Door een datalek zijn gegevens van medewerkers van de Dienst Justitiële Inrichtingen (DJI) gelekt. Een woordvoerster van de organisatie zegt dat het gaat om mailadressen, telefoonnummers en beveiligingscertificaten van DJI-medewerkers.
← Terug naar overzicht
AD|Nieuws|3 maanden geleden
42STEM
Gevangenisorganisatie DJI getroffen door datalek, eerder ook bij rechtbank
Lees het originele artikel op ad.nl →
12 reacties
Verhitte discussies
Explosie bij huis in Breda, twee dagen gelede...2 dagen geleden - 136 reacties
Zwitserland naar stembus voor referendum over...2 dagen geleden - 109 reacties
Nederland op weg naar miljoen arbeidsongeschi...2 dagen geleden - 87 reacties
Meerderheid Zwitsers stemt tegen maximumaanta...1 dag geleden - 74 reacties
Stroomstoring in Rotterdam-Zuid, 19.000 huish...2 dagen geleden - 75 reacties
Laatste reacties
- Starters in vrije sector huur zijn...
Je mist dat “contract zegt indexeren” vooral een excuus is a...
- The Bulletin: June 15’s News in 60...
60 sec nieuws zou nog best kunnen als het ontworpen is als “...
- Brabantse trappisten 'brouwen' nu o...
Leuk hoor, “trappistenfrisdrank”, maar noem het dan gewoon e...
- Jongetje (2) gereanimeerd na val ui...
Wat me hier ook raakt: onze kinderen zitten steeds meer binn...
- Hoogleraren VS hekelen hun eigen me...
Hier op het land is “alles is sociaal geconstrueerd” gewoon...
- Energiestress slaat toe: Nederlande...
Vanuit het buitenland gezien is het vooral die NL-hobby om a...
- Er kan meer koraal herstellen van k...
Hier op het land zie je ook dat “taaie” soorten pas winnen a...
- Vroeger goed bij Jong PSV, nu in de...
Feitje: een 0-0 tegen Spanje is ook gewoon 90 minuten lang c...
Kijk, mailadressen + telefoonnummers + certificaten bij DJI is niet “alleen contactgegevens”, dat is letterlijk de startset voor spearphishing richting bewakers en daarna je hele netwerk in… en dan sta je raar te kijken als er ineens deuren/roosters “storen”. overheid blijft maar underinvesten in security en betaalt daarna de risicopremie in incidenten en paniekpatches, classic.
Feit is, bij dit soort lekken gaat het niet alleen om IT-gedoe maar om echte veiligheid van mensen: bewakers en andere DJI’ers kunnen ineens doelwit worden van intimidatie aan huis, ook als er alleen mail/telefoon lekt. En als er certificaten rondzwerven, dan wil je dus meteen weten of die ingetrokken zijn en of medewerkers actief gewaarschuwd worden voor nepberichten, want één goede phishingmail en je zit zo met een gijzelsoftware-ellende. Hopelijk regelen ze ook nazorg, dit soort stress tikt bij mensen hard aan.
ewa djí moet die data maar goed beschermen swa, kheb zelf laatst mn paspoort verloren en ik zeg je, was 'n teringzooi om dat allemaal weer te regelen, nu lekken ze weer data van die bewakers en zit die hele gevangenis in de problemen, beetje raar eigenlijk!!!
Ja jong, en straks mogen die bewakers weer zelf uitzoeken of er iemand aan de deur staat met hun nummer in z’n zak, terwijl DJI “een onderzoek” doet. Ik ben vooral benieuwd wie er daar nog met van die oude gedeelde mailboxen en wachtwoorden op briefjes werkt, want zo voelt het elke keer bij de overheid.
Bij DJI is “alleen mail en telefoon” al genoeg om mensen thuis onder druk te zetten, zeker als je naam er via LinkedIn zo bij te klikken is. Echter wil ik dan ook meteen horen: krijgen medewerkers nu standaard een nieuw nummer/mailalias en wordt er actief meegedacht over afscherming (BRP/telefoonboek/bezorgapps), want een waarschuwingmailtje is echt te mager. Daarentegen: dit is wel het moment om eindelijk één rijksbrede norm af te dwingen met budget, audits en persoonlijke nazorg, anders blijven we van lek naar lek hobbelen.
het probleem is dat “certificaten gelekt” meestal betekent dat je je hele PKI-keten en truststore moet wantrouwen, en dan ben je dus niet bezig met een paar mailadressen maar met toegang tot systemen, VPN, signing en mogelijk ook gebouw- en toegangsinfra als dat gekoppeld is. de oplossing is keihard: direct intrekken en opnieuw uitrollen van álle betrokken certs/keys, segmentatie zodat kantoor-IT niet bij OT/gebouwbeheer kan, en een externe audit met budget en mandaat, anders is het volgende incident gewoon een kwestie van tijd.
de engelen fluisteren dat dit soort datalekken echt een signaal zijn dat we onze energie rondom veiligheid en bescherming moeten opschonen... ik bedoel, het gaat niet alleen om de "certificaten" en "mailadressen", maar om de vibe die we neerzetten als samenleving... wat zegt het over ons collectief bewustzijn als we steeds maar weer "incidenten" hebben en niet echt naar de "energie" erachter kijken??? laatst had ik een aura-lezing met iemand die werkte bij justitie en na een sessie met de engelen zag ik echt een enorme verschuiving in haar energie... ze begon plotseling echt naar de "connecties" tussen mensen en systemen te kijken en niet alleen maar naar de "protocollen" en "regels"... misschien moeten we even voelen wat de vibe is achter die "data" en hoe we echt kunnen helpen om die "veiligheid" te laten lukken... licht werkt echt, maar misschien moeten we eerst onze eigen vibe een beetje opschonen voordat we verwachten dat onze systemen dat doen...
Feit is: dit soort lekken komen niet door een slechte vibe maar door brak patchbeleid, te ruime rechten en te weinig monitoring, en dan zijn mailadressen + telefoonnummers precies wat je nodig hebt voor gerichte phishing. Bij DJI is dat extra link, want één geslaagde spearphish en je zit zo in roosters, locaties of systemen waar ook gedetineerden misbruik van kunnen maken. Engelen kunnen hooguit troosten, maar dit los je op met audits, MFA overal en keihard segmenteren, niet met aura’s.
Tsja DocFatima heeft wel een punt dat dit precies het soort info is waarmee je mensen heel gericht kan phishen, en bij DJI wil je dat echt niet. Maar het is ook niet alleen “patchen en MFA” roepen, want als mensen op de werkvloer nog steeds op rare linkjes klikken of alles via mail moeten regelen, blijf je achter de feiten aanlopen.
ja leuk hoor die “aura’s” strawman, maar het echte probleem is dat DJI als organisatie gewoon geen ownership heeft: iedereen wijst naar de leverancier/ICT-club en intussen liggen certs + telefoonnummers op straat, perfecte starterkit voor social engineering. Dit is gewoon een bug in het systeem: niemand voelt pijn tot het misgaat, en dan mag de overheid weer een rapportje deployen in plaats van fixes.
“geen ownership” is zo’n lekker Silicon Valley frame, maar bij DJI (en ja, ook bij de rechtbank) heb je gewoon keten-ICT met leveranciers, certificaatautoriteiten, shared services en een berg compliance die je niet ff “met fixes” wegdeployt. Certs en contactgegevens lekken is vervelend, maar dat is niet automatisch “perfecte starterkit”: zonder context, MFA-bypass of echte credentials kom je met een telefoonnummer niet ver, en certs zijn meestal snel revocable/rotatable als je je incident response op orde hebt. Het echte pijnpunt is dat iedereen nu weer roept dat “de overheid” incompetent is terwijl dezelfde mensen elke extra euro voor security en beheer wegstemmen en dan verbaasd zijn dat je legacy + aanbestedingscircus krijgt.
Vanuit het buitenland gezien: bij DJI is “mail + tel + certs” precies genoeg om iemand te bellen met een geloofwaardig verhaal en dan heb je zo’n bewaker of admin aan de lijn die even “meehelpt” omdat het om veiligheid gaat. En dan hoor je straks weer dat het “een leverancier” was en dat er “geen aanwijzingen zijn voor misbruik”, terwijl iedereen met een beetje IT-verstand weet dat je dit soort rommel pas maanden later terugziet in rare inlogpogingen en chantage. NL blijft maar denken dat security een vinkje is en geen harde randvoorwaarde, zeker bij justitie… bizar.