Datalek Webshop

7-11-2023
Update: de webshop is inmiddels weer beschikbaar na beveiligingsmaatregelen te hebben toegepast.

  • Wat is er gebeurd?
  • Wat kunnen betrokkenen doen om schade te voorkomen?
  • Wat hadden wij kunnen doen om dit te voorkomen?

Alle betrokkenen van het mogelijke datalek zijn reeds door ons geïnformeerd. We willen jullie via deze weg uitgebreider informeren over de recente gebeurtenis met betrekking tot de webshop die wij gebruiken. 

Wat is er gebeurd

Onlangs hebben we iemand van buiten onze organisatie toegang gegeven tot onze webshop om te helpen bij het installeren van een softwareonderdeel. Deze persoon had tijdelijke beheerdersrechten om ons te assisteren. Helaas is deze persoon getroffen door een hack en waren wij daar niet van op de hoogte. Via deze hack zijn ook de gegevens bemachtigd die nodig zijn om in te loggen op de webshop.

Toen we beseften dat er iets niet klopte, hebben we de webshop meteen offline gehaald en contact opgenomen met onze hostingprovider. We hebben de situatie aangepakt door de webshop terug te zetten naar een eerdere versie voordat de kwaadwillende hacker toegang had. We hebben onnodige accounts verwijderd, wachtwoorden gewijzigd en tweestapsverificatie geïnstalleerd om herhaling te voorkomen.

Helaas hebben we niet voldoende aandacht besteed aan de beveiliging van de webshop omdat onze focus vooral lag op de HackShield-game en het HackShield platform, dat hier volledig los van staat. We realiseren ons nu dat dit een verkeerde inschatting was en we nemen de volledige verantwoordelijkheid voor deze situatie. 

Daarnaast willen we benadrukken dat de HackShield game en het HackShield platform losstaan van de Webshop en de gegevens van de kinderen die HackShield spelen dus niet bij het incident betrokken zijn en zodanig niet zijn gelekt. Verder passen wij op ons platform het principe toe van dataminimalisatie en slaan we zo min mogelijk persoonlijke data op, zeker van kinderen. 

De Webshop wordt gebruikt voor de verkoop van merchandise en de registratie van aanwezigen op Het Grote HackShield Event 2022. Gebruikers van de webshop hebben geen eigen account en wachtwoord. Voor het doen van bestellingen is een account niet nodig, zodoende zijn er geen gebruikersnamen en wachtwoorden opgeslagen. 

Hoewel we geen enkel bewijs hebben gevonden dat de kwaadwillende hackers toegang hebben gehad tot onze database, willen we het zekere voor het onzekere nemen en alle betrokkenen op de hoogte stellen. De informatie die op deze module is ingevuld, zoals e-mailadressen, telefoonnummers en namen, kan door kwaadwillende hackers worden gebruikt voor phishing- en smishing-aanvallen.

We hebben meteen contact opgenomen met de Autoriteit Persoonsgegevens, onze partner en securitybedrijf ESET Nederland en onze hostingprovider om een diepgaand onderzoek uit te voeren naar wat er precies is gebeurd. Hoewel we geen bewijs hebben dat gevonden data is gestolen, kunnen we het ook niet volledig uitsluiten. We willen daarom ook geen enkel risico nemen als het gaat om de privacy van onze partners en hebben besloten iedereen die direct of indirect van de webshop gebruik heeft gemaakt te informeren en te adviseren hoe mogelijke schade te voorkomen.
 

Wat kunnen betrokkenen doen om schade te voorkomen

Om misbruik van gegevens te voorkomen vragen we alle mogelijke slachtoffers om alert te zijn op verdachte e-mails en smsjes, bijvoorbeeld berichten waarin persoonlijke gegevens worden genoemd en waarin wordt gevraagd op een link te klikken. Deze links zijn mogelijk phishinglinks die schade kunnen toebrengen. Ook kan er uit naam van een betrokkene, maar met een ander e-mailadres, een mail verzonden worden. Het is daarom verstandig om ook de omgeving hierover in te lichten, zodat zij deze mail niet openen en niet op de links in deze berichten klikken.
 

Wat hebben wij gedaan om herhaling te voorkomen

We hebben geleerd van deze situatie en hebben onze beveiligingsmaatregelen aangescherpt. Wanneer we de webshop meer aandacht hadden gegeven hadden we de volgende dingen kunnen doen om dit te voorkomen:

  • Accountbeheer: We hadden het account van de persoon die ons geholpen heeft met de webshop achteraf moeten verwijderen. Het verwijderen van onnodige of inactieve accounts is zeer belangrijk en voorkomt mogelijk misbruik van deze accounts.
  • Tweestapsverificatie: We hadden direct tweestapsverificatie op de webshop moeten installeren. In dat geval had de hacker niet genoeg aan het wachtwoord van het account, want dan had er ook een tweede bevestiging moeten komen via bijvoorbeeld een mobiele app die aan het account gekoppeld was.
  • Databeheer: Veel van de data in de database hadden we niet (meer) nodig. We hadden deze dus kunnen verwijderen. Data die verwijderd is kan niet worden gestolen.
     

Achteraf gezien hadden we hier beter bij na moeten denken voordat we dit systeem in gebruik namen. We hopen echter dat er door onze transparantie en aangescherpte maatregelen niet met minder vertrouwen naar onze producten en diensten wordt gekeken. We weten echter ook dat schaamte in veel gevallen een reden is om geen melding te doen en niet te leren van gemaakte fouten, dit willen wij absoluut voorkomen.

We willen alle gebruikers van onze producten en diensten verzekeren dat we er alles aan doen om de veiligheid te waarborgen. We zullen in de komende periode al onze systemen opnieuw testen op kwetsbaarheden en, waar nodig, extra beveiligingsmaatregelen implementeren.

Bedankt voor jullie begrip en we staan via [email protected] klaar om eventuele vragen te beantwoorden!

The rules of this competition...

  • You can only win prizes if you live in this municipality
  • You can enter the competition from to . Only the points you score during this period count!
  • Some competitions have additional rules. These of course also count as the rules of the competition. These extra rules can be found at the top of this page.