Gegevens van onbekend aantal Porsche-kopers is gestolen van usb-stick

Gegevens van klanten die tussen 2009 en 2017 in Nederland een Porsche hebben gekocht zijn gestolen. Het gaat om naw-gegevens en facturatiegegevens, die op een usb-stick stonden. Het is niet bekend om hoeveel slachtoffers het gaat.

De gegevens zijn gestolen bij Pon Porsche Nederland, de Nederlandse Porsche-verkoper. Pon Porsche waarschuwt klanten van het datalek in een e-mail die inmiddels verschillende tweakers hebben ontvangen.

De gegevens stonden volgens de e-mail op een usb-stick die fysiek is gestolen bij een vestiging. Het gaat om factuurgegevens van klanten die tussen 2009 en 2017 een Porsche hebben gekocht. Op de usb-stick stonden namen en adressen, e-mailadressen, en 'facturatiegegevens'.

Het is niet duidelijk of er ook rekeninggegevens of data van rijbewijzen op de stick stonden. Porsche was niet bereikbaar voor commentaar, maar zegt tegen RTV Utrecht geen antwoord te willen geven op vragen 'uit oogpunt van de klantrelatie'.

Het is daarom ook niet duidelijk of de usb-stick was versleuteld, of hoeveel klanten er precies getroffen zijn door het datalek. Porsche zegt melding te hebben gedaan bij de Autoriteit Persoonsgegevens, wat verplicht is bij een datalek. Ook heeft het bedrijf aangifte gedaan bij de politie.

Porsche zegt dat het alle getroffen klanten heeft geïnformeerd. Het bedrijf waarschuwt de klanten alert te zijn op phishing.

Lees meer

Reacties (115)

DeArmeStudent
5 juni 2020 19:37

Stel: de data stond wel versleuteld op de USB-stick. Wordt het stelen ervan dan nog steeds opgevat als datalek?

Zijn de maatregelen die nu getroffen zijn (alle klanten informeren met een email) geen bewijs dat de data op de usb-stick niet versleuteld was?

-Elmer-
@DeArmeStudent • 5 juni 2020 22:47

Volgens mij zie je dat goed dat het een niet-versleutelde USB-stick betreft. Verlies van een (goed) versleutelde gegevensdrager, zonder dat daarbij de sleutel is buitgemaakt, is wél een datalek, maar niet een die gemeld hoeft te worden of waar betrokkenen van op de hoogte hoeven te worden gesteld. Daar betrokkenen wél op de hoogte zijn gebracht kun je denk ik wel stellen dat de USB-stick niet was versleuteld. Zie: Meldplicht datalekken autoriteit persoonsgegevens

[Reactie gewijzigd door -Elmer- op 5 juni 2020 22:48]

joeri1

@-Elmer- • 7 juni 2020 15:22

Dat hoeft dus niet, gegevens kunnen prima versleuteld zijn:

In zijn advies 03/2014 over de melding van inbreuken heeft de WP29 uitgelegd dat een inbreuk op de vertrouwelijkheid van persoonsgegevens die met een geavanceerd algoritme zijn versleuteld nog steeds een inbreuk in verband met persoonsgegevens is en moet worden gemeld. Is de sleutel echter nog steeds vertrouwelijk – d.w.z. de sleutel is bij geen enkele inbreuk gecompromitteerd en is zodanig gegenereerd dat hij niet met beschikbare technische middelen kan worden achterhaald door iemand die niet bevoegd is om er toegang toe te hebben – dan zijn de gegevens in principe onbegrijpelijk. Het is in dat geval onwaarschijnlijk dat de inbreuk nadelige gevolgen heeft voor personen en daarom zou geen mededeling aan die personen vereist zijn.

Wat ik hier uithaal is dat ze liever hebben dat je het meld maar dit niet verplicht is mits de sleutel niet comprimeert is/kan worden.

bron: https://autoriteitpersoon...meldplicht_datalekken.pdf [pagina 21]

sprankel
@DeArmeStudent • 5 juni 2020 19:56

Ja, het is niet omdat wachtwoorden versleuteld zijn dat ze niet rond gestuurd worden. Ook al is de volledige data versleuteld je weet nooit of men er in slaagt die gegevens te decrypten al dan niet in de (verre) toekomst. Dat is namelijk een probleem met versleuteling, mits genoeg rekenkracht is het altijd wel te kraken, de truc zit erin dat je dusdanig veel rekenkracht nodig hebt dat het niet te doen is tenzij je de geheime sleutel hebt maar die rekenkracht neemt exponentieel toe dus vroeg of laat hang je.

Stannieman
@sprankel • 6 juni 2020 13:46

Dat het vroeg of laat ontsleuteld kan worden heb je altijd.
Ook als je je hier aanmeldt op Tweakers stuur je je wachtoord over een versleutelde verbinding, en dat versleutelde wachtwoord passeert langs je ISP, allerlei internet exchanges en dergelijke. Dus eigenlijk "lekt" iedereen constant overal versleutelde data in het rond.

Stel dat de data op deze stick versleuteld was.
Stel ook dat diezelfde data onversleuteld wordt verzonden naar een andere medewerker, maar wel via een SSL-verbinding. Er zou in het laatse geval geen sprake zijn van een datalek. Echter is het eindresultaat hetzelfde: er is data in versleutelde vorm zomaar naar buiten gebracht. Of dat nu verleuteld op een stick is of in versleutelde netwerkpakketjes op servers van je ISP die je zonet afgeluisterd heeft, dat doet er niet toe.

Heel het principe van encryptie is ook nooit geweest dat het nooit te kraken is. Het is erop gebaseerd dat het niet te kraken is binnen nuttige tijd. Dat wilt zeggen dat ALS we er binnen 100 jaar in slagen de data te ontsleutelen zonder de key, de data dan al lang waardeloos is. Want wat ben je nu met een wachtwoord of persoonlijke gegevens van 100 jaar oud?

Het is dus wel degelijk relevant of de data al dan niet versleuteld was, en ik ga er dus ook vanuit dat dat niet het geval was want anders was er eigenlijk niks aan de hand.

[Reactie gewijzigd door Stannieman op 6 juni 2020 13:48]

sprankel
@Stannieman • 7 juni 2020 05:05

Dat zou fantastisch zijn dat we de encryptie pas in 100 jaar kunnen kraken, dat zou willen zeggen dat we er nog nooit 1 gebroken hebben, reken eerder op 10 tot 20 jaar.

Het probleem is dat jij rekent in hoeveel tijd je vandaag nodig zou hebben om wat we vandaag hebben te kraken en ja, dan heb je 100 jaar nodig. De truc is 10 jaar wachten en dan je exponentieel toegenomen rekenkracht te gebruiken. Dan nog op voorwaarde dat niemand een fout vind of er in slaagt slimmere techniek te gebruiken. En gezien het heel lang duurt tegen iedereen over is op een nieuwe standaard, die 10 is eerder de realiteit dan 20.

Er is een reden waarom we de ene na de andere encryptie standaard de wereld in sturen.

Het klopt dat ISP's mijn data kunnen bijhouden echter dat is security through obscurity, niemand heeft genoeg opslag om al het netwerkverkeer op te slagen en zelfs al zouden ze dat proberen en dus al het netwerkverkeer bijhouden, dan hebben ze zoveel data dat ze er nooit aan uitgeraken.

Echter als ik een versleutelde data heb en ik weet dat wat er in zit interessant is, dan kan ik wel wat geduld hebben, op voorwaarde dat het niet versleuteld is met een achterhaalde versleuteling.

Wat betreft SSL verbindingen, SHA1 SSL is de wereld uit, SHA2 is nu de standaard maar SHA3 bestaat ondertussen ook al 5 jaar, super lang gaat het niet meer duren voor SHA2 eruit moet.

Het is een kat en muis spelletje waarbij encryptie tijd koopt, maar bijlange niet zoveel tijd als jij denkt.

w4v3g0d
@DeArmeStudent • 5 juni 2020 20:22

Het zit hem al in het woord zelf; datalek. Er lekt ergens data. De data is gelekt.

Wat er daarna mee gedaan word is dan nog maar de vraag. Maar de data is hoe dan ook gelekt.

Oon

@DeArmeStudent • 5 juni 2020 20:43

Het is een datalek wanneer er iemand onbedoeld toegang heeft gekregen tot gegevens. Het maakt niet uit hoe deze gegevens opgeslagen staan of op welke manier er toegang is geweest, als de conciërge door het raam naar binnen kijkt en op een beeldscherm gegevens kan lezen is er al sprake van een datalek.

Dus ja, dit is zeker ook een datalek.

ASS-Ware
5 juni 2020 22:56

Quote:
Het is niet duidelijk of er ook rekeninggegevens of data van rijbewijzen op de stick stonden

Waarom zou Porche gegevens over rijbewijzen moeten opslaan?

James3
@ASS-Ware • 5 juni 2020 23:21

Een auto (elke auto, niet alleen Porsche) is een potentiele ramp als iemand er in gaat rijden zonder rijbewijs. Dus een check daarop is niet meer dan logisch. Het beste bewijs dat dit gecontroleerd is, is een kopie ervan.

Verder moet een auto ook tenaamgesteld worden (RDW). Dit doet de verkoper/dealer en ook hiervoor zijn gegevens van de toekomstige eigenaar nodig.

Voor het bezit van een auto moet je wegenbelasting betalen, ook dit wordt door de dealer afgehandeld.

En (dure) auto's zijn een eenvoudige manier om geld wit te wassen dus ook daarom wil je precies weten wie wat aanschaft en met welke middelen. Als je dan toch een ID vraagt, is een rijbewijs wel zo handig.

Als je als bedrijf iets verkoopt, maak je een factuur. Het is wenselijk deze persoonlijk te maken (als ik aan Jan een auto verkoop, hoef ik Piet geen service te verlenen). En waar kan je betrouwbare persoonsgegevens vinden? Op een ID (rijbewijs of paspoort).

edit:
Wat me nog te binnen schiet: stel jij wil een proefrit maken in een Porsche. Denk je dat Pon jou een auto van 100 mille meegeeft zonder je rijbewijs te zien?

[Reactie gewijzigd door James3 op 5 juni 2020 23:22]

ASS-Ware
@James3 • 5 juni 2020 23:26

Een auto (elke auto, niet alleen Porsche) is een potentiele ramp als iemand er in gaat rijden zonder rijbewijs. Dus een check daarop is niet meer dan logisch. Het beste bewijs dat dit gecontroleerd is, is een kopie ervan.

Verder moet een auto ook tenaamgesteld worden (RDW). Dit doet de verkoper/dealer en ook hiervoor zijn gegevens van de toekomstige eigenaar nodig.

Voor het bezit van een auto moet je wegenbelasting betalen, ook dit wordt door de dealer afgehandeld.

En (dure) auto's zijn een eenvoudige manier om geld wit te wassen dus ook daarom wil je precies weten wie wat aanschaft en met welke middelen. Als je dan toch een ID vraagt, is een rijbewijs wel zo handig.

Als je als bedrijf iets verkoopt, maak je een factuur. Het is wenselijk deze persoonlijk te maken (als ik aan Jan een auto verkoop, hoef ik Piet geen service te verlenen). En waar kan je betrouwbare persoonsgegevens vinden? Op een ID (rijbewijs of paspoort).

edit:
Wat me nog te binnen schiet: stel jij wil een proefrit maken in een Porsche. Denk je dat Pon jou een auto van 100 mille meegeeft zonder je rijbewijs te zien?

