Persoonsgegevens van Google-medewerkers op straat door datalek advocatenbureau

Voorzittershamer met op de achtergrond rechtenbundels

Persoonlijke en privacygevoelige gegevens van (oud-)Google-medewerkers zijn in handen gekomen van hackers. De cybercriminelen slaagden erin om toegang te verschaffen tot een bestand waarin zogeheten I-9 formulieren waren opgeslagen. Het advocatenkantoor dat de formulieren verwerkt vraagt de getroffenen om goed uit te kijken naar identiteitsfraude.

Dat schrijft advocatenkantoor Fragoman, Del Rey, Bernsen & Loewy in een brief aan de gedupeerden.

Wat is een I-9 formulier? Dit moet je weten

Alle werkgevers en werknemers in de VS moeten een overeenkomst ondertekenen waarin ze verklaren dat ze een Amerikaans staatsburger zijn en in aanmerking komen om in het land te mogen werken. Dat geldt zowel voor mensen die geboren en getogen zijn in de VS als immigranten en arbeidsmigranten. Dit wordt vastgelegd in een I-9 formulier. Dit document wordt vervolgens verwerkt en opgeslagen door de United States Citizenship and Immigration Services (USCIS).

Om dit werk uit handen te nemen, schakelen bedrijven vaak de hulp in van een advocatenkantoor. Een firma dat zich hierin heeft gespecialiseerd, is Fragoman, Del Rey, Bernsen & Loewy. Met 582 advocaten in 47 filialen wereldwijd is het een van de grootste advocatenkantoren in de VS dat zich bezighoudt met immigratierecht.

I-9 documenten staan vol met privacygevoelige privégegevens. Naast naam en woonadres moeten werkgevers en werknemers ook hun geboortedatum, e-mailadres, telefoonnummer, social security number (BSN) en kopie van hun identiteitsbewijs doorgeven. Het zijn gevoelige gegevens waarvan je niet wilt dat ze in de verkeerde handen terecht komen.

Advocatenkantoor neemt ‘verdachte activiteiten’ waar op computernetwerk

Eén van de klanten van Fragoman, Del Rey, Bernsen & Loewy is Google. Met zo’n 115.000 medewerkers is de zoekgigant wellicht een van de grootste klanten van het advocatenkantoor. De firma regelt de verwerking van al het papierwerk dat gepaard gaat met I-9 overeenkomsten.

Omdat I-9 formulieren zoveel gevoelige gegevens bevatten, is het belangrijk dat deze bestanden extra goed beveiligd zijn. Maar dat is niet het geval. Via een brief laat het advocatenkantoor weten dat ze onlangs “verdachte activiteiten” op hun computernetwerk constateerden. Wat het kantoor daar precies mee bedoelt, laat ze in het midden.

Firma treft extra beveiligingsmaatregelen

“Tijdens ons onderzoek hebben we ontdekt dat een ongeautoriseerde derde partij toegang heeft gekregen tot één bestand. Deze bevatte persoonlijke informatie ten aanzien van I-9 werknemersverificatiediensten. Dit dossier omvat privégegevens van een discreet aantal medewerkers en oud-medewerkers van Google, waaronder jij”, zo schrijft het advocatenkantoor.

Het bestand werd op 24 september ingezien door onbekenden. Daarop lanceerde de firma onmiddellijk een digitaal forensisch onderzoek, dat door externe beveiligingsexperts is uitgevoerd. “Hoewel we op dit moment geen hard bewijs hebben dat uw gegevens zijn bekeken, vonden we het onze taak om u op de hoogte te stellen van het incident en u te verzekeren dat we de zaak hoog opnemen”, zo schrijft het advocatenkantoor in de brief.

Verder schrijft het bureau dat ze na het incident aanvullende beveiligingsmaatregelen heeft genomen. Het verbeteren van de IT beveiligingsinfrastructuur en detectiemogelijkheden worden concreet genoemd.

‘Wees bedacht voor identiteitsfraude en misbruik’

Het advocatenkantoor laat de getroffen medewerkers en oud-medewerkers van Google niet in de kou staan. Ze krijgen een verzekeringspakket dat bestaat uit bescherming tegen identiteitsfraude, een dienst die geldstromen monitort, een CyberScan, ID theft recovery services en een vergoedingsbeleid tot één miljoen dollar.

Daarnaast vraagt de firma aan de getroffen (oud-)medewerkers om alert te zijn op fraude en voorzichtig om te springen met diensten die naar persoonlijke informatie vragen. Deze oplichtingspraktijken vinden plaats via e-mail, telefoon en post, zo waarschuwt het advocatenkantoor. Als medewerkers vermoeden dat er sprake is van fraude en misbruik, wordt hen verzocht om contact op te nemen met Federal Trade Commission (FTC) of procureur-generaal in hun district. Ook moeten ze aangifte hiervan doen bij de politie.

Hoeveel medewerkers en oud-medewerkers exact zijn getroffen, wil het advocatenkantoor niet zeggen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen