Violation de données concernant 1 000 000 d’enfants vulnérables

Le Bureau Jeugdzorg Utrecht est confronté à une importante violation de données.

En raison d’une erreur, 3278 dossiers de 2702 enfants ont été divulgués. C’est ce qu’a rapporté RTL News sur la base de ses propres recherches. Environ deux tiers des enfants touchés sont des mineurs, un quart d’entre eux ayant moins de 12 ans.

L’erreur concerne le nom de domaine du Bureau Jeugdzorg Utrecht. En 2015, l’organisation a changé de nom pour devenir Samen Veilig Midden-Nederland (SAVE), ce qui signifie que le nom de domaine a également été modifié. L’ancien nom de domaine a été mis hors ligne trois ans plus tard. Pour éviter les abus, l’URL aurait dû être solidement verrouillée.

Toutefois, cela ne semble pas avoir été le cas. L’organisation n’a tout simplement pas renouvelé le nom de domaine, ce qui a permis à n’importe qui de prendre le contrôle du site web. Et c’est là que le bât blesse. En effet, Youth Care envoie des dossiers de patients à ses employés de manière automatisée et non sécurisée, y compris à des adresses électroniques encore liées à l’ancien site web.

Il s’est avéré que toutes ces informations ont été saisies lors de l’enregistrement du nom de domaine. C’est ce qu’ont fait deux dénonciateurs, qui ont ensuite signalé la violation de données à RTL News. Les problèmes auraient pu être évités si Jeugdzorg avait renouvelé le nom de domaine pour 10 euros par an.

Informations sensibles

Il s’est avéré que les dossiers contenaient des informations très sensibles sur les enfants. Il peut s’agir, par exemple, d’informations sur leurs troubles mentaux, d’informations sur les abus sexuels et les tentatives de suicide. Les dossiers contiennent les noms complets et les dates de naissance des victimes, ce qui permet de les retrouver facilement.

Des courriels internes de Youth Care ont également été divulgués, ainsi que deux cents messages vocaux. L’aide sociale à la jeunesse a depuis présenté ses excuses aux victimes. Elle va également informer les victimes et a signalé la violation de données à l’Autorité des données personnelles. La fuite a été colmatée.

Cependant, les dénonciateurs affirment qu’il existe des dizaines d’autres organisations similaires, dont les noms de domaine ont également expiré. Avec eux, une fuite de données similaire pourrait donc se produire si quelqu’un prenait le contrôle du nom de domaine.

Source : NUMRUSH

Delen:

Meer berichten

nis2 incident aangeven

Signaler un incident NIS2

Avec l’introduction de la directive NIS2 dans l’UE, le signalement des cyberincidents deviendra obligatoire pour de nombreuses entreprises. Cela signifie que les

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden