Op 3 september meldde de uitbater van het openbaar transport in de Britse hoofdstad Londen, Transport for Londen (TfL), dat getroffen was door een cyberincident. In een mail aan klanten meldde TfL dat er ‘op dit moment geen enkel bewijs is dat de gegevens van klanten zijn gecompromitteerd’ en dat het incident ‘geen impact heeft op de diensten van TfL’.
In een nieuwe mail aan de klanten komt TfL hierop terug en erkent dat ‘bankgegevens van ongeveer 5.000 klanten’ zijn gestolen. Het zou dan meer specifiek gaan om data van de contactloze Oyster-betaalkaarten zoals die op het TfL-netwerk gebruikt worden. Getroffen klanten zouden persoonlijk gecontacteerd worden. Er is ook sprake van ‘bepaalde namen van klanten en hun contactgegevens’ die gelekt zouden zijn.
Alles bij de bron; Dutch-IT-Channel
Dna-testbedrijf 23andMe wil een gevoelig datalek, waarbij de afstammingsgegevens van 6,9 miljoen gebruikers werden gestolen, voor 30 miljoen dollar schikken. Getroffen gebruikers krijgen een vergoeding en kunnen drie jaar kosteloos aan een monitoringsprogramma deelnemen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature.
Tevens werden ook gezondheidsrapporten over gebruikers buitgemaakt, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' in handen kregen, alsmede woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.
Na het datalek werd in de VS een massaclaim tegen 23andMe aangespannen. Volgens de klagers had het bedrijf hun gegevens niet goed beschermd. Ook zouden gebruikers niet goed zijn geïnformeerd over het datalek. Het voorlopige schikkingsvoorstel, moet nog door de rechter worden goedgekeurd.
Alles bij de bron; Security
Meta heeft AI-modellen getraind met data van Australische Facebook- en Instagram-gebruikers. Het bedrijf heeft enkel publieke posts van meerderjarige gebruikers gescraped en ging hiervoor terug tot in 2007. Er was geen opt-outmogelijkheid omdat dit niet wettelijk verplicht is.
Melinda Claybaugh, de global privacy director van Meta, gaf de praktijk toe tijdens een hoorzitting met Australische politici. Ze vertelde dat Meta heel wat data nodig heeft om zijn AI-modellen te trainen. Dankzij grote hoeveelheden data zouden de AI-modellen naar verluidt veiliger zijn en zouden er minder biases moeten optreden.
Het bedrijf gaat nu verder met publieke gegevens van Britse Facebook- en Instagramgebruikers, zo heeft het laten weten. Gebruikers moeten nog steeds actief bezwaar maken tegen het gebruik van hun gegevens, maar krijgen hier wel langer de tijd voor. Ook zou het proces vereenvoudigd zijn.
De Britse privacytoezichthouder ICO houdt de situatie naar eigen zeggen in de gaten en heeft geen toestemming voor de dataverwerking van Meta gegeven. ICO zegt dat het aan Meta is om aan wetgeving te voldoen.
Alles bij de bronnen; Tweakers & Security
De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft vandaag de gegevens van domeinnaamhouders via de Whois op Sidn.nl gelekt. Dit is de zoekfunctie op Sidn.nl waarmee informatie over een domeinnaam is op te zoeken.
Gegevens van zakelijke domeinnaamhouders zijn openbaar, gegevens van particuliere domeinnaamhouders mogen niet gepubliceerd worden.
"Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus een verklaring van SIDN. De gelekte gegevens bestaan uit naam, adresgegevens, e-mailadres en telefoonnummer van de houder.
Alles bij de bron; Security
De gemeente Den Bosch heeft van 23.000 inwoners het burgerservicenummer (BSN) gelekt, alsmede naam en adresgegevens.
Het datalek deed zich voor toen twee lijsten met informatie over parkeervergunninghouders door een menselijke fout per ongeluk via e-mail werden gedeeld met een inwoner. In deze lijsten stond informatie over zo'n 23.000 parkeervergunninghouders met onder andere BSN-nummer, naam en adres.
De ambtenaar die de fout maakte heeft dit gemeld, waarna verschillende maatregelen zijn genomen. Zo is de ontvanger van de e-mail geïnformeerd dat de e-mail niet voor hem of haar bestemd was en is verzocht de e-mail te verwijderen.
"Er is telefonisch contact geweest met de ontvanger. De ontvanger heeft zowel telefonisch als per e-mail (schriftelijk) bevestigd dat de e-mail en de ontvangen persoonsgegevens zijn verwijderd", zo laat de gemeente verder weten. Het datalek is inmiddels gemeld bij de Autoriteit Persoonsgegevens. Ook zijn alle gedupeerden geïnformeerd.
Alles bij de bron; Security
De geestelijke gezondheidszorg is gebaseerd op het vertrouwen tussen patiënt en therapeut. Spreken met een therapeut is moeilijk genoeg, maar nu wil de overheid die privacy doorbreken.
Vanaf de zomer van 2023, 1 juli om precies te zijn, werden behandelaren in de geestelijke gezondheidszorg (ggz) verplicht om de zogenaamde Honos+-vragenlijst, die ze al een tijdje over hun patiënten moesten invullen, ook daadwerkelijk te delen met de Nederlandse Zorgautoriteit (NZa), de overheid, voor een periode van minstens één jaar. Dat betekende dat de intieme, medische gegevens van achthonderdduizend patiënten binnen de ggz – zonder hun toestemming – werden verzameld.
De dataverzameling is onderdeel van het zorgprestatiemodel, een nieuw bekostigingssysteem dat in 2022 in de ggz is ingevoerd, en draait om de manier waarop verzekeraars de behandelingen betalen.
Op de vragenlijsten, waarin de persoonlijke gegevens van patiënten niet geanonimiseerd maar gepseudonimiseerd worden, dus in potentie herleidbaar zijn, wordt vervolgens een algoritme losgelaten. Daar rollen dan verschillende ‘zorgtypes’ uit. Zo hopen zorgverzekeraars te voorspellen hoeveel zorg deze patiënten ongeveer nodig hebben en hoe duur ze zullen zijn.
Het is soms ongemakkelijk om te zien hoe vertegenwoordigers van de NZa fundamenteel anders naar de wereld kijken dan veel behandelaren en patiënten. Het medisch beroepsgeheim, dat de patiënt de garantie biedt dat wat hij in vertrouwen tegen de behandelaar vertelt de spreekkamer niet verlaat, wordt niet langer gezien als het fundament waarop de geestelijke gezondheidszorg is gebouwd, maar als een kleinigheidje dat kan worden opgeofferd om de zorg efficiënter in te richten.
Privacy, het opbouwen van een vertrouwensrelatie, het vragen van toestemming voor het verzamelen van persoonlijke gegevens: het techno-optimisme walst het plat. Om de maatschappij te verbeteren, moet er nu eenmaal een databank worden opgetuigd, informatie worden uitgewisseld. Dus hup, iedereen meedoen, niet zo flauw de hele tijd, jullie willen toch ook dat de wachtlijsten krimpen en zoveel mogelijk mensen worden geholpen?
Alles bij de bron; DeGroene
Bij een omvangrijk datalek zijn bijna 32 miljoen documenten van softwarebedrijf ServiceBridge uitgelekt. De database bevat gevoelige documenten, waaronder facturen, contracten en overeenkomsten.
Securityonderzoeker Jeremiah Fowler ontdekte de database, die online vrij toegankelijk was en bracht het lek onder de aandacht bij ServiceBridge, waarna het bedrijf de toegang tot de database heeft geblokkeerd.
Fowler meldt dat de database onder meer contracten, werkopdrachten, facturen, voorstellen en andere documenten gerelateerd aan bedrijven wereldwijd omvat. De database is in totaal 2,68TB groot en omvat ruim 31,5 miljoen documenten. Hij waarschuwt dat de uitgelekte documenten onder meer ingezet kunnen worden voor social engineering, phishing, fraude met facturen en andere vormen van financiële fraude.
