Privacy - Wat niemand over je mag weten

Gemeente verstuurd email die alles weg heeft van een phising bericht.

09-09-2022, 13:21 door Anoniem, 26 reacties
Ik kreeg hier een mail van de gemeente Lelystad met een bericht over de energie toeslag.
Niet gericht aan mij maar onder vermelding van alleen mijn email adres.
Of ik daarna op een link wilde klikken om een code aan te vragen om informatie op te vragen.
Waar je weer het nodige moest invullen.
Ineens was dit nodig om te weten waar het over ging

Direct er achteraan een mail waarom ik deze link moest gebruiken en dat het bedrijf wat hier voor gebruikt werd allemaal heel betrouwbaar was.
Dat bedrijf zou zivver zijn. Waar ik nog nooit van gehoord had.

Bij mij gingen alle alarm bellen direct af.
Mails worden nooit verstuurd aan enkel een mail adres maar aan een persoon als het van de gemeente is.
Een phising bericht gebruikt ook alleen je mail adres. omdat ze rest niet weten.

Volgens de gemeente geen enkele reden om dit allemaal te wantrouwen.
Als je door had om geen wazige mails te openen, dan zou je dit nu allemaal moeten vergeten.
Nou snap ik waarom gemeente personeel en instanties nooit door een test heen komen als je zo iets bedenkt om te versturen.

En dat in een tijd waar juist gebruik wordt gemaakt om mensen te misleiden over de energie toeslag in phising mails.
Daar waar ze je juist voor waarschuwen.
In ieder geval een zeer merkwaardige manier om zo te communiceren met bewoners./
Reacties (26)
09-09-2022, 14:15 door Anoniem
Kun je dit niet melden aan het AP (autoriteit persoonsgegevens)
maak daar dan melding van als je het niet vertrouwd.

The Matrix
09-09-2022, 14:31 door Anoniem
Korte aanvulling.
Ik had al enkele berichten van de gemeente gehad hierover.
En die waren allemaal gericht aan mij als persoon onder mijn volledige naam.
Vandaar dat het heel vreemd overkwam aangezien het onderwerp hetzelfde was maar mijn naam plots niet meer gebruikt werd.
09-09-2022, 19:17 door Anoniem
Zivver is inderdaad schijnveiligheid. Heeft iemand toegang tot jouw mailadres, dan ook tot de mail die je bij hun kunt lezen.
09-09-2022, 20:18 door Anoniem
Ik mag hopen dat die mailpartij toch linkdomeinen ondersteund en dat de gemeente in dit geval dat simpelweg (nog) niet correct heeft ingesteld?

Als het linkje in een mail van de gemeente immers niet naar de gemeente zelf linkt (tenzij het natuurlijk gaat naar iets dat iedereen kent, zoals twitter ofzo voor een twitter linkje) zou je er nooit op moeten willen klikken.
Externe inhuur van de gemeente of niet, ik ken ze niet dus klik niet.
11-09-2022, 00:51 door Erik van Straten
Door Anoniem: Ik kreeg hier een mail van de gemeente Lelystad met een bericht over de energie toeslag.
Niet gericht aan mij maar onder vermelding van alleen mijn email adres.
Of ik daarna op een link wilde klikken om een code aan te vragen om informatie op te vragen.
[...]
Direct er achteraan een mail waarom ik deze link moest gebruiken en dat het bedrijf wat hier voor gebruikt werd allemaal heel betrouwbaar was.
Dat bedrijf zou zivver zijn.
Google: zivver gemeente

Ojee. Zo te zien sinds begin dit jaar maken, naast veel gemeentes, ook allerlei andere overheidsorganisaties gebruik van Zivver - dat zo te zien een commercieel alternatief voor de berichtenbox van de overheid is, en -net als die box- helemaal niets met "veilige e-mail" te maken heeft.

Naar verluidt de gemeentes Amstelveen en Aalsmeer leggen uit hoe het werkt: https://youtu.be/OeJzw5BHfR4.
Uit dat filmpje maak ik op dat je een e-mail ontvangt van jouw gemeente, doch met afzender noreply@zivver.com. In die mail moet je klikken op een link. Volgens het filmpje (letterlijke tekst, ook onderin beeld):
Hiermee komt u in de veilige omgeving van gemeente Amstelveen en Aalsmeer.
Het tabblad vermeldt echter "Zivver" en de URL in de adresbalk begint met https://app.zivver.com/. En er is niemand die zegt dat je daar op moet letten voordat je authenticeert.

Het UWV begrijpt het in elk geval een beetje, uit https://www.werk.nl/werkzoekenden/solliciteren/tips/online-solliciteren/phishingmails/index.aspx:
Pas op voor phishing
[...]
• Heeft u een verdachte e-mail uit naam van UWV ontvangen? Kijk goed naar het e-mailadres van de afzender. De echte e-mails van UWV eindigen op ‘@uwv.nl’. Als het adres op iets anders eindigt, dan is de kans groot dat het een valse e-mail is.

• Krijgt u een e-mail van UWV waarin we vragen om uw persoonlijke gegevens? En is deze e-mail niet extra beveiligd met Zivver [1]? Ook dan komt deze e-mail niet van ons.
[1] https://www.uwv.nl/zivver/index.aspx?dmn=1A
[...]

Computable (2 jaar geleden!) meldt in https://www.computable.nl/artikel/techwire/security/7060519/2499347/gartner-kwalificeert-zivver-als-email-data-protection-specialist.html:
Gartner kwalificeert ZIVVER als Email Data Protection Specialist
[...]
ZIVVER helpt met het voorkomen van menselijke fouten zoals het aan de verkeerde ontvanger richten van e-mailberichten. De krachtige encryptie en two-factor authentication van ZIVVER dringt de beveiligingsrisico’s verder terug.
[...]
“Het feit dat we door Gartner zijn aangemerkt als representatieve leverancier van e-mailbeveiliging onderschrijft in onze ogen de belofte van onze technologie voor de preventie van datalekken en onze leiderschapspositie in de markt voor veilige e-mail", zegt Rick Goud, de oprichter en CIO van ZIVVER.
[...]
Het heeft inmiddels 90 werknemers in dienst en bedient ruim 3.000 klanten, waaronder 40% van alle Nederlandse ziekenhuizen en ruim 30% van alle Nederlandse gemeentes.
[...]

En uit https://www.ggdzhz.nl/contact-1/privacy-en-gegevensbescherming/zivver:
Gebruik van ZIVVER voor het veilig versturen van privacygevoelige informatie
ZIVVER versleutelt berichten met gevoelige inhoud zoals persoonsgegevens, dossiers of andere informatie. Het versturen van een bericht via ZIVVER is gegarandeerd veilig. Dat betekent dat niemand anders -dan de verzender en de ontvanger- toegang heeft tot het bericht. Ook hackers niet. Daarnaast voorkomt ZIVVER met slimme technologieën dat mensen gevoelige informatie naar de verkeerde persoon sturen.
What could possibly go wrong?

De IP-adressen van app.zivver.com zijn van Cloudfront, en de privacygevoelige (waaronder medische-) gegevens van steeds meer mensen worden bewaard op de computer van Jeff Bezos of diens opvolger (het https servercertificaat is uitgegeven door Amazon, volgens https://www.zivver.com/security staat deze computer van Jeff++ in de EU). En als die gegevens al versleuteld zouden worden opgeslagen: indien de beoogde ontvanger daar de sleutel niet van heeft, maar die gegevens wel kan inzien op de server van Amazon (en/of Cloudfront), wie heeft die sleutel dan wel?

Ook waarom phishing uitgesloten zou zijn [*] ontgaat mij, vooral als je niet heel duidelijk maakt waar mensen op moeten letten vóórdat ze klikken op een link in een e-mail (met ongetwijfeld herkenbare en vertrouwenwekkende plaatjes) en vervolgens vóórdat ze op de een of andere website (met ongetwijfeld herkenbare en vertrouwenwekkende plaatjes) authenticeren met de bedoeling om hun vertrouwelijke gegevens in te zien, een CV te uploaden of de een of andere toeslag aan te vragen.

[*] Tegenwoordig kan elke wannabe crimineel middels PhaaS (Phishing as a Service), zoals EvilProxy, snel en simpel slachtoffers maken, ook als MFA/2FA vereist is bij het authenticeren: https://resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web. (Bron: https://www.bleepingcomputer.com/news/security/new-evilproxy-service-lets-all-hackers-use-advanced-phishing-tactics/).
11-09-2022, 05:41 door Anoniem
@ Eric, bedankt voor het uitzoeken van dit alles.
Ik begrijp dat jij dit ook verder maar een wazig gebeuren vind.
Alles is dus in de cloud en opgeslagen in de domeinen van Amazon.
Afzender noreply@zivver.com maakte het bij mij al direct verdacht.

Ook vreemd was dat het direct in de spam box terecht kwam en als mogelijk verdacht werd aangemerkt.
En vaak is het dit ook als het daar in verdwijnt.
Niet eerder verdwenen mails van instanties direct in de spambox.
12-09-2022, 12:36 door Erik van Straten
Door Anoniem: @ Eric, bedankt voor het uitzoeken van dit alles.
Graag gedaan, en jij bedankt voor het melden!

"Helaas" vind ik dat ik nog lang niet klaar ben, achter Zivver (en een heel stel concullega's) zit een NEN norm "NTA 7516" die organisaties in de armen van partijen zoals Zivver drijft. Mogelijk dat ik hier ooit een nieuw topic over begin, want dit lijkt een stuk "groter" dan ik aanvankelijk dacht.

Door Anoniem: Ik begrijp dat jij dit ook verder maar een wazig gebeuren vind.
Alles is dus in de cloud en opgeslagen in de domeinen van Amazon.
Afzender noreply@zivver.com maakte het bij mij al direct verdacht.

Ook vreemd was dat het direct in de spam box terecht kwam en als mogelijk verdacht werd aangemerkt.
En vaak is het dit ook als het daar in verdwijnt.
Niet eerder verdwenen mails van instanties direct in de spambox.
Voor jou persoonlijk is dat waarschijnlijk niet het grootste risico (vertrouwelijke gegevens van veel mensen is een ander verhaal) - temeer daar Lelystad (en nu ook Zivver en Jeff) kennelijk jouw correcte e-mailadres heeft (althans, nog heeft).

Hoe komen ze aan jouw e-mailadres?
Ik vraag mij vooral af op welke wijze organisaties aan e-mailadressen en telefoonummers komen (die staan aan het begin van de "Zivver-keten"). Staan die ondertussen ook in de BRP (BasisRegistratie Persoonsgegevens) beheerd door gemeenten? (En is https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/gegevens-basisadministratie-personen nog niet bijgewerkt?)

Om te beginnen, als er geen gebruik gemaakt wordt van de -zo te zien optionele- 2FA-SMS, bestaat het risico op typfouten (op e-mailadressen en telefoonnummers zit geen ingebouwde check zoals op BSN's en IBAN's).

Als jij doorgeeft dat jij "henk7" bent bij gmail of hotmail, en daar door jou of door iemand waar jij naar belt (of bij aan de balie staat) een typfout in gemaakt wordt, dan is de kans zeer groot dat iemand anders jouw "veilige mail" (of SMS) ontvangt.

Waarschijnlijk grootste risico
Het waarschijnlijk grootste risico is dat organisaties niet zorgvuldig controleren (onmiddellijk vóór elke verzending) of het kennelijke e-mailadres, en bij 2FA-SMS het kennelijke telefoonnummer, daadwerkelijk en nog steeds van de bedoelde persoon zijn en niet van iemand anders (die onder jouw naam bijvoorbeeld een toeslag aanvraagt).

Maar: hoe zouden zij dit moeten doen? Elke keer eerst vragen of je een scan van jouw paspoort mailt (alsof dat iets bewijst)?

Niet voor niets zie je onderaan bijna elke pagina over Zivver en dergelijke, zoals in https://www.lelystad.nl/veiligmailen:
Geef wijzigingen in uw e-mailadres en telefoonnummer aan ons door!
Het is belangrijk dat u wijzigingen in uw e-mailadres of mobiele telefoonnummer direct aan ons doorgeeft. Op deze manier kunnen wij veilig met u blijven communiceren.
Uhhh...
1) Bij een wijziging zou je er dus aan moeten denken dat je aan elke organisatie waar jij ooit zelf jouw e-mailadres en/of telefoonnummer hebt gegeven, die wijziging moet doorgeven. En daarbij moet je hopen dat organisaties die jouw gegevens ooit hebben doorgespeeld aan andere organisaties dat nu voor jou doen (ik weet uit eigen ervaring dat binnen individuele organisaties vaak meerdere adressenbestanden bestaan die duidelijk niet allemaal worden bijgewerkt als je een wijziging doorgeeft, laat staan dat dit altijd goed zou gaan naar alle externe organisaties waar jouw gegevens ooit mee zijn gedeeld, waaronder de Zivvers, MailChimps, Sendgrids etc. op deze planeet). Totaal onrealistisch dus;

2) Hoe veilig verloopt dat doorgeven van zo'n wijziging? Moet ik langskomen en mij legitimeren met mijn identiteitsbewijs, of kan ik namens jou bellen of een briefje sturen (en liegen dat mijn e-mailadres en telefoonnummer de nieuwe van jou zijn)?

Dit systeem lijkt vooral ontworpen om persoonsgegevens, vooral medische, mee uit te wisselen. De belangstelling van cybercriminelen voor de gegevens van één persoon is mogelijk beperkt waardoor dit risico als (m.i. te) laag kan zijn ingeschat; het is immers denkbaar dat de meeste cybercriminelen voor de grote aantallen gaan (waar ik bij dit systeem trouwens ook mogelijkheden voor zie).

Uit https://www.nen.nl/nta-7516:
NTA 7516 voor veilige e-mail

Voor wie is de norm bedoeld?
NTA 7516 is in de eerste plaats bedoeld voor zorgprofessionals en de organisaties waarin ze werken. De NTA beschrijft de voorwaarden waaronder er veilig gemaild kan worden en bevat concrete maatregelen aanwijzingen hoe een organisatie hiermee om kan gaan. Deze informatie is natuurlijk ook relevant voor patiënten, hun familieleden en mantelzorgers.
[...]
Scope creep?

E-mailadressen en telefoonnummers als basis voor authenticatie zijn daar niet voor ontworpen en bovendien hebben de meeste gebruikers er geen idee van dat ze daarvoor in toenemende mate worden misbruikt (want "ik heb niks te verbergen"). Veel te weinig mensen associëren hun e-mailadres(sen) en telefoonnummer(s) (effectief: toegang tot hun mailbox en bezit van een SIM-kaart) met authenticatie. En terecht, het zouden niet meer dan identificerende gegevens moeten zijn - die bovendien erg onbetrouwbaar zijn. Want, in tegenstelling tot een BSN, kunnen ze morgen van een ander zijn (onopgemerkt door de betrokken organisaties), en naast tikfouten ligt identiteitsfraude veel te veel voor de hand.

Risico identiteitsfraude bij aanvragen toeslagen
Zodra er direct geld te verdienen valt (i.p.v. alleen wat persoonsgegevens scoren die je maar moet zien te verkopen, alhoewel ze handig kunnen zijn voor follow-up phishing), neemt het risico flink toe indien criminelen uit jouw naam bijvoorbeeld energietoeslag kunnen aanvragen, en via dezelfde route hun bankrekeningnummer kunnen opgeven (of, als jouw bankrekeningnummer toevallig bekend is bij de uitkerende instantie, dat wijzigen in hun nummer).

Je kunt er m.i. op wachten tot hier mee gefraudeerd gaat worden - en mensen die het al niet breed hebben (en wellicht minder "digitaal vaardig" zijn) er het slachtoffer van worden.
12-09-2022, 16:05 door Anoniem
Inloggen na klikken in een e-mail? Klinkt als slecht idee voor consumenten (die in iedergeval niet heel vaak dit soort berichten zullen ontvangen)?
Zou het niet beter zijn dat het in een Mijn Overheids-achtige box zit, waar nooit naar gelinkt wordt maar je altijd zelf naar toe moet (m.u.v. notificatie zonder links)?
12-09-2022, 17:34 door Anoniem
Door Anoniem: Inloggen na klikken in een e-mail? Klinkt als slecht idee voor consumenten (die in iedergeval niet heel vaak dit soort berichten zullen ontvangen)?
Zou het niet beter zijn dat het in een Mijn Overheids-achtige box zit, waar nooit naar gelinkt wordt maar je altijd zelf naar toe moet (m.u.v. notificatie zonder links)?

