Een Australische pathologisch laboratorium heeft 223.000 patiënten pas na acht maanden gewaarschuwd voor een datalek met hun persoonlijke informatie. Medlab Pathology werd in februari het slachtoffer van een ransomware-aanval waarbij er ook gegevens van 223.000 patiënten werden gestolen. Dit werd echter niet ontdekt door de forensisch specialisten die destijds waren ingehuurd, aldus Medlab (pdf).

In juni werd het bedrijf gewaarschuwd door het Australische Cyber Security Centre (ACSC) dat gegevens van patiënten op internet waren geplaatst. Volgens Medlab was de aangeboden dataset "complex en ongestructureerd" en daardoor zou het zo lang hebben geduurd voordat het bedrijf patienten kon waarschuwen. 

Van ruim 28.000 patiënten zijn ook creditcardgegevens en namen buitgemaakt, waaronder ook duizenden CVV-nummers. Verder kregen de aanvallers van ruim 17.000 patiënten de gezondheidsdossiers met betrekking tot het laboratoriumonderzoek in handen en werden ook meer dan 128.000 zorgverzekeringsnummers met namen gestolen. Hoe de aanvallers precies toegang konden krijgen laat Medlab niet weten.

Alles bij de bron; Security


 

Criminelen zijn erin geslaagd om bij de Australische zorgverzekeraar Medibank allerlei gevoelige gegevens van klanten te stelen, waaronder informatie over diagnoses en behandelingen. Dat heeft het bedrijf vandaag bekendgemaakt. Vorige week liet Medibank weten dat het "ongewone activiteit" op het netwerk had ontdekt. Bij het "cyberincident" zouden echter geen gegevens van klanten zijn buitgemaakt....

....Gisteren meldde Medibank dat het was benaderd door de aanvallers, die claimden  tweehonderd gigabyte aan data in bezit te hebben. Als bewijs hebben de aanvallers informatie over honderd polishouders gedeeld, zo laat de verzekeraar weten.

Het gaat om namen, adresgegevens, geboortedata, zorgverzekeringsnummer, polisnummer, telefoonnummers en gegevens over declaraties, zoals de locatie waar een klant medische zorg heeft ontvangen en codes met betrekking tot de diagnoses en behandeling.

Medibank bevestigt dat die gegevens bij het bedrijf zijn gestolen. De aanvallers claimen ook creditcardgegevens in bezit te hebben, maar dat is nog niet bevestigd. 

Alles bij de bron; Security


 

Microsoft heeft via een verkeerd geconfigureerde server de gegevens van klanten gelekt. Het gaat om zakelijke transactiegegevens, zoals namen, e-mailadressen, inhoud van e-mails, bedrijfsnaam, telefoonnummers en bestanden met betrekking tot de zaken tussen klanten en Microsoft of een geautoriseerde Microsoft-partner. Door de fout aan de kant van het techbedrijf waren de klantgegevens zonder enige inloggegevens voor iedereen op internet toegankelijk.

Securitybedrijf SOCRadar ontdekte de server en waarschuwde Microsoft. Volgens het securitybedrijf bevatte de verkeerd geconfigureerde server 2,4 terabyte aan data van 65.000 entiteiten in 111 landen. Het ging bij elkaar om 335.000 e-mails, informatie over 133.000 projecten en data van 548.000 gebruikers. Het gaat dan bijvoorbeeld om facturen, getekende klantdocumenten, verkoopstrategieën, prijslijsten, productbestellingen en documenten.

SOCRadar claimt dat het om één van de grootste B2B-datalekken van de afgelopen jaren gaat ook biedt het bedrijf een zoektool aan waarmee organisaties kunnen kijken of ze onderdeel van het datalek zijn. Microsoft stelt dat deze tool niet in het belang van de privacy en security van klanten is en hen aan onnodige risico's blootstelt. De betreffende server is inmiddels beveiligd.

