AP ontvangt 29 meldingen van mogelijke datalekken door Citrix-gat
De Autoriteit Persoonsgegevens (AP) heeft tot nu toe van 29 organisaties meldingen ontvangen van een mogelijk datalek als gevolg van het gat in Citrix. Of er daadwerkelijk gegevens gestolen zijn, is nog niet duidelijk. "Zij zijn nog aan het onderzoeken of er daadwerkelijk persoonsgegevens zijn gelekt als gevolg van de problemen bij Citrix", aldus de AP. De organisaties maakten volgens de AP uit voorzorg een melding bij de privacywaakhond.
© Citrix Systems
Citrix Systems
Organisaties zijn volgens de privacywetgeving GDPR verplicht om ernstige datalekken binnen 72 uur na ontdekking bij de AP te melden. 29 organisaties hebben dat nu dus gedaan, al onderzoeken zij nog of er daadwerkelijk data gelekt is. Welke organisaties er precies een melding hebben gemaakt, zegt de AP niet. Wel heeft de privacywaakhond met een aantal melders contact.
"Als je zo'n voorlopige melding maakt en je doet onderzoek naar of er een datalek is geweest, dan is het wel verstandig om de uitkomst van het onderzoek ook met ons te delen", licht een woordvoerder van de AP toe. Het delen van de onderzoeksresultaten is echter niet verplicht. "Maar als je een melding niet intrekt, heb je wel kans dat wij contact met je opnemen."
Mocht een bedrijf een melding willen intrekken omdat er geen datalek gevonden is, dan moet daar wel een goede onderbouwing voor zijn, benadrukt de woordvoerder. "Wij kijken dan ook mee of die onderbouwing goed genoeg is."
Versie-nummer bepaalt kans op hack
Citrix bracht op 17 december naar buiten dat er een lek zat in zijn Application Delivery Controller (ADC) en Gateway. Op 9 januari verscheen er exploitcode voor dat gat - ook wel Shitrix genoemd - op het internet, waardoor aanvallen op kwetsbare servers gemakkelijker werden. De producten worden door honderden Nederlandse organisaties gebruikt om op afstand te kunnen werken.
Citrix bracht vlak na de bekendmaking van het lek wel mitigerende maatregelen naar buiten, maar die bleken niet altijd voldoende. Bovendien werden de maatregelen niet altijd goed doorgevoerd, waardoor ze misbruik van de kwetsbaarheid niet konden voorkomen. Daarnaast zijn er organisaties die de mitigerende maatregelen op 9 januari nog niet hadden doorgevoerd. Ook deze organisaties zijn waren daardoor kwetsbaar voor een hack.
Afgelopen zondag verschenen de eerste patches voor het beveiligingsgat. Die patches verschenen echter maar voor een paar versies van de producten, namelijk voor versies 11.1 en 12.0 van ADC en Gateway. Op 24 januari moeten meer patches verschijnen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee