geschaad door mensura leaks
TRANSCRIPT
Hackers onder de schuilnaam Rex Mundi hebben zich toegang verschaft tot een deel van de gegevens van de dienst voor controlegeneeskunde Mensura Absenteïsme. Hackers verkregen zo de identiteitsgegevens van honderden werknemers. Ook de bemerkingen die de betrokken werkgevers
meedeelden aan Mensura over de betrokken werknemers werden gehackt. Na een mislukte chantagepoging zetten de hackers een deel van deze bestanden online. Daardoor zijn deze bestanden vrij beschikbaar op het internet en wer-den ze inmiddels honderden keer gedownload. De privacyrechten van de betrokken werknemers worden daardoor zwaar geschaad. Deze gegevens drei-gen hen voor eeuwig te achtervolgen op het internet.
van de betrokken werknemer en diensrijksregisternummer.Dewerkgeverkondaarbij ook in een rubriek ‘bemerkin-gen’watextraaanwijzingengevenvoorde controlearts: indicaties over hungezondheidstoestand, maar soms ookover hun gedrag in de onderneming,bemerkingen over hun familie, zwan-gerschappen,aantalziektedagen, inci-denten in de onderneming, evaluatie-gesprekken, activiteiten op socialemedia,…
Aldieaanvragenenaldiebemerkingenwerden door Mensura opgeslagen ineen slecht beveiligde databank. Innovember2014stuurdeeenhackerviadie website samen met zo een aan-vraagformulierookeenkleincomputer-
| p r i v a c y | b e s t a n d e n M e n s u r a g e l e k t o p i n t e r n e t |
8
| V
AK
BE
WE
GIN
G 8
17 |
25
JA
NU
AR
I 2
01
5 |
Privacy honderden werknemers geschaad door Mensura leaks
actueel
Mensura Absenteïsme is een dienstvoorcontrolegeneeskundedieactief isinhethele land.Opverzoekvanwerk-gevers sturen ze een controlearts uitdie zieke werknemers thuis gaat con-trolerenofzeweldegelijkziekzijn.Dedienst heeft geen goede reputatienadatinhetrecenteverledencontrole-artsen publiek getuigden over ‘deobjectieven’ die ze moesten halen,streefcijfers over het aantal dagenarbeidsongeschiktheid die ze kondenlatenschrappennaeencontrole.
Mensura maakte het werkgevers vrijgemakkelijk om een controlebezoekaan te vragen. Dat kon door op hunpublieke website een simpel formulierin te vullen, met opgave van de naam
programmamee.Endat lukte: deser-ver van Mensura verzamelde inopdrachtvandatprogrammaallegege-vensvandiedatabank.Enstuurdever-volgens die hele databank met allegegevens door naar de hackers.Mensurawerddaaropdoordehackersgecontacteerd en gechanteerd: alsMensura geen afkoopsom betaalde,zouden de hackers het bestand opinternet publiceren. Mensura gaf niettoeendehackersvoerdenhundreige-mentuit.Opdiversesiteswerdmiddennovember een deel van het Mensura-bestand online gezet, een duizendtallijnenuithettotalebestanddatwellichteen10.000-talgegevensbevat.
Dat gebeurde via meerdere sites zoalspastebin.com, populaire sites onderinformatici om programmabestandenen dergelijke uit te wisselen. Datgebeurdeop13november2014.Opeenvan deze sites werd het bestand meerdan 300 keer gedownload voor hetoffline werd gehaald door de provider(allicht op vraag van de politie). Eenaantal dagen later werd het bestandechter weer elders gepubliceerd, tothetookdaarwerdweggehaald.
Hackers kraakten een slecht beveiligde databank van de dienst voor controlegeneeskunde Mensura Absenteïsme. Na een mislukte chantagepoging zetten de hackers een deel van deze
bestanden met heel persoonlijke informatie over de betrokken werknemers online.
9
| V
AK
BE
WE
GIN
G 8
17 |
25
JA
NU
AR
I 2
01
5 |
In weerwil van de aanbevelingen vandeprivacycommissiemaakteMensuraditincidentpasbekendnadatditvoor-val op een IT-blog werd gesignaleerd.De bestanden waren intussen echterookalopgepiktengeïndexeerddoordezoekrobotsvanGoogleenYahoo-Bing-Safari.Daardoorkonalwieeennaamof
een rijksregisternummer van een vande betrokken werknemers intikte opGoogleofYahoometeendebeginregelslezenoverdebetrokkenpersoonuithetgepubliceerde Mensura-bestand. Enwiewatverdersurftekon‘incache’hetinmiddelsverwijderdebestandlezen.
De gegevens van duizend werknemers op straatEen bloemlezing van wat om het even wie via Google of Yahoo over de 1074betrokkenentelezenkreegviainternet:• “een verminderde werking van haar immuunsysteem en algemeen lage weer-
stand”;• “betrokkene woont in Oostkamp, maar heeft attest van een dokter in Brussel”;• “hij is het afgelopen jaar meerdere keren ziek geweest en overschrijdt het
verzuim indexcijfer”;• “is reeds zijn derde keer afwezigheid wegens ziekte dit jaar”;• “in de shop waar deze werkneemster werkt is onlangs een grote som geld
gestolen”;• “afwezig geweest voor herstel van schoonheidsoperatie (kaken en kin)”• “deze persoon heeft een verleden van afwezigheden”;• “frequent verzuimer”;• “zou nu een week thuis zijn met migraine”;• “laatste 2 maanden zeer vaak afwezig omwille van ziekte”;• “buikgriep?”;• “wijsheidstanden laten trekken”;• “gisteren ruzie gehad op de werkvloer; kan hier een gevolg van zijn”;• “deze persoon zou overwerkt en moe zijn”;• “verantwoordelijke vermoedt dat betrokkene teveel is gaan feesten afgelopen
weekend”;• “werknemer is thuis wegens overlijden van papegaai”;• “collega volgt nog een universitair traject en zou extra tijd nodig hebben om te
studeren”;• “medewerkster heeft aangegeven last van depressie te hebben”;• “zegt dat hij een ontsteking heeft van de onderste ruggenwervels”;• “deze persoon heeft spijtig genoeg chronische problemen met nier en maag”;• “heeft maandagochtend een frigo verhuisd, en er is iets in zijn rug geschoten”;• “ze beweert te moeten slapen, rusten, rusten, rusten”;• “vermoeden van druggebruik”;• “is vaak ziek, heeft rugproblemen”;• “stelt zich de laatste tijd heel negatief op”;• “samen met vrouw ziek thuis”;• “deze persoon weigert zich aan de regels te houden”;• “werknemer moest een werk doen dat hij niet graag doet”.
NaverloopvaneenaantaldagenwerdendezegegevensterugverwijderduitdeGoogle-zoekresultaten,meenaonzetussenkomstendievandefederalepolitieFCCU.DoordewerkingvanGoogleenYahoodreigtditechter telkensopnieuwvanvoorafaantebeginnenzodradezegegevensweerelderswordengepost,enopnieuw opgepikt door de zoekrobots van Google/Yahoo. En dat gebeurde deafgelopenwekenherhaaldelijk.
Lauwe reacties, slappe wetgevingVanuithetACVnamenwecontactmetMensura Absenteïsme. En drongenerop aan om alle betrokken werkne-mersteinformerenoverwatoverhenop internet circuleerde. Mensurabeperkte er zich toe om enkel debetrokken werkgevers van dit lek teverwittigen, niet de betrokken werk-nemers.Ze lietenhetaandewerkge-versoveromhunwerknemersteinfor-meren, en bezorgden hen daarvooreen standaardbrief in algemenebewoordingen. De standaardbriefbenadrukte ook dat geen medischegegevensvandecontroleartsenwarengelekt, en dat deze zeer goed bevei-ligdwaren.Daarmeewerdenwerkne-mers soms op een verkeerd beengezet want er circuleerden over henwel degelijk medische gegevens, zijhetafkomstigvanhuneigenwerkge-ver.
Doordeaardvandegegevensdiedewerkgever zelf had verstrekt aanMensurawarennogalwatwerkgeversabsoluutnietgehaastomhunbetrok-ken werknemers volledig te informe-ren. De werkgever, vaak iemand vande personeelsdienst, was immers deauteurvandesomsgênante informa-tie.
Na overleg met de privacycommissievroeg het ACV aan de betrokkenbeleidsmakers(ministervanwerkKrisPeeters en de staatssecretarisbevoegdvoorprivacyBartTommelein)omeentaskforcesamentestellenmetde sociale partners om deze situatieaantepakken.Prioriteitisdaarbijdatalle betrokken werknemers persoon-lijk en volledig zouden worden geïn-formeerd over de gegevens die overhenwerdengestolenennuopinternetcirculeren.Wenamenookinitiatievennaardeprivacycommissie,bijdefede-rale politie, bij Google en steldenMensura Absenteïsme formeel ingebreke.
