Het artikel gaat hieronder verder.
Een datalek als van het formaat van Odido is het waarschijnlijk niet. Toch zal ook de bekende ATS-leverancier OTYS waarschijnlijk wel fijnere weken hebben meegemaakt dan de afgelopen weken, nadat op 8 februari een eerste beveiligingsincident plaatsvond, waarbij misbruik werd gemaakt van een uploadfunctie binnen de omgeving. Het incident resulteerde 11 februari in het verzenden van phishingmails vanuit het OTYS-systeem, waarin staat dat ‘je beveiligingsapparaat verouderd is’ en ‘je toegang tot internetbankieren tijdelijk is beperkt’. Vervolgens wordt je gevraagd je “beveiliging” bij te werken via een knop in de e-mail.
Naar nu blijkt is het incident niet beperkt gebleven tot alleen phishing.
Niets van waar natuurlijk, maar naar nu blijkt is het incident niet beperkt gebleven tot alleen phishing. Onderzoek van OTYS zelf heeft uitgewezen dat ‘in sommige gevallen’ toch ook toegang is verkregen tot contactgegevens die in de database zijn opgeslagen. In de meeste gevallen zou het alleen gaan om mailadressen. Maar voor een beperkt aantal klanten zijn er aanwijzingen dat ook andere gegevens zijn ingezien. ‘Deze klanten zijn persoonlijk op de hoogte gebracht’, stelt OTYS. Er zijn volgens hen geen aanwijzingen dat wachtwoorden, financiële gegevens, identiteitsdocumenten, burgerservicenummers of andere gevoelige informatie zijn ingezien.
Week stilte
Maar nadat OTYS op 11 februari het beveiligingsincident voor het eerst aan zijn klanten meldde, waarbij het aanvankelijk slechts leek te gaan om de phishing-mail vanuit het OTYS-systeem, bleek 2 dagen later dat het incident toch groter was: bij een aantal klanten was ‘korte tijd’ ook inzage in de database geweest. Er is de klanten toen verzekerd dat daarbij geen data zijn geëxporteerd, gedownload, gewijzigd, verwijderd of op een andere manier zijn gebruikt. Op 19 februari liet OTYS, na extern forensisch onderzoek, weten dat mogelijk echter tóch data zijn gedownload, al was dan nog steeds niet duidelijk welke data wél of niet gedownload zijn.
Op 19 februari liet OTYS weten dat mogelijk tóch data zijn gedownload.
Volgens klanten van het bedrijf zou het daarbij kunnen gaan om bijvoorbeeld iemands telefoonnummer, NAW-gegevens, geboortedatum, informatie over je opleiding en werkervaring, zoals deze ook openbaar is op bijvoorbeeld LinkedIn, en je sollicitatiehistorie in het systeem. Bij zzp’ers zijn echter mogelijk ook nog andere gegevens gelekt, zoals een KvK-nummer, Btw-nummer en zakelijke bankgegevens. Volgens OTYS zelf zijn er geen aanwijzingen dat data zijn gemanipuleerd of verwijderd, en is de onbevoegde toegang inmiddels volledig beëindigd. Ook zijn direct aanvullende beveiligingsmaatregelen geïmplementeerd.
‘AP op de hoogte’
Het is niet waarschijnlijk dat het (mogelijke) datalek leidt tot daadwerkelijk misbruik, maar OTYS kan de mogelijkheid van misbruik van gegevens op dit moment ook niet volledig uitsluiten. ‘We raden je daarom aan bij onverwachte of verdachte e‑mails en telefoontjes alert te zijn en blijven. Geef geen wachtwoorden of pincodes en wees alert bij het ontvangen van facturen’, aldus een van de klanten van OTYS bij wie mogelijk gegevens zijn ingezien. De Nederlandse Autoriteit Persoonsgegevens zou inmiddels ook op de hoogte gesteld zijn van het incident, zo meldt deze klant.
‘We raden je aan bij onverwachte of verdachte e‑mails en telefoontjes alert te zijn.’
In de zin van de Algemene Verordening Gegevensbescherming (AVG) treedt OTYS op als gegevensverwerker. Hun klanten zijn de verwerkingsverantwoordelijken. Bij hen ligt dan ook de verantwoordelijkheid om de (eventuele) slachtoffers van het incident te informeren. Volgens OTYS zelf geeft het beveiligingsincident in elk geval ‘een kans om een grondige evaluatie uit te voeren en onze beveiligingsmaatregelen verder te verbeteren.’ De mogelijkheid om scripts uit te voeren vanuit de uploadomgeving is inmiddels wereldwijd uitgeschakeld, en het betreffende webformulier met uploadfunctionaliteit niet langer beschikbaar.
‘Uiterst vervelend’
Gevraagd naar een reactie laat OTYS weten dat ze de ontstane situatie uiterst vervelend vinden voor hun klanten. Een woordvoerder van het bedrijf geeft aan ‘maximaal transparant te zijn en alle relevante informatie direct met klanten te delen zodra het beschikbaar komt. Dit heeft als nadeel dat nieuwe inzichten soms leiden tot een aanpassing van de risicobeoordeling, maar als voordeel dat klanten snel kunnen inspelen op de beschikbare informatie, en op basis daarvan hun incident-response kunnen bepalen.’
Lees ook
- Hoe het nieuwe OTYS Go! het de recruiter makkelijker wil maken
- Homerun-CEO blikt terug op hack: ‘Je bent helaas nooit 100% veilig’