Alles bij de bron; Security


 

Een Eindhovense huisartsenpraktijk heeft door een fout bij het versturen van twee e-mails de gegevens van vijfhonderd patiënten gelekt. Vorige week verstuurde de huisartsenpraktijk een e-mail naar patiënten. Door een menselijke fout werden de e-mailadressen niet in het bcc-veld gezet, zo laat de huisartsenpraktijk weten.

Na ontdekking van de fout heeft de huisartsenpraktijk de eigen ict-leverancier benaderd met de vraag of het bericht kon worden ingetrokken. De ict-leverancier claimde dat dit kon en verstuurde vervolgens een correctiemail, maar daar waren alle e-mailadressen weer zichtbaar voor alle ontvangers.

De huisartsenpraktijk heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Daarnaast is besloten om alleen via MijnGezondheid.net berichten naar patiënten te sturen. "Op deze manier is het onmogelijk om gegevens te delen met andere patiënten", aldus de huisartsenpraktijk.

Alles bij de bron; Security


 

Zonder dat twitteraars het weten, verzamelt de overheid hun berichten om reacties te peilen op het beleid. Onder meer het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) gaan op die manier te werk.

Overheden gebruiken voor het verzamelen en analyseren van (kritische) tweets tools van commerciële bedrijven als Coosto, Obi4wan en Twittertap. Deze tools ‘tappen’ Twitter, verzamelen op grote schaal (anonieme) berichten en maken deze geschikt voor data-analyse. Het gaat om vragen van twitteraars, berichten waar de betreffende overheid in wordt genoemd door bijvoorbeeld opiniemakers, of nieuwsartikelen en reacties daarop.

Volgens deskundigen is deze werkwijze problematisch, omdat gebruikers ten onrechte niet worden geïnformeerd.

Dat overheden Twitterberichten analyseren heeft vaak een pragmatische reden. Het is volgens hen het enige platform dat zonder toestemming van de gebruiker toestaat berichten op te slaan. Verschillende experts plaatsen daar grote vraagtekens bij. Burgers hebben het recht om te weten wat er met hun gegevens gebeurt en waarvoor ze worden gebruikt.

“Ze moeten de betrokkenen mijn inziens op de hoogte brengen indien ze tweets en accountgegevens opslaan", zegt internetrecht-jurist en rechtswetenschapper Mathieu Paapst. “Eigenlijk is het opmerkelijk dat de overheid als betalende opdrachtgever dit niet gewoon eist van Coosto.”

Alles bij de bron; Trouw


 

Toyota heeft de gegevens van meer dan 296.000 klanten gelekt nadat broncode van een Toyota-website jarenlang via een publiek GitHub-account beschikbaar was. De broncode bevatte een key waarmee toegang tot de server kon worden verkregen waarop de klantgegevens stonden. Het gaat om het e-mailadres en klantnummer die Toyota-klanten bij de registratie op de Toyota Connect-website hadden ingevuld.

... Volgens Toyota heeft de webontwikkelaar de regels voor het omgaan met broncode geschonden door die naar een publiek GitHub-account te uploaden. Iets dat het bedrijf pas op 15 september van dit jaar ontdekte. Toyota zal alle gedupeerde klanten nu waarschuwen.

Alles bij de bron; Security


 

De computersystemen van de Belastingdienst kunnen zoekopdrachten van medewerkers niet terughalen. Dat maakt onderzoek naar corruptie heel ingewikkeld. Ook bij andere overheidsdiensten is dat soms complex.

‘Voor plan C:”, schrijft Ridouan Taghi in een kladblok terwijl zijn advocaat en neef Youssef achter de glazen wand van de spreekkamer in de Extra Beveiligde Inrichting (EBI) in Vught toekijkt. „Moedir heeft contact bij de belastingdienst”, schrijft Taghi vervolgens. „Check alvast alles perfect. Geen domme jongens.”...

....Als NRC in januari van dit jaar publiceert over het contact van Moedir, gaan bij de Belastingdienst de alarmbellen af. De computersystemen van de dienst bevatten namelijk gedetailleerde persoonsgegevens over alle Nederlanders die belasting betalen of toeslagen ontvangen, inclusief partners en kinderen. Die informatie gaat niet alleen over inkomen, aftrekposten en vermogen. Ook adresgegevens zitten in dat systeem: van de woning tot de werkplek.

Aan het systeem van de Belastingdienst zijn ook gegevens van andere overheidsdiensten gekoppeld, zoals de database van de Rijksdienst voor het Wegverkeer, die alle geregistreerde autokentekens koppelt aan een burger. Dat betekent dat een belastingambtenaar met zekere bevoegdheden aan één kenteken genoeg heeft om de doopceel van een burger te lichten. „Als het om dit soort gegevens gaat, kun je beter een corrupt contact hebben binnen de Belastingdienst dan binnen de politie,” vertelt een goed ingevoerde bron binnen de opsporing.

Alles bij de bron; NRC


 

Streamingdiensten zijn inmiddels al heel wat jaar in ons leven. Als je er vanaf het begin bij was, heb je dus zomaar honderden afleveringen of films gekeken via Netflix en andere aanbieders.

Het kan handig zijn om die gegevens in te zien en kan dienen als wake-upcall: dat diensten al die data over jouw gedrag bewaren, zegt natuurlijk wel wat over je privacy.

Netflix blijkt letterlijk al je kijkgeschiedenis te bewaren, zonder dat die ooit verjaart. Als je al jarenlang abonnee bent, kun je dus terugzien wat je vanaf het begin allemaal hebt gestreamd.

Log in en ga naar je kijkgeschiedenis. Hier zie je de laatste dingen die je hebt bekeken. Dat kan lijst zijn verspreid over meerdere pagina's. Helemaal onderaan vind je de knop 'Downloaden'. Als je hierop klikt, krijg je direct een Excel-bestand met je gehele geschiedenis. 

Bij andere diensten is het jammer genoeg vaak niet mogelijk om zo'n totaaloverzicht te krijgen. Bij bijvoorbeeld Disney+, Videoland en HBO Max zie je alleen de films en series die je het recentst hebt bekeken. Na een tijdje verdwijnen die ook weer uit je feed.

Amazon Prime Video heeft wel een uitgebreide lijst voor je beschikbaar. Log in via de site en klik rechtsboven op je profiel. Daar kies je voor 'Account en instellingen' en navigeer je naar het tabblad 'Kijkgeschiedenis'.

Hier vind je alles wat je ooit hebt gekeken, en je kan een flink eind naar beneden scrollen. Helaas kun je geen bestand downloaden, waardoor de lijst niet makkelijk doorzoekbaar is.

Alles bij de bron; NU


 

De gemeente Bergen heeft door een misser twee brieven met afzonderlijke gegevens op één papier afgedrukt. Zo is de brief aan de ene persoon op de achterkant van de brief aan de andere persoon terechtgekomen.

Het ging bij de brieven om een ontvangstbevestiging van een aanvraagformulier voor de mantelzorgwaardering 2022. Op deze manier kwamen privégegevens van aanvragers uit Schoorldam en Egmond-Binnen bij elkaar binnen.

Voor zover de gemeente kan vaststellen is dit een eenmalig incident geweest. Van de misser is een melding gemaakt bij de afdeling privacy en informatiebeveiliging van de gemeente en bij de Autoriteit Persoonsgegevens. De betrokkenen zullen nog worden ingelicht door de gemeente.

Alles bij de bron; NHD


 

Een ransomwaregroep die vorige maand wist in te breken op systemen van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden.

Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden.

Dat laat staatssecretaris Van Huffelen vandaag in een brief aan de Tweede Kamer weten

Alles bij de bron; Security


 

Subcategorieën

Schrijf je in op onze wekelijkse nieuwsbrief!