Hackers eisen losgeld van KNWU na datahack

zaterdag 28 november 2020 om 08:29
Hackers eisen losgeld van KNWU na datahack

Ter illustratie - foto: Cor Vos

De KNWU is getroffen door een datahack, waarbij ingebroken is in de oude MijnKNWU-omgeving. Daarbij zijn onder meer persoons- en contactgegevens van leden buitgemaakt, erkent de bond.

De oude ledenomgeving is sinds begin dit jaar niet meer in gebruik voor publiek, maar was voor intern en historisch gebruik nog wel te raadplegen. Door de hack-aanval zijn alle gegevens die in deze database hebben gestaan in handen van derden. De datahack is na de ontdekking direct bij de Autoriteit Persoonsgegevens gemeld en er is aangifte gedaan bij de politie. Daarnaast doet de KNWU nog uitgebreider onderzoek naar de exacte toedracht ervan.

“De hackers hebben losgeld gevraagd om de data weer in bezit te krijgen. Op advies van de direct ingeschakelde en bevraagde partijen gaan wij niet op deze eis in. Enerzijds omdat er wel back-ups van deze data zijn gemaakt en deze data alleen historische gegevens bevat. Anderzijds omdat het betalen van dit losgeld op geen enkele wijze de zekerheid geeft dat de data niet alsnog wordt gebruikt voor andere doeleinden”, aldus de bond.

Gebruikersnaam en wachtwoord
Data uit de oude MijnKNWU-omgeving is met de overgang in januari gemigreerd naar de nieuwe ledenomgeving. Dit betekent dat KNWU-leden hun gebruikersnaam en wachtwoord niet hoefden te wijzigen. De bond roept op dit alsnog zo snel mogelijk te doen. Verder heeft de datahack geen consequenties voor de huidige MijnKNWU-omgeving en de beveiliging hiervan. Het heeft tevens geen gevolgen voor het verlengen van lidmaatschappen en/of het aanvragen van licenties.

Dit artikel delen:
# KNWU

18 Reacties

Kaj 28 november 2020 om 08:55

De KNWU en ICT je blijft je keer op keer verbazen.
Een simpele verkiezing lukt al niet, de implementatie van een nieuwe site was een drama en nu dit. En de leden maar vragen om mee te doen aan allerlei digitale onzin fietsdingetjes. Veiligheid? Niet gegarandeerd

Emergo 28 november 2020 om 16:59

De KNWU bevindt zich in groot gezelschap.

Turtlehead 28 november 2020 om 09:02

Nou, R.K. gaat wel érg ver om de KNWU in een amateuristisch en kwaad daglicht te stellen ;)

In: beetje dom om de oude datastructuur online toegankelijk te houden; dat kun je natuurlijk nooit blijven beveiligen.

Kaj 28 november 2020 om 09:05

Nou waren het de directeuren Dhr Veneberg en Mevr. de Vries die dit naar buiten hebben gebracht. Maar ja veel meer kunnen we ook niet zeggen. Mss worden de leden binnenkort wel benaderd door een adverteerde van deze site of door een Chinese site met allerlei aanbiedingen. Het kan verkeren ;-)

jooprioolpijp 28 november 2020 om 12:40

@Turtlehead Je bent me voor, ik dacht hetzelfde :-)

Verweggistan 28 november 2020 om 18:54

:)

Westfalen 28 november 2020 om 11:02

Warrig verhaal van de KNWU. Gaat het hier om ramsomware ? Er wordt ook gesproken over backups. Vaak is het hackers dan alleen om losgeld te doen.

doorak 28 november 2020 om 11:12

Foutje dat de oude database nog benaderbaar was van buitenaf.
Inderdaad niet ingaan op chantage. Immers de hackers copiëren het bestand evengoed om elders te verkopen.
Het is niet ongebruikelijk dat historische data niet altijd direct gemigreerd kan worden naar een nieuwe omgeving en laat men dan ernaast draaien ivm raadpleging.

JdS 28 november 2020 om 11:34

Je moet je natuurlijk eerst bedenken wat er via de KNWU van jou gestolen is.
Telefoonnummer, e-mail adres, persoonlijk woonadres, in case of emergency contact en haar telefoonnummer, je IBAN nummer, de tennaamstelling van dat nummer en dat in combinatie met je voor en achternaam, geslacht, geboortedatum, nationaliteit. O ja en natuurlijk ook nog je pasfoto die aan allerhande duidelijkheidseisen moest voldoen (resolutie, recent zijn en je gezicht moet duidelijk te zien zijn)

En nog veel meer als lidmaatschappen, licenties, facturen, (incasso machtiging?)