Een deel van de documenten zou ook gevoelige informatie over betrokkenen bevatten. Denk daarbij aan namen, adresgegevens, e-mailadressen, telefoonnummers en in sommige gevallen ook gedeeltelijke creditcardgegevens.
Alles bij de bron; Dutch-IT-Channel
Uit een studie van de Universiteit van Bazel blijkt dat veel zogeheten intelligent speelgoed gedragsgegevens van kinderen verzamelt.
‘Intelligent’ speelgoed maakt het mogelijk om op een interactieve manier te spelen, dankzij software en internettoegang. ‘Maar het privéleven van kinderen verdient bijzondere aandacht’, zegt Julika Feldbusch, de hoofdauteur van de studie.
Ze geeft het voorbeeld van de Toniebox, een muziekspeler die populair is bij kinderen. Als er poppetjes op de box geplaatst wordt, begint die audioboeken te lezen. Maar uit de studie blijkt dat het toestel ook exact registreert op welk moment het geactiveerd wordt en met welk poppetje, wanneer het kind stopt of wanneer het voortgaat. Het speelgoed stuurt die data door naar de producent.
De wetenschappers stelden ook risico’s vast bij ander speelgoed. Zo is er de ‘Tiptoi’, een populaire speelgoedstift, waarbij dataverkeer niet op een veilige manier versleuteld is. Wel is het zo dat de stift niet registreert wanneer een kind hem gebruikt. De onderzoekers zeggen dat de fabrikanten van speelgoed meer belang moeten hechten aan privacy en aan de veiligheid van hun producten, in functie van hun jonge doelgroep. Ze pleiten voor een privacylabel.
Alles bij de bron; DataNews
Een gigantisch datalek met 2,7 miljard documenten zou persoonlijke gegevens kunnen bevatten van zowat elke persoon in de Verenigde Staten, het Verenigd Koninkrijk en Canada.
Voor de VS zou het bijvoorbeeld gaan om social security nummers waarmee elke Amerikaan geïdentificeerd kan worden. Daarnaast zouden ook namen, adressen en mogelijke aliassen in het lek staan. De verzameling gegevens wordt te koop aangeboden op een hackerforum.
De gegevens zouden komen van National Public Data, een data broker die persoonlijke gegevens verzamelt en verkoopt aan bijvoorbeeld privédetectives. Een gelijkaardige verzameling werd in april al aangeboden door USDoD voor 3,5 miljoen dollar, zo schrijft BleepingComputer.
Ondertussen zijn er al delen van documenten vrijgegeven en nu zou bijna de volledige collectie gratis op een hackingforum staan. De echtheid van enkele gegevens is ondertussen door verschillende personen bevestigd, al zouden er ook veel fouten in de data te staan.
Het gaat om twee tekstbestanden van samen zo’n 277 GB, met 2,7 miljard lijnen plaintext. De kans is groot dat zowat iedereen die in de Verenigde Staten woont of woonde, in de gelekte data voorkomt. Gezien daar ook soms telefoonnummer en mailadressen bij staan, is de kans op phishing- en andere aanvallen daar wel erg groot.
Alles bij de bron; Datanews
Vorige maand verschenen op Telegram allerlei logbestanden met inloggegevens die van de besmette systemen door middel van infostealer-malware waren gestolen. Troy Hunt, oprichter van Have I Been Pwned, ontving in totaal 22 gigabyte aan logbestanden met gestolen inloggegevens.
In de bestanden vond hij meer dan 26 miljoen unieke e-mailadressen die voor meerdere accounts worden gebruikt en waarvan de inloggegevens via infostealer-malware zijn gecompromitteerd. Dergelijke malware steelt gebruikersnamen en wachtwoorden die op het systeem worden gevonden of ingevoerd. De gestolen data wordt dan teruggestuurd naar de aanvallers, die de inloggegevens zelf gebruiken of aan anderen verkopen.
Van de aangetroffen e-mailadressen was negentig procent al via een ander datalek bij Have I Been Pwned bekend. Dat houdt in dat bijna 2,7 miljoen e-mailadressen nieuw voor de zoekmachine zijn, merkt Hunt op.
Alles bij de bron; Security