Inzien is genoeg, opslaan is niet nodig.

James3
@ASS-Ware • 5 juni 2020 23:35

Dan geen Porsche voor ASS-ware...

Jerie

@James3 • 6 juni 2020 14:51

Maar wel een GDPR request voor Porsche verkopers zoals Pon

James3
@Jerie • 6 juni 2020 15:47

Dat is terecht. Opslaan is 1 ding, het moet wel veilig gebeuren.

Blokker_1999

Datalek
Nederland
Beveiliging en antivirus

@James3 • 6 juni 2020 10:39

Voor zover ik weet is er geen enkele verplichting die stelt dat de koper van een wagen ook over een rijbewijs moet beschikken. Dat de bestuurder een rijbewijs moet hebben klopt wel.

James3
@Blokker_1999 • 6 juni 2020 12:38

Een auto moet ook verzekerd worden, hoe ga je dat regelen zonder rijbewijs?

TheMaxMan
@James3 • 6 juni 2020 12:55

Weet niet hoe het in Nederland zit, maar in België kan je een auto verzekeren die niet op jouw naam is ingeschreven.

mjz2cool
@James3 • 6 juni 2020 13:21

Zonder rijbewijs kan dat meestal niet, maar dat is dan ook geen probleem toch? De verkoper hoeft nog steeds niet over het rijbewijs te beschikken.

Het.Draakje
@James3 • 6 juni 2020 13:33

Ik was niet-ingezetene, mijn vrouw was ingezetene. Ik kan hem niet kopen al mocht ik hem wel betalen. De auto staat daarom op haar naam. De verzekering ook. De verzekering stelt wel dat er een bestuurder moet zijn met een rijbewijs (ik).

Aan alle wettelijke en contractuele verplichtingen voldaan.

De bestuurder moet een rijbewijs hebben, tenzij de auto uitsluitend op privé terrein gebruikt wordt, dan vervalt zelfs die eis. Al zal de verzekering daar zeker op aandringen.

Anoniem: 498327
@James3 • 8 juni 2020 05:59

Je kunt een auto kopen en in je huis of op de oprit zetten. Valt het gewoon onder de inboedel.

sprankel
@James3 • 7 juni 2020 05:16

Er is geen wet die zegt dat je een rijbewijs moet hebben om een voertuig aan te kopen, er is geen wet die zegt dat je een rijbewijs moet hebben om een voertuig te verzekeren en er is geen wet die zegt dat je uberhaupt een voertuig moet inschrijven.

Die verplichten beginnen als je een voertuig op de openbare weg wilt gebruiken maar ook daar is de verplichting lauter, het voertuig moet ingeschreven zijn, het moet verzekerd zijn en wie dan ook achter het stuur moet een rijbewijs hebben.

Als ik een Porsche koop voor een 10 jarig kind en ik laat hem daarmee op privé terrein rond rijden dan is dat buiten dat ik mogelijks een kind in gevaar breng wat niet mag, geen probleem met de wet.

En auto's worden massaal op rechtspersonen ingeschreven als ze nieuw zijn, dus de inschrijver is niet eens een mens maar een vennootschap. En diezelfde rechtspersoon sluit een verzekering af. Maar een rechtspersoon dat een rijbewijs heeft, dat gaat nogal moeilijk worden op het rijexamen.

Overigens ik heb mijn eerste wagen gekocht zonder rijbewijs, ik heb hem ingeschreven zonder rijbewijs, ik heb hem verzekerd zonder rijbewijs, allemaal op mijn eigen naam, daarna een tijdelijk rijbewijs gehaald en 6 maand later heb ik mijn rijbewijs gehaald. Ik had maar 1 probleem, de hoogte van de premie

[Reactie gewijzigd door sprankel op 7 juni 2020 05:19]

Xfade
@ASS-Ware • 6 juni 2020 14:00

Waarom uberhaubt op een usb stick..

thijs96
5 juni 2020 19:30

Wie zet nu ook dit soort data op een USB stick?

Dit is hoe er wordt omgegaan met de data van mensen.

dasiro
@thijs96 • 5 juni 2020 20:09

in het merendeel van de bedrijven is geen data-loss prevention policy, laat staan dat er vertrouwelijk mee wordt omgegaan. Het zou volgens de regeltjes niet mogen, maar je wil niet weten op hoeveel ontelbare plaatsen jouw gegevens open en bloot te vinden zijn door werknemers die er helemaal geen toegang tot horen te hebben en op nog minder plaatsen zijn er voorzorgsmaatregelen genomen dat die gegevens dan ook nog eens binnen het bedrijf blijven. Er zullen maar weinig mensen heiliger dan de paus zijn en een werkbaar georganiseerde structuur hebben die daar volledig aan voldoen, het vaakst nog IT-bedrijven en banken, maar in andere sectoren ...

Gomez12
@dasiro • 5 juni 2020 21:18

in het merendeel van de bedrijven is geen data-loss prevention policy, laat staan dat er vertrouwelijk mee wordt omgegaan.

Omdat dat vaak genoeg in de software al geregeld is, beetje erp-systeem laat niet jan & alleman zomaar alle gegevens exporteren

dasiro
@Gomez12 • 5 juni 2020 22:42

dat zou ik niet durven zeggen. Eens je genoeg rechten hebt om bvb facturen te bekijken in dingen als SAP, Oracle, AX, ... dan heb je vaker wel dan niet ook rechten om daar lijsten van te exporteren, om nog maar te zwijgen over de beruchte pdf en xls-bestandjes die overal wel rondslingeren

Torgo
@thijs96 • 5 juni 2020 19:52

De drager maakt op zich niet zoveel uit, een RAID 10 NAS systeem kan je ook stelen. Wat het verhaal niet verteld is hoe deze data fysiek beveiligd was (kluis, alarm systeem, etc) en hoe de data beveiligd was (encryptie). Zonder die informatie is er weinig te zeggen over de beveiliging en dus de nalatigheid van de betreffende partij. Maar aangezien ze er geen uitspraken over doen, kunnen we er vanuit gaan dat beiden slecht waren totdat het tegendeel is bewezen.

