Toon posts:

Datalek bij sollicitatie via Homerun

Pagina: 1
Acties:

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
Hola allemaal! Heeft een van jullie ook deze mail gekregen? Blijkbaar is er een datalek geweest in de sollicitatieprodecure bij softwareclubje Q42 (via hun sollicitatieplatform homerun). Ook moeten ze dus nu met de billen bloot dat de data dus te lang blijft staan (het AP zegt "max 4 weken"):
Beste,

We mailen je omdat je ooit gesolliciteerd hebt bij Q42. Om het sollicitatieproces zo goed mogelijk te doen maken wij gebruik van de software van Homerun.

Op vrijdag 29 oktober 2021 heeft Homerun ons laten weten dat er een aanval op hun systemen heeft plaatsgevonden. Een hacker heeft toegang gekregen tot persoonlijke data van sollicitanten en data gekopieerd. Na ontdekking zegt Homerun een overeenkomst gesloten te hebben met de hacker, waarna de gekopieerde data is verwijderd. Homerun stelt dat de kans heel klein is, dat er toch nog een kopie van de data is. De systemen van Homerun zijn inmiddels aangepast, zodat het lek niet meer bestaat.

We mailen jou omdat er een kans is dat er informatie over jou bij de gekopieerde data zat. De hacker heeft toegang gehad tot de sollicitatiedata van alle klanten van Homerun. Dit zijn de data van alle sollicitaties: ingevulde velden zoals naam, e-mail en telefoonnummer, CV’s, motivatiebrieven en onze notities.

Wij zijn erg teleurgesteld dat dit nu gebeurt bij onze softwareleverancier. Een sollicitatie doe je in vertrouwen. Bij Q42 gaan we heel zorgvuldig met iedere sollicitatie om. Hoewel de kans misschien klein is dat je data nog gebruikt wordt, vinden we het belangrijk om deze informatie transparant met je te delen.

We hebben zelf inmiddels melding gedaan bij de Autoriteit Persoonsgegevens en we staan in nauw contact met Homerun over hun onderzoek. Mocht er nieuwe informatie bekend worden over dit lek, dan laten we je dat weten.

We hopen dat het hierbij blijft.

Als je nog vragen hebt, aarzel dan niet om te mailen naar privacy@q42.nl. We zullen dan zo snel mogelijk je vragen proberen te beantwoorden.

Met vriendelijke groet,

Jasper Kaizer

directeur, Q42
Nou, lekker dan!

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
jurroen schreef op dinsdag 2 november 2021 @ 20:48:
[...]


Ik neem aan dat je bedoelt wat ze hebben gedaan om herhaling van die teleurstelling te voorkomen?
Ze zijn ook de eerste keer, bij wet, gewoon verplicht om je data veilig te houden hoor.

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
Katie80 schreef op dinsdag 2 november 2021 @ 21:56:
Hoe lang geleden heb je gesolliciteerd?

Ik mag hopen dat dat in de afgelopen 4 weken is geweest, aangezien ze de gegevens niet langer horen te bewaren.
Bijna het 52-voudige; 4 jaar. Ze hebben die data 4 jaar lang vast gehouden.

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
Vegazz schreef op woensdag 3 november 2021 @ 13:32:
Ah, ik ontving net een mail vanuit een van de grote commerciele omroepen in Nederland, met dezelfde tekst. Meer dan een half jaar geleden voor het laatst contact (Sollicitatie) gehad. Navraag gedaan over hun bewaartermijn en welke gegevens ze van mij nog steeds hebben.
Interessant! En er zijn dus duidelijk nog meer klanten van Homerun de dupe:

https://www.vpngids.nl/ni...n-getroffen-door-datalek/


Uit dat artikel begrijp ik dat het volgens Homerun gegaan is om een prutserige configuratie van Apache. You had one job.....

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
DaFeliX schreef op woensdag 3 november 2021 @ 15:25:
[...]


Waar lees jij dat? Ik lees dat ze een kwetsbaarheid in apache hebben misbruikt:


[...]
Wat is het verschil? Het is toch een vulnerability in de Apache configuratie die zij zelf hebben onderhouden? Het is niet zo dat het een core Apache vulnerability is anders had iedereen er wel last van.

Je ziet daar de zelfde tenenkrommende "wij konden er niks aan doen, het komt door een leverancier" mentaliteit als Q42 heeft.

Zou Homerun nu teleurgesteld zijn in Apache?

[Voor 12% gewijzigd door digigast op 03-11-2021 16:04]


  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
jurroen schreef op woensdag 3 november 2021 @ 19:33:
[...]


Sorry, dat is het wel. Het lek zat in Apache 2.4.49, in de core van die specifieke versie. De kwetsbaarheid is ook nog eens heel eenvoudig te misbruiken.
Oh auch! Thanks voor de link. Dat maakt de zaak (aan de kant van Homerun) ook wel weer anders.

Moet wel CGI expliciet enabled zijn trouwens. Doen mensen dat nog in 2021??

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
deathmonkey schreef op donderdag 4 november 2021 @ 15:32:
Hier ook 'slachtoffer' van dit lek. Krijg ook sinds kort erg veel spam mailtjes, vraag me af of er een link is. De periode dat deze starten is ongeveer gelijk met wanneer dit lek is gebeurt.

Vraag me trouwens af of we er nog wat mee kunnen dat deze sollicitaties zo lang zijn bewaard.
Als jouw data te lang bewaard is zou ik in ieder geval een melding maken bij de Autoriteit Persoonsgegevens. Bij de vraag "Gaat uw melding over een datalek?" moet je dan "NEE" kiezen, anders maak je melding van het datalek zelf. Je kunt er ook twee sturen naar de AP; eentje voor het feit dat ze je data te lang bewaren en eentje voor het datalek.

Helemaal als je data niet uitgelekt zou zijn geweest als het bedrijf de wet AVG niet overtreden had door de data te lang te bewaren lijkt mij melding bij de AP niet overdreven.

  • digigast
  • Registratie: Juni 2016
  • Laatst online: 30-01 10:21
Titus schreef op dinsdag 9 november 2021 @ 16:27:
Ik vraag me af of die 4 jaar nou op een misverstand berust is om eerlijk te zijn.

Homerun informeert klanten -> Klant informeert iedereen van wie ze ooit een sollicitatie hebben ontvangen (op basis van hun eigen excel/mailbox) dat er een lek is geweest.

Dat wil niet zeggen dat je sollicitatie van 4 jaar geleden nog in het systeem aanwezig waren ten tijden van de hack. De echte vraag is, kon de klant van Homerun jouw gegevens nog terugvinden in Homerun? Of hebben ze hun eigen shadowlist van alle sollicitaties ooit? OF werk je er nu nog steeds en hebben ze alleen hun werknemers gemaild :P?

Veel unknowns, ik ben benieuwd!
Helaas; De volledige dataset van mij was beschikbaar; adres, telefoonnummer, email adres, mails, notities en het cv waren allemaal op te lepelen uit Homerun.
Pagina: 1



Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee