NWS Nieuws & Achtergronden
Discussieer hier diepgaander over de actualiteiten.
Onbetrouwbare honden. En als ze die 11 bitcoins betaald wordt verzinnen ze weer de volgende smoes om nog meer te eisen.quote:Op zondag 17 augustus 2025 23:48 schreef W.H.I.S.T.L.E het volgende:
Hackers dreigen medische gegevens Nederlandse vrouwen alsnog online te zetten
[..]
https://nos.nl/artikel/25(...)nog-online-te-zetten
Het is dat het zulke gevoelige gegevens zijn, anders is de beslissing eenvoudig: zaken doen met criminelen is een slecht idee.
Ook wel bizar dat ze het lijken te gooien op “gerapporteerd zijn aan de politie”.
Ze hebben zelf een sample online gezet, en daarmee zelf de politie op hun hals gehaald.
Zullen wel ruzzen zijn dus, die hallucineren wel vaker hun eigen waarheid.
[ Bericht 6% gewijzigd door #ANONIEM op 18-08-2025 09:11:57 ]
Die groepen bestaan uit zoveel nationaliteiten, sterker nog veel groepen hanteren een franchise model.quote:Op maandag 18 augustus 2025 09:02 schreef Shotty het volgende:
[..]
Onbetrouwbare honden. En als ze die 11 bitcoins betaald wordt verzinnen ze weer de volgende smoes om nog meer te eisen.
Het is dat het zulke gevoelige gegevens zijn, anders is de beslissing eenvoudig: zaken doen met criminelen is een slecht idee.
Ook wel bizar dat ze het lijken te gooien op “gerapporteerd zijn aan de politie”.
Ze hebben zelf een sample online gezet, en daarmee zelf de politie op hun hals gehaald.
Zullen wel ruzzen zijn dus, die hallucineren wel vaker hun eigen waarheid.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Wat moeten we doen dan?quote:
[..]
Onbetrouwbare honden. En als ze die 11 bitcoins betaald wordt verzinnen ze weer de volgende smoes om nog meer te eisen.
Het is dat het zulke gevoelige gegevens zijn, anders is de beslissing eenvoudig: zaken doen met criminelen is een slecht idee.
Ook wel bizar dat ze het lijken te gooien op “gerapporteerd zijn aan de politie”.
Ze hebben zelf een sample online gezet, en daarmee zelf de politie op hun hals gehaald.
Zullen wel ruzzen zijn dus, die hallucineren wel vaker hun eigen waarheid.
Denk niet dat je hier veel tegen in kan brengen.
A Robin Redbreast in a Cage Puts all Heaven in a Rage.
Klopt. Maar meestal heeft de “franchisenemer” geen toegang tot de gestolen data. Die fietst alleen de malware naar binnen.quote:
[..]
Die groepen bestaan uit zoveel nationaliteiten, sterker nog veel groepen hanteren een franchise model.
De “franchisenemer” kan dus niet in zijn eentje bepalen opnieuw te gaan afpersen. Dat is dus echt die groep zelf.
Het recruiterings bericht van nova voor nieuwe “franchisenemers” is in 6 talen. De eerste taal? Russisch.
[ Bericht 7% gewijzigd door #ANONIEM op 18-08-2025 09:31:07 ]
Hoeveel pijn het ook doet: niet betalen.quote:
[..]
Wat moeten we doen dan?
Denk niet dat je hier veel tegen in kan brengen.
Dat hangt er vanaf, ik begreep dat er verschillende tiers zijn, van pure uitvoerders tot groepen die zich richten op het maken van de malware, tot groepen die zelf nieuwe vulnerabilities proberen te vinden. Je wilt als hoofdgroep namelijk niet elke keer handmatig hoeven uit te pluizen wat de data behelst, zeker als je de taal niet spreekt.quote:
[..]
Klopt. Maar meestal heeft de “franchisenemer” geen toegang tot de gestolen data. Die fietst alleen de malware naar binnen.
De “franchisenemer” kan dus niet in zijn eentje bepalen opnieuw te gaan afpersen. Dat is dus echt die groep zelf.
Het recruiterings bericht van nova voor nieuwe “franchisenemers” is in 6 talen. De eerste taal? Russisch.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Nova levert een totaaldienst, niet enkel de malware. Ze pluizen ook niet uit wat het behelst, maar geven een vage beschrijving van de belangrijkste gegevens die zo een bedrijf KAN hebben, om zoveel mogenlijk druk te zetten op een bedrijf.quote:
[..]
Dat hangt er vanaf, ik begreep dat er verschillende tiers zijn, van pure uitvoerders tot groepen die zich richten op het maken van de malware, tot groepen die zelf nieuwe vulnerabilities proberen te vinden. Je wilt als hoofdgroep namelijk niet elke keer handmatig hoeven uit te pluizen wat de data behelst, zeker als je de taal niet spreekt.
Ze claimde ook de gemeente Pisa gehackt te hebben, en de burgelijke stand te hebben.
Bleek dat ze de notulen van vergaderingen van de milieu afdeling hadden.
Dit zijn gewoon russen dus. Was natuurlijk wel duidelijk, russen zijn goed in het halucineren van hun eigen waarheid, maar na het nagekeken te hebben ben ik er wel zeker van.
Ik krijg al 10 jaar van die enveloppen, heb nooit iets ingestuurd en prijs mezelf nu dus ff gelukkig, omdat de overheid weer eens geprutst heeft met de databeveiliging van hele gevoelige informatie. What else is new.
Kierkegaard: Life Can Only Be Understood Backwards, But It Must Be Lived Forwards
Prima, dan komt het spul wel online. Mij interesseert het weinig. Dat bedrijf zal die keuze moeten maken, maar ik weet niet wat nadeliger is uiteindelijk voor het bedrijf.quote:
[..]
Hoeveel pijn het ook doet: niet betalen.
A Robin Redbreast in a Cage Puts all Heaven in a Rage.
Maar dus 10 jaar niet getest op baarmoederhalskanker?quote:Op maandag 18 augustus 2025 10:16 schreef SEMTEX het volgende:
Ik krijg al 10 jaar van die enveloppen, heb nooit iets ingestuurd en prijs mezelf nu dus ff gelukkig, omdat de overheid weer eens geprutst heeft met de databeveiliging van hele gevoelige informatie. What else is new.
Kloptquote:
[..]
Maar dus 10 jaar niet getest op baarmoederhalskanker?
nooit zelfs. Dat zijn keuzes die je mag maken als vrouw he. Baas in eigen baarmoeder.
Kierkegaard: Life Can Only Be Understood Backwards, But It Must Be Lived Forwards
Tsja dan kun je losgeld blijven betalen.quote:
[..]
Prima, dan komt het spul wel online. Mij interesseert het weinig. Dat bedrijf zal die keuze moeten maken, maar ik weet niet wat nadeliger is uiteindelijk voor het bedrijf.
[i]Put me on a pedestal and I'll only disappoint you
Tell me I'm exceptional and I promise to exploit you
Give me all your money and I'll make some origami honey
I think you're a joke but I don't find you very funny[/i]
Tell me I'm exceptional and I promise to exploit you
Give me all your money and I'll make some origami honey
I think you're a joke but I don't find you very funny[/i]
Ja klopt die keuze mag je maken, snap het alleen niet als vrouw.quote:Op maandag 18 augustus 2025 10:48 schreef SEMTEX het volgende:
[..]
Klopt
Er zit geen baarmoederhalskanker in de familie, is de belangrijkste reden. Ik heb andere kankersoorten om me zorgen over te maken en over het HPV virus hoef ik me ook geen zorgen te maken.quote:
[..]
Ja klopt die keuze mag je maken, snap het alleen niet als vrouw.
Kierkegaard: Life Can Only Be Understood Backwards, But It Must Be Lived Forwards
Netsplitter
#jesuisMasi
Welke overheid heeft er weer eens zitten prutsen met data?quote:
Ik krijg al 10 jaar van die enveloppen, heb nooit iets ingestuurd en prijs mezelf nu dus ff gelukkig, omdat de overheid weer eens geprutst heeft met de databeveiliging van hele gevoelige informatie. What else is new.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Als je betaald heb je alleen het woord van een hacker dat het niet online komt… of dat je opnieuw wordt afgeperst met hetzelfde.quote:
[..]
