Persoonsgegevens van duizenden klanten van zelftestbedrijf zijn uitgelekt

De persoonsgegevens van naar schatting meer dan zesduizend klanten van Labonovum, dat onder meer corona-antistoffentests verstrekt, waren voor onbekende tijd in te zien via de site van dochterbedrijf PostYourLab. Het lek zou na een hackaanval zijn ontstaan en is inmiddels gedicht.

Labonovum-directeur Richard Monkel zegt tegen NU.nl dat er een hackaanval heeft plaatsgevonden op een server van het bedrijf. Het zou gaan om een server die klantbestellingen afhandelt. Door deze hackaanval zouden namen, e-mailadressen, woonplaatsen en postcodes van de getroffen klanten openbaar toegankelijk zijn geworden via de site van PostYourLab.

Het gaat alleen om de genoemde persoonsgegevens; testuitslagen of andere medische gegevens zijn dus niet uitgelekt. NU.nl kwam het lek op het spoor na een lezerstip; toen de nieuwssite contact opnam met Labonovum is het lek gedicht. Labonovum gaat aangifte doen bij de politie en gaat getroffen klanten maandag per e-mail op de hoogte stellen. Het bedrijf zegt nog te onderzoeken of een melding bij de Autoriteit Persoonsgegevens nodig is.

Overigens blijkt uit de gegevens dat het bedrijf gemaakte beloftes over privacy niet nakomt. Op de site van PostYourLabs staat dat het bedrijf adresgegevens dertig dagen bewaart en daarna verwijdert. Ook zegt het bedrijf volgens NU.nl de naam van een klant niet te bewaren.

NU.nl schrijft dat in het bestand namen en adresgegevens zijn teruggevonden van gebruikers die sinds 29 maart 2020 klant waren bij het bedrijf. Deze gegevens zijn dus niet binnen dertig dagen verwijderd en daarnaast slaat het bedrijf meer op dan dat het zegt. De persoonsgegevens zullen vanaf nu na dertig dagen verwijderd worden, zegt Monkel.

PostYourLab is een jaar geleden opgericht en is een bedrijf dat bloed-, speeksel-, DNA-, en urinetestpakketten verkoopt. Gebruikers ontvangen de test, voeren deze uit en sturen deze weer naar het bedrijf terug. Het bedrijf verkoopt onder meer corona-antistoffentestpakketten.

Door Hayte Hugo

Redacteur

Feedback • 14-06-2021 15:2670

14-06-2021 • 15:26

70 Linkedin Whatsapp

Lees meer

Opsporingsdiensten mogen commerciële DNA-databanken gebruiken voor onderzoek
Opsporingsdiensten mogen commerciële DNA-databanken gebruiken voor onderzoek Nieuws van 28 september 2023
Criminelen hebben covid-19-testdata van 1,4 miljoen Parijzenaars gestolen
Criminelen hebben covid-19-testdata van 1,4 miljoen Parijzenaars gestolen Nieuws van 16 september 2021
Coronatestbedrijf met onbeveiligde database lekt gegevens 60.000 klanten
Coronatestbedrijf met onbeveiligde database lekt gegevens 60.000 klanten Nieuws van 18 juli 2021
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren
Duizenden persoonsgegevens zijn uitgelekt bij leverancier van online formulieren Nieuws van 15 juni 2021
Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek
Data 3,3 miljoen Amerikaanse en Canadese Volkswagen-klanten op straat na datalek Nieuws van 13 juni 2021
AP stuurt brief naar 46 bedrijven die na ticketverkooplek niemand informeerden
AP stuurt brief naar 46 bedrijven die na ticketverkooplek niemand informeerden Nieuws van 11 juni 2021
Autoriteit Persoonsgegevens kreeg in 2020 minder meldingen en klachten binnen
Autoriteit Persoonsgegevens kreeg in 2020 minder meldingen en klachten binnen Nieuws van 8 juni 2021
New York Pizza waarschuwt klanten voor datalek - update
New York Pizza waarschuwt klanten voor datalek - update Nieuws van 2 juni 2021
Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand
Bewoner vindt 8500 ggz-patiëntendossiers op cd's in voormalig bedrijfspand Nieuws van 23 mei 2021
Autoriteit Persoonsgegevens pleit bij informateur voor verviervoudiging budget
Autoriteit Persoonsgegevens pleit bij informateur voor verviervoudiging budget Nieuws van 19 mei 2021
PVV Overijssel krijgt 7500 euro AVG-boete voor e-mail met zichtbare ontvangers
PVV Overijssel krijgt 7500 euro AVG-boete voor e-mail met zichtbare ontvangers Nieuws van 11 mei 2021
Klantgegevens van ServerKast.com en PatchKast.nl zijn buitgemaakt bij hack
Klantgegevens van ServerKast.com en PatchKast.nl zijn buitgemaakt bij hack Nieuws van 11 mei 2021
CBS: aantal datalekken bij grote bedrijven neemt toe
CBS: aantal datalekken bij grote bedrijven neemt toe Nieuws van 7 mei 2021
Autoriteit Persoonsgegevens verbetert meldformulier datalekken
Autoriteit Persoonsgegevens verbetert meldformulier datalekken Nieuws van 4 mei 2021
Allekabels-lek bevat ook data van 34 andere webshops
Allekabels-lek bevat ook data van 34 andere webshops Nieuws van 23 april 2021
Meer producten en artikelen
Privacy coronavirus Datalek Webwinkel

IT-banen

Meer vacatures

Reacties (70)

-Moderatie-faq
70
70
37
6
1
19
Wijzig sortering
Avalarion
14 juni 2021 21:11
Je hebt bij dit bedrijf een webshop portaal en een Uitslag portaal, met de lek/hack in de webshop portaal.

De genoemde 30 dagen verwijderen geldt enkel voor het uitslag portaal en dit deden ze dan ook. heb ik zelf ondervonden, na 30 dagen kon ik niet meer bij mijn resultaten. Dat het enkel om de
uitslagen ging stond blijkbaar te onduidelijk op hun site. Ook logisch dat het
niet voor de webshop geld, je maakt immers een account aan net als bij een bol.com.

Tevens als je een bloedbuisje voor een cholesterol test opstuurt dan lever je enkel je mobielnummer, geslacht, geboortedatum. Bij het bedrijf weten ze dus nooit van wie een buisje bloed is om anonimiteit te waarborgen. Enkel bij Covid speeksel buis lever je meer gegevens omdat zij een meld plicht hebben aan de GGD en dit staat ook op de site vermeld. Of als je een certificaat voor corona antistoffen nodig heb voor reizen kan je zelf extra gegevens toesturen. Deze gegevens vallen onder het uitslagen portaal en worden dus verwijderd na 30 dagen.

Edit:
Misschien niet verkeerd om te vermelden dat het dus niet gaat om een bedrijf dat zelftesten verkoopt, maar vingerprik bloedafname kits voor thuis voornamelijk (ook urine/wangslijmvlies/speeksel zelf afname kits). De buizen gaan naar hun lab dat ISO9001:2015 gecertificeerd is en elk jaar geaudit wordt.

[Reactie gewijzigd door Avalarion op 14 juni 2021 21:57]

AntiSocial
@Avalarion15 juni 2021 01:43
Even om te muggeziften, maar m.i. wel een relevant detail; dat jij als gebruiker van de website niet meer bij je gegevens kan, zegt helemaal niks over of deze verwijderd zijn. Vaak genoeg staat er gewoon een flaggetje in de database 'verwijderd:1/0'

Dus hoewel het onderscheid tussen de webshop en portaal belangrijk is, is de aanname dat het bij het portaal goed gaat voor mij wat te kort door de bocht en mag de AP hier iets van vinden.
Gubbel
14 juni 2021 17:47
De persoonsgegevens zullen vanaf nu na dertig dagen verwijderd worden, zegt Monkel.
Nee zo werkt het dus niet. Het is zo jammer dat dit soort bedrijven volgens hun voorwaarden best weten hoe het moet en wat belangrijk is, maar implementeren het vervolgens niet. Ze hebben gewoon gelogen en ze zouden er te makkelijk vanaf komen door te mogen zeggen "Oh okay sorry, vanaf nu doen we het echt".
Favrile
@Gubbel14 juni 2021 19:04
Weet niet of ze doelbewust gelogen hebben of dat het ergens onderaan de prioriteitenlijst beland is. Het resultaat is hetzelfde.
twkr18526
@Gubbel14 juni 2021 19:40
De reactie "ok, vanaf nu wissen we het" is erg opmerkelijk. Van mij mag de Autoriteit hier echt onderzoek naar doen.

