AddComm lekte data 1,5 miljoen mensen: "Hack beste wat ons is overkomen"
Bij de ransomware-aanval op klantcommunicatiebedrijf AddComm die vorig jaar plaatsvond werden de gegevens van 1,5 miljoen mensen buitgemaakt. "De hack is het beste wat ons is overkomen. Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd", zegt ceo Leonie van der Veen in het Datalekkenrapport van de Autoriteit Persoonsgegevens (AP). Het bedrijf maakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens. Wat die afspraken precies inhouden is nooit bekendgemaakt.
AddComm verzorgt voor duizenden bedrijven de communicatie met klanten. ABN Amro, de Haagse woningcorporatie Staedion, Waterbedrijf Groningen, het Drentse drinkwaterbedrijf WMD, de Regionale Belasting Groep (RBG), Essent en Vattenfall, drinkwaterbedrijf Dunea, Eneco, Gemeentelijk Belastingkantoor Twente, Hoogheemraadschap Hollands Noorderkwartier (HHNK) waren enkele van de klanten van AddComm die hun klanten over het datalek waarschuwden.
Volgens de AP raakte de aanval op AddComm ruim vijfduizend klanten van het bedrijf. In totaal zorgde de ransomware-aanval voor meer dan 5400 datalekmeldingen. De toezichthouder analyseerde deze gemelde datalekken en ontdekte dat zestien organisaties hun slachtoffers niet hadden geïnformeerd over de aanval. Deze organisaties vonden bijvoorbeeld dat er geen sprake was van een hoog risico voor betrokkenen, omdat het ging om “normale” persoonsgegevens, zoals een telefoonnummer en een e-mailadres, zo laat de AP weten.
De toezichthouder vond dat er wel sprake was van hoge risico’s bij het datalek, omdat het lek bij één organisatie al zorgde voor 24.000 slachtoffers. "Door het lekken van onder meer een e-mailadres konden deze duizenden slachtoffers bijvoorbeeld per e-mail op grote schaal worden gephisht." Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen.
In totaal werden ruim 1,5 miljoen mensen slachtoffer van de aanval. De toezichthouder stelt dat het vanwege de grote aantallen (gevoelige) persoonsgegevens grote risico’s voor slachtoffers zag. "De hack is het beste wat ons is overkomen", aldus AddComm-ceo Leonie van der Veen. "Dat klinkt misschien raar, maar wij en onze klanten hebben hier veel van geleerd. Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie. Door minder data te verwerken en deze korter te bewaren, is de impact van een hack kleiner."
"Het is verleidelijk om data security vooral te zien als iets waar ‘de mensen van de techniek’ over gaan. Maar ik ben er op pijnlijke wijze achter gekomen dat dat niet klopt. Security moet een integraal onderdeel zijn van je bedrijfsvoering", laat Van der Veen in een blogposting weten." Ze voegt toe dat een procedure op papier geen garantie is voor dataveiligheid in de praktijk. Hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
DAT MAG NIET!!! ò_ó
Ik ben blij dat iemand nu de waarde van dataminimalisatie inziet.
En ik hoop dat ze deze praktijk goed en succesvol kunnen toepassen.
Nou het was niet het beste wat die 1,5 miljoen mensen kon overkomen, die zijn nl slachtoffer hiervan, beetje domme uitspraak dus.
"Een belangrijke les voor ons en onze klanten is: weet welke data je verzamelt of deelt met een andere organisatie."
Volgens mij staat hieromtrent gewoon iets in de GDPR/AVG, dus ik mag aannemen dat deze partijen niet zomaar random data zouden delen en nu pas zijn gaan nadenken welke data ze vanaf nu zullen gaan delen.
"Na een gesprek met de AP besloten de zestien organisaties alsnog 83.000 slachtoffers te waarschuwen."
Ook dit staat gewoon in de AVG, bij hoog risico dien je je klanten te informeren, kennelijk was een gesprek met de AP nodig om dit ALSNOG te doen, er was anders kennelijk niets gebeurd....
Er gaan hier echt zoveel dingen mis
Ik het kort: weet welke data je deelt. En ze brengt het geleerde gelijk in praktijk:
-Inhoud van de gemaakte afspraken met de verantwoordelijke criminelen over het verwijderen van de gegevens zijn nooit bekendgemaakt
-hoe de ransomware-aanval mogelijk was laat de ceo niet weten.
(er ging dus bij jou iets mis :) )
Hier moet toch menig klant om weg zijn gegaan bij deze partij? Hoe kan het zijn dat 1.5 miljoen (!) datarecords lekken en er bijna lacherig over gedaan wordt. 'Ja oepsie whoepsie, we hebben een ransomwarey' lijkt hier het motto. De AP zou deze partij gewoon even een monsterboete moeten geven.
Niet alleen omdat ze blijkbaar geen goede informatiebeveiliging hebben (zie ransomware aanval als bewijsstuk A), maar vooral omdat ze pas NA een ransomware aanval bedenken dat dataminimalisaitie toch wel een beetje handig is (anders geef je je grove schending van de AVG/GDPR gewoon ff toe).
Soms snap ik het allemaal niet meer.
DeRBG heeft verplicht mijn burgergegevens, incompetente staff daar kiest een
incompetente gegevensverwerker voor al hun burger-klanten, mijn gegevens zijn nu gelekt.
Ipv een schadevergoeding in geld aan alle individuele getroffen burgers,
is de gegevensverwerker er trots op dat iemand hen nu heeft opgeleid,
iets waar ze zelf allang geld aan hadden moeten uitgeven.
En voor andere bedrijven die wel een boete krijgen voor zoiets:
Waarom is dat een afgeronde totaalboete ipv per individu?
Mijn individuele schade is ook niet afgerond.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkbeheerder Netwerk Services
Ministerie van Binnenlandse Zaken
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?