De huidige privacywetgeving laatdaarbij echter veel te wensen over:werknemers hebben geen afdwing-
1
0 |
VA
KB
EW
EG
ING
817
| 2
5 J
AN
UA
RI
20
15
|
| p r i v a c y | b e s t a n d e n M e n s u r a g e l e k t o p i n t e r n e t |
actueel
baarrechtomwoordelijkalleinforma-tieteziendieMensuraoverhenheeftverzameld. In de privacywetgevingstaat een wagenwijde en ongenuan-ceerdeuitzonderingvoorhetverzame-lenvangevoeligegegevensintoepas-sing van het arbeidsrecht. De aanbe-velingen van de privacycommissieoverdeminimalebeschermingvanditsoortdatabankenenoverdehandels-wijzenaincidentenstaannietinpre-ciezeafdwingbarewetgeving. Errestenkel de moeizame weg om aan eenrechter dwingende maatregelen tevragenomderechtenvandeslachtof-ferstevrijwaren.
Actie via de vakbonds- werking in de ondernemingIn die omstandigheden lijkt het onszeernuttigdatinalleondernemingenwaar gewerkt wordt met MensuraAbsenteïsme door de vakbondsaf-vaardiging of in het overleg vragenwordengesteldoverdegevolgenvoorwerknemers.
Checklist met vragen voor ondernemingsmilitanten• WerktuwondernemingmetMensuraAbsenteïsmealsdienstvoorcontrole-
geneeskunde?• Voorwelkewerknemerswerdeninhetrecenteverledencontrolebezoeken
aangevraagdviahetwebformuliervanMensuraAbsenteïsme?• Werden daarbij door de werkgever aanvullende gegevens verstrekt aan
MensuraAbsenteïsme?• WerddeondernemingdoorMensuraAbsenteïsmeverwittigdvandehac-
kingvandezedatabase?• Werdendebetrokkenwerknemersdoordewerkgeverpersoonlijkgeïnfor-
meerdoverdezehacking?• Kregendebetrokkenwerknemerseenvolledigewoordelijkeinformatievan
allegegevensdieoverhenwerdengestolenennogsteedscirculerenophetinternet?
• WerdgeverifieerdofdezegegevensnogsteedszichtbaarzijnviaGoogleofYahooenwerdeninvoorkomendgevalstappenondernomenbijGoogleendefederalepolitieomminstensdaardezepersoonlijkegegevenste latenverwijderen?
• Welke gevolgen verbindt de onderneming aan de samenwerking metMensuraAbsenteïsme?
Ergerlijk is dat de persoonlijke gege-vensvooralleinternetgebruikerssim-pel terug te vinden waren via Googledoorhetintikkenvannaamenrijksre-gisternummervandebetrokkenwerk-nemers. Wie dat opnieuw ondervindtkan via de zoekpagina van Googlevragen om deze gegevens te latenverwijderen uit de zoekresultaten.Googlegaatdaarop in,maardatkostvaak een paar dagen. En dreigtopnieuw te herbeginnen zodra deMensura-gegevensweereldersophetinternet worden gepost, en de auto-matische zoekrobots van Google ofYahoodatbestandvindenenopnieuwopslaaninhunzoekgegevens.
De hacker(s) gaan overigens verder.Einddecemberbegonnenzemeteenanonieme website op het dark inter-net,opTOR.DatiseenapartdeelvanhetinternetwaarjenietkomtmeteengewonebrowseralsInternetExplorer,Google of Yahoo. Je hebt een TOR-browser nodig, weliswaar simpel tevindenopinternet,endankanjevol-strektanoniemsurfenopdatdonkeredeelvanhetinternet.Eendonkerdeeldat gebruikt wordt door activisten indictatorialeregimes,voorhet lekkenvan data, maar helaas ook voor heel
Prioriteit voor het ACV is dat alle betrokken werknemers persoonlijk en vol-ledig worden geïnformeerd over de gegevens die over hen werden gestolen en
nu op internet circuleren.