Megamind
@thijs96 • 5 juni 2020 20:04

Marketing, sales pr etc. Vaak zijn deze afdelingen een stuk minder geïnteresseerd in privacy en beveiliging.

mjl
@thijs96 • 5 juni 2020 19:36

Ik dacht hetzelfde, data hoort niet buiten de normale bedrijfssystemen gekopieerd te worden. Er zijn Genoeg Veiligere mogelijkheden om data te delen.

dakka
@thijs96 • 5 juni 2020 19:51

waarschijnlijk staat dit allemaal op een computer van de boekhouding van Pon Porche en kwam er een nieuwe computer, ik ga er niet van uit dat ze een ICT team in dienst hebben om dit soort dingen te migreren als ik de gemiddelde autohandelaar ken

MrMarcie
@dakka • 5 juni 2020 19:56

PON heeft een prima eigen ICT afdeling. Dat zal het issue niet zijn.

dakka
@MrMarcie • 5 juni 2020 19:58

ben je er bekent mee?

Wim-Bart
@MrMarcie • 5 juni 2020 23:28

PON staat niet echt bekend als met de klant meedenkend, en met de klant voorop, dus het zou PON zomaar geweest kunnen zijn.

Wat ik niet snap is dat er zo veel gecertificeerde beveiligde USB sticks/USB media zijn, dat de data veilig was geweest. Kwestie van €100 voor een stick in plaats van €0,95.

sprankel
@thijs96 • 5 juni 2020 19:51

Evenement dat je organiseert voor je klanten, even een export naar een Excel file om aan te duiden wie er komt en wie je extra in de watten moet leggen, snel even op een usb stick zodat je het tijdens het evenement waar je rond loopt zonder laptop het kan inpluggen in iedere computer en snel de lijst tevoorschijn kan toveren bij de receptie die de mail niet kan vinden.

Waarom facturatiegegevens? Dat is het wie je extra in de watten moet leggen gedeelte.

Geen idee of het zo gegaan is maar het is niet perse een databank dump die erop stond.

Gomez12
@sprankel • 5 juni 2020 21:15

Geen idee of het zo gegaan is maar het is niet perse een databank dump die erop stond.

Wat jij beschrijft is gewoon een database dump hoor, het is alleen niet een volledige...

draadloos
@thijs96 • 5 juni 2020 19:32

Wellicht als backup? wie zegt dat die stick open en bloot ergens gelegen heeft?

mjl
@draadloos • 5 juni 2020 19:34

Backup op een usb stick..... leuk voor thuis, niet bedrijfsmatig...

draadloos
@mjl • 5 juni 2020 19:35

Waarom niet? Als die na maken van de backup in de kluis verdwijnt, prima toch? Ik gebruik die ook voor onze keepass database etc.

mjl
@draadloos • 5 juni 2020 19:39

Weinig betrouwbaar, en te makkelijk kwijt te raken

lijkt me dat er bij Porsche wel wat meer professionele systemen zijn om backups op te slaan dan een usb stick, dus snap ik inderdaad niet waarom dit soort data op een usb stick gezet zou worden.

draadloos
@mjl • 5 juni 2020 19:41

Weinig betrouwbaar? Ik heb hier usb sticks van 6 jaar oud die nog prima werken. Elke maand wordt daar een bestand op bijgewerkt. Dus ik weet elke maand of de stick nog prima is. De kans dat ik de backup nodig heb, en de stick defect is, is dus nihiel.

w4v3g0d
@draadloos • 5 juni 2020 19:47

Dat jij een aantal 6 jaar oude USB sticks wil hebben zegt vooralsnog helemaal niks over de algemene betrouwbaarheid van die dingen. Anekdotisch bewijs ≠ statistisch bewijs.

Een USB stick als opslagmedium voor dergelijke data gebruiken is simpelweg niet professioneel en absoluut niet acceptabel, want hetgeen waar het artikel over gaat is nou een mooi voorbeeld waarom dit niet een betrouwbaar opslagmedium is voor dergelijke data.

Het is simpelweg onacceptabel om zoiets te laten gebeuren, en toch komen bedrijven er altijd van af met een "Ja, sorry. Wij konden ook niet voorspellen dat dit zou gaan gebeuren, maar we zullen er in de toekomst beter op letten. Echt waar." terwijl er in de werkelijkheid vaak het tegendeel word bewezen.

Maar dat is iets wat nog moet blijken, een kwestie van tijd als je het mij vraagt.

Edit; het is natuurlijk wel erg afhankelijk van welke informatie op welk opslagmedium staat. In dit geval zijn het persoonsgegevens van klanten die north of 100k neerleggen voor een auto of een maandelijkse lease hebben waar je flinke bedragen voor neer telt.
Dan mag je er van uit gaan dat er wel wat zorgvuldiger met de, bij hun bekende, data word om gegaan.

Misschien een beetje grove vergelijking, maar dat zou het zelfde kunnen zijn met een een wereldleider die de unlock & launch codes voor een nuke naast elkaar in een notitieblokje heeft geschreven en die ineens foetsie is.
In zo'n situatie voldoet een notitieboek gewoon niet.
Net zo min als dat in deze situatie een USB stick niet voldoet voor het doel.

