Categorie op Datalekken

Boekhouder steelt via ongewijzigde inlogcodes 74.000 euro van ex-werkgever

Een man die als boekhouder voor een bedrijf werkte heeft na zijn vertrek door middel van ongewijzigde inlogcodes 74.000 euro van zijn ex-werkgever weten te stelen. Dat blijkt uit een gerechtelijk vonnis van de rechtbank Noord-Nederland.

De man gaat begin 2011 als boekhouder bij het bedrijf aan de slag. Daarnaast doet hij ook de boekhouding voor een tweede bedrijf. Als boekhouder kan hij geld overmaken van de rekeningen van de twee bedrijven. Tijdens zijn dienstverband bij zijn werkgever bleek hij geregeld het rekeningnummer van crediteuren te wijzigen in een door hem gebruikt rekeningnummer.

In totaal maakt de man van december 2011 tot december 2013 op deze manier ruim 228.000 euro over van de rekeningen van zijn eigen werkgever en het andere bedrijf waarvoor hij de boekhouding doet. Op 1 december 2013 wordt zijn dienstverband beëindigd. Ook nadat hij bij zijn werkgever is vertrokken gaat de man door met het uitvoeren van frauduleuze transacties.

Van 2 december 2013 tot en met 2014 weet de man met de inlogcodes van zijn ex-werkgever op de bedrijfs- en administratiesystemen in te loggen en maakt meer dan 74.000 euro over op zijn eigen rekening. “Daarmee heeft verdachte zich naast oplichting tevens schuldig gemaakt aan computervredebreuk”, aldus de rechter. Het geld geeft de man onder andere uit aan de aanschaf van goederen en gokken.

De man blijkt in 2002, 2003 en 2009 eerder te zijn veroordeeld voor oplichting, verduistering en witwassen. De rechter stelt dat een onvoorwaardelijke gevangenisstraf van achttien maanden in deze zaak passend is, maar besluit vanwege de tijd voordat de zaak voor de rechter kwam die te verlagen naar twaalf maanden.

Lees hier verder. © Security.nl

Datalek gemeente Leiden: persoonsgegevens op straat

De gemeente Leiden heeft de gegevens van ruim 130 adressen gelekt via haar website voor vergunningsaanvragen. De aanvraagformulieren voor onttrekkingsvergunningen waren per abuis als bijlage in dossiers op de website beland. De gegevens zijn na ontdekking deze week direct weer offline gehaald, waarna de gemeente middels een brief de gedupeerden op de hoogte heeft gebracht en haar ‘welgemeende excuses’ heeft aangeboden.

Onder meer burgerservicenummers, namen, adressen, geboortedata, e-mailadressen en telefoonnummers waren door jan en alleman in te zien. Indien een gedupeerde als ‘natuurlijke persoon’ de aanvraag heeft gedaan, zijn deze gegevens gelekt. Indien hij of zij namens een bedrijf de aanvraag heeft gedaan, zijn de bedrijfsgegevens online beland, in welk geval er formeel geen sprake is van een datalek.

De gemeente geeft aan dat zij niet precies weet hoe vaak de gegevens onrechtmatig gedownload zijn. Hoe reëel de kans op identiteitsfraude nu voor de gedupeerden is, kan de gemeente niet zeggen. Wel laat een woordvoerder desgevraagd weten dat ‘de getroffen maatregelen voldoende adequaat geacht worden om dit risico zoveel mogelijk te beperken’. De Leidse gemeente raadt de getroffenen wel op om alert te blijven.

De beheerder van de Leidse vergunningenwebsite kan deels inzien of de aanvraagformulieren daadwerkelijk gedownload zijn. De gemeente stelt in dat geval de gedupeerde hiervan op de hoogte. Zo valt in een brief die de lokale overheid aan één van de getroffenen stuurde, het volgende te lezen: “Uit onderzoek bij de beheerder blijkt dat uw dossiers met daarin de bijlage met uw persoonsgegevens in ieder geval eenmaal is geraadpleegd. Het kan zijn dat u dat zelf was en dat uw persoonsgegevens niet door een onbevoegde zijn ingezien. Echter, wij kunnen dit risico niet volledig uitsluiten. Wij raden u daarom aan alert te zijn op signalen van misbruik van uw persoonsgegevens of identiteitsfraude.”

© Sleutelstad.nl

Datalek bij Marktplaats: gebruikers ingelogd op profielen van anderen

Door een fout in de website van Marktplaats waren gebruikers afgelopen weekend per ongeluk ingelogd op de profielen van anderen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

Dat bevestigt Marktplaats tegenover RTL Nieuws, dat de afgelopen dagen verschillende meldingen ontving van mensen die zeiden opeens toegang te hebben tot het Marktplaats-account van een onbekende.

Het probleem is ontstaan door een update aan de website die Marktplaats afgelopen weekend heeft doorgevoerd. Toen is iets misgegaan waardoor een aantal gebruikers toegang had tot het account van iemand anders. Daar hadden ze naast de naam, het e-mailadres, de postcode en het telefoonnummer ook toegang tot advertenties, zoekopdrachten, chatgesprekken en betalingen.

Lees hier verder. © RTL Nieuws

Kaartjesdienst Omapost laat namen van drie klanten naar alle anderen uitlekken

De Nederlandse dienst Omapost heeft per ongeluk notificaties gestuurd naar de verkeerde gebruikers. De dienst stuurde de namen van drie personen naar mogelijk tienduizenden verkeerde afzenders. Volgens Omapost ging het om een test die verkeerd ging.

Met Omapost kunnen gebruikers fysieke kaartjes per post naar anderen sturen. Ook kan via de app een notificatie worden gestuurd naar iemand die jarig is. Bij een test op maandag verstuurde Omapost per ongeluk de namen van drie personen naar verkeerde ontvangers.

Omapost zegt tegen Nu.nl dat het kan gaan om tienduizenden ontvangers. Daarbij zijn de verjaardagen van de personen zelf niet verstuurd. De notificatie werd gestuurd ‘op de dag dat een gebruiker vorig jaar een kaart verstuurde’, zegt Omapost tegen Nu.nl. Dat hoeft niet per se een verjaardagskaart te zijn.

Volgens Omapost ging het om een fout. De personen waarvan de naam werd verstuurd, waren niet gekoppeld aan een andere gebruiker. Omdat zo’n koppeling ontbrak, werden de namen naar alle gebruikers van de dienst gestuurd.

Omapost zegt dat het melding van een datalek heeft gedaan bij de Autoriteit Persoonsgegevens.

Lees hier verder. © Tweakers.net

Ik heb een datalek ontdekt. Moet ik dit melden bij de Autoriteit Persoonsgegevens?

Deze vraag krijg ik in vele varianten, daarom een algemeen antwoord vandaag: Ik heb bij een [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt. Ik kan namelijk [vulmaarin] en daar ben ik best wel van geschrokken. Dit lijkt me een datalek in de zin van de AVG, ben ik nu verplicht dit te melden bij de Autoriteit Persoonsgegevens?

Antwoord: Er is geen algemene meldplicht dat wanneer je ergens een datalek aantreft, je dit moet melden bij de Autoriteit Persoonsgegevens. Sterker nog, er is op papier zelfs geen enkele reden om dat te doen. (Dit is anders dan bij aangifte van strafbare feiten, die iedereen mag doen die daar kennis van heeft.)

Inderdaad kent de AVG een meldplicht datalekken. Maar die geldt alleen voor verwerkingsverantwoordelijken die zélf een datalek hebben, niet voor partijen die elders een datalek ontdekken. Als je dus bij die [klant|leverancier|kennis|willekeurige website|app] een datalek ontdekt, dan is het dus genoeg om bij die partij een melding te doen (bij voorkeur bij de functionaris gegevensbescherming, als die er is) en dan moeten zij het zelf oppakken.

Dit geldt ook als je leverancier, partner of andere zakenrelatie van die [klant|leverancier|kennis|willekeurige website|app] bent. Mogelijk ben je dan een verwerker namens hen. Het ligt dan nog sterker: dan ben je juridisch gezien verplicht een melding te doen, maar ook dan moet het bij de verwerkingsverantwoordelijke. Als verwerker stap je niet naar de AP maar naar de klant dus. En ook dan moet de klant het oppakken en de melding doen bij de AP.

Heb je het idee dat die klant het niet goed oppakt, of weet je niet waar deze te bereiken, dan kun je bij de Autoriteit Persoonsgegevens een klacht indienen. Daarin beschrijf je dan het vermoedelijke datalek en het wat en hoe dat je hebt gevonden. Zij kunnen dat dan vergelijken met het datalek zoals dat een paar dagen later (hopelijk) wordt gemeld, of een onderzoek starten om zelf vast te stellen of er een datalek is geweest.

Natuurlijk kun je ook een journalist raadplegen. Een datalek bij een bedrijf of populaire internetdienst is al snel nieuwswaardig, en een journalist weet hoe je daar zorgvuldig bericht van doet (inclusief melden bij het bedrijf zelf). Bovendien kan een journalist je bronbescherming geven.

Lees hier verder. © Security.nl