Prima, dan komt het spul wel online. Mij interesseert het weinig. Dat bedrijf zal die keuze moeten maken, maar ik weet niet wat nadeliger is uiteindelijk voor het bedrijf.
Snap het ook niet. Had zelf 3 jaar geleden CIN3 en dan is de behandeling relatief eenvoudig maar had ik me niet laten testen had ik nu een probleem gehad.quote:
[..]
Ja klopt die keuze mag je maken, snap het alleen niet als vrouw.
Die snap ik niet, baarmoederhalskanker is voornamelijk juist niet genetisch.quote:
[..]
Er zit geen baarmoederhalskanker in de familie, is de belangrijkste reden. Ik heb andere kankersoorten om me zorgen over te maken en over het HPV virus hoef ik me ook geen zorgen te maken.
Klopt, is vooral HPV-virus.quote:
[..]
Die snap ik niet, baarmoederhalskanker is voornamelijk juist niet genetisch.
Je mag er van alles van vinden, het is gewoon een keuze die ik gemaakt heb.
Kierkegaard: Life Can Only Be Understood Backwards, But It Must Be Lived Forwards
Netsplitter
#jesuisMasi
Oei. Staat er nog iets interessants in de brief die je hebt gehad? Wat te doen of iets?quote:
Nou mijn gegevens zaten erbij. Joepie..
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Nee, helemaal niks nuttigs.quote:
[..]
Oei. Staat er nog iets interessants in de brief die je hebt gehad? Wat te doen of iets?
Kijk uit voor fraude en wees extra oplettend met klikken op linkjes etc. Alsof ik dat niet al altijd ben.
Ik vind het echt een heel onprettig idee dat mijn BSN + uitslag op straat gelegen heeft.
Ik zou willen dat ik als man iedere X jaar getest zou worden op prostaatkanker.quote:
[..]
Klopt, is vooral HPV-virus.
Je mag er van alles van vinden, het is gewoon een keuze die ik gemaakt heb.
Snap ik ja, wat klote zegquote:
[..]
Nee, helemaal niks nuttigs.
Kijk uit voor fraude en wees extra oplettend met klikken op linkjes etc. Alsof ik dat niet al altijd ben.
Ik vind het echt een heel onprettig idee dat mijn BSN + uitslag op straat gelegen heeft.
Netsplitter
#jesuisMasi
Helaas niet heel verrassend, maar denk niet dat ze iets anders hadden kunnen zeggen. Wel een flink excuus uiteraard.quote:
[..]
Nee, helemaal niks nuttigs.
Kijk uit voor fraude en wees extra oplettend met klikken op linkjes etc. Alsof ik dat niet al altijd ben.
Ik vind het echt een heel onprettig idee dat mijn BSN + uitslag op straat gelegen heeft.
Ik hoop voor je, en alle andere slachtoffers, dat de data niet alsnog verkocht gaat worden op het darkweb aan god mag weten wie.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Dit lek is hopelijk een start moment dat we eindelijk security eens serieus gaan nemen, maar vooral dat we er in gaan investeren, het is gewoon een enorm zooitje en het zou ook goed zijn als we eens innovatiever zijn, de manier waarop we nu met BSN werken is gewoon niet meer van deze tijd.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik vind de communicatie rond BSN vanuit de overheid zo raar. Streep hem door als je paspoort moet delen, deel het BSN nergens, maar er is heel weinig risico als hij op straat ligt en je kan lekker geen nieuwe krijgen.quote:
Dit lek is hopelijk een start moment dat we eindelijk security eens serieus gaan nemen, maar vooral dat we er in gaan investeren, het is gewoon een enorm zooitje en het zou ook goed zijn als we eens innovatiever zijn, de manier waarop we nu met BSN werken is gewoon niet meer van deze tijd.
Ben verder geen kenner wat voor misbruik je ermee kan maken, maar dat lijkt allemaal nogal tegenstrijdig.
Het punt is dat als je een database ontwerpt je altijd een uniek nummer wilt hebben dat als gouden standaard geld, vroeger toen er geen BSN nummer was, was een combinatie van: Geboortedatum, voornaam en achternaam, echter dat ging wel eens mis. Kortom een uniek nummer voor elke burger is bijzonder handig, want dan hoef je de data uitwisseling alleen op dat nummer te doen, dat de rest niet klopt of precies is maakt dan niet zoveel uit. Echter er zijn tegenwoordig cryptografische manieren waarop je een nieuw nummer kunt genereren dat het BSN bevat, maar alleen op een speciale manier uitleesbaar is, en dat zouden we moeten doen.quote:
[..]
Ik vind de communicatie rond BSN vanuit de overheid zo raar. Streep hem door als je paspoort moet delen, deel het BSN nergens, maar er is heel weinig risico als hij op straat ligt en je kan lekker geen nieuwe krijgen.
Ben verder geen kenner wat voor misbruik je ermee kan maken, maar dat lijkt allemaal nogal tegenstrijdig.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Exact dit. Estland lacht zich kapot om ons. Daar regel je alles veilig online in minuten, hier klooien we nog steeds met een BSN alsof het een magische sleutel is. Het is 2025, maar digitaal lopen we in NL nog steeds met een fax onder de arm. Maar hé… wél miljarden naar consultants die er nóg een PowerPoint over maken.quote:
Dit lek is hopelijk een start moment dat we eindelijk security eens serieus gaan nemen, maar vooral dat we er in gaan investeren, het is gewoon een enorm zooitje en het zou ook goed zijn als we eens innovatiever zijn, de manier waarop we nu met BSN werken is gewoon niet meer van deze tijd.
Groot fan van User Wotte
Ik heb even een snelle proof of concept online gezet waar je het zelf kunt testenquote:Op woensdag 20 augustus 2025 14:40 schreef Tjacka het volgende:
[..]
Exact dit. Estland lacht zich kapot om ons. Daar regel je alles veilig online in minuten, hier klooien we nog steeds met een BSN alsof het een magische sleutel is. Het is 2025, maar digitaal lopen we in NL nog steeds met een fax onder de arm. Maar hé… wél miljarden naar consultants die er nóg een PowerPoint over maken.
https://indigo-rozalie-87.tiiny.site/
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Netsplitter
#jesuisMasi
Meh. Politiek den haag vraagt weer vragen, en meer zal er niet gebeuren.quote:
Dit lek is hopelijk een start moment dat we eindelijk security eens serieus gaan nemen, maar vooral dat we er in gaan investeren, het is gewoon een enorm zooitje en het zou ook goed zijn als we eens innovatiever zijn, de manier waarop we nu met BSN werken is gewoon niet meer van deze tijd.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Er komt wel langzaam wetgeving, zoals op dit moment DORA, maar goed dat is allemaal erg high level, en bedrijven hebben er gewoon lak aan, geloof dat met DORA directie wel hoofdelijk aansprakelijk is.quote:
[..]
Meh. Politiek den haag vraagt weer vragen, en meer zal er niet gebeuren.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Geen brief ontvangen, zie ook nog niks in de PostNL app, zit ik er dan niet bij of krijg ik het later?
Netsplitter
#jesuisMasi
DORA is EU geregeld. Met de nieuwe NIS2 is de directie ook hoofdelijk aansprakelijk. Alleen NL loopt nog steeds te kloten met de implementatie...quote:
[..]
Er komt wel langzaam wetgeving, zoals op dit moment DORA, maar goed dat is allemaal erg high level, en bedrijven hebben er gewoon lak aan, geloof dat met DORA directie wel hoofdelijk aansprakelijk is.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Nou ja, ik werk bij een bank wij zijn er wel degelijk mee bezig, maar aangezien we al aan veel zwaardere eisen voldoen is het voor wat ik heb gezien niet zoveel werk, wel wordt er extra aandacht aan met name recovery plans besteed, maar technisch gezien moet je dat bij systemen met een hogere beschikbaarheidseisen toch al hebben.quote:
[..]
DORA is EU geregeld. Met de nieuwe NIS2 is de directie ook hoofdelijk aansprakelijk. Alleen NL loopt nog steeds te kloten met de implementatie...
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
De financiële wereld loopt vaak al voor op de rest idd. Mede door eisen vanuit de Nederlandse Bank en andere organen.quote:
[..]
Nou ja, ik werk bij een bank wij zijn er wel degelijk mee bezig, maar aangezien we al aan veel zwaardere eisen voldoen is het voor wat ik heb gezien niet zoveel werk, wel wordt er extra aandacht aan met name recovery plans besteed, maar technisch gezien moet je dat bij systemen met een hogere beschikbaarheidseisen toch al hebben.
Toch durf ik niet te zeggen dat we 100% veilig zijn. Zeker met een zero day ergens... Maar ook daar zijn wel maatregelen tegen genomen.
The name is Putler, Vladimir Putler
Netsplitter
#jesuisMasi
Werk toevallig ook bij een bank, ken de klappen van de zweep.quote:
[..]
Nou ja, ik werk bij een bank wij zijn er wel degelijk mee bezig, maar aangezien we al aan veel zwaardere eisen voldoen is het voor wat ik heb gezien niet zoveel werk, wel wordt er extra aandacht aan met name recovery plans besteed, maar technisch gezien moet je dat bij systemen met een hogere beschikbaarheidseisen toch al hebben.
NIS2 is een voortzetting van ISO27001/2 laatste versie. Met wat zwaardere controls. Als je ISO27001/2 hebt zou NIS2 geen probleem mogen zijn.De grootste verandering is de hoofdelijke verantwoordelijkheid. Die was er niet.
Al proberen ze in de US daar CISO's voor in de plaats aan te klagen mocht er iets fout gaan....
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ik zit hieraan te denken idd. Maar in m'n eentje gaat dat weinig opleveren.quote:
Alle slachtoffers zouden nu een dikke claim moeten indienen. Dan leren bedrijven en instanties het misschien een keertje af om slordig met vertrouwelijke gegevens om te gaan.
Niet dat je er veel aan heb maar mijn zegen heb je in ieder geval.quote:
[..]
Ik zit hieraan te denken idd. Maar in m'n eentje gaat dat weinig opleveren.
[ Bericht 0% gewijzigd door SilverMane op 20-08-2025 16:41:26 ]
Je bent geen dwaas als je opgeeft wat je niet kunt vasthouden om te krijgen wat je nooit meer afgenomen kan worden.
Dat trouwens niemand de cloud als hoofdprobleem heeft genoemd...
The name is Putler, Vladimir Putler
Volgens mij is er nog helemaal niets bekend over de oorzaak, op basis van wat ik zag in het bericht van de Ransomware groep zou het me niet verbazen als het om een sharepoint server gaat.quote:
Dat trouwens niemand de cloud als hoofdprobleem heeft genoemd...
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Netsplitter
#jesuisMasi
Want? Wat is daar het hoofdprobleem van in deze casus?quote:
Dat trouwens niemand de cloud als hoofdprobleem heeft genoemd...
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Overigens voor iedereen die de brief heeft gehad, lees dit erg goed en volg de aanwijzingen:
https://tweakers.net/nieu(...)=21336176#r_21336176
https://tweakers.net/nieu(...)=21336176#r_21336176
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Was een tijdje het standaard geroep als er een datalek was.. maar ik mag hopen dat de tijd voorbij is dat we onbeveiligde elastic search clusters in de cloud hadden hangen.quote:
[..]
Want? Wat is daar het hoofdprobleem van in deze casus?
The name is Putler, Vladimir Putler
Wat ik wel erg vaak zie is dat men in hippe websites javascript libraries gebruikt die eigenlijk voor serverside gebruik bedoeld zijn, en op die manier API tokens van backend diensten exposen.quote:
[..]
Was een tijdje het standaard geroep als er een datalek was.. maar ik mag hopen dat de tijd voorbij is dat we onbeveiligde elastic search clusters in de cloud hadden hangen.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Dat is één van de dingen die ik eng vind aan de cloud. Niet de cloud zelf maar wat met erop/erin? gooit.quote:
[..]
Wat ik wel erg vaak zie is dat men in hippe websites javascript libraries gebruikt die eigenlijk voor serverside gebruik bedoeld zijn, en op die manier API tokens van backend diensten exposen.
Bij ons heb je een dedicated cloud team dat helpt met cloud migraties maar ook met security door o.a. policies in geval van Azure.. maar een gemiddelde MKB toko heeft dat allemaal niet..
The name is Putler, Vladimir Putler
Netsplitter
#jesuisMasi
Meh.quote:
[..]
Was een tijdje het standaard geroep als er een datalek was.. maar ik mag hopen dat de tijd voorbij is dat we onbeveiligde elastic search clusters in de cloud hadden hangen.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ja ik geloof dat bij ons er iets van 5000 policies deployed zijn, je kunt eigenlijk niets doen als je niet de best practices volgt, sowieso mag een resource nooit publiek zijn, dat moet altijd via private networks die je vervolgens met het network team moet ontsluiten.quote:
[..]
Dat is één van de dingen die ik eng vind aan de cloud. Niet de cloud zelf maar wat met erop/erin? gooit.
Bij ons heb je een dedicated cloud team dat helpt met cloud migraties maar ook met security door o.a. policies in geval van Azure.. maar een gemiddelde MKB toko heeft dat allemaal niet..
Met betrekking tot andere bedrijven, ja ik zie daar heel veel gepruts, een database server heb ik in 5 minuutjes voor je klaar, maar als je dat gewoon lekker publiek open laat staan, dan is het wachten tot iemand een keer de connection key bemachtigt, en dan ben je de sjaak.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Netsplitter
#jesuisMasi
https://www.nu.nl/binnenl(...)lkingsonderzoek.html
Volgens Rejo Zenger, beleidsadviseur van stichting Bits of Freedom, is het een "bijzonder heftig" lek, omdat het om een combinatie van veel en gevoelige gegevens gaat, legt hij uit aan NU.nl. De vraag is wat de hackers ermee willen doen.
Volgens Zenger zijn er altijd twee opties. De eerste is de gestolen data gebruiken om de bron onder druk te zetten, zoals al is gebeurd bij Clinical Diagnostics. De hacker heeft gedreigd om de buitgemaakte gegevens van de ruim 485.000 patiënten op het darkweb te publiceren als Clinical Diagnostics niet betaalt. Om te laten zien dat het menens is, zijn de gegevens van 53.516 mensen al geplaatst.
De tweede optie is dat hackers zich richten op de personen van wie de gegevens zijn gelekt. Als jij per brief te horen hebt gekregen dat je gegevens zijn gestolen, zou jij in theorie dus ook kunnen worden afgeperst. Dat kan door de hackers zelf worden gedaan, of door andere cybercriminelen die je gegevens via het darkweb hebben gevonden.
Maar met alle gegevens die zijn buitgemaakt is eigenlijk "elke denkbare vorm van fraude" mogelijk, zegt Marianne Junger. Zij is emeritus hoogleraar cybersecurity aan de Universiteit Twente. "Denk bijvoorbeeld aan identiteitsfraude, waarbij iemand zich met jouw gegevens kan voordoen als een ander."
Daarbij gaat het vooral om de combinatie van verschillende gegevens. Met alleen een BSN-nummer kunnen hackers bijvoorbeeld weinig. Maar de mogelijkheden liggen voor het oprapen als daar ook een naam of adres aan is gekoppeld.
'Risico's hangen af van creativiteit cybercriminelen'
Het hangt erg af van de "creativiteit" van de cybercriminelen op welke manier misbruik kan worden gemaakt van de gestolen gegevens, zegt Daan Keuper, securityspecialist bij online beveiligingsbedrijf Computest. "Vaak hebben deze kwaadwillenden meerdere operaties tegelijk lopen en willen ze in een korte tijd zoveel mogelijk geld verdienen. Dus het moet allemaal niet te veel tijd kosten."
De cybersecurity-experts wijzen er daarom alle drie op dat de gedupeerden vooral waakzaam moeten zijn voor phishing. Dat is een vorm van internetfraude waarbij criminelen zich in een mail of sms-bericht voordoen als een persoon, bedrijf of instantie. Het doel is om meer gegevens over je te verzamelen of geld af te troggelen. Vaak word je gevraagd om op een link te klikken, ergens in te loggen of geld over te maken.
"En hoe meer gegevens ze van je hebben, hoe realistischer zo'n mail of sms lijkt", zegt Junger. Normaal gesproken kun je nepmails bijvoorbeeld herkennen aan spelfouten of een opvallende vraag. Maar als ze je volledige naam, adres, BSN-nummer en zelfs medische informatie hebben, kun je snel denken dat een mail echt afkomstig is van bijvoorbeeld Bevolkingsonderzoek Nederland, legt ze uit.
"Het zou daarom zomaar kunnen dat getroffen mensen een valse aanmaning krijgen van het bevolkingsonderzoek", vult Zenger van Bits of Freedom aan. "Terwijl het bevolkingsonderzoek gratis is."
'Risico voor oplichting wordt niet kleiner'
Naast phishing ziet Junger ook andere risico's voor gedupeerden. Aangezien ook adressen zijn gelekt, zouden kwaadwillenden aan de deur kunnen komen voor een zogeheten babbeltruc. "En als telefoonnummers ook zijn gelekt, kunnen mensen bijvoorbeeld worden gebeld door iemand die zich voordoet als een bankmedewerker. Als die dan al jouw gegevens weet op te noemen, is dat erg geloofwaardig."
Het is de komende tijd dus opletten geblazen voor de ontvangers van de brief. Al geldt dat eigenlijk voor iedereen, benadrukt Keuper. "Van veel mensen zijn waarschijnlijk al eens gegevens gelekt, aangezien we op zoveel plekken gegevens achterlaten. Maar de mensen die hebben deelgenomen aan het bevolkingsonderzoek hebben een aanleiding om extra scherp te zijn."
Daarbij wijst hij erop dat het niet alleen gaat om de komende weken of maanden. Als data eenmaal beschikbaar is gesteld op het darkweb, is de kans groot dat het daar blijft rondzweven of al in handen is van andere cybercriminelen. "Het risico voor oplichting wordt dus niet binnen afzienbare tijd ineens kleiner."
Volgens Rejo Zenger, beleidsadviseur van stichting Bits of Freedom, is het een "bijzonder heftig" lek, omdat het om een combinatie van veel en gevoelige gegevens gaat, legt hij uit aan NU.nl. De vraag is wat de hackers ermee willen doen.
Volgens Zenger zijn er altijd twee opties. De eerste is de gestolen data gebruiken om de bron onder druk te zetten, zoals al is gebeurd bij Clinical Diagnostics. De hacker heeft gedreigd om de buitgemaakte gegevens van de ruim 485.000 patiënten op het darkweb te publiceren als Clinical Diagnostics niet betaalt. Om te laten zien dat het menens is, zijn de gegevens van 53.516 mensen al geplaatst.
De tweede optie is dat hackers zich richten op de personen van wie de gegevens zijn gelekt. Als jij per brief te horen hebt gekregen dat je gegevens zijn gestolen, zou jij in theorie dus ook kunnen worden afgeperst. Dat kan door de hackers zelf worden gedaan, of door andere cybercriminelen die je gegevens via het darkweb hebben gevonden.
Maar met alle gegevens die zijn buitgemaakt is eigenlijk "elke denkbare vorm van fraude" mogelijk, zegt Marianne Junger. Zij is emeritus hoogleraar cybersecurity aan de Universiteit Twente. "Denk bijvoorbeeld aan identiteitsfraude, waarbij iemand zich met jouw gegevens kan voordoen als een ander."
Daarbij gaat het vooral om de combinatie van verschillende gegevens. Met alleen een BSN-nummer kunnen hackers bijvoorbeeld weinig. Maar de mogelijkheden liggen voor het oprapen als daar ook een naam of adres aan is gekoppeld.
'Risico's hangen af van creativiteit cybercriminelen'
Het hangt erg af van de "creativiteit" van de cybercriminelen op welke manier misbruik kan worden gemaakt van de gestolen gegevens, zegt Daan Keuper, securityspecialist bij online beveiligingsbedrijf Computest. "Vaak hebben deze kwaadwillenden meerdere operaties tegelijk lopen en willen ze in een korte tijd zoveel mogelijk geld verdienen. Dus het moet allemaal niet te veel tijd kosten."
De cybersecurity-experts wijzen er daarom alle drie op dat de gedupeerden vooral waakzaam moeten zijn voor phishing. Dat is een vorm van internetfraude waarbij criminelen zich in een mail of sms-bericht voordoen als een persoon, bedrijf of instantie. Het doel is om meer gegevens over je te verzamelen of geld af te troggelen. Vaak word je gevraagd om op een link te klikken, ergens in te loggen of geld over te maken.
"En hoe meer gegevens ze van je hebben, hoe realistischer zo'n mail of sms lijkt", zegt Junger. Normaal gesproken kun je nepmails bijvoorbeeld herkennen aan spelfouten of een opvallende vraag. Maar als ze je volledige naam, adres, BSN-nummer en zelfs medische informatie hebben, kun je snel denken dat een mail echt afkomstig is van bijvoorbeeld Bevolkingsonderzoek Nederland, legt ze uit.
"Het zou daarom zomaar kunnen dat getroffen mensen een valse aanmaning krijgen van het bevolkingsonderzoek", vult Zenger van Bits of Freedom aan. "Terwijl het bevolkingsonderzoek gratis is."
'Risico voor oplichting wordt niet kleiner'
Naast phishing ziet Junger ook andere risico's voor gedupeerden. Aangezien ook adressen zijn gelekt, zouden kwaadwillenden aan de deur kunnen komen voor een zogeheten babbeltruc. "En als telefoonnummers ook zijn gelekt, kunnen mensen bijvoorbeeld worden gebeld door iemand die zich voordoet als een bankmedewerker. Als die dan al jouw gegevens weet op te noemen, is dat erg geloofwaardig."
Het is de komende tijd dus opletten geblazen voor de ontvangers van de brief. Al geldt dat eigenlijk voor iedereen, benadrukt Keuper. "Van veel mensen zijn waarschijnlijk al eens gegevens gelekt, aangezien we op zoveel plekken gegevens achterlaten. Maar de mensen die hebben deelgenomen aan het bevolkingsonderzoek hebben een aanleiding om extra scherp te zijn."
Daarbij wijst hij erop dat het niet alleen gaat om de komende weken of maanden. Als data eenmaal beschikbaar is gesteld op het darkweb, is de kans groot dat het daar blijft rondzweven of al in handen is van andere cybercriminelen. "Het risico voor oplichting wordt dus niet binnen afzienbare tijd ineens kleiner."
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Dit is echt wel heel ernstig zeg.
Vrouwen (die dit betreft) zouden zich moeten verenigen en een rechtzaak moeten aanspannen.
Veel te relaxed gaat de overheid hier mee om.
Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun gefaal?
Vrouwen (die dit betreft) zouden zich moeten verenigen en een rechtzaak moeten aanspannen.
Veel te relaxed gaat de overheid hier mee om.
Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun gefaal?
Netsplitter
#jesuisMasi
Wat had de overheid in deze moeten doen?quote:
Dit is echt wel heel ernstig zeg.
Vrouwen (die dit betreft) zouden zich moeten verenigen en een rechtzaak moeten aanspannen.
Veel te relaxed gaat de overheid hier mee om.
Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun gefaal?
Bij een private bedrijf?
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Huh wat? Ik geloof dat jij mijn posts anders leest dan wat ik schrijf of bedoel. Ik heb het niet over het verleden.quote:
[..]
Wat had de overheid in deze moeten doen?
Bij een private bedrijf?
Dus nogmaals. Want wat gaan ze nu doen? Welke stappen zet de overheid om je te beschermen tegen hun (van dat bedrijf) gefaal?
Dit moet toch voorkomen gaan worden in de toekomst?
Netsplitter
#jesuisMasi
Jij schrijft dat de overheid er veel te relaxed mee omgaat.quote:
[..]
Huh wat? Ik geloof dat jij mijn posts anders leest dan wat ik schrijf of bedoel.
Staat er letterlijk.
Dus wat had de overheid moeten doen in deze?
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ja. In de toekomst. Niet in het verleden.quote:
[..]
Jij schrijft dat de overheid er veel te laks mee omgaat.
Staat er letterlijk.
Dus wat had de overheid moeten doen in deze?
Netsplitter
#jesuisMasi
Dus de overheid moet gaan controleren bij bedrijven of ze hun zooi op orde hebben?quote:
[..]
Ja. In de toekomst. Niet in het verleden.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Ja. Zeker.quote:
[..]
Dus de overheid moet gaan controleren bij bedrijven of ze hun zooi op orde hebben?
Audit dit soort bedrijven maar eens flink. Het is niet niets hè, dit.
Netsplitter
#jesuisMasi
Daar gaat de NIS2 bij helpen. Maar zoals meerderen hier kunnen vertellen, tegen een 0-day gaan geen audit werken. Daar doe je niks tegen als bedrijf.quote:
[..]
Ja. Zeker.
Audit dit soort bedrijven maar eens flink. Het is niet niets hè, dit.
Het is nog steeds zo dat hackers gemiddeld 100 dagen onopgemerkt in het bedrijfsnetwerk rondsnuffelen.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Veel bedrijven controleren alleen aan de poort, en doen weinig om dat rondsnuffelen te kunnen dedecteren.quote:
[..]
Daar gaat de NIS2 bij helpen. Maar zoals meerderen hier kunnen vertellen, tegen een 0-day gaan geen audit werken. Daar doe je niks tegen als bedrijf.
Het is nog steeds zo dat hackers gemiddeld 100 dagen onopgemerkt in het bedrijfsnetwerk rondsnuffelen.
IT beveiliging zou uit lagen moeten bestaan.
Je moet ook methodes hebben om “lateral movement” te kunnen dedecteren, en daarop te kunnen acteren.
Een hack actie begint meestal bij een gewone gebruikersaccount, vanwaar ze kijken hoe ver ze kunnen komen. En er zit altijd wel ergens een gaatje. Iets dat niet up to date is, maar “ach, het is alleen intern bereikbaar”.
En inderdaad, het gemiddelde is gewoon 3+ maanden binnen, wat eigenlijk best bizar is.
Netsplitter
#jesuisMasi
IT beveiliging kost geld. Hoe beter de beveiliging, hoe hoger het prijskaartje.quote:
[..]
Veel bedrijven controleren alleen aan de poort, en doen weinig om dat rondsnuffelen te kunnen dedecteren.
IT beveiliging zou uit lagen moeten bestaan.
Je moet ook methodes hebben om “lateral movement” te kunnen dedecteren, en daarop te kunnen acteren.
Een hack actie begint meestal bij een gewone gebruikersaccount, vanwaar ze kijken hoe ver ze kunnen komen. En er zit altijd wel ergens een gaatje. Iets dat niet up to date is, maar “ach, het is alleen intern bereikbaar”.
En inderdaad, het gemiddelde is gewoon 3+ maanden binnen, wat eigenlijk best bizar is.
(Cyber)Security heeft een zeer slechte ROI. Zolang je niet gehackt bent of wordt, kost het alleen maar geld.
En een hoop bedrijven denken/vinden dat het nog steeds een ver-van-mijn-bed show is.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Netsplitter
#jesuisMasi
Kritiek op summiere brief na medische hack: 'Standaard pr-briefje'
Deskundigen plaatsen kanttekeningen bij de brief die slachtoffers van het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker deze week ontvangen. Die voldoet aan de wet, maar is wel summier, zeggen ze. "Een beetje een standaard pr-briefje".
De brief is verstuurd naar de ruim 485.000 mensen van wie de gegevens zijn buitgemaakt bij een hack. Onder meer namen, adressen, geboortedata, burgerservicenummers, namen van zorgverleners en uitslagen van uitstrijkjes en zelftests zijn gestolen. Van sommigen zijn ook telefoonnummers en e-mailadressen gestolen.
De gegevens zijn begin juli gestolen bij het Rijswijkse laboratorium Clinical Diagnostics, maar de hack werd pas vorige week bekendgemaakt. Het laboratorium voerde de tests uit voor Bevolkingsonderzoek Nederland, dat pas begin augustus op de hoogte werd gesteld. Die organisatie verstuurde de brieven begin deze week. Dat het zo lang duurde voordat de hack bekend werd, vindt Privacy First-bestuurslid Steven Derks kwalijk. "Daardoor zijn betrokkenen heel lang niet geïnformeerd."
Aan de deze week alsnog verstuurde brief zijn regels verbonden. Zo moet een organisatie bij een datalek volgens de privacywetgeving in duidelijke taal uitleggen wat er is gebeurd, wat de gevolgen zijn en welke maatregelen zijn of worden genomen. Ook moet er een contactmogelijkheid worden geboden.
"Alle verplichte elementen zitten in de brief", reageert hoogleraar Anna Berlee (Gegevensbescherming en Privacyrecht). Maar ze vindt wel dat het uitgebreider had gekund. Bijvoorbeeld als het gaat over de maatregelen die worden of zijn getroffen door Bevolkingsonderzoek Nederland om de ontstane risico's zo klein mogelijk te houden. Deze informatie is deels terug te vinden op de websites waarnaar verwezen wordt. Hier had ook wel wat over in de brief kunnen staan, vindt Berlee.
Vooral algemene informatie over fraudegevaar
"Ik vind dat er vrij weinig in staat", reageert Derks. Om die reden noemt hij het "een beetje het standaard pr-briefje". Hij vindt het opvallend dat het maar één alinea bevat over de fraude die kan plaatsvinden met de gelekte gegevens, en dat die informatie ook heel algemeen is.
"Het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken", schrijft Bevolkingsonderzoek Nederland in die alinea. "Daarom is het belangrijk dat u altijd alert blijft op mogelijke fraude." Daarna wordt er al snel doorverwezen naar de website van de Rijksoverheid. "Ik vind dat heel karig als je ziet welke gegevens gelekt zijn", zegt Derks. "Ik denk dat ook weinig mensen naar zo'n website zouden gaan."
"Een algemene oproep om alert te zijn op fraude is onvoldoende", vindt advocaat Sven van Dooren (Louwers IP&Tech Advocaten). Het advocatenkantoor waarvoor hij werkt, krijgt veel ongeruste mails van gedupeerden. "Zeker bij gevoelige gegevens als het burgerservicenummer en medische informatie is concrete informatie en advies nodig - en bovendien wettelijk verplicht - om de onrust weg te nemen."
Hoogleraar cybersecurity Marianne Junger vindt de boodschap "let op" ook onvoldoende. Ze vindt het beter om specifiek te benoemen waar mensen dan op moeten letten. "Wat is phishing? Hoe herken je het?" Zo zou ze het goed vinden als wordt uitgelegd hoe mensen een foute URL kunnen herkennen. "Alle andere dingen, zoals tikfouten en gekke vragen, vallen wel op." Daarnaast vindt ze dat mensen die telefonisch benaderd zouden kunnen worden extra geïnformeerd moeten worden. Nu wordt niet duidelijk uit de brief of jouw telefoonnummer gelekt is of niet.
Bevolkingsonderzoek Nederland noemt zich in een reactie op de kritiek "geen expert op het gebied van informeren/waarschuwen". Om die reden besloot de organisatie te verwijzen naar websites van de overheid. De complete reactie is onder dit artikel te lezen.
Concrete voorbeelden missen
Op de overheidswebsites staat meer informatie en zijn voorbeelden te vinden. Maar Derks benadrukt dat het goed zou zijn geweest als juist Bevolkingsonderzoek Nederland veel concreter had gemaakt hoe criminelen te werk zouden kunnen gaan.
Hij herinnert zich een datalek bij een bioscoopketen waar dat wel goed werd gedaan. Als je op een willekeurig moment in het jaar een mail krijgt van die organisatie met de vraag of je mee wil doen aan een prijsvraag, snap je direct dat het phishing is. Maar als je net die week naar de bioscoop bent geweest en er staat "bedankt voor je bezoek, deze week maak je kans op een prijs", voelt het voor mensen al veel overtuigender. Zulk soort voorbeelden zou Bevolkingsonderzoek Nederland ook kunnen geven.
Derks benadrukt nogmaals dat de hackers heel veel data hebben buitgemaakt. Hiermee kunnen kwaadwillenden een heel overtuigend verhaal neerzetten om iemand daarmee op te lichten. "Ik acht de kans best groot dat veel mensen opgelicht gaan worden", concludeert hij.
Van Dooren wijst erop dat de gevolgen ook verder kunnen gaan dan fraude: "Ik heb gedupeerden gesproken die vrezen dat hun adres is gelekt en die door hun ex-partner worden bedreigd. Voor hen biedt deze brief geen enkel houvast."