[Reactie gewijzigd door w4v3g0d op 5 juni 2020 19:53]

draadloos
@w4v3g0d • 5 juni 2020 19:50

Ok. De stick lag in een beveiligde ruimte. Wat is als ik nu mijn backup op een usb harddisk maak? Of op een LTO tape? Past nog steeds bijna in een broekzak. Maakt dat de backup wel professioneler?

Wat vind jij een professioneel opslagmedium voor zulke data, en welke de garantie geeft niet zomaar meegenomen te worden? 8" floppy's? Magneetbanden? Of ponskaarten?

w4v3g0d
@draadloos • 5 juni 2020 19:57

Op een servertje ergens ter wereld, te bereiken vanaf een laptop van werkgever met wachtwoord & 2 factor authenticatie.
Een versleuteld cloud-account ergens met 2FA.

Dat zijn al 2 simpele optie's die in heel veel opzichten veiliger zijn dan een USB stick, zonder het risico van een fysieke stick te verliezen en er op elk gewenst moment bij kunnen komen.

En dat zijn slechts 2 simpele voorbeelden, ik kan zo nog een uur door ratelen maar dat bespaar ik je wel.

[Reactie gewijzigd door w4v3g0d op 5 juni 2020 19:57]

Anoniem: 14842
@w4v3g0d • 5 juni 2020 20:43

Ik vind het jammer dat draadloos zulke negatieve reacties krijgt en zo'n lage waardering.

Hij heeft namelijk gewoon gelijk. Een USB stick is prima een veilige backup oplossing voor sommige dingen. Niets anders dan een schijfje of een tape. Uiteraard is de USB stick goed versleuteld en ligt deze in een veilige ruimte en is er gezorgd voor redundantie in geval van een ramp. Maar even voor de duidelijkheid: de sleutel tot de data moet ook ergens bewaard worden. En daarvoor zijn beveiligde USB sticks prima geschikt. Uiteraard zijn er ook speciale devices die kunnen worden gebruikt t.b.v. key ceremony's, met een fysieke tamper beveiliging, etc. Maar ooit moet de initiële sleutel bij iets/iemand bekend zijn. En dat kún je veilig doen op een stick.

Op een servertje ergens ter wereld, te bereiken vanaf een laptop van werkgever met wachtwoord & 2 factor authenticatie.
Een versleuteld cloud-account ergens met 2FA.

Ah, de cloud generatie. Je snapt dat de backup dan alsnog ergens fysiek gaat landen? En als je jouw methode van "ergens ter wereld op een servertje" aanhoudt dat dat zelfs een onbeveiligde open webserver kan zijn met een mooie 2FA frontend? Ik kan een server opzetten met sterke wachtwoorden, 2FA en conditional access en de data gewoon in plain text op schijf opslaan...

MS/Amazon/etc. hebben het goed voor elkaar qua fysieke beveiliging maar qua spionage/avg/etc. vertrouw ik ze voor zover de wet dat toelaat: bar weinig.

Ik heb liever een backup van mijn master password of root certificaat op een paar USB sticks in een goed beveiligde kluis (uiteraard ook weer met een gescheiden wachtwoord of key in een andere kluis) dan bij Microsoft als het spionage gevoelige data betreft. In ieder geval zeker niet online bij een of ander providertje.

Dat mensen meteen denigrerend doen over iets simpels als een USB stick kan ik soms nog snappen, maar het T.net publiek zou beter moeten weten in mijn ogen. Het kan zelfs nog simpeler: druk je master keys af op een paar A4tjes en sla die op in een kluis.

Ik vermoed dat hier een of andere marketeer van Porsche klantdata op een usb stick heeft gezet om er thuis nog even verder aan te werken. Maar dat het dan mis gaat ligt niet aan het medium, maar aan de werkwijze. Jij had denk ik liever gehad dat 'ie het op een onbeveiligde Amazon S3 bucket had geplaatst? Snap ik, wel zo makkelijk voor de hackers...

[Reactie gewijzigd door Anoniem: 14842 op 5 juni 2020 20:46]

Zebby
@Anoniem: 14842 • 5 juni 2020 22:52

De discussie gaat een beetje alle kanten op. Het komt er op neer dat je zorgvuldig om moet gaan met je klantdata. Dit plaatsen op een USB stick waarvan ze niet zeker kunnen stellen dat deze goed beveiligd is voldoet daar niet aan. Er is een reden dat de meeste grotere bedrijven alles helemaal dichtgooien, waaronder de USB poorten, om dit soort knullige lekken te voorkomen.

En paar maanden geleden was er een hardeschijf gejat. Uit een kluis.
MS/Amazon hosten hun cloud oplossingen bij datacenters, die moeten hun fysieke zaakjes op orde hebben, en als je ook maar een klein beetje onderzoek doet en een grote pakt is dat wel snor. Je grootste zorg is inderdaad je digitale toegangsbeveiliging. En dat is veel complexer dan een goed beveiligde fysieke drive, maar uiteindelijk bedrijfsbreed veiliger en beter. En er zijn Nederlandse concurrenten die wij juist om die reden gebruiken - Patriot Act mag doodvallen.

Als je niet zelf je IT security op orde kan hebben, huur er dan een bedrijf voor in. Dit was gewoon slordig.

n4m3l355
@Anoniem: 14842 • 6 juni 2020 07:54

Men reageert altijd verbaast dat het gebeurd, maar het is nou eenmaal zo eenvoudig. Je eigen voorbeeld van een marketeer die waarschijnlijk de data naar een stick had gezet is niet onrealistisch. Sterker nog kijk eens in een gemiddeld kantoor ongeacht waar, hoe men met beveiliging omgaat. Zelfs partijen die met hun geweldige beveiliging liggen te pronken zijn vaak zwak in eigen gebruik van data. Zeker de oudere generatie die vaak eenvoud over beveiliging kiest op persoonlijk niveau is erg bevattelijk voor dergelijke situaties.

