Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

| AE 10459 | Privacy | 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n 800 pdf-documenten, terwijl beleid van de AP is om geen namen van individuele medewerkers naar buiten toe te communiceren. Ohooh de juf laat een scheetje, en het doet ook wat knullig aan natuurlijk om op die manier namen te lekken, maar is dit nu werkelijk iets om je druk over te maken?

Natuurlijk zijn namen van personeelsleden persoonsgegevens. Daar moet je als werkgever dus zorgvuldig mee omgaan, en lijsten van medewerkers zomaar aan derden geven of op internet zetten lijkt me niet echt de bedoeling. Als het toch gebeurt, zou ik echter wel moeite hebben met de conclusie dat dit dús een meldwaardig datalek is. Als er meer bij staat, zoals salaris of andere gevoelige zaken, dan zonder meer, maar alléén een naam? Welke negatieve gevolgen ondervindt iemand van de onthulling dat hij bij organisatie X werkt?

Helemaal heb ik er moeite mee omdat het hier gaat over de naam van de ambtenaar die beleidsdocument Y heeft geschreven bij organisatie X. Natuurlijk kan het beleid zijn van de AP om die niet te publiceren, maar daarmee is het nog niet automatisch een noemenswaardig datalek dat die gegevens tóch op straat komen. Volgens mij is het doodnormaal dat bij publicaties van bedrijven de namen van de werknemer(s) in kwestie genoemd wordt (en afhankelijk van hoe je de Auteurswet leest, is het zelfs een récht van de werknemer), dus daarmee zie ik niet hoe het onrechtmatig is. Laat staan dus meldplichtwaardig.

Maar goed, het was even leuk lachen. Ik neem aan dat al die bedrijven zelf keurig datalekbeleid hebben en ondertussen AVG compliant zijn?

Arnoud

Mag een site me tegen betaling zeggen of ik gehackt ben?

| AE 10352 | Beveiliging | 31 reacties

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens het gaat, dan moet je even € 4,95 afrekenen alvorens je een rapportje ontvangt. Ik heb het geprobeerd maar niets gekregen, dus in de tussentijd maar even een blogje: eh, mag dat?

Zoals ik het begrijp, zoekt men in openbare bronnen naar gelekte bestanden met logingegevens zoals emailadressen en wachtwoorden. Deze combineert men dan om zo gegeven een e-mailadres te kunnen melden welke sites er gehackt zijn, en welke informatie op straat ligt (e-mailadres, wachtwoordhash, wachtwoord, beveiligingsvragen, et cetera). Dat bundelen en ter informatie verstrekken aan de slachtoffers lijkt me een prima idee.

Het doet ahem wat raar aan dat je moet betalen om die informatie te krijgen. Je zou zeggen dat als je weet dat iemand slachtoffer is van een misdrijf, je die persoon gratis helpt. Maar goed, dat is een ethische discussie. Een slotenmaker vraagt ook geld als hij een door inbraak vernield voordeurslot gaat vervangen, en je gestolen fiets wordt ook niet gratis vervangen. Ik kan in ieder geval geen juridische grond bedenken waarom je géén geld mag vragen om die informatie te delen.

Waar het wel mis mee gaat, is dat er nul identiteitsverificatie plaatsvindt. Je moet een vinkje aanvinken met “Ja, ik ben de eigenaar van dit e-mailadres” maar dat doorstaat natuurlijk de giecheltoets niet: geen redelijk mens zal denken dat dát identiteitsfraude tegenhoudt. En vervolgens krijg je dus – althans, dat zegt men – de gegevens toegemaild naar een willekeurige e-mailadres. Dus de bekende gelekte wachtwoorden, beveiligingsvragen et cetera van een willekeurig gekozen e-mailadres.

