De KNWU is getroffen door een datahack, waarbij ingebroken is in de oude MijnKNWU-omgeving. Daarbij zijn onder meer persoons- en contactgegevens van leden buitgemaakt, erkent de bond.
De oude ledenomgeving is sinds begin dit jaar niet meer in gebruik voor publiek, maar was voor intern en historisch gebruik nog wel te raadplegen. Door de hack-aanval zijn alle gegevens die in deze database hebben gestaan in handen van derden. De datahack is na de ontdekking direct bij de Autoriteit Persoonsgegevens gemeld en er is aangifte gedaan bij de politie. Daarnaast doet de KNWU nog uitgebreider onderzoek naar de exacte toedracht ervan.
“De hackers hebben losgeld gevraagd om de data weer in bezit te krijgen. Op advies van de direct ingeschakelde en bevraagde partijen gaan wij niet op deze eis in. Enerzijds omdat er wel back-ups van deze data zijn gemaakt en deze data alleen historische gegevens bevat. Anderzijds omdat het betalen van dit losgeld op geen enkele wijze de zekerheid geeft dat de data niet alsnog wordt gebruikt voor andere doeleinden”, aldus de bond.
Gebruikersnaam en wachtwoord
Data uit de oude MijnKNWU-omgeving is met de overgang in januari gemigreerd naar de nieuwe ledenomgeving. Dit betekent dat KNWU-leden hun gebruikersnaam en wachtwoord niet hoefden te wijzigen. De bond roept op dit alsnog zo snel mogelijk te doen. Verder heeft de datahack geen consequenties voor de huidige MijnKNWU-omgeving en de beveiliging hiervan. Het heeft tevens geen gevolgen voor het verlengen van lidmaatschappen en/of het aanvragen van licenties.
18 Reacties
De KNWU en ICT je blijft je keer op keer verbazen.
Een simpele verkiezing lukt al niet, de implementatie van een nieuwe site was een drama en nu dit. En de leden maar vragen om mee te doen aan allerlei digitale onzin fietsdingetjes. Veiligheid? Niet gegarandeerd
De KNWU bevindt zich in groot gezelschap.
Nou, R.K. gaat wel érg ver om de KNWU in een amateuristisch en kwaad daglicht te stellen
In: beetje dom om de oude datastructuur online toegankelijk te houden; dat kun je natuurlijk nooit blijven beveiligen.
Nou waren het de directeuren Dhr Veneberg en Mevr. de Vries die dit naar buiten hebben gebracht. Maar ja veel meer kunnen we ook niet zeggen. Mss worden de leden binnenkort wel benaderd door een adverteerde van deze site of door een Chinese site met allerlei aanbiedingen. Het kan verkeren ;-)
@Turtlehead Je bent me voor, ik dacht hetzelfde :-)
Warrig verhaal van de KNWU. Gaat het hier om ramsomware ? Er wordt ook gesproken over backups. Vaak is het hackers dan alleen om losgeld te doen.
Foutje dat de oude database nog benaderbaar was van buitenaf.
Inderdaad niet ingaan op chantage. Immers de hackers copiëren het bestand evengoed om elders te verkopen.
Het is niet ongebruikelijk dat historische data niet altijd direct gemigreerd kan worden naar een nieuwe omgeving en laat men dan ernaast draaien ivm raadpleging.
Je moet je natuurlijk eerst bedenken wat er via de KNWU van jou gestolen is.
Telefoonnummer, e-mail adres, persoonlijk woonadres, in case of emergency contact en haar telefoonnummer, je IBAN nummer, de tennaamstelling van dat nummer en dat in combinatie met je voor en achternaam, geslacht, geboortedatum, nationaliteit. O ja en natuurlijk ook nog je pasfoto die aan allerhande duidelijkheidseisen moest voldoen (resolutie, recent zijn en je gezicht moet duidelijk te zien zijn)
En nog veel meer als lidmaatschappen, licenties, facturen, (incasso machtiging?)