Bron: https://www.nu.nl/binnenl(...)aard-pr-briefje.html
Deskundigen plaatsen kanttekeningen bij de brief die slachtoffers van het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker deze week ontvangen. Die voldoet aan de wet, maar is wel summier, zeggen ze. "Een beetje een standaard pr-briefje".
De brief is verstuurd naar de ruim 485.000 mensen van wie de gegevens zijn buitgemaakt bij een hack. Onder meer namen, adressen, geboortedata, burgerservicenummers, namen van zorgverleners en uitslagen van uitstrijkjes en zelftests zijn gestolen. Van sommigen zijn ook telefoonnummers en e-mailadressen gestolen.
De gegevens zijn begin juli gestolen bij het Rijswijkse laboratorium Clinical Diagnostics, maar de hack werd pas vorige week bekendgemaakt. Het laboratorium voerde de tests uit voor Bevolkingsonderzoek Nederland, dat pas begin augustus op de hoogte werd gesteld. Die organisatie verstuurde de brieven begin deze week. Dat het zo lang duurde voordat de hack bekend werd, vindt Privacy First-bestuurslid Steven Derks kwalijk. "Daardoor zijn betrokkenen heel lang niet geïnformeerd."
Aan de deze week alsnog verstuurde brief zijn regels verbonden. Zo moet een organisatie bij een datalek volgens de privacywetgeving in duidelijke taal uitleggen wat er is gebeurd, wat de gevolgen zijn en welke maatregelen zijn of worden genomen. Ook moet er een contactmogelijkheid worden geboden.
"Alle verplichte elementen zitten in de brief", reageert hoogleraar Anna Berlee (Gegevensbescherming en Privacyrecht). Maar ze vindt wel dat het uitgebreider had gekund. Bijvoorbeeld als het gaat over de maatregelen die worden of zijn getroffen door Bevolkingsonderzoek Nederland om de ontstane risico's zo klein mogelijk te houden. Deze informatie is deels terug te vinden op de websites waarnaar verwezen wordt. Hier had ook wel wat over in de brief kunnen staan, vindt Berlee.
Vooral algemene informatie over fraudegevaar
"Ik vind dat er vrij weinig in staat", reageert Derks. Om die reden noemt hij het "een beetje het standaard pr-briefje". Hij vindt het opvallend dat het maar één alinea bevat over de fraude die kan plaatsvinden met de gelekte gegevens, en dat die informatie ook heel algemeen is.
"Het is mogelijk dat kwaadwillenden illegaal verkregen persoonsgegevens misbruiken", schrijft Bevolkingsonderzoek Nederland in die alinea. "Daarom is het belangrijk dat u altijd alert blijft op mogelijke fraude." Daarna wordt er al snel doorverwezen naar de website van de Rijksoverheid. "Ik vind dat heel karig als je ziet welke gegevens gelekt zijn", zegt Derks. "Ik denk dat ook weinig mensen naar zo'n website zouden gaan."
"Een algemene oproep om alert te zijn op fraude is onvoldoende", vindt advocaat Sven van Dooren (Louwers IP&Tech Advocaten). Het advocatenkantoor waarvoor hij werkt, krijgt veel ongeruste mails van gedupeerden. "Zeker bij gevoelige gegevens als het burgerservicenummer en medische informatie is concrete informatie en advies nodig - en bovendien wettelijk verplicht - om de onrust weg te nemen."
Hoogleraar cybersecurity Marianne Junger vindt de boodschap "let op" ook onvoldoende. Ze vindt het beter om specifiek te benoemen waar mensen dan op moeten letten. "Wat is phishing? Hoe herken je het?" Zo zou ze het goed vinden als wordt uitgelegd hoe mensen een foute URL kunnen herkennen. "Alle andere dingen, zoals tikfouten en gekke vragen, vallen wel op." Daarnaast vindt ze dat mensen die telefonisch benaderd zouden kunnen worden extra geïnformeerd moeten worden. Nu wordt niet duidelijk uit de brief of jouw telefoonnummer gelekt is of niet.
Bevolkingsonderzoek Nederland noemt zich in een reactie op de kritiek "geen expert op het gebied van informeren/waarschuwen". Om die reden besloot de organisatie te verwijzen naar websites van de overheid. De complete reactie is onder dit artikel te lezen.
Concrete voorbeelden missen
Op de overheidswebsites staat meer informatie en zijn voorbeelden te vinden. Maar Derks benadrukt dat het goed zou zijn geweest als juist Bevolkingsonderzoek Nederland veel concreter had gemaakt hoe criminelen te werk zouden kunnen gaan.
Hij herinnert zich een datalek bij een bioscoopketen waar dat wel goed werd gedaan. Als je op een willekeurig moment in het jaar een mail krijgt van die organisatie met de vraag of je mee wil doen aan een prijsvraag, snap je direct dat het phishing is. Maar als je net die week naar de bioscoop bent geweest en er staat "bedankt voor je bezoek, deze week maak je kans op een prijs", voelt het voor mensen al veel overtuigender. Zulk soort voorbeelden zou Bevolkingsonderzoek Nederland ook kunnen geven.
Derks benadrukt nogmaals dat de hackers heel veel data hebben buitgemaakt. Hiermee kunnen kwaadwillenden een heel overtuigend verhaal neerzetten om iemand daarmee op te lichten. "Ik acht de kans best groot dat veel mensen opgelicht gaan worden", concludeert hij.
Van Dooren wijst erop dat de gevolgen ook verder kunnen gaan dan fraude: "Ik heb gedupeerden gesproken die vrezen dat hun adres is gelekt en die door hun ex-partner worden bedreigd. Voor hen biedt deze brief geen enkel houvast."
Bron: https://www.nu.nl/binnenl(...)aard-pr-briefje.html
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
There are 2 kind of companies, those that have been hacked, and those that will be hacked:quote:
[..]
IT beveiliging kost geld. Hoe beter de beveiliging, hoe hoger het prijskaartje.
(Cyber)Security heeft een zeer slechte ROI. Zolang je niet gehackt bent of wordt, kost het alleen maar geld.
En een hoop bedrijven denken/vinden dat het nog steeds een ver-van-mijn-bed show is.
Vraag mij wel af hoeveel deze hack dit lab nou precies gekost heeft, en hoe dat afsteekt tegen de kosten van goede beveiliging.quote:
[..]
Het is meestal geen geval van prutsende ITers (hoewel ik dat ook gezien heb) maar een bedrijfs cultureel probleem. Weinig budget voor security, geen CISO, en besparingen op IT zijn vaak de oorzaak.
Uiteindelijk gaan de hackers toch voor het makkelijkste doelwit.
Je hoeft niet harder te rennen dan de leeuw.
Je moet alleen harder rennen dan de andere mensen.
Netsplitter
#jesuisMasi
Waarom denk je dat ze hun security niet op orde hadden? Omdat ze gehackt zijn?quote:
[..]
There are 2 kind of companies, those that have been hacked, and those that will be hacked:
[..]
Vraag mij wel af hoeveel deze hack dit lab nou precies gekost heeft, en hoe dat afsteekt tegen de kosten van goede beveiliging.
Dat is een slechte maatstaf.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Omdat ze gehackt zijn door afpersers.quote:
[..]
Waarom denk je dat ze hun security niet op orde hadden? Omdat ze gehackt zijn?
Dat is een slechte maatstaf.
Dat soort hackers gaat altijd voor het makkelijkste doelwit.
Dus dat is een prima maatstaf.
Net zoals straatovervallers rico verhoeven door laten lopen, maar een omatje wel overvallen.
[ Bericht 0% gewijzigd door #ANONIEM op 21-08-2025 15:29:51 ]
Netsplitter
#jesuisMasi
Jij denkt serieus dat hun verdediging een gatenkaas was?quote:
[..]
Omdat ze gehackt zijn door afpersers.
Dat soort hackers gaat altijd voor het makkelijkste doelwit.
Dus dat is een prima maatstaf.
Net zoals straatovervallers rico verhoeven door laten lopen, maar een omatje wel overvallen.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Nee. Dat zeg ik ook niet. Er zit een wereld van verschil tussen gatenkaas en niet op orde.quote:
[..]
Jij denkt serieus dat hun verdediging een gatenkaas was?
Netsplitter
#jesuisMasi
Hoe kan een 0-day iets zijn wat een bedrijf kan voorkomen?quote:
[..]
Nee. Dat zeg ik ook niet. Er zit een wereld van verschil tussen gatenkaas en niet op orde.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Een 0-day is nog geen succesvolle hack he?quote:
[..]
Hoe kan een 0-day iets zijn wat een bedrijf kan voorkomen?
Als je een hacker die maanden in je netwerk rondhangt zonder dat je dat door hebt, heb je je beveiliging niet op orde..
Als 300 GB aan kroonjuweel data je netwerk uitgaat, zonder dat jet doorhebt, heb je je beveiliging niet op orde.
Nogmaals, security moet lagen hebben.
Als 1 0-day je langs alle lagen van security heenbrengt, heb je gewoon je security niet op orde.
[ Bericht 1% gewijzigd door #ANONIEM op 21-08-2025 18:14:33 ]
Netsplitter
#jesuisMasi
Ik ben eigenlijk wel klaar met deze discussie.quote:
[..]
Een 0-day is nog geen succesvolle hack he?
Als je een hacker die maanden in je netwerk rondhangt zonder dat je dat door hebt, heb je je beveiliging niet op orde..
Als 300 GB aan kroonjuweel data je netwerk uitgaat, zonder dat jet doorhebt, heb je je beveiliging niet op orde.
Nogmaals, security moet lagen hebben.
Als 1 0-day je langs alle lagen van security heenbrengt, heb je gewoon je security niet op orde.
Ik werk zelf al jaren in de (cyber)sec.
Weet hoe het werkt, klappen van de zweep.
Geen zin meer om in een cirkel te blijven praten.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Jammer. Ik vind het leuk om te sparren over cybersecurity.quote:
[..]
Ik ben eigenlijk wel klaar met deze discussie.
Ik werk zelf al jaren in de (cyber)sec.
Weet hoe het werkt, klappen van de zweep.
Geen zin meer om in een cirkel te blijven praten.
Maar mag ik je goedbedoeld advies geven? “Weet hoe het werkt, klappen van de zweep.” is geen goede instelling voor een cybersecurity expert. Denk niet “Hoe kan een 0-day iets zijn wat een bedrijf kan voorkomen?” Maar denk: “hoe kan ik bij een zero day voorkomen dat mijn hele netwerk open ligt?” Zeker als je dit soort gevoelige gegevens hebt.
Hackers veranderen continue van tactieken. Als wij hetzelfde niet doen, zijn we de sjaak.
Tegenwoordig heb je bijvoorbeeld RaaS. Ransomware as a Service.
Dat betekend dat een gemiddelde medewerkers die pissig is of dringend geld nodig heeft je hele netwerk kan laten vergrendelen.
Goede firewalls is echt niet meer genoeg.
Je geeft zelf aan dat een hacker bij een succesvolle hack gemiddeld 100 dagen rondzwerft op een netwerk.
Die kans moeten we benutten. Er zijn oplossingen die je netwerk in de gaten houdt, en veranderende patronen kan herkennen. Je netwerk vol met honeypots zetten kan ook.
Maar stil blijven zitten, dat kan niet in dit vak.
Mwah, onversleutelde PII is toch wel een teken dat er iets niet op orde is. En PII versleutelen kost geen drol, maar ligt aan het kennis niveau van de ontwikkelaars en beheerders.quote:
[..]
Waarom denk je dat ze hun security niet op orde hadden? Omdat ze gehackt zijn?
Dat is een slechte maatstaf.
Netsplitter
#jesuisMasi
Wie zegt dat het niet versleuteld was? En dat de hackers niet de sleutel in handen hebben gekregen? Als het goede account wordt gehackt maakt de versleuteling niet meer uit.quote:
[..]
Mwah, onversleutelde PII is toch wel een teken dat er iets niet op orde is. En PII versleutelen kost geen drol, maar ligt aan het kennis niveau van de ontwikkelaars en beheerders.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Hackers: 'Privédata uitstrijkjes zijn VERWIJDERD'
https://www.geenstijl.nl/5185268/nova-novum
https://www.geenstijl.nl/5185268/nova-novum
When the student is ready, the teacher will appear.
When the student is truly ready, the teacher will disappear.
When the student is truly ready, the teacher will disappear.
Ik kan je zat voorbeelden geven waarbij een 0-day wel degelijk gevolgen kan hebben, zelfs als je security goed op orde is, veel voorkomend zijn supply chain and dependency attack.
Vooral laatste is enorm tricky omdat het in je code niet zichtbaar is, je kunt natuurlijk wel gebruik maken van Dependency Scanners, maar die moeten het dan maar net oppikken.
Vooral laatste is enorm tricky omdat het in je code niet zichtbaar is, je kunt natuurlijk wel gebruik maken van Dependency Scanners, maar die moeten het dan maar net oppikken.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ja moeten nu hopen dat het lek niet door anderen ook is opgepakt.quote:Op vrijdag 22 augustus 2025 14:16 schreef Aether het volgende:
Hackers: 'Privédata uitstrijkjes zijn VERWIJDERD'
https://www.geenstijl.nl/5185268/nova-novum
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Sowieso bijzonder dat die PII daar beschikbaar is.quote:
[..]
Mwah, onversleutelde PII is toch wel een teken dat er iets niet op orde is. En PII versleutelen kost geen drol, maar ligt aan het kennis niveau van de ontwikkelaars en beheerders.
Misschien domme opmerking, maar wat is PII? Ik zit zelf redelijk in security maar ken de term niet, is dat iets specifieks voor zorg?quote:
[..]
Sowieso bijzonder dat die PII daar beschikbaar is.
Edit: https://piwikpro.nl/blog/pii-niet-pii-en-persoonsgegevens/
Ja, dat klinkt eenvoudiger dan gezegt, ik zie vooral bij grotere organisaties dat er een wildgroei aan dit soort data is, ik heb een jaar of 8 terug bij een organisatie gezeten die met de komst van de AVG enorm geïnvesteerd heft om dit op orde te brengen, nu hadden zij ongeveer 30 applicaties en daarbij heeft het ongeveer 2 jaar met 4 man gekost om dat op orde te brengen, dus om in ieder geval alle profiel data naar 1 systeem te brengen, en alle anderen met slechts het klantnummer. Het is op zich ook niet heel moeilijk, het is alleen wel erg arbeidsintensief.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Maar geloof je hackers op hun woord?quote:
Hackers: 'Privédata uitstrijkjes zijn VERWIJDERD'
https://www.geenstijl.nl/5185268/nova-novum
Als je gegevens bij deze hack zaten zou ik er alsnog vanuit gaan dat ze op straat liggen. Mischien niet nu, maar in een paar jaar, als ze nova opheffen en een andere groep beginnen, of met pensioen gaan.
Daarom is het verstandig om via een escrow te onderhandelen, die betalen dan bijvoorbeeld jaarlijks een klein deel uit, tenzij blijkt dat ze alsnog lekken.quote:
[..]
Maar geloof je hackers op hun woord?
Als je gegevens bij deze hack zaten zou ik er alsnog vanuit gaan dat ze op straat liggen. Mischien niet nu, maar in een paar jaar, als ze nova opheffen en een andere groep beginnen, of met pensioen gaan.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Voor een vrij grote klant hadden wij ook speciaal een Canary systeem ingebouwd, dus accounts met totaal onraadbare emailadressen, en daar monitorden we de mailboxen op, 1 keer na vele jaren kregen we een hit, flink schrikken maar we hebben toch moeten concluderen dat het een false positive was.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Ik heb nog nooit gehoord van een hackgroup die daarmee akkoord ging, meestal is het alles in 1 keer. Vind bovendien maar is een betrouwbare escrow service die zo duidelijk met criminelen wil handelen.quote:
[..]
Daarom is het verstandig om via een escrow te onderhandelen, die betalen dan bijvoorbeeld jaarlijks een klein deel uit, tenzij blijkt dat ze alsnog lekken.
quote:
[..]
Misschien domme opmerking, maar wat is PII? Ik zit zelf redelijk in security maar ken de term niet, is dat iets specifieks voor zorg?
Edit: https://piwikpro.nl/blog/pii-niet-pii-en-persoonsgegevens/
Ja, dat klinkt eenvoudiger dan gezegt, ik zie vooral bij grotere organisaties dat er een wildgroei aan dit soort data is, ik heb een jaar of 8 terug bij een organisatie gezeten die met de komst van de AVG enorm geïnvesteerd heft om dit op orde te brengen, nu hadden zij ongeveer 30 applicaties en daarbij heeft het ongeveer 2 jaar met 4 man gekost om dat op orde te brengen, dus om in ieder geval alle profiel data naar 1 systeem te brengen, en alle anderen met slechts het klantnummer. Het is op zich ook niet heel moeilijk, het is alleen wel erg arbeidsintensief.
Alle data die te herleiden is naar een individueel persoon.; direct of indirect.quote:
[..]
Misschien domme opmerking, maar wat is PII? Ik zit zelf redelijk in security maar ken de term niet, is dat iets specifieks voor zorg?
Edit: https://piwikpro.nl/blog/pii-niet-pii-en-persoonsgegevens/
Ja, dat klinkt eenvoudiger dan gezegt, ik zie vooral bij grotere organisaties dat er een wildgroei aan dit soort data is, ik heb een jaar of 8 terug bij een organisatie gezeten die met de komst van de AVG enorm geïnvesteerd heft om dit op orde te brengen, nu hadden zij ongeveer 30 applicaties en daarbij heeft het ongeveer 2 jaar met 4 man gekost om dat op orde te brengen, dus om in ieder geval alle profiel data naar 1 systeem te brengen, en alle anderen met slechts het klantnummer. Het is op zich ook niet heel moeilijk, het is alleen wel erg arbeidsintensief.
Mij lijkt dat dit soort onderzoeksbedrijven juist weten met wat voor data ze omgaan. Uiteindelijk is het ook een probleem in de hele data-chain; want blijkbaar is een ziekenhuis van mening dat ze niet een simpel volgnummer geven voor een onderzoek; maar meteen alle data over de schutting gooien.
Als je een onderzoeksopdracht krijgt geef je die gewoon een nummer dat niet aan een persoon te herleiden is; en stuur je naar je opdrachtgever terug dat onderzoek x restultaat y heeft. Kan de opdrachtgever dat verder gaan koppelen.
Hack groepen moeten ook wel beetje betrouwbaar zijn. Anders gaat volgende keer niemand meer betalen natuurlijk.quote:
[..]
Ik heb nog nooit gehoord van een hackgroup die daarmee akkoord ging, meestal is het alles in 1 keer. Vind bovendien maar is een betrouwbare escrow service die zo duidelijk met criminelen wil handelen.
Universiteit in Maastricht heeft aantal jaar geleden bijvoorbeeld ook braaf centen overgemaakt en daarna konden ze weer bij hun data.
Op korte termijn mischien, maar dit soort hackersgroepen verdwijnen en komen weer naar boven onder andere namen. En er is al bewezen dat er geld aan die data te verdienen is. Waarom niet proberen er meer aan te verdienen?quote:
[..]
Hack groepen moeten ook wel beetje betrouwbaar zijn. Anders gaat volgende keer niemand meer betalen natuurlijk.
Universiteit in Maastricht heeft aantal jaar geleden bijvoorbeeld ook braaf centen overgemaakt en daarna konden ze weer bij hun data.
Blijven criminelen.
In jou voorbeeld: leuk voor de universiteit, maar er zijn ook gevallen bekend dat na betaling de decryptor niet bleek te werken. Of dat een organisatie opnieuw gegijzeld werd.
De grotere hackers-groepen die hebben toch een reputatie hoog te houden.quote:
[..]
Op korte termijn mischien, maar dit soort hackersgroepen verdwijnen en komen weer naar boven onder andere namen. En er is al bewezen dat er geld aan die data te verdienen is. Waarom niet proberen er meer aan te verdienen?
Blijven criminelen.
In jou voorbeeld: leuk voor de universiteit, maar er zijn ook gevallen bekend dat na betaling de decryptor niet bleek te werken. Of dat een organisatie opnieuw gegijzeld werd.
Ook die bestaan meestal niet meer dan een paar jaar. Ze doen graag alsof ze een naam willen hooghouden, en doen dat vaak ook wel gedurende die paar jaar dat ze bestaan, maar die zekerheid heb je niet.quote:
[..]
De grotere hackers-groepen die hebben toch een reputatie hoog te houden.
Zeker niet aan het einde van de lifecycle van zo een groep.
Je kan zeker mazzel hebben, maar uiteindelijk is er voor de hackers teveel te winnen door zich niet aan afspraken te houden.
[ Bericht 8% gewijzigd door #ANONIEM op 25-08-2025 16:48:23 ]
Ze zullen er ook liever niet mee te koop lopen, ik ben er vrij zeker van dat het wel gedaan word, als bedrijf wil je inmiddels ook gewoon bepaalde garanties.quote:
[..]
Ik heb nog nooit gehoord van een hackgroup die daarmee akkoord ging, meestal is het alles in 1 keer. Vind bovendien maar is een betrouwbare escrow service die zo duidelijk met criminelen wil handelen.
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
Andere brief 
[ Bericht 45% gewijzigd door Troel op 26-08-2025 14:39:00 ]
[ Bericht 45% gewijzigd door Troel op 26-08-2025 14:39:00 ]
troel (de ~ (v.), ~en)
1 [inf.] vrouw of meisje
2 trut
1 [inf.] vrouw of meisje
2 trut
Datalek bevolkingsonderzoek blijkt nog groter: zeker 700.000 vrouwen getroffen - https://nos.nl/l/2580325
troel (de ~ (v.), ~en)
1 [inf.] vrouw of meisje
2 trut
1 [inf.] vrouw of meisje
2 trut
Dat wordt een nog hogere schadeclaimquote:
Datalek bevolkingsonderzoek blijkt nog groter: zeker 700.000 vrouwen getroffen - https://nos.nl/l/2580325
Steun het Kiva Fok! team!
http://www.kiva.org/team/fok
http://www.kiva.org/team/fok
Netsplitter
#jesuisMasi
Clinical Diagnostics kan bovendien niet uitsluiten dat hackersgroep Nova de gegevens van alle vrouwen heeft kunnen inzien. Daarom houdt Bevolkingsonderzoek Nederland er nu rekening mee dat de gegevens van alle deelnemers zijn gestolen.
In totaal gaat het om 941.000 vrouwen die sinds 2017 meededen aan het bevolkingsonderzoek naar baarmoederhalskanker. Voor 226.000 vrouwen is niet vastgesteld dat hun gegevens zijn gestolen, maar de vrees is van wel.
Uit de NOS link.
Die zijn compleet gepwned.
In totaal gaat het om 941.000 vrouwen die sinds 2017 meededen aan het bevolkingsonderzoek naar baarmoederhalskanker. Voor 226.000 vrouwen is niet vastgesteld dat hun gegevens zijn gestolen, maar de vrees is van wel.
Uit de NOS link.
Die zijn compleet gepwned.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Je moet de betreffende instantie toch kunnen aanklagen?
Je wordt verplicht je gegevens te geven, hopende dat dat veilig is, en dan gaan anderen er met je gegevens vandoor...
Je wordt verplicht je gegevens te geven, hopende dat dat veilig is, en dan gaan anderen er met je gegevens vandoor...
Netsplitter
#jesuisMasi
Die kunnen sluiten.
OxygeneFRL-vrijdag 8 mei 2020 @ 08:52:59: Ik had een pleuris hekel aan je maar nu ik weet dat je tegen een vuurwerkverbod ben, hou ik van je.
Datalek bevolkingsonderzoek blijkt nog groter: zeker 700.000 vrouwen getroffen - https://nos.nl/l/2580325
Gaat dus waarschijnlijk om bijna een miljoen nu ineens.quote:In totaal gaat het om 941.000 vrouwen die sinds 2017 meededen aan het bevolkingsonderzoek naar baarmoederhalskanker. Voor 226.000 vrouwen is niet vastgesteld dat hun gegevens zijn gestolen, maar de vrees is van wel.
Dat hoeft niet, als ze hun security op orde hadden, dan kan er ook sprake zijn van overmacht.quote:
🕰️₿🕰️₿🕰️₿🕰️₿🕰️₿🕰️ TikTok next Block
|
|
