Ransomware is inderdaad ook een datalek als je niet uitkijkt

| AE 12436 | Security | 1 reactie

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt. De ANWB informeerde meteen haar leden, wat heel netjes is maar wel vragen opriep: hoezo is dit nu een datalek onder de AVG?

Meestal denken mensen bij de term ‘datalek’ aan het beschikbaar komen van persoonsgegevens bij onbevoegde derden. Bijvoorbeeld wanneer iemand zonder wachtwoord bij een database weet te komen of als een Excel naar de verkeerde is gemaild. Maar de wettelijke definitie (artikel 4 AVG) is breder:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

Ook “vernietiging” en “verlies” zijn vormen van datalekken. Heb je je administratie maar op één datadrager en gaat die verloren, dan heb je dus een datalek in de zin van de AVG: je kunt de status van je administratie dan niet meer reproduceren. Je kunt dan bijvoorbeeld niet meer zeggen wie nog moet betalen of wie geld van jou krijgt, dan zijn persoonsgegevens (informatie over mensen) dus verloren. Dit is dus waarom je een backup moet maken.

In het geval van de ANWB en haar incassobureau TKB lijkt het onwaarschijnlijk dat de ANWB haar ledenadministratie kwijtgeraakt is door de ransomware bij TKB. Hooguit zijn de gegevens bij TKB zelf (wie hebben we aangemaand, wie heeft al betaald, welke reactie kregen we op onze laatste sommatie) verloren gegaan, maar het lijkt me vrij sterk dat men geen backup heeft. Hoewel je dat nooit zeker weet.

Ik vermoed echter dat men dit als datalek behandelt vanwege een andere reden. Al geruime tijd wordt gewaarschuwd dat ransomware niet alleen data gijzelt maar het vaak ook steelt. Als je toch al bij alle data kunt, waarom zou je dan niet even een kopietje trekken om daar achteraf misdadige dingen mee te doen? “Dank je voor het betalen voor de sleutel, dat bewijst dat je je zorgen maakt over deze data, graag nog eens 1 bitcoin want anders zet ik je klantendatabase op internet”. Dus dan is ransomware een datalek zelfs als je nog goede backups hebt.

De ANWB waarschuwt in haar mail (via) dan ook vooral om op te letten voor misbruik van je contact- en facturatiegegevens. Want een nepfactuur voor lidmaatschap 2022 is natuurlijk een leuke bijverdienste voor dit soort criminelen.

Arnoud

Als werknemers gaan WhatsAppen met elkaar, is dat dan privé of een datalek?

| AE 12371 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me:

In ons bedrijf zien we dat veel werknemers elkaar ‘op de app’ hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp account gekaapt en zo heeft de kaper dus de gegevens (en chats) van die collega’s te pakken gekregen. Is dat een datalek en zijn wij daarvoor verantwoordelijk?
Dit is weer zo’n casus die laat zien waarom analogieën niet goed werken bij internetrecht. Want wat is in vredesnaam de analogie hier?

Eerste dat in me opkomt: collega’s die afspreken in het café wellicht. Daar komen ze elkaar tegen, ze wisselen elkaars nummer uit of noteren dingen op het prikbord van het café zodat ze dat kunnen zien. Dat zouden we een privéaangelegenheid noemen, en pas als er serieuze overlast kwam van die collega’s dan zou de werkgever er wellicht wat van kunnen zeggen.

Nee he, is het ook niet. Want die mix van zakelijke en privé communicatiemiddelen die doet het hem wel hier. En daar is niet echt een analogie voor.

Dus dan draai ik hem om, laten we beginnen bij het probleem. Een ongeautoriseerde derde heeft met een technische truc toegang gekregen tot zakelijke chats en contactgegevens van medewerkers van bedrijf X. Dat die mogelijk op privéapparaten lagen, doet er niet toe. Mijn aktetas is ook privé, diefstal van de inhoud daarvan is toch echt een zakelijke aangelegenheid.

Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas – de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico. En natuurlijk dat gaat al 100 jaar goed met aktetassen*, maar dat doet niet af aan het principe.