HerrPino
@w4v3g0d • 6 juni 2020 09:15

Voordeel van zo’n usb stick us dan weer dat het niet over het internet of zelfs het netwerk hoeft. Zo’n stick is ook prima te beveiligen en sommigen kunnen zichzelf ook gewoon wissen nadat een x-aantal keer ongeautoriseerd (vingerafdruk, beperkt tot machines waar hij ingestoken wordt etc) geprobeerd is hem te lezen. Ik mag iig hopen dat het geen eenvoudige consumenten versie usb-stick was van de MediaMarkt

[Reactie gewijzigd door HerrPino op 6 juni 2020 09:17]

w4v3g0d
@draadloos • 5 juni 2020 20:23

Nee sorry, ik heb net m'n eerste biertje aangebroken

Maandag ben je de eerste.

Wim-Bart
@draadloos • 5 juni 2020 23:24

Ok. De stick lag in een beveiligde ruimte. Wat is als ik nu mijn backup op een usb harddisk maak? Of op een LTO tape? Past nog steeds bijna in een broekzak. Maakt dat de backup wel professioneler?

Wat vind jij een professioneel opslagmedium voor zulke data, en welke de garantie geeft niet zomaar meegenomen te worden? 8" floppy's? Magneetbanden? Of ponskaarten?

Daarnaast kan je je afvragen in hoeverre er data op de stick stond welke conform GDPR er al niet meer op mag staan.

Dennisdn
@draadloos • 5 juni 2020 19:47

USB-sticks worden gestolen.

draadloos
@Dennisdn • 5 juni 2020 20:21

idd, usb harddisks niet.

Dennisdn
@draadloos • 6 juni 2020 07:33

Ik mag hopen dat Porsche een iets professioneler cloudsysteem heeft dan lokale USB-sticks of HDD's.....

FuaZe
@Dennisdn • 6 juni 2020 09:11

Cloud is niet meteen de magische/beste oplossing voor elk geval.
Belangrijk is het volgende:

- Encryptie (wat ook fout kan gaan bij Cloud)
- Toegang(scontrole) (wat ook fout kan gaan bij cloud)
- Training, je personeel moet verantwoordelijk omgaan met data en gewaarschuwd voor phising e.d. zijn. (wat ook fout kan gaan bij cloud)

In feite maakt het medium niets uit.

Daarnaast is bij cloud je data "juist" via het internet bereikbaar. En opgeslagen bij een tweede partij. Wat ook tot e.e.a uitdagingen leidt.

Tazzios
@Dennisdn • 6 juni 2020 08:40

serie: Porsche Design

Gomez12
@draadloos • 5 juni 2020 21:12

Ah, dat is dus het grote verschil.

Ik vroeg me al af waar het onderscheid in zat tussen die 2 vormen, ik gokte op fysieke grootte.
Maar nee, dus het is hoe vaak ze gestolen worden...

En laat me raden, de nieuwe modellen waarvan nog geen diefstal data bekend is die heten USB-storage devices? En die veranderen dan naar usb-sticks of usb harddisks na x tijd...

Duidelijk

gameguy12
@draadloos • 5 juni 2020 19:56

Ik nog 1 van een jaar of 14, doet het altijd nog

Beatz
@mjl • 5 juni 2020 19:36

Er worden genoeg beveiligings USB sticks gebruikt om data op te slaan net als externe schijven bij bedrijven...

skunkopaat
@mjl • 5 juni 2020 19:41

Waarom ook niet eigenlijk? Een offline back-up als het ware. Neem niet aan dat die open en bloot op een bureau van een verkoper lag...

Als die data versleuteld was en die USB stick wordt elke avond (of na elke verkoop) in een kluis gelegd, lijkt me niks aan de hand?

[Reactie gewijzigd door skunkopaat op 5 juni 2020 19:43]

Jean luc Picard
@skunkopaat • 5 juni 2020 20:14

Porsche zelf heeft vrij zware eisen rondom materialen die voor hun geproduceerd worden. Naast deze eisen voor het materiaal/productie proces. Hebben ze ook de nodige eisen rondom de interne infra structuur van de leverancier. "lees IT" . En dan zelf backuppen op een USB stick

BitProcessor
@Jean luc Picard • 5 juni 2020 20:42

Of je leest verder dan de titel? De gegevens zijn helemaal niet gestolen bij de fabrikant. Ze zijn gestolen bij de Nederlandse importeur.

Jean luc Picard
@BitProcessor • 5 juni 2020 20:48

My bad. Maar Porsche kennende gelden hier gelijkwaardige eisen voor IT, overige certificering, audit trails etc net als bij OE suppliers.

sniper20
@skunkopaat • 5 juni 2020 19:49

Tegenwoordig heb je ook de cloud. Even automatiseren en je hebt elke avond een back-up buiten de deur zonder naar de kluis te moeten sjouwen.

FuaZe
@sniper20 • 6 juni 2020 09:21

Juist dat is het probleem.
Men denkt er te simpel over.

Als het personeel alsnog een export maakt op USB stick en deze laat slingeren?

Cloud lost niet zomaar alle problemen op, het maakt er zelfs meer.
Je moet de cloud provider vertrouwen én je backup is alsnog via het internet bereikbaar.