wat criminele toepassingen. RexMundibegonereenwebsitewaarelkegebruiker tot op heden de integraleMensura-databank kan downloaden.Enookanderedatabestandenstaanervrij beschikbaar in de etalage: gege-vens van Belgische interimkantoren,kredietverstrekkers, mailadressen enpaswoordenvansocialesecretariaten.We dienden eind december klacht inbijdefederalepolitieomdezewebsitetelatenopdoeken.Maartussenkomenop dat TOR-internet bleek ook eerderalvoorbinnenlandseenbuitenlandsepolitiediensteneenergmoeilijkeklus.Totnogtoeluktehetonzepolitienietomdezeanoniemewebsiteplatteleg-gen. Niet zo verwonderlijk omdat hetbijvoorbeeld ookdeAmerikaanse FBIveeltijdenmoeitekostteomeenano-nieme TOR-111111-website waar jedrugskonbestellentedoenstoppen.Wordtvervolgd.
Ook interimkantoren gehackt ViaTwitterdreefdehackerRexMundipubliek ook de spot met de zwakkebeveiligingvanandereBelgischeweb-sites.Enhetbleefhelaasnietbijspot.Eenaantal interimkantorendiewerk-ten met webformulieren werdengehackt met kennelijk dezelfde rela-tiefeenvoudigeSQL-techniekenalsbijMensura Absenteïsme. Samen meteen webformulier werd ook daar eencomputercommando gepost en daar-door een zoekopdracht uitgevoerd inde achterliggende databank en wer-den de gegevens aan de hackersbezorgd. Op die manier slaagden dehackers erin allerlei persoonlijkegegevensteverzamelenvanvierinte-rimkantoren:Z-Staffing,Tobasco,XtraInterim en Exaris. Ook daar werdenchantagepogingen ondernomen enlosgeld gevraagd in ruil voor het nietpublicerenvandegegevens.Toenookdie interimkantoren niet ingingen opdeafpersing,publiceerdendehackersookaldiedataopdiversewebsites.Enetalerenzetotophedenstraffeloosopde TOR-website waar iedereen metgoede en slechte bedoelingen ze kandownloaden.
Met alle gevolgen van dien. Van dedatabankvanXtraInterimwerdenvaneen900-talpersonenallerleipersoon-lijke gegevens gepubliceerd. Nietenkelhunidentiteitsgegevens,rijksre-gisternummer, telefoonnummer,gsm-nummer, adres, e-mailadres, somsookbankrekeningnummer,maardaar-bijookhunpersoonlijketoelichtingbijhun sollicitatie. Die bevat somsopmerkingen over hun onvrede bijhunhuidigewerkgever,hunprofessio-neelparcours, enz.Ookdieslachtof-fers dreigen in een aantal gevallenmanifestschade teondervindendoorhetverspreidenvandezegegevensbijderden waardoor ze toegankelijk zijngewordenvoorpotentiëlewerkgevers,collega’s, vrienden en kennissen, dehuidigewerkgever,enz.
BijZ-Staffinggaathetomdepersoon-lijkegegevensvan2500werkzoeken-den, bij Exaris om de gegevens van
ruim 11.000 werkzoekenden en bijTobasco om de gegevens van 2800werkzoekenden.OokindezegevallenvroegenwevanuithetACVtelkensaande betrokken interimkantoren om debetrokkenwerkzoekendenpersoonlijkte informeren over de data die overhenwerdengelektensindsdienophetinternet circuleren. Ook de privacy-commissie stelden we in kennis vandezevraag.Hetvolstondinsommigegevallen simpelweg een naam in tetikkeninGoogleomaldezegegevensmeteenzichtbaartekrijgen.Inmiddelsisdateuvelalvooreenaantalinterim-kantoren verdwenen na tussenkomstvan hetbetrokken interimkantoorbijGoogleendefederalepolitie.Maartotop heden staan alle gegevens verderonlineopdeTOR-website.
Wordtduszekervervolgd.
| H e r m a n F o n c k |
De hackers onder de schuilnaam Rex Mundi hebben op TOR, het zoge-naamde ‘dark internet’, een website waar elke gebruiker de integrale
Mensura-databank, maar ook andere databestanden van Belgische inte-rimkantoren, kredietverstrekkers, sociale secretariaten, … kan raadplegen.
Het ACV diende bij de federale politie klacht in om deze website te laten opdoeken. Maar tot nog toe lukte het de politie niet om deze anonieme
website plat te leggen.
1
1 |
VA
KB
EW
EG
ING
817
| 2
5 J
AN
UA
RI
20
15
|