Ook als Richard Monkel besluit géén melding te maken (in het originele artikel staat dat Labonovum daar nog over gaat nadenken).

Het originele artikel vermeldt dat Labonovum vindt dat klanten de tekst niet goed begrijpen. Is mij niet duidelijk wat ze ermee bedoelen:
Monkel erkent dat Labonovum met die tekst niet goed uitlegt hoe het bedrijf met persoonlijke gegevens omgaat.
honey
@Gubbel14 juni 2021 22:47
Dit soort leugens zou wat mij betreft hoog beboet mogen worden. Daar mag de Autoriteit Persoonsgegevens op mogen triggeren.
Jboy1991
14 juni 2021 15:31
Hmm... Kunnen de getroffen personen nu aangifte doen tegen het bedrijf omdat het bedrijf zich niet aan de beloftes heeft gehouden om binnen een termijn van 30 dagen je gegevens te verwijderen?
Ootje70
@Jboy199114 juni 2021 15:37
Je kunt als klant een melding bij het AP doen, aangifte doen tegen het bedrijf zal, zeker in je eentje, lastig zijn en weinig tot niets opleveren. Aangezien het klanten en mogelijk medische gegevens betreft (al is dat de vraag) zou je verwachten dat de AP hier aandacht aan besteedt maar ja, ze hebben het erg druk....
Overheid
@Ootje7014 juni 2021 15:49
Ik vraag het mij af. Het bedrijf doet wel een valse belofte, dat staat in weze los van het datalek.
Overigens kun je altijd aangifte doen.

[Reactie gewijzigd door Overheid op 14 juni 2021 15:49]

Jboy1991
@Overheid14 juni 2021 15:52
Maar hoeveel effect gaat dit hebben in je eentje. Ik hoop dat de AP hier harde boetes op gaat leggen. Dit omdat de vertrouwen van consumenten hier enorm is misbruikt

Aanvullend hierop: hoe kan ik met zekerheid weten of een bedrijf mijn gegevens ook echt heeft verwijderd.
dez11de
@Jboy199114 juni 2021 20:06
Niet.
Ootje70
@Overheid14 juni 2021 15:53
Dat klopt, aangifte mag je altijd doen....
eNaSnI
@Jboy199114 juni 2021 15:47
Je kunt wellicht hier eens kijken: https://autoriteitpersoonsgegevens.nl

Hmm boeiend:
Labonovum BV bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld
https://postyourlab.nl/privacybeleid/

[Reactie gewijzigd door eNaSnI op 14 juni 2021 19:09]

Floort
@eNaSnI14 juni 2021 15:48
Dat formulier is niet bedoeld voor betrokkenen om een klacht in te dienen.
eNaSnI
@Floort14 juni 2021 15:53
Het geeft wel vertrouwen als ze dit al zelf aangeven:
Let op: omdat de AP enorm veel klachten ontvangt, duurt het momenteel ongeveer 6 maanden voordat de AP uw klacht kan behandelen. Bedenk daarom, voordat u een klacht indient, of dat op dit moment wel de juiste oplossing voor u biedt.
Dus er is iemand die de moet toezien op de wet, die krijgt de overtreding kant en klaar aangedragen en verwijst je maar door naar ........... :? Wat verstaat men dan onder 'de juiste oplossing' ?
Floort
@eNaSnI14 juni 2021 15:57
Je kan ook zelf via de rechter of via een soort class-action constructie een art. 82 schadevergoeding proberen te halen. Maar dat is ook best ingewikkeld.
surfin
@Floort14 juni 2021 23:59
waarom is er nog geen bekende advokaat (of advokaat die er bekend mee wil worden) die dit soort zaken oppakt?

Of is die er wel alleen nog niet bij mij bekend?
Floort
@surfin15 juni 2021 00:06
Die zijn er zeker. Maar de kleine zaken brengen niet zoveel op. Er zijn een paar voorbeelden die een paar tientjes hebben opgebracht volgens mij. En de grote zaken kunnen heel lang duren want dat gaat over grote bedragen en je kan een hoop weerstand verwachten.
CH4OS
@eNaSnI14 juni 2021 16:20
De AP heeft intussen meermaals aangegeven (ook bij de politiek) dat zij flink onderbezet zijn. ;)
epoman
@eNaSnI14 juni 2021 16:55
Met welk doel en op basis van welke grondslag wij persoonsgegevens verwerken?

Labonovum BV verwerkt uw persoonsgegevens om producten en diensten aan u te leveren.
Die doelen zijn niet bijzonder concreet omschreven.
Tomatoman
@epoman14 juni 2021 18:10
Dat is inderdaad totaal nietszeggend. Bovendien lijkt het in strijd met de GDPR, want ‘producten en diensten leveren’ is een veel te ruime grondslag om namen en adresgegevens zonder expliciete toestemming een jaar te bewaren. Er is ook geen sprake van een gerechtvaardigd belang, want de AP geeft expliciet aan dat een commercieel belang nooit geldt als gerechtvaardigd belang.

[Reactie gewijzigd door Tomatoman op 14 juni 2021 18:20]

bytemaster460
@Tomatoman14 juni 2021 18:51
Als een leverancier van bijv. testkits na 9 maanden een verklaring uitstuurt dat een batch van kits niet deugde en de testresultaten onbetrouwbaar waren, moet je klanten kunnen benaderen. Dat valt ook onder het leveren van diensten.

Ik weet niet of dat hier aan de orde is, maar het kan wel een reden zijn om de gegevens langer te beweren dan enkele weken.
Tomatoman
@bytemaster46014 juni 2021 19:36
Het voorbeeld dat je noemt is helder en komt op mij plausibel over. De beschrijving ‘het leveren van diensten’ is echter veel te algemeen, terwijl jij juist een heel specifieke reden noemt om adresdata langer te bewaren. Dat is alleen toegestaan als die specifieke reden wordt genoemd, bijvoorbeeld: de klant kunnen benaderen in geval van terugroepacties of herziening van eerder gegeven medische adviezen of testuitslagen.

Overigens heb je daarvoor ook informatie nodig over welke producten/diensten door welke klant zijn afgenomen – en laat dat in dit geval nou gevoelige persoonsgebonden informatie zijn. Om die gegevens te mogen bewaren moet er nog wel wat meer worden geregeld dan alleen een verantwoording welke gegevens waarvoor worden bewaard. In het geval van Labonovum is dat echter niet van toepassing, want Labonovum heeft beloofd naam- en adresgegevens niet langer dan 30 dagen te bewaren. Hoeveel die belofte waard was weten we inmiddels.
bytemaster460
@Tomatoman14 juni 2021 20:08
Je kunt dan wel algemene brieven sturen en aangeven dat klanten die in een bepaalde periode een bepaalde test hebben ondergaan mogelijk een verkeerde uitslag hebben gekregen.
Volgens mij mag je dat wel onder dienst scharen.
R4gnax
@bytemaster46014 juni 2021 20:19
Als een leverancier van bijv. testkits na 9 maanden een verklaring uitstuurt dat een batch van kits niet deugde en de testresultaten onbetrouwbaar waren, moet je klanten kunnen benaderen. Dat valt ook onder het leveren van diensten.
Dat kan ook middels een algemeen persbericht. Aan enkel telefoonnummer (SMS) of e-mail adres heb je op zo'n moment ook genoeg informatie om een bericht dat linkt naar het volledige persbericht te sturen, voor verdere kennisgeving.

En het is daarnaast specifiek voor Covid zelf-tests totaal irrelevant, want die ziekte heeft een incubatie-tijd van weken; niet maanden. En die afweging valt ook onder het proportioneel moeten zijn van de verwerking tov het doel van verwerking.

[Reactie gewijzigd door R4gnax op 14 juni 2021 20:21]

bytemaster460
@R4gnax14 juni 2021 20:25
Nee, in zo'n geval moet je mensen rechtstreeks kunnen benaderen. Emailadres zou misschien ook kunnen, dat weet ik niet. Een algemeen persbericht is te beperkt. Je weet nooit of het de mensen bereikt.
Dit bedrijf testte veel meer dan alleen Covid. Als er HIV-testen uitgevoerd worden hebben we het niet meer over een incubatietijd van enkele dagen. Dan wil je gewoon weten dat een test van maanden geleden niet betrouwbaar was.
R4gnax
@bytemaster46014 juni 2021 20:28
Dit bedrijf testte veel meer dan alleen Covid. Als er HIV-testen uitgevoerd worden hebben we het niet meer over een incubatietijd van enkele dagen. Dan wil je gewoon weten dat een test van maanden geleden niet betrouwbaar was.
Dit bedrijf weet wat voor test er door wie aangeschaft werd en kan derhalve dus ook beoordelen wat de termijn is waarbinnen zo'n bericht nog nut heeft. Voor Covid zelf-tests is dat nut er niet; dus is er geen reden om persoonsgegevens er voor te verwerken; en dus zou onder de data-minimaliseringsprincipes van de AVG, je die gegevens dus ook moeten vernietigen.

Dat het voor HIV nuttig kan zijn heeft geen bal te maken met of het voor Covid nuttig zou zijn. Dat zijn verschillende verwerkingsdoeleinden en dienen ook op die manier behandeld te worden.

Doet daarnaast niets af aan het feit dat het bedrijf op haar eigen FAQ pagina's stelt dat de gegevens in kwestie na 30 dagen verwijderd zijn; en dat de naam van de aanvrager überhaupt niet bewaard wordt, maar er van een anoniem buisnummer gebruik gemaakt wordt; en dat het bedrijf zich dus zeer evident niet aan haar eigen gestelde beleid gehouden heeft.

[Reactie gewijzigd door R4gnax op 14 juni 2021 20:39]

bytemaster460
@R4gnax14 juni 2021 20:37
Lees anders de discussie van deze subthread even terug... het ging erom of een bepaalde zinsnede van toepassing kan zijn op zo'n bedrijf. Ja, dat kan aangezien het bedrijf meer testen deed dan alleen Covid.
R4gnax
@bytemaster46014 juni 2021 20:42
Lees anders de discussie van deze subthread even terug... het ging erom of een bepaalde zinsnede van toepassing kan zijn op zo'n bedrijf. Ja, dat kan aangezien het bedrijf meer testen deed dan alleen Covid.
De relevante zinssnede is:
Labonovum BV verwerkt uw persoonsgegevens om producten en diensten aan u te leveren.

Dat de situatie met het 9 maanden later moeten versturen van berichten over een slechte batch, van toepassing kan zijn op sommige producten - wil niet zeggen dat het van toepassing moet zijn voor Covid zelf-tests. Sterker nog: als het niet strikt nodig is, mag je van de AVG gegevens niet blijven verwerken. (Data-minimalisatie principe.)
bytemaster460
@R4gnax14 juni 2021 20:46
Precies, maar in deze subthread ging het niet over Covid-testen maar over die zinsnede in het algemeen bij het aanbieden van medische tests...
honey
@bytemaster46014 juni 2021 22:51
Dit soort testen zijn sowieso erg matig tot slecht. Het is jammer dat dit soort bedrijven kunnen ontstaan tijdens momenten van crisis.

... maar ja, als je geld kunt verdienen?
walteij
@bytemaster46015 juni 2021 07:45
Maar wat is het nut en de waarde daarvan na 9 maanden.
Dan is de persoon die het betrof al 8 1/2 maand uit quarantaine, of bleef symptomen houden en heeft een nieuwe test gedaan.
Daarnaast is het voor vaccinatie zo dat je na een paar maanden 2 injecties nodig hebt, daarvoor slechts 1, maar ook dan is 9 maanden te lang. Dus deze gegevens 9 maanden bewaren is helemaal nergens voor nodig.
bytemaster460
@walteij15 juni 2021 10:14
Het bedrijf doet ook andere testen. Als bijv. Een HIV test niet goed was wil je dat ook na 9 maanden nog weten. In ziekenhuizen wordt het vijf jaar bewaard. Als er achteraf iets mis was met een test, krijg je dat te horen ook als is het niet meer relevant.
walteij
@bytemaster46015 juni 2021 10:36
Maar dat veranderd niets aan mijn stelling.
Voor deze tests hoeft de data helemaal niet zo lang bewaard te worden, omdat zowel incubatie als herstelperiode veel korter zijn.
bytemaster460
@walteij15 juni 2021 10:53
Maar er staat nergens dat het alleen om COVID testen gaat waarvan de gegevens gelekt zijn…
walteij
@bytemaster46015 juni 2021 11:24
Het gaat om zelftests, ik weet eigenlijk niet waarom je de uitslag van een HIV test erbij brengt, want die worden door dit bedrijf helemaal niet geleverd en zeker niet als zelftest.
Iets als een HIV test ga je niet zelf doen, daarvan wil je dat er gedegen onderzoek op wordt gedaan en dat de (on)betrouwbaarheid van een zelftest (inclusief verkeerd uitvoeren van de test) voor verkeerde resultaten zorgt.
bytemaster460
@walteij15 juni 2021 21:43
Ik noemde de HIV test als voorbeeld van een test waarbij je de gegevens van de
Attent langer moet bewaren. Dit bedrijf voert meer testen uit dan alleen COVID. Bij heel veel andere testen is het belangrijk dat je de mensen kan waarschuwen als er iets mis is gegaan. Ook als is dat een jaar geleden.
parsa2020
@eNaSnI14 juni 2021 17:04
Het zou je wel sieren die link weg te halen voordat de AP wordt overspoeld met mensen die hier toevallig op deze site komen :) Die link is namelijk bedoeld voor bedrijven om een datalek te melden, het is totaal niet de bedoeling dat particulieren daar hun klachten in gaan sturen (en helpt denk ik niet mee met de wachttijd waar je over klaagt, als ze ook nog tientallen mensen er uit moeten filteren die een datalek hebben gemeld terwijl ze niet bij een bedrijf werken)
wica
@parsa202014 juni 2021 18:27
Had dan zelf even de goede link geplaatst.
https://autoriteitpersoon...n/klacht-melden-bij-de-ap
invic
@Jboy199114 juni 2021 17:31
Er zijn teveel cowboy bedrijven opgericht om snel geld te verdienen ivm covid zonder dat ze hun IT systemen goed hebben ingericht. Met minimale of geen controle door de overheid. De kosten voor particulier testen voor reis bewijzen zijn exorbitant hoog!!! Kassa dus voor deze cowboys...