GWBoes
@draadloos • 5 juni 2020 19:37

inderdaad, zulke documenten/media wordt meestal in een brandkast/kluis opgeslagen wat natuurlijk als een rode vlag op inbrekers werkt.
Bij ons is ook wel eens zo'n kluis opengebroken (15cm dikke deur, met hydraulisch apparatuur) en diverse dingen meegenomen terwijl er maar voor een paar honderd euro aan waarde in zat.

terradrone

@mongkut • 5 juni 2020 21:24

Het eerste wat ik mij afvroeg bij het lezen van het bericht is: waarom was het überhaupt mogelijk om deze data in zijn geheel naar een usb stick te kopiëren zonder dat er alarmbellen afgingen? Ik kan me nog voorstellen dat wanneer een sysadmin met de juiste rechten een backup maakt en daarmee de hele dataset wegschrijft dit binnen de normale gegevensstromen valt; maar zomaar zo'n grote datadump naar een usb stick; binnen de meeste enterprise omgevingen gaan er dan meteen allerlei alarmen af, los van het feit dat usb poorten meestal per default onbruikbaar zijn. Dat dit bij pon zomaar kan, geeft je de indruk dat iemand z'n handige neefje daar de boel beheert ( niets ten nadele van handige neefjes

)

Utrecht25
5 juni 2020 19:35

Bestaat er nog geen richtlijn die stelt het niet blokkeren van massaal exporteren van klantgevens door een reguliere gebruiker verwijtbaar slecht klantbeheer is?

Wellicht dat we als maatschappij de lat wat hoger moeten gaan leggen. Ik zie echt geen reden waaron een normale gebruiker zoals een autodealer alle klanten zou moeten kunnen exporteren.

[Reactie gewijzigd door Utrecht25 op 5 juni 2020 19:35]

Blokker_1999

Datalek
Nederland
Beveiliging en antivirus

@Utrecht25 • 5 juni 2020 19:39

Gebruiker werkt op de financiële afdeling en werkt aan de boekhouding. Werknemer moet dus toegang hebben tot deze facturen.

Wat denk je nu, dat er in bedrijven geen mensen werken die de administratie moeten kunnen controleren?

AApostolovski
@Blokker_1999 • 5 juni 2020 19:47

Als je data echt lief is dan zorg je ervoor dat deze alleen getoond word en niet gedistribueerd.

Bijvoorbeeld een Remote Desktop van Excel of boekhoud programma en je kan alles doen zonder dat de data op verschillende plekken terecht komt.

Blokker_1999

Datalek
Nederland
Beveiliging en antivirus

@AApostolovski • 6 juni 2020 10:42

Ik blijf het grappig vinden dat er hier tweakers zijn die denken dat ze zo maar uitspraken kunnen doen over bedrijfsprocessen van een bedrijf waar ze helemaal geen kennis over hebben en gewoon omdat het kan zeggen dat het zo moet zijn. Dat is het soort ivoren toren waar ik elke dag tegen mag boksen om het gat tussen IT en eindgebruiker op te vullen daar ITers in hun ivoren toren zitten en veel te weinig beseffen hoe men op de werkvloer eigenlijk werkt.

AApostolovski
@Blokker_1999 • 6 juni 2020 20:57

@Blokker_1999 , Kunnen we het aub gewoon netjes houden?

Ik zeg niks over het bedrijfsproces bij het bedrijf maar noem een mogelijke basis principe die je zou kunnen toepassen in een bedrijf.

Als de (gevolg) schade (oa reputatieschade) van het lekken (of diefstal) te groot is, dan kan je ervoor zorgen dat deze nooit in de buurt kan komen van onbevoegden. Encryptie is een mogelijke oplossing, echter indien de data nooit op de USB stick was geweest dan was er deze ophef niet.

Overigens kan de werkvloer alleen nooit dicteren wat de implementatie moet zijn. Zo wil de werkvloer altijd "makkelijk" hun werk kunnen doen, maar dat kan ingaan op de basis principes van het bedrijf (of IT security). Aan de andere kant moet je afwegen wat de kosten zijn voor een perfect proces en het in stand houden van allerlei services en de benodigde kosten. Niks met ivoren torens te maken.

mae-t.net
@Blokker_1999 • 7 juni 2020 17:55

Vanuit die positie zou je eventueel ook kunnen zien dat zulke uitspraken gemiddeld minder speculatief zijn dan ze lijken

Het.Draakje
@AApostolovski • 6 juni 2020 13:16

Kijk, als men nu Remote Desktop gaat inzetten om de boekhouding te controleren dan ga ik juist twijfelen aan de beveiliging.

PON is een bedrijf met een omzet (2018) van 7 1/2 miljard euro en ruim 150 miljoen winst. Die doen hun administratie niet in Excel. Voor controle van de administratie worden er gewoon personen in dienst genomen die daarvoor via de normale procedures toegang krijgen (user-id en password). Je gaat zeker niet even iemands desktop overnemen. Want dan neem jij juist zijn autorisatie op de database over. Bijvoorbeeld: "muteren facturen" terwijl een controleur alleen "inzien" moet hebben. Remote desktop staat haaks op een goede beveiliging.

Aangezien wij niet weten waarom die usb-stick gemaakt is kunnen we ook geen uitspraak doen of het wel of niet een geldige actie was.

AApostolovski
@Het.Draakje • 6 juni 2020 20:40

Er is een verschil tussen schermdelen (zoals een Teamviewer) of Remote Desktop. Bij het laatste moet je inloggen op een systeem waar een Windows of Linux sessie word gestart. Hierbij moet je gewoon inloggen met je user id en password. Je hebt dan de beschikking tot de software die daar op geïnstalleerd is. Zo kan je thuis dus een zeer "lichte"machine hebben terwijl je kijkt naar het scherm van een zeer krachtige PC. (Een beetje zoals Google Stadium). Je ziet en verwerkt gegevens zonder dat ze het in digitale vorm verlaten. Omdat je ook inlogt op een OS sessie zal alle handelingen onder jouw naam geregistreerd worden.

Haruhi
5 juni 2020 19:51

Succes met de rechtszaken Porsche.

w4v3g0d
@Haruhi • 5 juni 2020 20:18

Dat is een optie ja, maar gezien dit is gebeurd met een medewerker van de importeur PON lijkt het me eerder dat ze daar het vuur op gaan openen.