De grootste grap in dit verhaal: de meeste gemeenten kunnen al mailen via de Berichtenbox van de overheid. Dus dat ze Zivver moeten gebruiken is natuurlijk onzin. Maarja, berichten sturen via Zivver is blijkbaar makkelijker ofzo.
12-09-2022, 19:15 door Anoniem
Door Erik van Straten:
Door Anoniem: @ Eric, bedankt voor het uitzoeken van dit alles.
Graag gedaan, en jij bedankt voor het melden!

"Helaas" vind ik dat ik nog lang niet klaar ben, achter Zivver (en een heel stel concullega's) zit een NEN norm "NTA 7516" die organisaties in de armen van partijen zoals Zivver drijft. Mogelijk dat ik hier ooit een nieuw topic over begin, want dit lijkt een stuk "groter" dan ik aanvankelijk dacht.

Door Anoniem: Ik begrijp dat jij dit ook verder maar een wazig gebeuren vind.
Alles is dus in de cloud en opgeslagen in de domeinen van Amazon.
Afzender noreply@zivver.com maakte het bij mij al direct verdacht.

Ook vreemd was dat het direct in de spam box terecht kwam en als mogelijk verdacht werd aangemerkt.
En vaak is het dit ook als het daar in verdwijnt.
Niet eerder verdwenen mails van instanties direct in de spambox.
Voor jou persoonlijk is dat waarschijnlijk niet het grootste risico (vertrouwelijke gegevens van veel mensen is een ander verhaal) - temeer daar Lelystad (en nu ook Zivver en Jeff) kennelijk jouw correcte e-mailadres heeft (althans, nog heeft).

Hoe komen ze aan jouw e-mailadres?
Ik vraag mij vooral af op welke wijze organisaties aan e-mailadressen en telefoonummers komen (die staan aan het begin van de "Zivver-keten"). Staan die ondertussen ook in de BRP (BasisRegistratie Persoonsgegevens) beheerd door gemeenten? (En is https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/gegevens-basisadministratie-personen nog niet bijgewerkt?)

Om te beginnen, als er geen gebruik gemaakt wordt van de -zo te zien optionele- 2FA-SMS, bestaat het risico op typfouten (op e-mailadressen en telefoonnummers zit geen ingebouwde check zoals op BSN's en IBAN's).

Als jij doorgeeft dat jij "henk7" bent bij gmail of hotmail, en daar door jou of door iemand waar jij naar belt (of bij aan de balie staat) een typfout in gemaakt wordt, dan is de kans zeer groot dat iemand anders jouw "veilige mail" (of SMS) ontvangt.

Waarschijnlijk grootste risico
Het waarschijnlijk grootste risico is dat organisaties niet zorgvuldig controleren (onmiddellijk vóór elke verzending) of het kennelijke e-mailadres, en bij 2FA-SMS het kennelijke telefoonnummer, daadwerkelijk en nog steeds van de bedoelde persoon zijn en niet van iemand anders (die onder jouw naam bijvoorbeeld een toeslag aanvraagt).

Maar: hoe zouden zij dit moeten doen? Elke keer eerst vragen of je een scan van jouw paspoort mailt (alsof dat iets bewijst)?

Niet voor niets zie je onderaan bijna elke pagina over Zivver en dergelijke, zoals in https://www.lelystad.nl/veiligmailen:
Geef wijzigingen in uw e-mailadres en telefoonnummer aan ons door!
Het is belangrijk dat u wijzigingen in uw e-mailadres of mobiele telefoonnummer direct aan ons doorgeeft. Op deze manier kunnen wij veilig met u blijven communiceren.
Uhhh...
1) Bij een wijziging zou je er dus aan moeten denken dat je aan elke organisatie waar jij ooit zelf jouw e-mailadres en/of telefoonnummer hebt gegeven, die wijziging moet doorgeven. En daarbij moet je hopen dat organisaties die jouw gegevens ooit hebben doorgespeeld aan andere organisaties dat nu voor jou doen (ik weet uit eigen ervaring dat binnen individuele organisaties vaak meerdere adressenbestanden bestaan die duidelijk niet allemaal worden bijgewerkt als je een wijziging doorgeeft, laat staan dat dit altijd goed zou gaan naar alle externe organisaties waar jouw gegevens ooit mee zijn gedeeld, waaronder de Zivvers, MailChimps, Sendgrids etc. op deze planeet). Totaal onrealistisch dus;

2) Hoe veilig verloopt dat doorgeven van zo'n wijziging? Moet ik langskomen en mij legitimeren met mijn identiteitsbewijs, of kan ik namens jou bellen of een briefje sturen (en liegen dat mijn e-mailadres en telefoonnummer de nieuwe van jou zijn)?

Dit systeem lijkt vooral ontworpen om persoonsgegevens, vooral medische, mee uit te wisselen. De belangstelling van cybercriminelen voor de gegevens van één persoon is mogelijk beperkt waardoor dit risico als (m.i. te) laag kan zijn ingeschat; het is immers denkbaar dat de meeste cybercriminelen voor de grote aantallen gaan (waar ik bij dit systeem trouwens ook mogelijkheden voor zie).

Uit https://www.nen.nl/nta-7516:
NTA 7516 voor veilige e-mail

Voor wie is de norm bedoeld?
NTA 7516 is in de eerste plaats bedoeld voor zorgprofessionals en de organisaties waarin ze werken. De NTA beschrijft de voorwaarden waaronder er veilig gemaild kan worden en bevat concrete maatregelen aanwijzingen hoe een organisatie hiermee om kan gaan. Deze informatie is natuurlijk ook relevant voor patiënten, hun familieleden en mantelzorgers.
[...]
Scope creep?

E-mailadressen en telefoonnummers als basis voor authenticatie zijn daar niet voor ontworpen en bovendien hebben de meeste gebruikers er geen idee van dat ze daarvoor in toenemende mate worden misbruikt (want "ik heb niks te verbergen"). Veel te weinig mensen associëren hun e-mailadres(sen) en telefoonnummer(s) (effectief: toegang tot hun mailbox en bezit van een SIM-kaart) met authenticatie. En terecht, het zouden niet meer dan identificerende gegevens moeten zijn - die bovendien erg onbetrouwbaar zijn. Want, in tegenstelling tot een BSN, kunnen ze morgen van een ander zijn (onopgemerkt door de betrokken organisaties), en naast tikfouten ligt identiteitsfraude veel te veel voor de hand.

Risico identiteitsfraude bij aanvragen toeslagen
Zodra er direct geld te verdienen valt (i.p.v. alleen wat persoonsgegevens scoren die je maar moet zien te verkopen, alhoewel ze handig kunnen zijn voor follow-up phishing), neemt het risico flink toe indien criminelen uit jouw naam bijvoorbeeld energietoeslag kunnen aanvragen, en via dezelfde route hun bankrekeningnummer kunnen opgeven (of, als jouw bankrekeningnummer toevallig bekend is bij de uitkerende instantie, dat wijzigen in hun nummer).

Je kunt er m.i. op wachten tot hier mee gefraudeerd gaat worden - en mensen die het al niet breed hebben (en wellicht minder "digitaal vaardig" zijn) er het slachtoffer van worden.


Even voor de algemene informatie over NTA 7516, de NEN heeft kort geleden het certificaat van alle bedrijven zoals o.a. Zivver, Zorgmail ed. ingetrokken omdat deze bij nader inzien niet voldeden of in ieder geval aan nogal verkeerd opgestelde regels (Zivver heeft deze met name opgesteld) voldeden waardoor de certifcering waardeloos bleek te zijn.
Zorgmail is vergelijkbaar met Zivver, grote mond dat ze aan alle richtlijnen voldoen, maar Zorgmail duvelde vrij hard door de mand na een pentest waarbij er meer gaten werden gevonden dan dat er zaken goed geregeld waren. Medische gegevens moet je niet over laten aan derden maar dat moet je zelf regelen vind ik. De burger/patient vertrouwd de organisatie ermee en om dat vertrouwen bij een derde neer te leggen gaat erg ver. Alleen luie bedrijven of met weinig kennis van zaken maken gebruik van dit soort bedrijfjes (waarvan je nooit zeker zal zijn of er echt niemand bij de data kan komen want;"if it's not your key, it's not your data").
12-09-2022, 19:40 door Anoniem
Ik heb me niet helemaal in Zivver verdiept, maar volgens mij is het concept dat als je een bericht of document wil uitwisselen, je eigenlijk op een portaal je bericht en/of document plaats. De ontvanger krijgt een link in zijn mailbox waarmee hij kan inloggen op dat portaal en het bericht kan inzien, document kan downloaden en eventueel reageren.

Voordeel van dit concept is dat het relatief eenvoudig werkt en je een versleutelde verbinding hebt tussen jouw PC en de server van de dienst, in dit geval Zivver. Nadeel is dat het document op de Zivver server staat, dat je kan achterhalen wie het bericht heeft ingezien, gedownload, wanneer en hoe vaak.

90% of meer van de consumenten gebruikt Gmail, Apple mail, Outlook.com of andere vormen van cloud providers. Ook daar blijven de mail achter op de server. Bij deze diensten is alleen de transmissie versleuteld, jouw mail staat bij de cloud provider niet versleuteld op de server (kan misschien encrypted zijn, maar de cloud provider heeft de sleutel).

Wat is in jullie ogen een goede oplossing als alternatief voor traditionele mail die zowel veilig als gebruikersvriendelijk is en ook nog enige vorm van privacy biedt (geen log van wie, wat, wanneer en hoe vaak doet)? PGP valt in mijn ogen af omdat dit teveel gedoe is voor mensen die niet veel ICT kennis hebben. We zijn hier vaak goed in kritiek uiten op wat er allemaal mis is, maar het zou mooi zijn als er ook oplossingen aangedragen worden.
12-09-2022, 19:46 door [Account Verwijderd] - Bijgewerkt: 12-09-2022, 19:52
Door Erik van Straten:

Risico identiteitsfraude bij aanvragen toeslagen
Zodra er direct geld te verdienen valt (i.p.v. alleen wat persoonsgegevens scoren die je maar moet zien te verkopen, alhoewel ze handig kunnen zijn voor follow-up phishing), neemt het risico flink toe indien criminelen uit jouw naam bijvoorbeeld energietoeslag kunnen aanvragen, en via dezelfde route hun bankrekeningnummer kunnen opgeven (of, als jouw bankrekeningnummer toevallig bekend is bij de uitkerende instantie, dat wijzigen in hun nummer).


En hoe gemakkelijk het (in mijn geval) mis kan gaan; 'bijna' dan wel, leert het volgende:

Bij de aanvraag van de energie toeslag moest ik een print van de betaalpas meezenden en een print van mijn ID-bewijs. Alles verliep na identificatie via, en bij autorisatie DigiD.
Hoewel ik beter wist vergat ik het serienummer van de bankpas onleesbaar te zwarten. Criminelen smullen natuurlijk van zo'n fout als die gegevens lekken. Als door een wesp gestoken merkte ik meteen dat ik in de fout ging toen ik de aanvraag verzond en heb meteen de bankpas geblokkeerd.

Natuurlijk was het mijn onachtzaamheid! maar je vraagt je wel af: Waarom een print van de bankpas? Waarom was een kopietje van een bankafschrift in .pdf niet ok? Daarop staat een tenaamgestelde en als die overeenkomt met tenaamstelling op het ID-bewijs is dat voldoende bewijs van legitieme opgave van je bankrekeningnummer.


--------------------------------------------------------------------
(edit) Vergat ik te melden:
Maar het meest onbegrijpelijk is wel.... waarom ook een print van het ID bewijs? N.b je bent ingelogd m.b.v. DigiD. Retorische vraag: Is identificatie m.b.v DigiD volgens de verantwoordelijke ambtenaren in mijn gemeente onbetrouwbaar...?!
12-09-2022, 21:50 door Anoniem
De IP-adressen van app.zivver.com zijn van Cloudfront, en de privacygevoelige (waaronder medische-) gegevens van steeds meer mensen worden bewaard op de computer van Jeff Bezos of diens opvolger (het https servercertificaat is uitgegeven door Amazon, volgens https://www.zivver.com/security staat deze computer van Jeff++ in de EU).
Waarom gebruiken ze als bedrijf gericht op nederland een .com domain name en niet gewoon een .nl domain?
Niet dat het qua veiligheid wat uitmaakt, maar het is wel opmerkelijk.
12-09-2022, 22:12 door Anoniem
Door Anoniem:
Door Anoniem: Zou het niet beter zijn dat het in een Mijn Overheids-achtige box zit, waar nooit naar gelinkt wordt maar je altijd zelf naar toe moet (m.u.v. notificatie zonder links)?
De grootste grap in dit verhaal, de meeste gemeenten kunnen al mailen via de Berichtenbox van de overheid. Dus dat ze Zivver moeten gebruiken is natuurlijk onzin. Maarja, berichten sturen via Zivver is blijkbaar makkelijker ofzo.
exact mijn idee...
Gemeenten kunnen gewoon via de mijn.overheid mailen en dat is al beschermd via digid met 2fa. Ik denk dat Zivver en co hard pushed bij gemeenten en andere (semi)overheidsdiensten om daar lekker aan te verdienen, van onze belastingcenten, uiteraard.
12-09-2022, 22:32 door Anoniem
De burger/patient vertrouwd de organisatie ermee en om dat vertrouwen bij een derde neer te leggen gaat erg ver.
Door dat proces uit te besteden, kan je naar iemand anders wijze als het fout gaat. Die wijzen dan uiteraard weer terug.
Het komt er uiteindelijk op neer dat niemand meer verantwoordelijk denkt te zijn en dat kunnen ze erg lang volhouden.
12-09-2022, 22:55 door Erik van Straten
Door Anoniem: Wat is in jullie ogen een goede oplossing als alternatief voor traditionele mail die zowel veilig als gebruikersvriendelijk is en ook nog enige vorm van privacy biedt (geen log van wie, wat, wanneer en hoe vaak doet)? PGP valt in mijn ogen af omdat dit teveel gedoe is voor mensen die niet veel ICT kennis hebben. We zijn hier vaak goed in kritiek uiten op wat er allemaal mis is, maar het zou mooi zijn als er ook oplossingen aangedragen worden.
Voor energietoeslag aanvragen: brief met keuze.
1) Balie stadhuis met identiteitsbewijs.
2) Online toeslag aanvragen: inloggen met DigiD. En geen bullshit met kopietjes paspoort en bankpas: als DigiD niet veilig genoeg is, dan iedereen optie 1.
12-09-2022, 23:05 door Anoniem
N.b je bent ingelogd m.b.v. DigiD.
Retorische vraag: Is identificatie m.b.v DigiD volgens de verantwoordelijke ambtenaren in mijn gemeente onbetrouwbaar...?!
Voor die ambtenaar is het onveilig. Dat is het 'not invented here' syndroom.
Dat is omdat 'ie het niet zelf bedacht heeft en niet weet hoe het werkt.
12-09-2022, 23:09 door Anoniem
Door Anoniem: ... volgens mij is het concept dat als je een bericht of document wil uitwisselen, je eigenlijk op een portaal je bericht en/of document plaats. De ontvanger krijgt een link in zijn mailbox waarmee hij kan inloggen op dat portaal en het bericht kan inzien, document kan downloaden en eventueel reageren.
Daar gaat het al mis. Je moet op een lijnk uit een mail klikken, waavan je niet zeker bent waar die mail vandaan komt (een crimineel, die uit is op je centen) en een link waarvan je niet weet waar die uitkomt (een website van een andere crimineel).
12-09-2022, 23:20 door Erik van Straten
Door Anoniem: Even voor de algemene informatie over NTA 7516, de NEN heeft kort geleden het certificaat van alle bedrijven zoals o.a. Zivver, Zorgmail ed. ingetrokken omdat deze bij nader inzien niet voldeden of in ieder geval aan nogal verkeerd opgestelde regels (Zivver heeft deze met name opgesteld) voldeden waardoor de certifcering waardeloos bleek te zijn.
Ah dank, tijdens mijn zoektocht (met, zoals gebruikelijk, stapels OMGs), was ik dat nog niet tegengekomen, maar inderdaad, uit
https://www.nen.nl/register-nta-7516:
Certificatie tegen NTA 7516 voor Veilige mail is (tijdelijk) niet mogelijk
Het Centraal College van Deskundigen Zorg & Welzijn heeft besloten om per 15 mei 2022 het schema NCS 7516 te inactiveren. Hierdoor is certificatie niet meer mogelijk. Huidige certificaten zijn hierdoor niet meer geldig en worden ingetrokken en er worden geen nieuwe certificaten afgegeven. [...]

