Social Blade, een website die statistieken van allerlei socialmediaplatforms bijhoudt, is opnieuw getroffen door een datalek.

Een aanvaller wist via een kwetsbaarheid in de website toegang tot de gebruikersdatabase te krijgen. Die bevatte allerlei persoonlijke informatie, waaronder e-mailadressen, ip-adressen, wachtwoordhashes (bcrypt) en tokens van zakelijke gebruikers. Van een klein deel van de gebruikers zijn ook adresgegevens buitgemaakt. De gegevens zijn na de inbraak op een forum te koop aangeboden.

Social Blade houdt gebruikersstatistieken bij van platforms zoals YouTube, Twitch, Instagram, Twitter, Facebook en TikTok.

Een aantal jaren geleden kreeg Social Blade ook al met een datalek te maken, waarbij de gegevens van 286.000 gebruikers werden gestolen. 

Alles bij de bron; Security


De Nederlandse Zorgautoriteit (NZa) mag gegevens van alle ggz-patiënten verzamelen, maar alleen over de periode van één jaar, zo heeft de Autoriteit Persoonsgegevens bepaald. De NZa wil zorgverleners in de geestelijke gezondheidszorg verplichten om informatie over hun patiënten te verstrekken. Met deze informatie kan de Zorgautoriteit naar eigen zeggen de zorgkosten nauwkeuriger berekenen.

Volgens de Autoriteit Persoonsgegevens heeft de Zorgautoriteit aangegeven dat zij ontvangen informatie niet zal koppelen aan informatie waarmee individuele personen tot zijn te herleiden. Daarnaast mag de NZa gegevens van alle ggz-patiënten over de periode van één jaar opvragen. "Steeds zal dan ook voor een daarop volgend jaar opnieuw, zorgvuldig bezien moeten worden welke uitvraag van welke gegevens in welke omvang in aanvulling nog noodzakelijk is", aldus de AP in een brief aan de NZa.

Mocht de NZa op een later moment opnieuw gegevens nodig hebben voor het nieuwe systeem, dan moet daarvoor eerst een nieuwe wettelijke regeling komen met een onderbouwing van de noodzaak. Die regel moet eerst worden voorgelegd aan de de AP. Verder heeft de Zorgautoriteit aan de AP de garantie gegeven dat het de gegevens alleen gebruikt voor de ontwikkeling van het nieuwe systeem in de ggz.

Onlangs nam de Tweede Kamer nog een motie aan waarin werd gesteld dat de NZa moet stoppen met het verzamelen van persoonsgegevens van ggz-patiënten. "Dat lijkt een enorme winst voor critici van de NZa-activiteiten met het zorgprestatiemodel. Forse kanttekeningen zijn er echter te maken na het aannemen van de motie", reageerde huisarts Wim J. Jongejan.

Alles bij de bron; Security


‘We moeten ons  schrap zetten voor véél meer aanvallen en datadiefstallen bij instanties en besturen’, schrijft privacyactivist Matthias Dobbelaere-Welvaert over de hackers die stadsdiensten van Antwerpen binnendrongen. ‘We kunnen weinig meer doen dan hopen dat men hier iets uit leert.’

Ik ben boos. Want onze overheden vragen bijzonder veel vertrouwen aan ons, burgers. Vertrouwen dat men keer op keer beschaamd: niet enkel door slachtoffer te worden van ransomware (een goede dief raakt overal binnen), maar wel door telkenmale dermate nonchalant om te springen met gevoelige gegevens van hun burgers, dat criminelen niets minder dan een rode loper uitgerold krijgen. En dan is er nog de communicatie.

Het minste wat je mag verwachten – en dit dateert uit elk oud handboek over cybercrime – is minimale transparantie. Die is er vandaag niet, en men houdt stijf de lippen op elkaar over de omvang van de hack, welke databases en types van informatie is gelekt, en hoe ze de situatie willen repareren. 

Dan blijft natuurlijk de vraag openstaan: welke data ligt er nu op straat? De enige die dat met zekerheid weet, is Antwerpen (en de hackers). Op hun kanaal in de dark web spreken de hackers van identiteitskaarten, paspoorten, financiële documenten en meer. 

Er is discussie of men ook aan de vingerafdrukken kon. Eigenlijk is die discussie zelfs niet relevant: op identiteitskaarten en paspoorten staat ook uw – al dan niet lieflijk – gezicht, en daar heb je maar ééntje van. Biometrische data is in dat geval sowieso gestolen.

Wat de vingerafdrukken betreft, hebben we het alleszins ooit wel gevraagd aan het Grondwettelijk Hof: “De keuze van de regering om het digitale beeld van de vingerafdrukken in te zamelen en op te slaan op de chip van de kaart vormt volgens de EDPS niet de meest opportune keuze gelet op het risico van onrechtmatig gebruik van de identiteit in geval van hacking van de gegevens die voorkomen op de elektronische chip van de kaart. Deze keuze dient dus te worden herzien”.

Het Hof wou er niet van weten: “Hoewel het juist is dat de diefstal van gegevens met betrekking tot de vingerafdrukken voor de betrokken persoon, wiens identiteit zou kunnen worden overgenomen, ernstige nadelen met zich kan meebrengen, blijft het feit dat dat risico aanzienlijk kan worden ingeperkt door de beperkte bewaartermijn van de gegevens, ten behoeve van het aanmaken en het afgeven van de kaart, alsook door de technische beveiligingsmaatregelen die de Koning moet treffen. 

Voor het half miljoen Antwerpenaren heb ik geen goed nieuws. Ik weet niet welke data er straks eventueel op straat ligt. Ik weet niet of uw rijksregisternummer straks jarenlang wordt misbruikt, of uw foto, of uw bouwplannen (hoi, fysieke dieven). Ik weet het niet. Wat ik wel weet, is dat identiteitsdiefstal jarenlang, mogelijks levenslang, pijnlijke gevolgen heeft voor haar slachtoffers. Jarenlang moeten zij bewijzen dat ze niét die huurwagen hebben gehuurd, niét die lening hebben afgesloten bij de bank, niét dat gascontract hebben besteld. De rekeningen blijven toekomen, en men moet telkens klacht indienen bij de politie. Een politie die daar weinig tijd voor heeft, en al te vaak haar eigen datazaakjes nog niet eens op orde heeft.

Alles bij de bron; Knack


 

Als een dataset persoonsgegevens bevat dan geldt de AVG. Voor de verwerking van niet-persoonsgegevens heeft de EU andere regels vastgesteld, waarbij juist het vrije verkeer van gegevens belangrijk is. De juridische beoordeling of een dataset wel of geen persoonsgegevens bevat, betekent dus een verschil in regels die bijna 180 graden van elkaar afwijken.

Door vooral technologische ontwikkelingen, zoals Big Data, Deep Learning en quantum computing en doordat overheidsinformatie beschikbaar is voor hergebruik wordt het  steeds complexer om vast te stellen of de Algemene Verordening Gegevensbescherming (AVG) van toepassing is op specifieke data.

Daardoor wordt het makkelijker om persoonsgegevens af te leiden uit datasets die op het eerste gezicht geen persoonsgegevens lijken te bevatten. Of om anonieme datasets te de-anonimiseren. De juridische status van data is dus niet meer een kwestie van wel of geen persoonsgegevens. Door het delen en bewerken van data kan die status namelijk steeds wisselen, constateren onderzoekers van het Tilburg Institute for Law, Technology and Society. Zij onderzochten in opdracht van het WODC hoe wetgeving kan reageren op deze ontwikkelingen.

Alles bij de bron; Beveiliging


 

Uber is getroffen door een datalek. Onder meer e-mailadressen van werknemers, interne rapporten en informatie over IT-assets zijn gestolen. De diefstal vond plaats via een derde partij.

Bleeping Computer meldt dat een aanvaller genaamd 'UberLeaks' data op een hacking forum online plaatste die naar verluid was gestolen van Uber en Uber Eats. De aanval vond plaats via een softwareleverancier van Uber en dit bedrijf bevestigt de aanval. De aanvaller wisten de backupomgeving op AWS binnen te dringen.

Alles bij de bron; DutchITChannel


Eind vorige maand maakten verschillende websites melding over een nieuwe datalek bij Twitter met de gegevens van miljoenen gebruikers, maar het gaat hier om een eerder datalek uit 2021 waarbij de informatie van 5,4 miljoen gebruikers werd buitgemaakt en dat al eerder in het nieuws kwam. Dat laat Twitter weten.

In juli van dit jaar werd gemeld dat een aanvaller door middel van een kwetsbaarheid in Twitter accountgegevens van 5,4 miljoen gebruikers had bemachtigd en deze data op internet te koop aanbood. Begin augustus bevestigde Twitter het datalek.

Eind november werd er weer door de media bericht over een datalek bij Twitter. Onderzoek van Twitter wijst uit dat het hier om dezelfde data gaat die afgelopen juli op internet werd aangeboden. 