Die zullen wel een brandbrief krijgen van Oliver Blume

hatex
5 juni 2020 20:20

Quote :
Porsche zegt dat het alle getroffen klanten heeft geïnformeerd. Het bedrijf waarschuwt de klanten alert te zijn op phishing.

Oh,hoe dan, lees het hier, auto uit 2015 , nog niks gezien , geen email , geen telefoon / sms , niks in de car connect app.

-Update-
Vandaag per brief geïnformeerd : Het betreft voertuig- en facturatiegegevens uit de periode 2009 tot en met 2017, waaronder uw NAW-gegevens.

[Reactie gewijzigd door hatex op 6 juni 2020 10:15]

Famous
@hatex • 5 juni 2020 20:25

Er staat niet “van iedereen in deze periode zijn gegevens gestolen”.

Wellicht behoor jij niet tot de groep.

hatex
@Famous • 5 juni 2020 20:51

Dat hoeft ook niet

Er staat :

Gegevens van klanten die tussen 2009 en 2017 in Nederland een Porsche hebben gekocht zijn gestolen

Als dat het criterium is , dan behoor ik tot die groep

Wim-Bart
@hatex • 5 juni 2020 23:35

Nu maar hopen dat er alleen data is van actieve klanten en geen data van niet meer actieve klanten. Want dan hebben ze ook nog een overtreding van de GDPR. Die data had al lang gewist moeten zijn.

Het.Draakje
@Wim-Bart • 6 juni 2020 13:25

Neen. Die gegevens hebben ze ook nog steeds nodig. De belasting eist dat het 7 tot 10 jaar bewaard wordt. En als het van rechtswege bewaard moet worden dan kan het nooit een overtreding van de GDPR zijn.

Wim-Bart
@Het.Draakje • 6 juni 2020 18:45

Nee hoor, dat is echt niet het geval. Ik zit er nu midden in voor een project. En bepaalde gegeven moet je hebben maar bepaalde gegevens mag je niet hebben. Belastingdienst opmerking is vaak omdat men denkt dat dat zo is.

Het.Draakje
@Wim-Bart • 7 juni 2020 07:17

Ga er rustig maar vanuit dat de factuur 7-10 jaar bewaard moet worden. De factuur is gewoon een kernonderdeel van je financiële administratie. En op een factuur staat een NAW.

Even een linkje erbij: https://www.belastingdien...maken/uw_facturen_bewaren

[Reactie gewijzigd door Het.Draakje op 7 juni 2020 07:26]

Gomez12
@hatex • 5 juni 2020 21:20

Dat is een criterium, er wordt niet gezegd dat dat het enige criterium is...

hatex
@OxWax • 5 juni 2020 21:02

Werkelijk ? Schrijf enkel dat ik geen bericht heb en dat er niet staat dat het niet alle clienten zou betreffen... zie je punt niet

Flagg
@OxWax • 6 juni 2020 10:00

"mompelt iets over kleinzielige afgunst"

- peter -

5 juni 2020 19:40

Er rijden dus enkele tweakers een Porsche.

vosss
@- peter - • 5 juni 2020 19:49

En de dief van de usb stick weet dus waar die wonen.

Ik zou me als Porsche eigenaar niet zo zeer druk maken om phishing, maar eerder om inbraak waarbij de sleutel gestolen wordt.

draadloos
@vosss • 6 juni 2020 15:48

Want die komt nooit uit de garage? Als ze je auto willen, hebben ze daar die stick niet voor nodig hoor.

vosss
@draadloos • 6 juni 2020 18:35

Nee, maar weten waar de Porsches staan is natuurlijk wel handig voor de boeven.

draadloos
@vosss • 7 juni 2020 20:31

Daar zijn wel makkelijkere manieren voor dan op goed geluk een usb stick bij een Porsche dealer jatten ;-)

Jean luc Picard
@- peter - • 5 juni 2020 19:48

Dat was ook mijn eerste gedachte

jpsch
@- peter - • 5 juni 2020 19:49

Hoezo? Niemand heeft hier iets over de inhoud van de e-mail geroepen.

ASS-Ware
5 juni 2020 23:12

Waarom forceert Porche IT niet dat USB devices encrypted zijn?
Vreemd.

AcidBanger
@ASS-Ware • 6 juni 2020 09:49

Waarom heb je uberhaupt een usb stick met zulke gevoelige gegevens? Er zijn waarschijnlijk tich betere manieren om dit op te lossen.

ruftman
5 juni 2020 20:10

Dit is tenminste een datalek waarbij ik me absoluut geen zorgen om mijn gegevens hoef te maken.

kevinwalter

5 juni 2020 22:23

Klopt, kregen hier de brief ook binnen vandaag.
De 911's zijn een hot item om gestolen te worden...

[Reactie gewijzigd door kevinwalter op 5 juni 2020 23:08]

x280
@kevinwalter • 5 juni 2020 23:04

Fijn dat je dit deelt, zo weten nog meer mensen dat je er een hebt staan

Wat is je pincode ? Wel zo handig.

Mensen delen helaas voortaan alles op social media, dus deze data lek voegt er niet zo heel erg veel aan toe.

kevinwalter

@x280 • 5 juni 2020 23:09

Ach, die USB stick ligt toch al op straat. Dat wordt verhuizen. Kosten bij PON neerleggen?

x280
@kevinwalter • 5 juni 2020 23:13

haha doe maar gelijk een nieuwe porsche 911 erbij, zonder data lek.

Flagg
@x280 • 6 juni 2020 09:59

Je moet er ook niet mee rijden dan want dan zien mensen dat je een Porsche hebt.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Gegevens van onbekend aantal Porsche-kopers is gestolen van usb-stick

Lees meer

Reacties (115)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden