Nieuws
image

Marktonderzoeker Blauw weet nog altijd niet welke data via Nebu is gelekt

dinsdag 11 april 2023, 14:45 door Redactie, 13 reacties

Marktonderzoeksbureau Blauw weet nog altijd niet welke data van klanten via softwarebedrijf Nebu is gelekt, ook al oordeelde de rechter vorige week dat Nebu hier opheldering over moet geven. Blauw is klant van Nebu en maakt gebruik van de software van het bedrijf voor het uitvoeren van marktonderzoeken voor klanten. Blauw had een kortgeding tegen Nebu aangespannen, nadat criminelen toegang tot systemen wisten te krijgen. Daarbij zijn mogelijk ook gegevens van klanten van Blauw en andere marktonderzoeksbedrijven gestolen.

Volgens Blauw heeft Nebu onvoldoende informatie over het incident gedeeld, waardoor het niet weet of ook klanten zijn gedupeerd. De rechter oordeelde vorige week dat Nebu deze gegevens moet delen. Het gaat onder andere om alle beschikbare informatie met betrekking tot de aanval, met inbegrip van een volledige weergave van de manier waarop toegang is verkregen en de acties van de aanvallers vanaf het moment dat zij toegang kregen tot de systemen.

Daarnaast moet het een onafhankelijk forensisch onderzoek naar het datalek laten uitvoeren. Om ervoor te zorgen dat het softwarebedrijf dit ook doet legde de rechter een dwangsom op. Volgens Jos Vink, bestuursvoorzitter van Blauw, heeft Nebu inmiddels meer informatie over de aanval gegeven, maar geen antwoorden op de belangrijkste vragen. De marktonderzoeker weet daardoor nog altijd niet van welke klanten gegevens zijn gelekt, zo meldt BNR.

Inmiddels hebben al 156 organisaties bij de Autoriteit Persoonsgegevens melding van een mogelijk datalek gemaakt. Het gaat onder andere om NS, VodafoneZiggo, CZ, Vrienden van Amstel Live, pensioenfondsen PME en PFZW, ArboNed, Trevvel en gemeenten waaronder Den Haag, Leiden, Leiderdorp, Oegstgeest en Woerden.

Reacties (13)
11-04-2023, 14:57 door Anoniem
Staat er ergens een volledige lijst van die 156 organisaties? Waren/zijn dat alle klanten van Nebu?
11-04-2023, 15:15 door Anoniem
Marktonderzoeksbureau Blauw weet nog altijd niet welke data van klanten via softwarebedrijf Nebu is gelekt
Nouja, in ieder geval weten we nu wel allemaal dat er een Marktonderzoeksbureau Blauw bestaat!
Dus wat dat betreft zitten ze goed.
11-04-2023, 16:18 door Anoniem
Het zou mij niets verbazen dat Nebu zelf ook geen flauw idee heeft wat er nu eigenlijk gestolen is. En als zij het zelf niet weten kunnen ze het ook niet communiceren.
Misschien hebben ze zelf er ook geen toegang meer tot het systeem en alle informatie over wat ze nu eigenlijk verzamelen.
11-04-2023, 16:42 door Anoniem
Wat de fuck doen gemeentes marktonderzoek voor.
En hoezo doen ze zaken met een bedrijf dat data buiten de EU opslaat. Hier is regelgeving voor en dit mag niet.

Betekent dit dat Blauw hun verwerkingsovereenkomst niet op orde heeft, zelf geen benul heeft, of dat de gemeente schijft heeft gehad aan hun plichten?
probably both.
11-04-2023, 18:07 door nnsa
Door Anoniem: Het zou mij niets verbazen dat Nebu zelf ook geen flauw idee heeft wat er nu eigenlijk gestolen is. En als zij het zelf niet weten kunnen ze het ook niet communiceren.
Misschien hebben ze zelf er ook geen toegang meer tot het systeem en alle informatie over wat ze nu eigenlijk verzamelen.
Als ze er geen flauw idee van hebben, klopt er nog meer niet als dat er al naar buiten is gekomen. Maar Blauw zal als Gegevens-verwerker contacten hebben met klanten/afnemers. Dus moet er een klantenbestand zijn die mogelijk zijn getroffen. Als dat niet duidelijk is te maken is iedereen getroffen, tot het tegendeel is aangetoond. Maar het meedoen aan marktonderzeken, zal nu ook wel tot nihil dalen…
12-04-2023, 09:09 door _R0N_
Door Anoniem: Wat de fuck doen gemeentes marktonderzoek voor.
En hoezo doen ze zaken met een bedrijf dat data buiten de EU opslaat. Hier is regelgeving voor en dit mag niet.
Of je een speeltuin of hondenuitlaatplaats wenst in jouw omgeving (om maar wat te noemen)


Betekent dit dat Blauw hun verwerkingsovereenkomst niet op orde heeft, zelf geen benul heeft, of dat de gemeente schijft heeft gehad aan hun plichten?
probably both.

Nee, dat hebben ze wel op orde. Blauw is afhankelijk van aangeleverde gegevens van Nebu, daarom is de rechter er ook aan te pas gekomen om de informatievoorziening af te dwingen. Dat Nebu nog steeds niet over de brug komt geeft wel te denken. De kans is groot dat Nebu het ook net weet omdat de boel encrypted is en ze moeten betalen of backups terugzetten en misschien beide niet kunnen.
Het zou mij niet verbazen als we binnenkort lezen dat Nebu faillissement aanvraagt.
12-04-2023, 10:25 door Anoniem
Door Anoniem: Staat er ergens een volledige lijst van die 156 organisaties? Waren/zijn dat alle klanten van Nebu?
Die 156 is het aantal organisaties dat een datalek bij de Autoriteit Persoonsgegevens heeft gemeld. De AP heeft dus die lijst, maar die is niet per se openbaar.

Het gaat niet alleen om klanten van Nebu maar ook om klanten van klanten van Nebu. NS, ArboNed, Oegstgeest enzovoorts zijn geen klanten van Nebu maar klanten van bureaus die verwerking hebben uitbesteed aan Nebu.
12-04-2023, 10:58 door Anoniem
Door Anoniem: Het zou mij niets verbazen dat Nebu zelf ook geen flauw idee heeft wat er nu eigenlijk gestolen is. En als zij het zelf niet weten kunnen ze het ook niet communiceren.
Misschien hebben ze zelf er ook geen toegang meer tot het systeem en alle informatie over wat ze nu eigenlijk verzamelen.
Dan moeten ze niet hun kaken stijf op elkaar geklemd houden maar communiceren dat ze het niet weten en ook een overzicht geven wat wat ze allemaal niet weten en wat in het ergste geval de reikwijdte van de inbreuk is. Als ze het zicht echt totaal kwijt zijn dan moeten ze hun klanten (Blauw etc.) laten weten dat die er voorlopig vanuit moeten gaan dat alle data die ze aan Nebu hebben toevertrouwd in verkeerde handen kan zijn gevallen.

Als en zolang Nebu dat nalaat zitten die klanten zelf in de positie dat de situatie onbekend is, en ook zij moeten dan voorlopig ervan uitgaan dat het zwartste scenario mogelijk is. En zo kan je langs de hele keten doorredeneren. Ik denk dat iedereen die mogelijk geraakt is hierdoor, ook als dat niet zeker is, bericht zou moeten krijgen dat die mogelijkheid er helaas is.
12-04-2023, 11:11 door Anoniem
Staat er ergens een volledige lijst van die 156 organisaties? Waren/zijn dat alle klanten van Nebu?

NEBU moet de 156 organisaties informeren. Vanuit oogpunt confidentiality, is er geen reden waarom NEBU een lijst publiekelijk te maken, van alle getroffen organisaties (of al hun klanten). De getroffen organisaties moeten op hun beurt hun klanten informeren en voldoen aan verdere wettelijke eisen.
12-04-2023, 11:12 door Anoniem
Nee, dat hebben ze wel op orde. Blauw is afhankelijk van aangeleverde gegevens van Nebu, daarom is de rechter er ook aan te pas gekomen om de informatievoorziening af te dwingen. Dat Nebu nog steeds niet over de brug komt geeft wel te denken. De kans is groot dat Nebu het ook net weet omdat de boel encrypted is en ze moeten betalen of backups terugzetten en misschien beide niet kunnen.
Het zou mij niet verbazen als we binnenkort lezen dat Nebu faillissement aanvraagt.

Grote kans van. Het management van NEBU staat ook niet langer op de website van NEBU. Laat wel zien hoe de situatie daar is.
12-04-2023, 12:47 door Anoniem
geef het nog 4 weekjes en dan gaan we weer vrolijk verder. Glas, Plas, en alles bleef zoals het was.
12-04-2023, 17:00 door Anoniem
@blaauw, ga er maar vanuit alles waar NEBU bij KON komen.
Misschien was dat wel alles?
En anders weet Blaauw wel wat ze overeengekomen zijn met NEBU, en met welke data NEBU gevoed is...
Als dat niet bekend is... Ga uit van wat er kon. Dus alle data waar ze theoretisch bij konden komen.
13-04-2023, 14:08 door Anoniem
Door Anoniem:
Staat er ergens een volledige lijst van die 156 organisaties? Waren/zijn dat alle klanten van Nebu?

NEBU moet de 156 organisaties informeren. Vanuit oogpunt confidentiality, is er geen reden waarom NEBU een lijst publiekelijk te maken, van alle getroffen organisaties (of al hun klanten). De getroffen organisaties moeten op hun beurt hun klanten informeren en voldoen aan verdere wettelijke eisen.

Ze informeren Blaauw al niet of nauwelijks, laat staan de rest. Gaat betekenen dat wij maar moeten afwachten of wij ook op het "lijstje" staan. Snap overigens best de vertrouwelijkheid. Vraag mij af of de AP dit nog tracht te overzien, lijkt mij toch een belangrijke check of betrokken partijen ook voldoende verder communiceren in de keten (al is met maar met enkele steekproeven).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search