Die lijn doortrekkend krijg je dus: al die gegevens in die WhatsApp accounts zijn zakelijk en de werkgever is daarvoor verantwoordelijk. Dus datalek en dus meldingsplicht vanuit de werkgever.

Alleen voelt dat ook weer zo raar, het is toch míjn telefoon en mijn contactenlijst met daarin toevallig collega’s Daan, Peter en Lisette. Ja, maar niet helemaal: die gegevens heb je via het werk verkregen om het werk beter uit te voeren. Dus toch zakelijk. Of toch niet, kreeg je die werk-06 om zakelijk met ze te bellen of om onzakelijk te chatten? Als ik een pakje op kantoor laat bezorgen, is dat ook geen zakelijke bestelling maar handig gebruik van iets waar ik bij kan.

Uiteindelijk bekijk ik het dan toch maar als een formele kwestie. En formeel zijn die contactgegevens door de werkgever verstrekt voor het werk. Dat de werknemer daarmee van alles privé mag doen, verandert daar niets aan. Ook niet als dat volkomen normaal is, dat privégebruik. Dus is het lekken daarvan een beveiligingsgebrek dat je de werkgever aanrekent. Idem voor de chats, voor zover daar zakelijke informatie in te vinden is.

Anders is dat bij de privénummers die collega’s elkaar geven. Die – en de privéchats – hebben niets met werk te maken en staan er dus los van.

Arnoud * Ik was vandaag jaar oud toen ik doorhad dat een aktetas een aktetas heet omdat je er aktes in vervoert.

Ticketmaster krijgt boete van 1,4 miljoen euro van Britse privacywaakhond

| AE 12338 | Privacy, Security | 28 reacties

Het Britse bedrijf Ticketmaster heeft een boete gekregen voor een datalek in 2018, las ik bij Nu.nl. Door een kwetsbaarheid in de chatbot op de website konden derden toegang krijgen tot betaalgegevens van 37.000 creditcardhouders, en in theorie zelfs 9.4 miljoen mensen uit de hele EU. Opmerkelijk aan de zaak vond ik vooral dat die chatbot een ingekochte component was en dat de leverancier al enige tijd op de hoogte was van het lek.

Het boetebesluit legt uit dat in 2018 een aantal bank-klanten ontdekten dat hun creditcard frauduleus werd gebruikt, wat te herleiden was tot een aanschaf bij Ticketmaster. (Smoking gun: een testbetaling met gefingeerde expiry date dook met diezelfde datum op in het criminele circuit.) De site van Ticketmaster bleek gehackt en voorzien van malware die gegevens doorstuurde.

De hack bleek mogelijk door een ingezette chatbot van het bedrijf Inbenta. De bot was zo’n typische vraagbeantwoordbot om de menselijke helpdesk te ontlasten, en kwam gezellig mee op elke pagina in het besteltraject. Daardoor kon – na het compromitteren van de code – de bot ook gegevens lezen uit bestel- en betaalformulieren, wat dus de creditcarddiefstal mogelijk maakte. Inbenta was desgevraagd erg verbaasd:

The Javascript we created specifically for Ticketmaster was used on a payments page, which is not what it was built for. Had we known that script would have been used in that way, we would have advised against it, as it poses a security threat.

Deze werkwijze was verder in strijd met de PCI-DSS regels voor het verwerken van creditcardgegevens. Desondanks vond Ticketmaster dat niet haar maar Inbenta verwijten te maken waren, zij mocht contractueel rekenen op een veilige chatbot dus dan is het overmacht als de chatbot onveilig blijkt. Een argument dat ik vaak hoor: “In de verwerkersovereenkomst staat dat de leverancier garandeert veilig te zijn, we hebben de veiligheid dus geregeld”.

De ICO accepteert dat excuus volstrekt niet, en ik zou iedereen ook willen aanraden om wie dat argument gebruikt een stevige schrobbering te geven. Security is niet iets dat je contractueel afspreekt, dat is iets dat je praktisch regelt én verifieert. Security doe je.

Natuurlijk zijn superzerodayhacks altijd mogelijk, en ik kan best accepteren dat dat overmacht zou kunnen opleveren. Maar het ging hier om een simpele Javascript aanpassing waarmee betaalformulieren uit te lezen en te kapen waren, iets dat zeker weten in 2018 tot de gewone stand der techniek behoorde en waar dus gewoon beveiliging tegen hoort te zijn.

