Bsn-nummer honderdduizenden Zweden gelekt na ransomware-aanval
De burgerservicenummers van honderdduizenden Zweden zijn na een ransomware-aanval op een it-leverancier gelekt op internet. Vorige maand werd de Zweedse it-leverancier Miljödata getroffen door een ransomware-aanval. Miljödata levert HR-systemen. Tachtig procent van de Zweedse gemeenten maakt er gebruik van, alsmede allerlei bedrijven. Als gevolg van de ransomware-aanval hadden Zweedse gemeenten en regio's geen toegang tot hun HR-systemen.
De aanvallers wisten ook allerlei gegevens te stelen, die vervolgens op internet werden gepubliceerd. Het gaat om 870.000 unieke e-mailadressen, alsmede geboortedata, geslacht, burgerservicenummer, namen, telefoonnummers en adresgegevens, zo laat Troy Hunt van datalekzoekmachine Have I Been Pwned weten. Via de zoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. De bij Miljödata gestolen e-mailadressen zijn nu toegevoegd aan de zoekmachine. Elf procent daarvan was al via een ander datalek bij Have I Been Pwned bekend. Hoe de ransomware-aanval mogelijk was is niet bekendgemaakt.
BSN is publiekelijke info in Zweden, je kan het eenvoudig op zoekmachines voor mensen vinden. Sterker nog, veel meer informatie is gekenmerkt als publiekelijke info, waaronder adressen, vorige adressen. strafbladen, naam partner en kinderen (indien ouder dan volgens mij 16 of 18), welke auto's je hebt, enzovoorts. Dus het feit dat dit nu gelekt is, zegt helemaal niets. Je gebruikt namelijk BankID voor alles, wat een app is zoals DigiD. Zonder toegang tot deze app (middels MFA), kun je niets. Daarom ligt het aantal fraudegevallen ook zeer laag in Zweden.
Ik als security persoon heb bijna wekelijks nog gesprekken met Zweedse vrienden en collega's hierover en dat zij niet inzien hoe naïef het is om deze informatie openbaar te hebben staan.
BSN is publiekelijke info in Zweden, je kan het eenvoudig op zoekmachines voor mensen vinden. Sterker nog, veel meer informatie is gekenmerkt als publiekelijke info, waaronder adressen, vorige adressen. strafbladen, naam partner en kinderen (indien ouder dan volgens mij 16 of 18), welke auto's je hebt, enzovoorts. Dus het feit dat dit nu gelekt is, zegt helemaal niets. Je gebruikt namelijk BankID voor alles, wat een app is zoals DigiD. Zonder toegang tot deze app (middels MFA), kun je niets. Daarom ligt het aantal fraudegevallen ook zeer laag in Zweden.
Ik als security persoon heb bijna wekelijks nog gesprekken met Zweedse vrienden en collega's hierover en dat zij niet inzien hoe naïef het is om deze informatie openbaar te hebben staan.
Buiten het feit dat er niets geheim is en dit schijnbaar via BankID zo op het eerste goed geregeld lijkt te zijn is dit wel een zorgelijke situatie. Waarom al deze data zo in het openbaar? Dit betekend simpelweg dat iemand die iets kwaad wil alleen nog maar iets hoeft te proberen met die BankID. Dat is vroeg of laat gewoon vragen om problemen.
Eigenlijk zou je ondanks dat je niets kan zonder BankID nog steeds dit soort informatie allemaal niet zichtbaar willen hebben. Denk aan stalking of iets dergelijks. Ook kan er een profiel van jouw gemaakt worden met al deze informatie voor andere doeleinden. Welke auto bezit je? Hoe duur is die? Welke wijk woon je. Ik kan nu al een aantal bijzondere dingen bedenken met kwaad in de zin met al deze gegevens.
BSN is publiekelijke info in Zweden, je kan het eenvoudig op zoekmachines voor mensen vinden. Sterker nog, veel meer informatie is gekenmerkt als publiekelijke info, waaronder adressen, vorige adressen. strafbladen, naam partner en kinderen (indien ouder dan volgens mij 16 of 18), welke auto's je hebt, enzovoorts. Dus het feit dat dit nu gelekt is, zegt helemaal niets. Je gebruikt namelijk BankID voor alles, wat een app is zoals DigiD. Zonder toegang tot deze app (middels MFA), kun je niets. Daarom ligt het aantal fraudegevallen ook zeer laag in Zweden.
Ik als security persoon heb bijna wekelijks nog gesprekken met Zweedse vrienden en collega's hierover en dat zij niet inzien hoe naïef het is om deze informatie openbaar te hebben staan.
Buiten het feit dat er niets geheim is en dit schijnbaar via BankID zo op het eerste goed geregeld lijkt te zijn is dit wel een zorgelijke situatie. Waarom al deze data zo in het openbaar? Dit betekend simpelweg dat iemand die iets kwaad wil alleen nog maar iets hoeft te proberen met die BankID. Dat is vroeg of laat gewoon vragen om problemen.
Eigenlijk zou je ondanks dat je niets kan zonder BankID nog steeds dit soort informatie allemaal niet zichtbaar willen hebben. Denk aan stalking of iets dergelijks. Ook kan er een profiel van jouw gemaakt worden met al deze informatie voor andere doeleinden. Welke auto bezit je? Hoe duur is die? Welke wijk woon je. Ik kan nu al een aantal bijzondere dingen bedenken met kwaad in de zin met al deze gegevens.
Zie ook de laatste reacties op 28-08-2025 onder https://www.security.nl/posting/902237/ n.a.v. het datalek bij Clinical Diagnostics over hoe het geregeld is in "de Nordics". Daar komt ook naar voren dat er in die landen sprake is van naïviteit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?