Alles bij de bron; Security


Met de nieuwe reeks ANPR-camera’s is het mogelijk de toegang van voertuigen op een terrein te bewaken of beheren. De camera’s kunnen voertuigen die het terrein betreden bewaken en vastleggen, of de toegang tot een parkeerplaats beheren voor voertuigen op basis van hun kenteken.

Dankzij de 4MP resolutie en uitstekende optische prestaties kunnen de S-serie ANPR-camera’s nummerplaten vastleggen bij moeilijke lichtomstandigheden. Voertuigen zijn eenvoudig te vinden door een paar karakters van het kenteken in te typen. De camera’s registeren kentekens uit meer dan honderd landen.

Toepassingen zijn onder meer commerciële gebouwen en openbare parkeerplaatsen. Met de camera’s kan parkeertoegang worden beheerd voor voertuigen op basis van een lijst van toegestane voertuigen.

Een andere toepassing is het vastleggen en bewaken van elk voertuig dat een tankstation binnenrijdt. De camera is te integreren met externe apparatuur, zoals de pompen op basis van camera I/O als er geen slimme integratie beschikbaar is. Voertuigen zijn snel te vinden door op tijdstip te zoeken in combinatie met kentekens.

Alles bij de bron; Beveiliging


 

Hackerscollectief Play zou achter de grootschalige cyberaanval zitten op het computersysteem van de stad Antwerpen. Dat heeft Play zelf gesteld op haar website op het darkweb. De hackers dreigen ermee over een week alle data en persoonlijke gegevens te lossen, tenzij de stad Antwerpen losgeld betaalt.

Het gaat om 557 gigabyte aan data gestolen van de stad Antwerpen, gaande van “persoonlijke informatie, paspoorten, identiteitskaarten, financiële documenten en veel andere data”, zo staat te lezen.

Tim Cools, specialist cyberveiligheid is verbaasd over de enorme hoeveelheid aan gestolen data. “557 gigabyte, daar schrik ik zelf van. Ter vergelijking: toen de gemeente Zwijndrecht werd gehackt ging het om 6 gigabyte aan data. Het wil alleszins zeggen dat de hackers lang onopgemerkt hebben binnen gezeten in het computersysteem van de stad en dat ze tijd hebben gehad om veel data naar buiten te trekken. Dit soort groeperingen zoeken zwakheden in de beveiligingssystemen. Er moet maar één kleine opening zijn en ze zitten binnen.”

Alles bij de bron; GvA


Banken, verzekeraars en Vereniging Eigen Huis komen in het verweer tegen een plan om nieuwe hypotheken extra te registreren. Stichting Bureau Krediet Registratie (BKR) wil aanbieders van andere leningen en bedrijven als telecombedrijven inzage geven in de hoogte en looptijd van je hypotheek.

Stichting BKR wil een 'positieve registratie' bij hypotheken invoeren. In het register moet onder meer staan welke hypotheken je hebt en de looptijd. Ook wie geen betalingsproblemen heeft, komt met zijn hypotheek in het register te staan.

Vereniging Eigen Huis, de belangenvereniging voor woningbezitters, liet donderdag weten fel tegenstander te zijn van de nieuwe BKR-plannen. "Of je een hypotheek hebt, is al op te vragen bij het Kadaster", stelt woordvoerder Hans André de la Porte.

Banken en verzekeraars werden afgelopen zomer als betrokken partijen om hun mening gevraagd door BKR. Ook zij zijn niet enthousiast. Volgens de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars kan een BKR-registratie mogelijk stigmatiserend werken. Als je in het BKR-register staat, kan volgens hen de suggestie worden gewekt dat je niet kredietwaardig bent.

BKR niet erg onder de indruk van het spookbeeld dat telecomaanbieders je hypotheekgegevens kunnen inzien. "Ik denk dat het wel gaat gebeuren", zegt de BKR-woordvoerder. "Hypotheekverstrekkers kunnen in eerste instantie meedoen op vrijwillige basis. Dus mogelijk gaan we starten met de partijen die wel mee willen doen." 

Alles bij de bron; NU


De gegevens van ruim 8800 zelfstandige ondernemers uit Leeuwarden die bij de gemeente om coronasteun hadden gevraagd, zijn per ongeluk naar buiten gekomen. Dat gebeurde toen de gemeente per ongeluk het verkeerde bestand stuurde. 

De gemeente zegt dat drie ontvangers van de zogeheten TOZO-regeling hadden gevraagd om een toelichting op hun afrekening. Ze hadden die uitleg moeten krijgen in een mail met een pdf-bestand met hun eigen aanvraag als bijlage, maar in plaats daarvan ontvingen ze een Excel-bestand met de gegevens van alle aanvragers.

Alles bij de bron; AD


Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!