Realiseren we ons wat de KNWU heeft veroorzaakt voor mogelijke vervolgellende in de vorm van spoofing, phishing, e-mail fraude, spookfacturen…en nog veel meer.
KNWU advies…verander je wachtwoord.
Mijn advies…stel KNWU aansprakelijk voor de vervolg ellende.
Het is de gebruiker zijn verantwoordelijkheid om deugdelijke wachtwoorden te gebruiken: er wordt ook vaak genoeg gezegd niet overal hetzelfde wachtwoord in te stellen. In deze, wat mij betreft is het de verantwoordelijkheid van consument als de gebruikte data op andere platformen dan de KNWU gebruikt worden de consument in kwestie schade te berokkenen.
De KNWU heeft in deze zijn plicht gedaan: waarschuwen.
Verder moet de consument minder naïef met zijn haar data omgaan. Daar heeft de overheid een rol in te spelen.
@Knightbiker
Wacht eventjes, dit vind ik heel raar. Dus eigenlijk zeg je dat als ik jou (in vertrouwen en alleen aan jou) een papiertje geef met daarop alle door JdS genoemde informatie en dat wordt vervolgens bij jou thuis gestolen omdat jij je beveiliging niet goed op orde had, het dan mijn verantwoordelijkheid is als die gestolen informatie gebruikt wordt en ik daar schade van ondervind?
Het is mijn verantwoordelijkheid dat ik je vertrouw het aan jou geef. Het is vervolgens jouw verantwoordelijkheid dat die informatie vervolgens veilig is, zoals je beloofd hebt.
Wat ik anders zou vinden is als jij mij een sleutel van jouw huis geeft (mijn inloggegevens) ik díe vervolgens laat jatten en ze daarmee jouw huis binnenkomen. Maar dat is natuurlijk niet het geval he.
@nasibal – hangt ervan af. Als het alleen om passwords gaat dan ja, dan is het alleen de verantwoordelijkheid van de KNWU binnen haar development omgeving. Als er ander data vrijkomt die misbruikt kan worden dan is er voor de KNWU wellicht meer verantwoordelijkheid. Meestal gaat het in dit soort zaken echter alleen om passwords en een bankrekening nummer..
Als het om de vergelijking van een sleutel gaat: je hebt toch ook niet dezelfde sleutel voor je huis als voor je fiets?
Hier klopt eea niet.
Het lid is in dit geval n i e t verantwoordelijk voor deze hack.
Immers het was het verouderd systeem wat men alleen nog gebruikte voor raadplegen historische data.
De vraag is of deze oude database bijvoorbeeld alleen het lidmaatschapnummer bevatte waaraan alle historische data is gekoppeld zodat deze men kan inzien op kantoor KNWU.
Alle overige data zoals geboortejaar, IBAN erc hoeft daar en moet daar niet meer staan.
Dat deel staat wel in het nieuwe systeem waarop het lid in kan loggen.
De makke is dat op zich een modern platform goed beveiligd kan worden tegen hacken maar juist de oude systemen ontberen aantal security opties waardoor ze wel gemakkelijk te hacken zijn en dat is gebeurd terwijl juist die oude database helemaal niet meer benaderbaar moest kunnen zijn vanaf het internet. Fout KNWU dus.
Als dataspecialist kan ik melden dat deze hackers echt gelegenheidshackers zijn. De deur stond blijkbaar wijd open. Gelegenheid maakt de dief. Echte criminelen gaan echt niet de knwu hacken.
Exact, was oud systeen en zoals elke DBA weet vrij gemakkelijk op in te breken.
Die man heet Wintels. Niet dat je denkt dat je een iPhone hebt gewonnen..
Heeft de knwu ook al gezegd welke gegevens er van mensen op straat liggen? Medische gegevens, attesten, dopingovertredingen die ze nog niet naar buiten hebben gebracht. Dit kan zo maar een wintervullend wielerverhaal gaan worden met sappige details om de winter door te komen.
Triest bericht dit. Het is helaas de huidige maatschappij.