilist).

Waarom test je dat zelf niet?
Zelf tik ik mijn e-mail adres eens per maand in op HaveIbeenpowned.
Ik spreek het vermoeden uit dat je weinig vertrouwd.
En tsja... als je zo huiverig bent, waarom post je dan hier? Security.nl weet nu - OEI - je IP-adres.
En in jouw geval kun je jouw auto ook niet meer vertrouwen. Zeker als dat een recent duur model is want die hangt aan het Internet; communiceert over van alles met de fabrikant.

Lees dit maar door:
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacybescherming_connected_vehicles_def.pdf
18-05-2021, 14:54 door Anoniem
Door Anoniem: Ik heb wel een mail gestuurd naar mijn garage over deze hack, maar ik heb nooit antwoord gekregen.
Kennelijk vindt niemand het belangrijk genoeg om ons te informeren en worden we van kastje naar de muur gestuurd.

Ligt uiteraard ook aan hoe je je vraag geformuleerd hebt, maar elk bedrijf is wettelijk verplicht om je inzage te geven in de persoonsgegevens die ze van je registreren. Als ze jou niet informeren over de persoonsgegevens die men van jou geregistreerd heeft, kan je een melding bij AP doen.

Als jij enkel vraagt naar een hack, dan hoeft die garage jou niet te informeren. Misschien dat jouw garage niet eens info bij dit bedrijf (RDC) aanlevert, maar dat RDC haar gegevens vant RDW krijgt. In dat laatste geval zal je voor de RDC hack bij RDW moeten zijn.
18-05-2021, 21:33 door Anoniem
Door Anoniem:
It-bedrijf RDC weet niet hoe de gegevens van miljoenen Nederlandse autobezitters uit één van de systemen konden worden gestolen. Onder andere de retentie van de verschillende logs bleek ontoereikend te zijn om tot een conclusie te komen. Dat laat het bedrijf in een update over het datalek weten.
Misschien dat iemand met systeemrechten heeft ingelogd en vervolgens de logbestanden heeft verwijderd?

Iedereen weet dat je logging NIET op de machines zelf moet verzamelen maar naar een log management systeem.
19-05-2021, 08:01 door Anoniem
Door Anoniem:
It-bedrijf RDC weet niet hoe de gegevens van miljoenen Nederlandse autobezitters uit één van de systemen konden worden gestolen. Onder andere de retentie van de verschillende logs bleek ontoereikend te zijn om tot een conclusie te komen. Dat laat het bedrijf in een update over het datalek weten.
Misschien dat iemand met systeemrechten heeft ingelogd en vervolgens de logbestanden heeft verwijderd?

"Retentie" is een te moeilijk woord voor je, dus ga je speculeren ?

Retentie betekent "bewaartijd" . Oftewel - oftwel de logs werden maximaal x dagen bewaard (of alleen de laatste <y> events).
En blijkbaar werd de hack pas ontdekt/onderzocht na een langere tijd .
19-05-2021, 08:05 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb wel een mail gestuurd naar mijn garage over deze hack, maar ik heb nooit antwoord gekregen.
Kennelijk vindt niemand het belangrijk genoeg om ons te informeren en worden we van kastje naar de muur gestuurd.

Ligt uiteraard ook aan hoe je je vraag geformuleerd hebt, maar elk bedrijf is wettelijk verplicht om je inzage te geven in de persoonsgegevens die ze van je registreren. Als ze jou niet informeren over de persoonsgegevens die men van jou geregistreerd heeft, kan je een melding bij AP doen.

Als jij enkel vraagt naar een hack, dan hoeft die garage jou niet te informeren. Misschien dat jouw garage niet eens info bij dit bedrijf (RDC) aanlevert, maar dat RDC haar gegevens vant RDW krijgt. In dat laatste geval zal je voor de RDC hack bij RDW moeten zijn.
Het lijkt erop dat dit een inbreuk is waarbij de betrokkenen actief geïnformeerd moeten worden. Als dat niet is gebeurd mag je daar best om vragen. Een inzageverzoek heeft weinig zin als je wilt weten wat er in het verleden is gebeurd tenzij er een aparte registratie is van de personen die betrokken zijn bij het incident. Maar het is helemaal niet gek om gewoon te vragen wat er is gebeurd. De vraag stellen kan dienen als aanvullend bewijs dat de verantwoordelijke op de hoogte was van de inbreuk én niet reageren als bewijs voor opzet/nalatigheid bij het niet melden.
19-05-2021, 08:51 door Anoniem
Door Anoniem:
Door Anoniem:
It-bedrijf RDC weet niet hoe de gegevens van miljoenen Nederlandse autobezitters uit één van de systemen konden worden gestolen. Onder andere de retentie van de verschillende logs bleek ontoereikend te zijn om tot een conclusie te komen. Dat laat het bedrijf in een update over het datalek weten.
Misschien dat iemand met systeemrechten heeft ingelogd en vervolgens de logbestanden heeft verwijderd?

Iedereen weet dat je logging NIET op de machines zelf moet verzamelen maar naar een log management systeem.

U zult nog verbaasd staan....
19-05-2021, 09:24 door Anoniem
Tsja, logging betreft zo goed als altijd persoonsgegevens en die moet je tegenwoordig zo kort mogelijk bewaren. Alles moet tegenwoordig wijken voor privacy he?
20-05-2021, 09:30 door Nova
Uplink, wie kent het nog? Dat heeft toen mijn ogen geopend en proberen we de wereld te beschermen, maar dat lukt niet omdat er niet voldoende draagvlak is voor voldoende beveiliging c.q. logging, zonde dat het altijd zo een ondergeschoven kindje blijft, ook anno 2021!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.