[Reactie gewijzigd door invic op 14 juni 2021 17:33]

Storm-Fox
14 juni 2021 15:29
met de wildgroei van dit soort testbedrijfjes en het covid-19 paspoort voorzie ik nog veel meer
lekken de komende jaren. Hoe meer partijen toegang krijgen tot jouw data, des te meer
kans op lekken en diefstal.
eNaSnI
@Storm-Fox14 juni 2021 15:47
Dus gewoon zorgen dat je zo min mogelijk data deelt :*)
Whaa
@eNaSnI14 juni 2021 18:59
Was het maar zo simpel :( Ik ben zeer zuinig op mijn data/gegevens, maar het wordt steeds lastiger om als je bijvoorbeeld met de overheid communiceert om zo min mogelijk data te delen. Ben nog met mijn tandarts aan het stoeien over hoe zij via derde partij factureren, dat is prima, voor een factuur niet meer nodig dan naam, adres en woonplaats en een factuurnummer. Helaas kom je er dan achter dat het eigenlijk alleen via mail kan, wordt mijn e-mail gedeeld en omdat het kennelijk 'normaal' is dat je verzekering het betaald wordt ook je BSN gedeeld, ben niet verzekerd voor tandarts en dus hoeft mijn ziektekosten verzekering niet te weten dat ik bij de tandarts ben geweest. Als ik het bedrijf van de facturering vraagom mijn gegevens te verwijderen dan kan dat niet vanwege vage regels en het moet via tandarts.
Inmiddels zover dat ik van tandarts een factuur krijg en contant betaal.
surfin
@Whaa14 juni 2021 23:56
Prachtig voorbeeld van hoe er (nog) niet bewust omgegaan wordt met data door bedrijven!
TMDC
@Whaa15 juni 2021 16:01
Mijn tandarts maakt het nog bonter: toen ik mezelf op de wachtlijst (!) wilde laten zetten moest ik al via een Wordpress formuliertje mijn BSN invullen. Verplicht veld, natuurlijk.
Christoxz
14 juni 2021 15:35
Het lek zou na een hackaanval zijn ontstaan en is inmiddels gedicht.
Een lek is ontstaan na een hackaanval?
Dan neem ik aan dat zij bijvoorbeeld via social engineering binnen zijn gekomen en bewust een lek hebben gecreëerd? Maar dat lijkt mij ook niet :)
Door deze hackaanval zouden namen, e-mailadressen, woonplaatsen en postcodes van de getroffen klanten openbaar toegankelijk zijn geworden via de site van PostYourLab.
Een hack aanval, en je systeem maakt data openbaar.

Lijkt mij weer een bullshit verhaal om je voor de media/consumenten intedekken.

[Reactie gewijzigd door Christoxz op 14 juni 2021 15:35]

jaapzb
@Christoxz14 juni 2021 15:44
Het gelinkte artikel verwoord het wat anders:
Monkel zegt dat een hacker heeft ingebroken op een server waar klanten bestellingen kunnen plaatsen.
Het lijkt er dus op dat de zin die jij quote een ongelukkige parafrasering is van tweakers
freaxje
14 juni 2021 18:36
Dit zal nog veel vaker gebeuren omdat we toelaten dat nalatige criminele incompetentie weggewuifd wordt met 'we wisten het niet', 'het is te moeilijk'. Gecombineerd met de gedachtegang onder jonge ondernemers dat toegang tot privédata van miljoenen mensen hun recht is. Wat niet is.

Naar analogie laten we ongeacht de competentie van de bestuurder/eigenaar van een wagen ook geen wagens toe op de openbare weg die duidelijk door een incompetente debiel (niet) onderhouden wordt: schokdempers en remmen niet in orde? De lichten niet goed afgesteld? Van de baan af!

Waarom smijten we die bedrijfjes die hun beveiliging niet op orde hebben niet van het Internet af?
Favrile
@freaxje14 juni 2021 18:55
Wat grappig. Daar zat ik ook aan te denken. Afhankelijk van de grootte van het bedrijf, organisatie en/of de tijd dat de situatie heeft geduurd een tijdje "Onderhoud aan de site".
freaxje
@Favrile14 juni 2021 19:14
Men moet beginnen met een gespierd controleorgaan. Zoals in de analogie die ik maakte de autokeuring bestaat kan er absoluut en heel zeker een digitale keuring komen. Er bestaat toch nu al keuring voor tal van andere technische zaken? Elektrische keuring. Gaskeuring. Brandveiligheid. En zo verder.

Die keuringsinstanties hebben onafhankelijke experts die een verslag opstellen. Staan er in dat verslag onaanvaardbare zaken, dan moeten die hersteld worden alvorens één en ander terug operatief kan en mag zijn in deze samenleving. Niet eens? Dan vraag je een andere onafhankelijke (maar WEL erkende) expert en/of herstel je gewoonweg de zaak zonder uw onnozel en onnodig ideologisch gezaag en gemor.

Dit kan perfect voor websites, apps, digitale gegevensbewaring en zo verder.

Maar omdat we maar blijven hangen in de nineties waar 'ne websaait hebben' het meest technologisch geavanceerde wat er maar kan zijn is, wat niet is, maar kom, maar goed, anfin, allez dan, en dat zoiets meesterlijk geavanceerd zeker niet mag gecontroleerd worden door de overheid, daarom zitten we dagdagelijks met walgelijk extreem veel lekken van privacy. Want de jonge ondernemers zouden eens gecontroleerd gaan worden zeker?

Dat moet dus inderdaad echt. En bij blijvende gebreken en bijgevolg lekken moeten er ook zware boetes en ook gevangenisstraffen komen.
xmenno
14 juni 2021 15:33
Hierbij vraag ik mij dus af of er echt is ingebroken en dus beschermd waren met bijvoorbeeld een wachtwoord, of dat de gegevens gewoon ergens publiekelijk op te vragen waren. Hierover kan ik verder niks vinden, NU.nl geeft niet meer informatie.
Er staat ook niet of de hacker iets met de data gedaan heeft, bijvoorbeeld te koop aan heeft geboden.

[Reactie gewijzigd door xmenno op 14 juni 2021 15:34]

Sunderfield
14 juni 2021 15:35
Labonovum gaat aangifte doen bij de politie en gaat getroffen klanten maandag per e-mail op de hoogte stellen. Het bedrijf zegt nog te onderzoeken of een melding bij de Autoriteit Persoonsgegevens nodig is.
Het feit dat ze hier nog over twijfelen is schandalig.
Anoniem: 696166
14 juni 2021 15:45
Blijkt een woocommerce site te zijn, met login op de standaard locatie (https://postyourlab.nl/wp-login), facebook pixel en google analytics aan boord, maar geen cookiemelding
jcbvm
@Anoniem: 69616614 juni 2021 17:39
Bij Google analytics is het volgens mij niet verplicht een cookie melding te geven mits je anoniem statistieken doorstuurt.
SgtElPotato
@Anoniem: 69616614 juni 2021 18:12
Het lijkt me zaak dat je je eerst inleest in wanneer er wel of geen cookiemelding moet komen.
Xfade
14 juni 2021 15:47
Nog even en dan weten hackers meer van ons dan Google en Facebook al jaren proberen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee