Materiaalzone 
Fietstoerisme 
Hackers eisen losgeld van KNWU na datahack
De KNWU is getroffen door een datahack, waarbij ingebroken is in de oude MijnKNWU-omgeving. Daarbij zijn onder meer persoons- en contactgegevens van leden buitgemaakt, erkent de bond.
De oude ledenomgeving is sinds begin dit jaar niet meer in gebruik voor publiek, maar was voor intern en historisch gebruik nog wel te raadplegen. Door de hack-aanval zijn alle gegevens die in deze database hebben gestaan in handen van derden. De datahack is na de ontdekking direct bij de Autoriteit Persoonsgegevens gemeld en er is aangifte gedaan bij de politie. Daarnaast doet de KNWU nog uitgebreider onderzoek naar de exacte toedracht ervan.
“De hackers hebben losgeld gevraagd om de data weer in bezit te krijgen. Op advies van de direct ingeschakelde en bevraagde partijen gaan wij niet op deze eis in. Enerzijds omdat er wel back-ups van deze data zijn gemaakt en deze data alleen historische gegevens bevat. Anderzijds omdat het betalen van dit losgeld op geen enkele wijze de zekerheid geeft dat de data niet alsnog wordt gebruikt voor andere doeleinden”, aldus de bond.
Gebruikersnaam en wachtwoord
Data uit de oude MijnKNWU-omgeving is met de overgang in januari gemigreerd naar de nieuwe ledenomgeving. Dit betekent dat KNWU-leden hun gebruikersnaam en wachtwoord niet hoefden te wijzigen. De bond roept op dit alsnog zo snel mogelijk te doen. Verder heeft de datahack geen consequenties voor de huidige MijnKNWU-omgeving en de beveiliging hiervan. Het heeft tevens geen gevolgen voor het verlengen van lidmaatschappen en/of het aanvragen van licenties.
Een simpele verkiezing lukt al niet, de implementatie van een nieuwe site was een drama en nu dit. En de leden maar vragen om mee te doen aan allerlei digitale onzin fietsdingetjes. Veiligheid? Niet gegarandeerd
In: beetje dom om de oude datastructuur online toegankelijk te houden; dat kun je natuurlijk nooit blijven beveiligen.
Inderdaad niet ingaan op chantage. Immers de hackers copiëren het bestand evengoed om elders te verkopen.
Het is niet ongebruikelijk dat historische data niet altijd direct gemigreerd kan worden naar een nieuwe omgeving en laat men dan ernaast draaien ivm raadpleging.
Telefoonnummer, e-mail adres, persoonlijk woonadres, in case of emergency contact en haar telefoonnummer, je IBAN nummer, de tennaamstelling van dat nummer en dat in combinatie met je voor en achternaam, geslacht, geboortedatum, nationaliteit. O ja en natuurlijk ook nog je pasfoto die aan allerhande duidelijkheidseisen moest voldoen (resolutie, recent zijn en je gezicht moet duidelijk te zien zijn)
En nog veel meer als lidmaatschappen, licenties, facturen, (incasso machtiging?)
Realiseren we ons wat de KNWU heeft veroorzaakt voor mogelijke vervolgellende in de vorm van spoofing, phishing, e-mail fraude, spookfacturen...en nog veel meer.
KNWU advies...verander je wachtwoord.
Mijn advies...stel KNWU aansprakelijk voor de vervolg ellende.
De KNWU heeft in deze zijn plicht gedaan: waarschuwen.
Verder moet de consument minder naïef met zijn haar data omgaan. Daar heeft de overheid een rol in te spelen.
Wacht eventjes, dit vind ik heel raar. Dus eigenlijk zeg je dat als ik jou (in vertrouwen en alleen aan jou) een papiertje geef met daarop alle door JdS genoemde informatie en dat wordt vervolgens bij jou thuis gestolen omdat jij je beveiliging niet goed op orde had, het dan mijn verantwoordelijkheid is als die gestolen informatie gebruikt wordt en ik daar schade van ondervind?
Het is mijn verantwoordelijkheid dat ik je vertrouw het aan jou geef. Het is vervolgens jouw verantwoordelijkheid dat die informatie vervolgens veilig is, zoals je beloofd hebt.
Wat ik anders zou vinden is als jij mij een sleutel van jouw huis geeft (mijn inloggegevens) ik díe vervolgens laat jatten en ze daarmee jouw huis binnenkomen. Maar dat is natuurlijk niet het geval he.
Als het om de vergelijking van een sleutel gaat: je hebt toch ook niet dezelfde sleutel voor je huis als voor je fiets?
Het lid is in dit geval n i e t verantwoordelijk voor deze hack.
Immers het was het verouderd systeem wat men alleen nog gebruikte voor raadplegen historische data.
De vraag is of deze oude database bijvoorbeeld alleen het lidmaatschapnummer bevatte waaraan alle historische data is gekoppeld zodat deze men kan inzien op kantoor KNWU.
Alle overige data zoals geboortejaar, IBAN erc hoeft daar en moet daar niet meer staan.
Dat deel staat wel in het nieuwe systeem waarop het lid in kan loggen.
De makke is dat op zich een modern platform goed beveiligd kan worden tegen hacken maar juist de oude systemen ontberen aantal security opties waardoor ze wel gemakkelijk te hacken zijn en dat is gebeurd terwijl juist die oude database helemaal niet meer benaderbaar moest kunnen zijn vanaf het internet. Fout KNWU dus.