En ja daar weet ik wel wat juridisch op, dat noemen we volgens mij een datalek. Een inbreuk op de organisatorische beveiliging (namelijk de check, spreken we hier met de eigenaar) die leidt tot een onrechtmatige verstrekking van persoonsgegevens waardoor de betrokkene nadeel kan ondervinden (namelijk het misbruiken van zijn account). Dus nee, dit mag niet.

(Ik weet het, die informatie staat allemaal al in openbare bronnen dus kwaadwillenden kunnen het toch al vinden. Maar dat boeit onder de Wbp of de AVG werkelijk helemaal niets: als jij informatie bijeen brengt en herpubliceert dan ben jij daar verantwoordelijk voor. En nee, niks notice/takedown of beperkte aansprakelijkheid.)

Arnoud

Duh, natuurlijk is iemands OV-saldo in kunnen zien een datalek

| AE 10101 | Privacy | 52 reacties

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart, las ik op de blog van Loran Kloeze. De saldochecker van Trans Link Systems blijkt te werken zonder ingelogd te zijn, enkel door invullen van een kaartnummer krijg je het huidige saldo op die kaart te zien. De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

De saldochecker is een simpel en op zich handig tooltje waarmee je je saldo kunt checken. Bij een anonieme kaart kan ik me voorstellen dat je dit als feature aanbiedt, maar bij een persoonsgebonden kaart klopt het volgens mij niet dat er buiten het account om persoonlijke informatie te achterhalen is.

En ja, het saldo op je persoonsgebonden kaart is een persoonsgegeven. Die kaart staat op naam en dus zijn alle gegevens die met de kaart samenhangen persoonsgegevens, geen twijfel over mogelijk. Dat het niet triviaal is om naam en adres van de kaarthouder te achterhalen, doet daarbij niet ter zake. Die link is er, dus zijn het persoonsgegevens.

Helemaal als je de update van Kloeze leest: ook je geboortedatum is te achterhalen zonder inlog, wanneer je via de webshop van de NS iets koopt, geeft TLS je geboortedatum door enkel op basis van een OV-chipkaartnummer.

TLS zegt hierover:

Goed gezien, geen authenticatie. Saldo inzichtelijk, dit is een grote wens van vele reizigers. Wekelijks meer dan 30.000 raadplegingen. Probeer het uit! ^MdeG

Ik denk niet dat ze bedoelen dat het een grote wens van veel reizigers is om elkaars saldo in te zien. Maar het is en blijft een datalek, je bent eenvoudigweg niet bevoegd om andermans saldo in te zien dus daar moet een authenticatiestap tussen.

Arnoud

Is het een datalek om een domeinnaam te laten vervallen?

| AE 9491 | Domeinnamen | 29 reacties

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker… Lees verder

Geldt de meldplicht datalekken ook voor defaced websites?

| AE 9315 | Aansprakelijkheid, Privacy | 7 reacties

Tweakersgebruikers melden maandag defacement van verschillende websites, waarbij de site zelf is vervangen door een boodschap die afkomstig lijkt te zijn van een Turkse groepering. Dat las ik op Tweakers gisteren. Of er een link is met de gebeurtenissen rond de Turkse minister van Familiezaken Kaya, is onduidelijk. Maar diverse lezers vroegen me wel: moet… Lees verder

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had… Lees verder

Hoe kun je voldoen aan een beveiligingsplicht én een achterdeurplicht?

| AE 8879 | Beveiliging | 52 reacties

Een lezer vroeg me: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen? Van tijd tot tijd… Lees verder

Is een datalek pas een datalek als je zeker weet dat er data is gelekt?

| AE 8662 | Beveiliging | 3 reacties

Een lezer vroeg me: Onze webwinkel is gehackt. We kunnen uit de logs achterhalen dat men via een zwakheid in het CMS is binnengedrongen en diverse bestanden heeft opgevraagd. Eén van die bestanden bevat het pad naar een backup-bestand met daarin onder meer klantgegevens. Helaas hebben wij geen logging op bestandstoegang, dus wij weten nu… Lees verder