Onderzoeker dient klacht in tegen Orange Belgium over berichtgeving datalek
De bekende Belgische beveiligingsonderzoeker Inti De Ceukelaire heeft bij de Belgische privacytoezichthouder GBA een officiële klacht ingediend over Orange Belgium. Aanleiding is berichtgeving van het telecombedrijf over een datalek waarbij de gegevens van 850.000 klanten werden gecompromitteerd. Het gaat om namen, telefoonnummers, simkaartnummers, pukcodes en tariefplannen. De Ceukelaire is één van de slachtoffers van wie de gegevens zijn gelekt.
Volgens de onderzoeker maakt Orange Belgium gebruik van "achterbakse communicatietrucs" door eerst te melden wat er niet is gestolen. Daarnaast gebruikt het telecombedrijf de titel "Orange Belgium informeert zijn klanten over een cyberaanval". Omdat het vanuit de derde persoon is geschreven is het eenvoudiger voor de pers om het onaangepast over te nemen, aldus De Ceukelaire. Daarnaast richt de titel zich op een actie die Orange onderneemt. Zo ligt de nadruk op informeert, wat een positieve klank heeft.
Orange Belgium plaatste ook de opmerking "Er is tot op heden geen enkel bewijs dat de geraadpleegde gegevens verspreid werden." Deze tekst werd een paar uur later, nadat de pers het bericht had opgepikt, verwijderd, gaat De Ceukelaire verder. De onderzoeker berichtte hierover en inmiddels is de tekst weer teruggeplaatst. Verder hekelt De Ceukelaire ook het gebruik van de term "cyberaanval" in plaats van "datalek", aangezien het eerste woord doet voorkomen dat het bedrijf slachtoffer is geworden, terwijl de term datalek allerlei regelgevende gevolgen kan hebben.
Orange Belgium stelt ook dat de aanvaller de gegevens heeft "geraadpleegd" en spreekt niet over "gestolen". Daarnaast claimt het telecombedrijf dat er geen "kritieke gegevens gecompromitteerd" zijn. De criminelen hebben echter ook simkaartnummers en pukcodes bemachtigd, die te gebruiken zijn voor een sim-swap waarbij een crimineel het telefoonnummer van een slachtoffer op een eigen simkaart overzet. Volgens de onderzoeker zijn deze gegevens over het algemeen lastig voor aanvallers om te stelen.
De Ceukelaire stelt afsluitend dat er niet van bedrijven kan worden verwacht dat ze niet te hacken zijn, maar moeten bedrijven hun verantwoordelijkheid niet op hun klanten afschuiven. Bedrijven die dit wel doen moeten door het publiek tot de verantwoording worden geroepen, aldus de onderzoeker. "Alleen door ons uit te spreken kunnen we ervoor zorgen dat de PR-industrie zijn strategie herziet en eerlijkheid boven ontkenning plaatst."
De onderzoeker voegt toe dat hij aanvullende actie tegen het telecombedrijf heeft ondernomen. "Omdat Orange heeft aangetoond dat het niet te vertrouwen is, zal ik een officiële klacht bij de Gegevensbeschermingsautoriteit indienen en volledige transparantie eisen over wat er echt is gebeurd." Orange Belgium wilde tegenover Het Laatste Nieuws niet reageren op de klacht. Hoe de gegevens konden worden gestolen heeft het telecombedrijf vooralsnog niet bekendgemaakt.
Ook nog : stel , je telefoon wordt gestolen. Hoe snel denk je dat je je eigen nummer kunt laten blokkeren?
Immers, de dief haalt je sim eruit en ziet dat die op de lijst van gestolen data staat.
Even in een ander toestel stoppen, paar keer verkeerde pin en bingo : puk code ingeven om te resetten.Vanaf dan kan de dief overal waar 2fa werkt met sms push proberen in te loggen. Met je naam etc die ook in de data staat is het niet zo moeilijk om wellicht ook je e-mailadres te achterhalen.
Nee... de info die ze geven is zo stiekem en slinks geformuleerd dat het minder erg lijkt dan het daadwerelijk is.
Wel eens van black paterns gehoord?
Zijn foto's/tellertjes/informatieblokken die op een bepaalde manier iets suggereren, waardoor de consument, zonder dat die het in de gaten heeft, tot actie overgaat. Dat is meestal een aankoop.
Stelt u zich eens voor. U wil een smartwatch kopen en de website meldt dat er nog 2 op voorraad zijn.
U wil hem graag hebben, dus moet u heel snel een keus maken.
Op die manier hebben ze u in de tang.
Zo zijn er 100-en websites die zoiets hebben.
Valt niks tegen te doen, anders dan het hoofd koelhouden en er doorheen prikken.
Dat komt door het neo-liberalisme.
Wat al sinds 1989 is gegroeid.
Want ja het communisme was " verslagen" en dit was de goed 3e weg zoals Kok en Clinton toentertijd het verwoorden.
Zo veel mogelijk vrijheid voor het bedrijfsleven en keuren van het eigen vlees.
De overheid is op afstand gezet en zwak en wordt tegengewerkt door allerlei krachten.
Er worden wel wetten gemaakt, maar die worden niet of nauwelijks gehandhaafd, want daar is het personneel ook niet voor beschikbaar.
Daarom zal dit systeem steeds meer ontevreden mensen opleveren die extreme sandpunten ( en leiders) zullen gaan volgen.
Want ja " we willen vrijheid" en zien niet in dat we al erg lang onvrij zijn ( aan de leidband van het bedijfsleven, zeggen hoe je moet leven,wat goed voor je is)
Als we geen socialer systeem meer willen kiezen ( wat veel moeite en beperkingen accepterend inhoud: (o.a. een sterkere overheid,meer controle) houdt het op.
We gaan ten onder aan onze vrijheid, want we zijn vergeten dat vrijheid geen ongeremdheid,grenzenloosheid maar ook verantwoordelijkheid en grenzen stellen inhoud.
En in de tussenliggende tijd...
De wet zou zo aangepast moeten worden zodat er juridische of financiele consequenties aanzitten voor een bedrijf als die met dit soort PR praat een datalek te verdoezelen.
Nu lopen ze alleen wat reputatieschade op als het uitkomt.
1. De hack is in juli gebeurd, en pas nu bekend gemaakt omdat de gegevens op het dark web circuleren
2. De optie om je SIM kaart te wisselen is verwijderd van he online platform. In de winkel doen ze volgens sommige mensen ook moeilijk om de SIM kaart te wisselen
Conclusie: ik ben per direct overgestapt naar een andere provider
En in de tussenliggende tijd...
Meestal niks, de meeste telefoondieven willen gewoon het toestel verkopen. Als je interessant genoeg bent voor zo'n gerichte aanval moet je heel snel zijn met het melden.
Maar lees zelf maar, op basis van wat zou deze gegrond zijn?
https://gdpr-info.eu/art-33-gdpr/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Netwerkspecialist
Maak jij gemeente Delft digitaal sterker met jouw kennis van netwerken? Wil jij werken met een state-of-the-art netwerk en meebouwen aan de digitale toekomst van Delft? Bij ons combineer je strategie en uitvoering: van het ontwerpen van netwerkarchitectuur tot het oplossen van complexe incidenten. Zo maak jij écht impact, niet alleen op onze organisatie, maar op heel de stad.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?