Datalekken orde van de dag, welke les kun je hier uit trekken?

Sinds de invoer van de Datalekkenmeldplicht gaat er geen week voorbij dat we niet van een nieuwe securitybreach horen. De meeste datalekken waar we van horen, betreffen datalekken die op zeer grote schaal persoonsgegevens zijn “kwijtgeraakt”.

Hoewel de “verwerkings­verantwoordelijke” buitenstaanders zelden een dusdanig kijkje in de keuken gunt dat we alles weten, kunnen we naar aanleiding van de details die wél zijn gedeeld met het publiek  een korte analyse treffen over hoe dit wellicht in jouw organisatie voorkomen zou kunnen worden. 

Datalek de Persgroep

Webformulieren & bewaartermijn. 

Binnen de Persgroep, een grote verzameling van verschillende media/kranten,  heeft een hacker  de gegevens van 350.000 personen buitgemaakt.  Door het datalek zijn e-mailadressen, namen, adressen en woonplaatsen in onbekende handen gekomen. Daarnaast zijn er van meerdere klanten ook telefoonnummers en bankrekeningnummers gelekt.  

Helaas weten we niet alle details van dit lek, maar het volgende is wel bekend gemaakt: 
Het lek lijkt te zijn ontstaan doordat de gegevens die in een online webformulier zijn ingevuld.  Binnen de AVG wordt aangegeven dat gegevens niet langer bewaard mogen blijven dan noodzakelijk en dat er daarom strikte bewaartermijnen moeten worden ingesteld. Vraag die dan nu ook oprijst: hoe is het mogelijk dat contactformulieren zolang werden opgeslagen in de database van de Persgroep, dat er 350.000 mensen gedupeerd zijn? Want dit is een dusdanig aantal, dat zelfs wanneer je in achting neemt dat de Persgroep heel veel organisaties onder zich schaart, dit nog steeds waarschijnlijk wel een database betreft die in meerdere jaren opgebouwt is. 
Wat daarnaast ook een goede vraag is, nog los van de periode dat deze formulieren zijn bewaard, was het daadwerkelijk nodig om ze zolang in een online database te bewaren? Haal je ze offline, dan verminder je uiteraard al aanzienlijk het risico op een datalek. 

Wat ook een boeiend aspect was in dit datalek, is dat pas naderhand bekend werd dat er ook telefoonnummers en bankrekeningnummers waren gelekt. Dit, omdat deze vrij invulbaar in een veld in het invoerformulier. 

Lessen voor je bedrijf

Stel een bewaartermijn in voor je contactformulieren en verwijder ze daarna. Een mooie richtlijn is deze 6 weken te bewaren in de mail, maximaal 2 dagen in op je website.  Heb je ze toch voor een langere periode nodig, zorg er in ieder geval voor dat ze niet te lang op je website bewaard blijven. Mocht je tevens een contactformulier vanuit je website onder ogen krijgen die gevoelige of bijzondere persoonsgegevens bevat in een vrij invoerveld, behandel/ verwijder deze dan met extra zorg en snelheid. 

Datalek Timehop

Wachtwoordbeleid, Rechtenverdeling & Tweefactor-Authenticatie

Timehop maakte maandag 9 juli bekend dat er persoonsgegevens van 21 miljoen van zijn gebruikers zijn buitgemaakt. Timehop is een app waarmee het mogelijk is om oude berichten van onder andere Facebook en Twitter op te halen en met vrienden te delen.  
De manier waarop het lek is ontstaan, kwam doordat een ongeautoriseerd persoon binnen de Cloud Computing-omgeving van Timehop wist in te loggen via een legitiem account en zich daarna wist te registreren als een beheerder binnen die omgeving. Dit gebeurde op 19 december 2017. Hieropvolgend heeft deze ongeautoriseerde gebruiker meerdere malen ingelogd om het systeem te analyseren, waarna er op 4 juli een gerichte aanval is geweest, waaronder op de productie database. Daar zijn door de aanvaller(s) onder andere de namen en e-mailadressen buitgemaakt, als ook van 4.7 miljoen mensen de telefoonnummers. Voor meer informatie hun uitleg

Lessen voor je bedrijf

 Zorg ervoor dat onbevoegden niet kunnen inloggen via een inloggegvens van een legitiem account binnen jouw omgeving. Zorg ervoor dat je regelmatig je wachtwoorden wijzigt, accounts niet gedeeld worden en maak gebruik van Two Factor Authenticatie. Dat laatste had vermoedelijk deze aanval kunnen stoppen. Zorg er daarnaast voor dat je een duidelijke rechtenstructuur hebt in je gebruikersbeheer en dat je deze met regelmaat controleert op juistheid als ook actualiteit. 

Datalek Ticketmaster

Third-Party Software, Databasetoegang & Signalering 

In Groot Brittanië is er bij Ticketmaster een groot datalek geconstateerd onder de klanten die betalingen hebben gedaan tussen juni 2017 en juni 2018.  E-mailadressen, wachtwoorden, NAW en betalingsgegevens zijn buitengemaakt. 
Het beveiliginglek is ontdekt in een stuk maatwerk code die de chatbot Inbenta had gemaak voor Ticketmaster, die daarna o.a andere is ingezet in de betalingspagina. Kwaaddoener was 1 stuk JavaScriptcode, die zichzelf toegang wist te verlenen tot de database van Ticketmaster. Zowel Inbenta als Ticketmaster wijzen op dit moment de vingers naar elkaar wie hierin de schuldige partij is. Inbenta zegt dat ze niet wisten dat hun code op zo’n gevoelige plek als een betaalpagina werd ingezet en ze dit anders hadden afgeraden, Ticketmaster zegt dat de software niet in hun beheer was. 
Extra saillant detail is dat de Britse Bank Monzo in april reeds aan Ticketmaster heeft doorgeven dat ze een datalek vermoedden, omdat er 50 gevallen van creditcardfraude waren gesignaleerd, waar de betaler net voor die tijd een transactie met Ticketmaster had voltooid. Is dit het geval, dan was het datalek reeds 76 dagen bekend, voordat deze aan de Toezichthouders als ook het breder publiek was doorgegeven. Dit zou beteken dat de wet is overtreden en Ticketmaster een hoge boete riskeert,  datalekken moeten namelijk binnen 72 uur worden gemeld aan de Toezicht houder. 

Lessen voor je bedrijf

Kijk altijd extra goed uit met software-implementatie van derde partijen in jouw systeem, deze  zijn vaak de veroorzakers van de datalekken. Zorg er daarnaast voor dat je website of applicatie de rechten controleert van apps die toegang vragen tot de database en vraag je webdeveloper hierover mee te denken. Het is namelijk zeer kwalijk dat een stukje JavaScript- snippet zichzelf  tot dit niveau toegang kan verlenen in de gehele betalingsdatabase. Zorg er daarnaast voor dat externe bronnen, of ze nou een live-chatbot of een cookie zijn, geen inzage kunnen krijgen in de gevoelige invoervelden, laat staan de database. En wordt er een datalek gesignaleerd, onderneem dan meteen actie en meld deze bij de Autoriteit persoonsgegevens. 

Heb jij een datalek? Binnen AVG Cloud Register kun je deze documenteren. Heb je advies nodig over veilige implementatie van voorzorgsmaatregelen binnen je bedrijf, neem dan contact met ons op.