"Niets te zien, doorlopen" uit https://www.zivver.com/nl/blog/marktontwikkelingen-certificering-nta-7516:
Voor klanten van Zivver die reeds NTA 7516 compliant zijn verandert er niets, omdat Zivver daadwerkelijk alle mogelijke technische functionaliteiten biedt die voor het voldoen aan de NTA 7516 benodigd zijn.
Zivver heeft zelfs een ISO 27001 certificaat (voor de locatie Amsterdam) dat, zo te zien, niet is ingetrokken - verstrekt door QSCert uit Slowakije. Zou kunnen, het is een internationale norm. Maar ze hebben ook een NEN 7510 certificaat - eveneens verstrekt door QSCert uit Slowakije.

Maar feitelijk is dat allemaal besides the point dat je e-mail met doorsnee burgers zelfs met 100 certificaten niet veilig krijgt - wellicht redelijk als je ze met DigiD laat inloggen op een website (zonder zwakker alternatief), maar noem het dan geen mail maar een berichtenbox met notificatie via mail of SMS etc.

En voor de paar mensen die het wel snappen krijg je het niet betrouwbaar met e-mails die in spamboxen belanden en niet van phishingmals te onderscheiden zijn - vooral niet als je toch klikt en uitkomt op https://verzinhetmaar.diverse/ - "veilig want slotje". En het dan wijten aan een gebrek aan "digitale basisvaardigheden" als mensen het niet vertrouwen.

Door Anoniem: Medische gegevens moet je niet over laten aan derden maar dat moet je zelf regelen vind ik.
NTA 7516 wordt duidelijk ook voor andere communicatie ingezet (het gaat niet alleen om medische gegevens), zie bovenaan deze pagina.

Los daarvan, in de praktijk hebben veel organisaties daar zelf onvoldoende expertise voor. Logisch, want het is onveilig. Misschien hebben ze wel een Erik rondlopen die zegt dat je e-mail met patiënten/burgers nooit veilig krijgt, maar overtuigde een succesvolle Zivver-verkoper, zwaaiend met een heel stel certificaten, de directie ervan dat Erik teveel beren ziet want het is wel veilig, ons "NCS 7516" certificaat bewijst dat!

Een NEN-certificaat, dat, zoals je stelt, best wel eens grotendeels door de (commerciële) beroepsgroep zelf ontwikkeld zou kunnen zijn, dat net zo hard stinkt als NEN 7524 (ontwikkeld door de pseudonimiseringsboeren). Interoperabiliteit als requirement is prima, maar zodra het doel de overige middelen heiligt en/of commerciële aspecten belangrijker zijn dan privacy en security, krijg je een wassen neus.

Uit https://www.managementimpact.nl/artikel/nen-7524-versterkt-privacy-bij-onderzoek-met-patientendata/:
14 okt 2019, aldus Marlou Bijlsma, standaardisatie consultant healthcare bij NEN:
[...] De onderzoekers werken dan met gepseudonimiseerde datasets van deze patiënten, die met het onderzoek hebben ingestemd. De datasets kunnen worden gekoppeld, nog steeds zonder dat de privacy in het geding komt. [...]
Zucht.

Nederland wordt steeds corrupter, en we gaan het steeds normaler vinden. Een toenemend aantal wetenschappers hebben dik betaalde "bijbanen" en dikke-Audi-consultants verhogen hun "marktwaarde" door als bijzonder hoogleraar bij te klussen. Zelfs reclames waarin kinderen elkaar omkopen moeten we kennelijk "grappig" vinden (de laatste AH: https://youtu.be/LFxCVDYWxbU).

Door Anoniem: Alleen luie bedrijven of met weinig kennis van zaken maken gebruik van dit soort bedrijfjes
Dan zijn er wel heel veel luie "bedrijven": een heel stel ziekenhuizen, UWV, IGJ, om.nl, rechtspraak.nl en een flinke lijst met gemeenten.
12-09-2022, 23:48 door Erik van Straten - Bijgewerkt: 12-09-2022, 23:50
Door Anoniem: Waarom gebruiken ze als bedrijf gericht op nederland een .com domain name en niet gewoon een .nl domain?
Sjeemig wat een geneuzel van die securitymensen over TLD's elke keer, uit https://www.lelystad.nl/veiligmailen:
Meer informatie over ZIVVER vindt u op www.zivver.nl en support.zivver.com.

En uit https://www.igj.nl/onderwerpen/zivver:
lMeer weten? Kijk op www.zivver.eu.
Filmpje erboven, "Hiermee opent u de veilige mailomgeving van IGJ" (de URL in de adresbalk begint met "https://app.zivver.com/").

Niet verder vertellen: zivver.xyz is te koop.
14-09-2022, 19:45 door Anoniem
Door Quink: Bij de aanvraag van de energie toeslag moest ik een print van de betaalpas meezenden en een print van mijn ID-bewijs. Alles verliep na identificatie via, en bij autorisatie DigiD.

Als je je gemeentelijke belastingen automatisch in termijnen betaalt, dan heeft jouw gemeente jouw rekeningnummer. Bovendien controleren volgens mij alle banken in Nederland of je naar de juiste persoon overmaakt (naam - rekening controle). Dus tenzij je een naamgenoot hebt in je gemeente, gaat dat altijd goed.
14-09-2022, 23:58 door [Account Verwijderd]
Door Anoniem:
Door Quink: Bij de aanvraag van de energie toeslag moest ik een print van de betaalpas meezenden en een print van mijn ID-bewijs. Alles verliep na identificatie via, en bij autorisatie DigiD.

Als je je gemeentelijke belastingen automatisch in termijnen betaalt, dan heeft jouw gemeente jouw rekeningnummer. Bovendien controleren volgens mij alle banken in Nederland of je naar de juiste persoon overmaakt (naam - rekening controle). Dus tenzij je een naamgenoot hebt in je gemeente, gaat dat altijd goed.

Het klopt helemaal wat je aanvoert. Doch wat zie je hier gebeuren: Voor veel mensen geldt dat zij die energiebijdrage niet kunnen missen en dan leg je jezelf maar in arren moede neer bij het feit waarvoor je wordt gesteld: een online aanvraag template invullen, in elkaar geflanst door één of meerdere goedbedoelende ambtenaren die een basic form voorgelegd krijgen door de centrale overheid in 'De Haag' die al dertig jaar of langer de uitwerking van ad hoc voorzieningen zoveel als mogelijk op gemeentelijk niveau decentraliseert.

Persoonlijke noot: ik had zelfs niet geïnformeerd of het ook mogelijk was het persoonlijk te komen aanvragen op het stadhuis, omdat ik toch tijdelijk slecht ter been ben.
15-09-2022, 00:12 door [Account Verwijderd]
Door Erik van Straten:
Door Anoniem: Waarom gebruiken ze als bedrijf gericht op nederland een .com domain name en niet gewoon een .nl domain?
Sjeemig wat een geneuzel van die securitymensen over TLD's elke keer, uit https://www.lelystad.nl/veiligmailen:
Meer informatie over ZIVVER vindt u op www.zivver.nl en support.zivver.com.

En uit https://www.igj.nl/onderwerpen/zivver:
lMeer weten? Kijk op www.zivver.eu.
Filmpje erboven, "Hiermee opent u de veilige mailomgeving van IGJ" (de URL in de adresbalk begint met "https://app.zivver.com/").

Niet verder vertellen: zivver.xyz is te koop.

Nou Erik, het is natuurlijk wel zo dat jij er vaak op hamert - EN HEEL TERECHT! - goed te letten op de URL en die met name van rechts naar links te lezen. ;-)
Dus ik snap wel dat iemand dat nu ook goed in de praktijk brengt en een scheef gezicht trekt m.b.t. de domeinnaam: Het betreft een Nederlands georiënteerd gemeentelijk geïnitieerd procedé.

Bij mij zouden ook de bellen gaan rinkelen als ik bijvoorbeeld ineens de URL las: https://mijn.ing.org/inlog
15-09-2022, 09:41 door [Account Verwijderd]
M.b.t. mijn reactie hierboven van wo. 14-09, 00:12 uur:
M'n gevoel voor zwarte humor begint ernstig af te nemen als ik slaperig word :-)
15-09-2022, 10:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Zou het niet beter zijn dat het in een Mijn Overheids-achtige box zit, waar nooit naar gelinkt wordt maar je altijd zelf naar toe moet (m.u.v. notificatie zonder links)?
De grootste grap in dit verhaal, de meeste gemeenten kunnen al mailen via de Berichtenbox van de overheid. Dus dat ze Zivver moeten gebruiken is natuurlijk onzin. Maarja, berichten sturen via Zivver is blijkbaar makkelijker ofzo.
exact mijn idee...
Gemeenten kunnen gewoon via de mijn.overheid mailen en dat is al beschermd via digid met 2fa. Ik denk dat Zivver en co hard pushed bij gemeenten en andere (semi)overheidsdiensten om daar lekker aan te verdienen, van onze belastingcenten, uiteraard.

Wat ook zou kunnen: De betreffende burger heeft zijn Berichtenbox nooit geactiveerd. Niet iedereen gebruikt het.
15-09-2022, 10:35 door Anoniem
Door Anoniem:
N.b je bent ingelogd m.b.v. DigiD.
Retorische vraag: Is identificatie m.b.v DigiD volgens de verantwoordelijke ambtenaren in mijn gemeente onbetrouwbaar...?!
Voor die ambtenaar is het onveilig. Dat is het 'not invented here' syndroom.
Dat is omdat 'ie het niet zelf bedacht heeft en niet weet hoe het werkt.

Nee, ze willen gewoon zeker weten dat jij bent die je zegt te zijn.
In theorie zou iedereen van jouw digid gebruik kunnen maken. :-)

(please hit you head against the wall now)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.