Maar maar maar, aldus Ticketmaster: wij hadden netjes compliance geregeld, kijk maar:

At §§8-9 of its Comments, Ticketmaster relies upon its receipt of security certifications provided by Inbenta. At §29.3 of the Comments, Ticketmaster emphasises Inbenta’s ISO 27001 certification. The Commissioner places little weight on the mere provision of such certifications by Inbenta as a mechanism of securing the chat bot in the circumstances. Further, ISO 27001 is an information security management standard, which does not apply directly to software development.

Een certificering is nog geen bugfix, laat staan een securitymaatregel. Een code review of een security audit was dat wel, maar daar had Ticketmaster nul moeite in gestoken. En dat wordt ze serieus kwalijk genomen:

Rather, the GDPR requires that each organisation assess the risks arising in the circumstances of their own implementation and put controls in place to protect the personal data that it processes. Ticketmaster has shown very limited knowledge at the date of the Incident of the risk of implementing third party scripts into a payment page, despite it being widely known and documented at that time. A fortiori, Ticketmaster has not evidenced that it deployed appropriate and proportionate controls to manage this risk.

Verder noemt de ICO dit een serieuze overtreding van de AVG: in theorie hadden 9.4 miljoen klanten hun betaalgegevens gestolen kunnen hebben, en Ticketmaster had geen enkele control in place om hier wat tegen te doen. (Zelfs passieve detectie door wekelijks zelf een nepcreditcard te proberen was er niet.) De boete komt uiteindelijk dus uit op 1.4 miljoen euro. Een terechte tik op de vingers, wat mij betreft.

En ik zeg het nogmaals, want ik weet dat er veel contractsjuristen, FG’s en ander AVG compliance volk meeleest: doe alsjeblieft méér dan alleen contractueel vastleggen dat de veiligheid op orde moet zijn. Zonder daadwerkelijk feitelijk handelen ben je gewoon niét AVG compliant, al staan er honderd garanties en heb je duizend certificeringen.

Arnoud

Wat kan ik als mijn werkgever mijn bsn en medisch dossier lekt?

| AE 12299 | Privacy, Security | 19 reacties

Een lezer vroeg me: De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan… Lees verder

Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

| AE 12252 | Privacy | 21 reacties

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen… Lees verder

Is het een datalek als een app het bsn van je clipboard uitleest?

| AE 12040 | Privacy | 16 reacties

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Eh, die meldplicht datalekken is dus voor het brakke bedrijf zelf, niet voor de ontdekker

| AE 12009 | Privacy | Er zijn nog geen reacties

Vele lezers vroegen me variaties op deze vraag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens? Er is geen algemene… Lees verder

Grapperhaus: tweede lek in NL-Alert-app was geen meldplichtig datalek

| AE 11929 | Privacy, Security | 9 reacties

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en… Lees verder

Moet je betrokkenen vertellen dat je een melding bij de AP hebt gedaan van hun datalek?

| AE 11819 | Privacy | 4 reacties

Een lezer vroeg me: Laatst heeft een bedrijf mijn gegevens gelekt en mij hierover geïnformeerd. Er werd echter niet vermeld of er ook melding bij de Autoriteit Persoonsgegevens was gedaan. Moet een bedrijf dit ook aan de gedupeerden van een datalek laten weten? De AVG kent twee aparte regels voor het melden van datalekken. Allereerst… Lees verder

Wanneer gaat hengelen naar een beloning over in afpersing?

| AE 11556 | Regulering | 6 reacties

Pretpark Walibi Holland gaat aangifte doen tegen een ontwikkelaar die een datalek meldde bij het bedrijf en om vier gratis toegangskaarten vroeg. Dat meldde Tweakers vorige week. De aangifte zou zijn vanwege chantage dan wel afpersing. De ontwikkelaar verwijst naar eerdere toezeggingen van het park dat kaartjes een gebruikelijke beloning zijn. Natuurlijk is het buitengewoon… Lees verder