[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]
"[...] electronische patienteninformatie, paspoorten en financiële gegevens [...] Ook werd informatie aangetroffen van Europol, het samenwerkingsverband van Europese politiekorpsen, waaronder wachtwoorden. Behalve bedrijfsinformatie vond Reporter veel apparaten met privacygevoelige financiele informatie en paspoorten van particulieren. Maar ook vertrouwelijke patientendossiers van een huisarts in Amstelveen en een psychotherapeut in Amsterdam." [KRO Reporter, 2012-12-07]
"KRO Reporter onderzocht de veiligheid van randapparatuur zoals printers, scanners, camera's en netwerkschijven. Steeds vaker zijn deze apparaten uitgerust met webservers, die het mogelijk maken de apparaten op afstand, via internet te benaderen. Een aanzienlijk aantal merken blijkt standaard onbeveiligd te zijn, waardoor ze voor iedereen, waar ook ter wereld toegankelijk zijn. Dit probleem doet zich voor bij ondermeer printers van HP en netwerkschijven van iOmega. De kopers van de apparatuur zijn zich er meestal niet van bewust dat hun scanner of netwerkschijf toegankelijk is voor derden. Reporter heeft wereldwijd meer dan 50.000 onbeveiligde systemen gevonden en beschikt over een lijst met alle IP-adressen van toegankelijke apparaten. Uit een steekproef blijkt dat er veel informatie op de apparaten staat, die niet op het publieke internet thuis hoort." [KRO Reporter, 2012-12-07]
"Europol, de politieorganisatie van de EU, beheert zeer gevoelige informatie over grensoverschrijdende criminaliteit op een speciaal beveiligd intranet, dat door Orange wordt aangelegd. Een medewerker van Orange maakte thuis een back-up van de technische documentatie van dit beveiligde Europol-netwerk. Hij deed dat op een onbeveiligde iOmega netwerkschijf, die verbonden was met het open internet en waarop hij geen wachtwoord had ingesteld. Daardoor kon iedereen de gegevens bekijken en wist ook KRO Reporter ze vinden." [AG, 2012-12-06]
"Fabrikant iOmega erkent het probleem en zal n.a.v. de uitzending van KRO Reporter een software-update uitbrengen om het probleem met zijn netwerkschijven te verhelpen. Hewlett-Packard doet dat niet en zegt dat klanten zelf verantwoordelijk zijn voor het beveiligen van hun apparatuur." [KRO Reporter, 2012-12-07]
"Orange probeerde publicatie van het lek te voorkomen omdat openbaarmaking van de technische documentatie een 'droom voor hackers' zou zijn. Met de gevonden documenten zouden hackers bij de criminele dossiers kunnen komen die bij Europol liggen opgeslagen. Maar Europol zelf ontkent dat. Volgens [een woordvoerder] van Europol was het intranet afgesloten van de buitenwereld en zouden hackers er dus niet van buitenaf kunnen binnendringen. [...] Europol laat in een update aan Security.nl weten dat er door nalatigheid van de externe aannemer alleen sprake van een 'klein lek' was. Informatie over opsporingsdiensten of criminele zaken zou niet zijn gecompromitteerd. In tegenstelling tot wat de KRO beweert, zou er ook geen gevoelige informatie zoals gebruikersnamen, wachtwoorden of technische documenten van het 'zeer veilige interne netwerk' zijn gecompromitteerd. Door de werknemer van Orange zouden voornamelijk verouderde historische gegevens zijn gelekt." [Security.nl, 2012-12-06]
"De werknemer van Orange die gegevens van Europol lekte had de beste bedoelingen, zo laat het bedrijf tegenover Security.nl weten. De werknemer had een back-up gemaakt van gegevens van Europol en die op een netwerkschijf van iOmega opgeslagen. [...] Volgens Orange handelde de werknemer in strijd met de regels en protocollen van het bedrijf en zou het om een menselijke fout gaan. [...] Om herhaling te voorkomen is het beleid nogmaals onder alle werknemers onder de aandacht gebracht. 'Niet alleen in de Benelux, maar overal in de hele wereld. We zullen daarnaast technische maatregelen nemen om ervoor te zorgen dat dit soort dingen niet meer kunnen gebeuren.'" [Security.nl, 2012-12-07]
"Tegenover Computable wilde Orange Business Services wel reageren. [Het hoofd marketing en communicatie van de Benelux] hamert er vooral op dat er geen klanten in gevaar zijn geweest. 'Het probleem zat bij één iemand zijn persoonlijke harde schijf. Daar stond oudere klantinformatie op. Toen we hierop attent werden gemaakt, hebben we direct de impact bekeken. Al snel constateerden wij dat niemand in gevaar was. We hebben beleid dat werkgegevens niet op privéapparaten opgeslagen mogen worden en dat beleid wordt verder aangescherpt. Zo gaan we technische maatregelen doorvoeren zodat dergelijke informatie niet meer dan op de daarvoor bestemde zakelijke apparaten opgeslagen kan worden.' [Het hoofd marketing en communicatie van de Benelux] betreurt het lek en vindt dat Orange Business Services adequaat heeft gehandeld. 'We hebben direct een assessment gemaakt en alle klanten ingelicht waarvan er gegevens gelekt waren.' Naast Europol ging het namelijk om meer klantgegevens. [Het hoofd marketing en communicatie van de Benelux] wil niet zeggen om hoeveel klanten het gaat of welke bedrijven het betreft." [Computable, 2012-12-10]
"Het Nationaal Cyber Security Center (NCSC) waarschuwt internetgebruikers dat aan het internet gekoppelde apparaten zoals televisies, scanners en printers kwetsbaar voor aanvallers en malware zijn. De reactie van het NCSC volgt nadat KRO Reporter een probleem in de beveiliging van harde schijven en scanners aantoonde, waardoor gegevens van Unilever, ING en KLM op straat kwamen te liggen." [Security.nl, 2012-12-07]
2012-12-06
2012-12-07
2012-12-10