De vraag is dan.. Waarom heeft een leidinggevende vergaande administrator rechten nodig om zijn werk te doen? Daar heb je toch techies voor die onder je werken?

Vooral omdat leidinggevenden misschien geen clue hebben hoe ze een veilig wachtwoord moeten bedenken en naar de helpdesk lopen als ze weer eens niet in kunnen loggen.

Hier is absoluut sprake van nalatigheid in de beveiliging van persoonsgegevens. Ik lees niet dat de "hacker" echt geld heeft verdiend aan de "hack" of de informatie heeft verkocht. Ik zou een celstraf voor ID&T logischer vinden.

"Dat deed hij onder meer door het gebruikersaccount [...] te kraken.[..]", aldus het Openbaar Ministerie. Spreken over "kraken" wanneer het meest belangrijke wachtwoord "welkom01" was lijkt me op zijn minst een poging de publieke opinie te beinvloeden.

Dat krijg je wanneer de directie blijft volharden dat zij de baas zijn en overal bij moeten kunnen. Dit is mede de reden dat spearphishing zo succesvol is.

Dat zwakke wachtwoord wordt door security.nl of de OM-pagina waar het artikel naar linkt niet genoemd. Hier staat het wel:
https://www.rtvoost.nl/nieuws/2344693/man-28-hackt-enschedees-softwarebedrijf-gegevens-half-miljoen-festivalbezoekers-op-straat

Het is inderdaad een ontstellend zwak wachtwoord, maar dit is strafrecht, en strafrecht gaat over hoe de dader over de schreef gaat. Het gaat erom dat er een beveiliging was, hoe zwak die ook was. Zelfs een zwakke beveiliging is een onmiskenbaar signaal dat je er niks te zoeken hebt, en je gaat over de schreef als je toch doorzet. Nou wordt bij cybercrime wél ethisch hacken erkend door het OM, maar daarvan is hier duidelijk ook geen sprake, daarvoor had de dader heel snel moeten stoppen en moeten melden dat de beveiliging zwak was, en hij is juist doorgegaan. Die omstandigheden maken het strafbaar.

Daarmee is niet gezegd dat goede beveiliging er niet toe doet, de gevolgen zijn namelijk niet beperkt tot wat het strafrecht ermee doet. Voor een verzekeraar kan het een wereld van verschil maken of ze gammele of sterke beveiliging hebben toegepast, en zo'n zwak wachtwoord kan de betrokken organisaties een smak geld kosten. Voor de reputatie van het slachtoffer kan het ook een wereld van verschil maken: die honderdduizenden wiens persoonsgegevens achterover zijn gedrukt hebben een goede reden om pisnijdig te zijn op een organisatie die zulke zwakke beveiliging hanteert, en iedereen die er kennis van neemt kan zich ook afvragen of ze wel een kaartje willen kopen bij een van de festivalorganisaties die dit systeem gebruiken. En als iemand vanwege dat zeer zwakke wachtwoord voor iemand met administrator-rechten een klacht bij de Autoriteit Persoonsgegevens indient, of als die dit zelf oppakt, kan dat mogelijk tot een forse boete leiden.

Heel vervelend dat ze al die info uberhaupt langdurig opslaan.
Ik heb niet veel met festivals, maar weet nu dat ik dat ook beter niet kan doen ten behoeve van mijn privacy.
Er zouden vragen moeten worden gesteld waarom zoveel mensen nog steeds in hun systeem zaten.

Typisch gevalletje van een gebrek aan security besef. Dit gaat zo vaak mis. Doet me denken aan de hack op de Universiteit Maastricht jaren terug. Niet bijster verstandig om geregeld als domein admin remote in te loggen om werkzaamheden te doen.

Nalatigheid is één ding. Maar al zou er zonder wachtwoord toegang zijn geweest tot gevoelige gegevens, dan geeft dat geen carte blanche voor mensen om deze gegevens te stelen. Je kunt verschillende analogieën maken. Als jij je huisdeur niet op slot doet, geeft dat dan het recht om je inboedel te stelen? In dit geval, als jij de sleutel van je huisbaas jat of kopieert, geeft dat dan jou het recht om diens huis leeg te roven?

Het antwoord is duidelijk ontkennend.

Eh, dus nextselect klikt wat in elkaar voor oa ID&T en zegt dan dat het niet hun systemen zijn die geraakt zijn. Ik snap 'm niet. Als je wat in elkaar klikt dan ben je daar op zijn minst mede verantwoordelijk voor en niet alleen functioneel maar ook technisch en security-wise.

Ik weet niet wat hij met de buitgemaakte data gedaan heeft ofzo maar op zich was mijn eerste reactie wel dat ik er om moest lachen om jezelf backstage toegang en P plek te geven tijdens festivals. Als dat zo lukt stelt de screening e.d. ook geen bal voor. Jammer van de ontkennende en verantwoordelijkheid ontwijkende reactie van nextclick eh nextselect..

Verwacht van het OM dan ook niet dat ze gehinderd worden door enige technische kennis...

Als je op hun linkedin pagina kijkt is t merendeel student wat er rondloopt..

Wat een feestbeest

Aan de andere kant; als ik mijn auto parkeer met de sleutels er nog in, krijg ik (terecht) een prent omdat ik aanleiding geef tot diefstal.