Realiseren we ons wat de KNWU heeft veroorzaakt voor mogelijke vervolgellende in de vorm van spoofing, phishing, e-mail fraude, spookfacturen…en nog veel meer.

KNWU advies…verander je wachtwoord.
Mijn advies…stel KNWU aansprakelijk voor de vervolg ellende.

KnightBiker 28 november 2020 om 12:28

Het is de gebruiker zijn verantwoordelijkheid om deugdelijke wachtwoorden te gebruiken: er wordt ook vaak genoeg gezegd niet overal hetzelfde wachtwoord in te stellen. In deze, wat mij betreft is het de verantwoordelijkheid van consument als de gebruikte data op andere platformen dan de KNWU gebruikt worden de consument in kwestie schade te berokkenen.
De KNWU heeft in deze zijn plicht gedaan: waarschuwen.

Verder moet de consument minder naïef met zijn haar data omgaan. Daar heeft de overheid een rol in te spelen.

nasibal 28 november 2020 om 13:06

@Knightbiker

Wacht eventjes, dit vind ik heel raar. Dus eigenlijk zeg je dat als ik jou (in vertrouwen en alleen aan jou) een papiertje geef met daarop alle door JdS genoemde informatie en dat wordt vervolgens bij jou thuis gestolen omdat jij je beveiliging niet goed op orde had, het dan mijn verantwoordelijkheid is als die gestolen informatie gebruikt wordt en ik daar schade van ondervind?

Het is mijn verantwoordelijkheid dat ik je vertrouw het aan jou geef. Het is vervolgens jouw verantwoordelijkheid dat die informatie vervolgens veilig is, zoals je beloofd hebt.

Wat ik anders zou vinden is als jij mij een sleutel van jouw huis geeft (mijn inloggegevens) ik díe vervolgens laat jatten en ze daarmee jouw huis binnenkomen. Maar dat is natuurlijk niet het geval he.

KnightBiker 28 november 2020 om 17:13

@nasibal – hangt ervan af. Als het alleen om passwords gaat dan ja, dan is het alleen de verantwoordelijkheid van de KNWU binnen haar development omgeving. Als er ander data vrijkomt die misbruikt kan worden dan is er voor de KNWU wellicht meer verantwoordelijkheid. Meestal gaat het in dit soort zaken echter alleen om passwords en een bankrekening nummer..

Als het om de vergelijking van een sleutel gaat: je hebt toch ook niet dezelfde sleutel voor je huis als voor je fiets?

doorak 28 november 2020 om 19:52

Hier klopt eea niet.
Het lid is in dit geval n i e t verantwoordelijk voor deze hack.
Immers het was het verouderd systeem wat men alleen nog gebruikte voor raadplegen historische data.
De vraag is of deze oude database bijvoorbeeld alleen het lidmaatschapnummer bevatte waaraan alle historische data is gekoppeld zodat deze men kan inzien op kantoor KNWU.
Alle overige data zoals geboortejaar, IBAN erc hoeft daar en moet daar niet meer staan.
Dat deel staat wel in het nieuwe systeem waarop het lid in kan loggen.

De makke is dat op zich een modern platform goed beveiligd kan worden tegen hacken maar juist de oude systemen ontberen aantal security opties waardoor ze wel gemakkelijk te hacken zijn en dat is gebeurd terwijl juist die oude database helemaal niet meer benaderbaar moest kunnen zijn vanaf het internet. Fout KNWU dus.

Charlie33 28 november 2020 om 12:36

Als dataspecialist kan ik melden dat deze hackers echt gelegenheidshackers zijn. De deur stond blijkbaar wijd open. Gelegenheid maakt de dief. Echte criminelen gaan echt niet de knwu hacken.

doorak 28 november 2020 om 19:54

Exact, was oud systeen en zoals elke DBA weet vrij gemakkelijk op in te breken.

klootje kriekeljon 28 november 2020 om 12:58

Die man heet Wintels. Niet dat je denkt dat je een iPhone hebt gewonnen..

willempie72 28 november 2020 om 23:53

Heeft de knwu ook al gezegd welke gegevens er van mensen op straat liggen? Medische gegevens, attesten, dopingovertredingen die ze nog niet naar buiten hebben gebracht. Dit kan zo maar een wintervullend wielerverhaal gaan worden met sappige details om de winter door te komen.

ProfrondeZevenbergen 29 november 2020 om 00:04

Triest bericht dit. Het is helaas de huidige maatschappij.

Headlines

Materiaalzone

Populair