D9D1E2

Datalekken in Nederland

2014

Privégegevens toegankelijk op onbeveiligde FTP-servers (2014-05-11)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

Diverse organisaties.

Verwerking

Opslag op FTP-servers.

Betrokkenen

"[...] vele duizenden burgers [...]" [NOS, 2014-05-11]

Soort (persoons)gegevens

"Privacygevoelige gegevens van vele duizenden burgers [...] bijvoorbeeld kopieën van paspoorten, bankgegevens en bedrijfsadministraties. [...] Bedrijven en instellingen zetten op hun onbeveiligde servers vaak ook lijsten met alle inlognamen en wachtwoorden die medewerkers gebruiken. Verder is vaak hun hele administratie in te zien, net als gevoelige correspondentie over ontslagen en beoordelingen van personeelsleden." [NOS, 2014-05-11]

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Beschrijving van het incident

"Privacygevoelige gegevens van vele duizenden burgers zijn gewoon door iedereen in te zien, meldt Reporter Radio. Volgens het programma van de KRO-NCRV zijn 21.000 Nederlandse ftp-servers zo lek als een mandje. [...] Die gegevens zijn volgens de programmamakers binnen een paar seconden te vinden met een speciale zoekmachine. [...] Volgens Reporter Radio is het probleem waarschijnlijk veel groter: het Radio 1-programma keek alleen naar bedrijven die helemaal geen wachtwoord hadden ingesteld voor hun ftp-server, maar er zijn ook veel bedrijven die het standaardwachtwoord van de fabrikant gebruiken. Ook daardoor kunnen veel privégegevens worden ingezien." [NOS, 2014-05-11]

"Via FTP-servers is het mogelijk om allerlei bestanden op te slaan. Veel servers blijken echter geen of een standaard wachtwoord te gebruiken, waardoor iedereen op de server kan inloggen en toegang tot de bestanden kan krijgen. [...] Het gaat zowel om FTP-servers van bedrijven als consumenten. Veel consumenten zouden niet weten dat de apparaten die ze bijvoorbeeld voor het maken van back-ups gebruiken een FTP-server draaien en daardoor via FTP voor het internet toegankelijk zijn, maar ook bedrijven hebben het vaak niet door." [Security.nl, 2014-05-11]

Respons van de organisatie

"In de uitzending van Reporter wordt een ICT-bedrijf met een openstaande FTP-server geconfronteerd. Op de server staat de administratie van het bedrijf, waaronder paspoorten, pincodelijst, een ontslagbrief en leasecontracten. De informatie stond thuis zonder wachtwoord opgeslagen. De eigenaar van het ICT-bedrijf was zich er niet van bewust dat de informatie voor iedereen toegankelijk was. 'Je staat er niet bij stil dat dit soort lekken er zijn', laat de man weten. Hij vindt dat fabrikanten gebruikers beter moeten waarschuwen. 'Er zou eigenlijk een soort van bijsluiter bij moeten van let op', aldus de eigenaar over zijn server. 'Je ging ervan uit dat die dicht stond.'" [Security.nl, 2014-05-11]

Nasleep van het incident

"De VVD heeft staatssecretaris Teeven van Veiligheid en Justitie Kamervragen gesteld over een recente uitzending van het Radio 1-programma Reporter waaruit bleek dat er 21.000 onbeveiligde FTP-servers in Nederland zijn. [...] VVD-Kamerleden Oosten en Dijkhoff willen van Teeven weten of er gevallen bekend zijn waarbij gegevens van slecht beveiligde FTP-servers zijn misbruikt. Ook vragen ze welke (juridische) waarborgen er zijn om de privacygegevens van burgers op FTP-servers te beschermen. Verder moet Teeven antwoord geven op de vraag welke maatregelen het ministerie en het Nationaal Cyber Security Centrum nemen om burgers en bedrijven tegen misbruik van slecht beveiligde FTP-servers te beschermen en welke verantwoordelijkheden burgers zelf hebben om hardware en software veilig in te richten." [Security.nl, 2014-05-15]

"Aanbieders van software voor FTP-servers moeten gebruikers waarschuwen voor de potentiële gevaren die met het gebruik samenhangen, zo vindt minister Opstelten van Veiligheid en Justitie. Opstelten reageert op Kamervragen van VVD-Kamerleden Van Oosten en Dijkhoff over onbeveiligde FTP-servers." [Security.nl, 2014-07-04]

Bronnen

2014-05-11

2014-05-15

2014-07-04

.