Gemeente Woerden: Nebu weet niet welke data is gestolen en van wie
Softwarebedrijf Nebu waar criminelen toegang tot de systemen kregen weet niet welke data is gestolen en van wie, zo stelt de gemeente Woerden. Wel is bekend geworden hoe de aanval ongeveer is verlopen. Nebu levert software waar bedrijven voor het uitvoeren van marktonderzoek gebruik van maken. Eind maart werd bekend dat aanvallers toegang tot systemen van Nebu hadden gekregen en dat daarbij mogelijk ook gegevens van klanten van marktonderzoekers zijn buitgemaakt.
Blauw, één van de getroffen marktonderzoekers, spande een kortgeding aan tegen Nebu omdat het meer informatie over de aanval en omvang van het datalek wilde hebben. De rechter gaf Blauw gelijk en oordeelde dat Nebu de informatie moest verstrekken. Begin april waarschuwde de gemeente Woerden duizenden inwoners die meededen aan een onderzoek van marktonderzoeksbureau Dimensus voor het datalek bij softwareleverancier Nebu. Daarbij zouden mogelijk ook hun gegevens zijn gelekt. Net als Blauw maakte ook Dimensus gebruik van de software van Nebu.
"Nebu (het bedrijf dat daadwerkelijk is gehackt) heeft een onderzoek laten doen naar het datalek. Uit dat onderzoek blijkt hoe de cyberaanval ongeveer is verlopen. Het is uiteindelijk niet bekend geworden welke data is gestolen en van wie", laat de gemeente Woerden vandaag in een update over het incident weten. Volgens de onderzoekers zijn er geen aanwijzingen dat gestolen data is aangeboden op internet’. Ook is er geen losgeld geëist.
Aan de hand hiervan stellen de onderzoekers naar het datalek dat de risico's beperkt zijn. Nu het onderzoek naar is afgerond heeft de gemeente Woerden besloten de zaak te sluiten. "Het blijft onduidelijk of gegevens van Woerdenaren gestolen zijn", zo concludeert de gemeente op Twitter. Details over hoe de aanval is verlopen zijn niet door de gemeente gegeven.
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
Volgens mij horen ze toch juist van het maximale uit te gaan. Alles gepakt en potentieel binnenkort te downloaden via willekeurige weg. Grote impact en behoorlijk aannemelijk. Hoe kan dit leiden tot een laag risico?
De mogelijkheid bestaat om huwelijkse staat, leeftijd, opleiding, inkomen, emailadres etc. achter te laten... niet wereldschokkend inderdaad ?
Dit wordt ook wel het "No logs no crime" principe genoemd. Het wordt onder andere toegepast bij de belastingdienst en politie (artikel 32A Wet Politiegegevens).
Nee dat kunnen ze zeker niet. de wetgeving stelt dat indien er niet te achterhalen is welke informatie gelekt is alle informatie als gelekt moet worden beschouwd. In dit geval is Nebu dus in ernstige gebreken en kan aansprakelijk gesteld gaan worden.
Niet Nebu maar de verwerkingsverantwoordelijken kunnen aangesproken worden.
Bij Nebu is de vraag of het verwijtbaar was zo niet, dan is zeer de vraag wie het risico draagt.
Niet verwijtbaar betekent vaak niet aansprakelijk .
Toen alle sporen vernietigd waren mocht de IT forensics mannen aan de slag… kansloze actie.
Dit wordt ook wel het "No logs no crime" principe genoemd. Het wordt onder andere toegepast bij de belastingdienst en politie (artikel 32A Wet Politiegegevens).
Een blik op een vragenlijst moet voldoende zijn en er is een mailadreslijst aan gekoppeld.
Maar ze zetten wel een krabbel onder een verwerkings overeenkomst...
Wat kan hier nog meer misgaan.. Marktonderzoeksbureau wat data niet snapt icm met een security bureau dat geen basaal inschattings onderzoek kan doen.
Een mooie collectie prutsers.
https://www.security.nl/posting/791516/Pensioenfondsen+PME+en+PFZW+ook+getroffen+door+datalek+bij+marktonderzoeker
De graaier, die op zijn of haar handen blijft zitten,
graait dus gewoon door en komt er steeds meer weg.
Goed om in het achterhoofd te houden.
In eerste instantie is al van belang:
- heeft men gewoon ALLE informatie over potentiele deelnemers verstuurd of is er sprake van een voorselectie of zelfs een vraag of men wel geintesseerd is om mee te doen
- wat is er precies van de betrokkenen aan data overhandigd
Alles wat richting Nebu gegaan is kan in principe gestolen zijn.
Daar komt dan nog bij: als mensen op de uitnodiging in zijn gegaan en een enquete hebben ingevuld, wat is er dan
per persoon opgeslagen. Ook dit kan in principe gestolen zijn.
Als Nebu niet hard kan maken dat bijvoorbeeld een van de twee categorieen niet getroffen is (de lijst potentiele deelnemers
of de door de deelnemers ingevulde informatie) dan is in principe alles gestolen. Maar dan is het nog steeds wel interessant
om te weten WAT voor data het is, en in hoeverre die nog aan personen gekoppeld is.
Dat Nebu een niet-kunner is en dus in principe moet stoppen met hun business dat is wel duidelijk, maar de mensen die
nu al getroffen zijn hebben recht op die informatie.
In eerste instantie is al van belang:
- heeft men gewoon ALLE informatie over potentiele deelnemers verstuurd of is er sprake van een voorselectie of zelfs een vraag of men wel geintesseerd is om mee te doen
- wat is er precies van de betrokkenen aan data overhandigd
Alles wat richting Nebu gegaan is kan in principe gestolen zijn.
Daar komt dan nog bij: als mensen op de uitnodiging in zijn gegaan en een enquete hebben ingevuld, wat is er dan
per persoon opgeslagen. Ook dit kan in principe gestolen zijn.
Als Nebu niet hard kan maken dat bijvoorbeeld een van de twee categorieen niet getroffen is (de lijst potentiele deelnemers
of de door de deelnemers ingevulde informatie) dan is in principe alles gestolen. Maar dan is het nog steeds wel interessant
om te weten WAT voor data het is, en in hoeverre die nog aan personen gekoppeld is.
Dat Nebu een niet-kunner is en dus in principe moet stoppen met hun business dat is wel duidelijk, maar de mensen die
nu al getroffen zijn hebben recht op die informatie.
Mee eens. de maximale grootte en reikwijdte van deze hack zou te reconstrueren moeten zijn.
De opdrachtgevers (en tusssenpersonen) zouden moeten weten welke type persoonsgegevens en antwoorden op vragen er als data aan Nebu aangeleverd is.
Dat is de groep die schade van deze hack kan oplopen. (want onbekend of er iets misbruikt is of alsnog zal worden)
Deze mensen dien je uitgebreidt te informeren waar ze op moeten letten. En uitlegtgen hoe ze geholpen kunnen worden om schade te beperken dan wel schadevergoeding te krijgen voor te maken kosten.
Juridische vraag:
Wie is juridisch en financieel verantwoordelijk voor te maken kosten van deze slachtoffers. En wanneer?
Klinkt alsof zowel Nebu als Woerden hier laakbaar, onzorvuldig en amateuristisch gehandeld hebben ! Tijd dat iemand deze partijen met de neus op de feiten drukt en financieel aansprakelijk houdt namens de slachtoffers.
Als je zo graag een verouderde naamvalsvorm wil gebruiken, doe het dan correct s.v.p.:
"In dit geval is Nebu dus in ernstigen gebreke ..."
Overigens wel eens met de conclusie.
Ach, een datalek meer of minder, burgers moeten er maar aan wennen dat de overheid (gemeente) ook niet meer zònder datalekken kan functioneren.
Het is dus een beleidstool wat inventariseert waar de "probleemburgers" in een gemeente zitten om daarop het beleid (en middelen) te kunnen afstemmen.
De inhoud van het onderzoek is in hoge mate privacygevoelig, de impact ervan voor de betrokkenen (de respondenten, degenen die aan het onderzoek mee hebben gedaan) is enigszins te vergelijken met die van de nieuwsoortige diepingrijpende vragenlijsten die in de GGZ zijn ingevoerd; dit onderzoek is a.h.w. het maatschappelijke equivalent wat door gemeenten wordt gebruikt om beleid mee te maken.
Afhankelijk van de omvang van het datalek, d.w.z. of ook de inhoud (gepseudonimiseerd?) benaderbaar is, is de potentiële schade voor de betrokken inwoners van Woerden.
Tegen deze achtergrond is de bagatelliserende opstelling van de gemeente Woerden - die ook niets weet, maar dit verder laat zitten - een cynisch dieptepunt in de relatie tussen (lagere) overheid en burger.
https://dimensus.nl/producten/gemeente-beleidsmonitor-sociale-kracht/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.