Het marketingbedrijf Straffic heeft per abuis 49 miljoen persoonlijke gegevens inzichtelijk gemaakt. De inloggegevens voor een database van het bedrijf waren online vindbaar, waardoor onder andere e-mailadressen, adressen, telefoonnummers en andere gegevens inzichtelijk waren.

Straffic zelf heeft in een statement te kennen gegeven dat er een beveiligingslek is gevonden op een van de servers die het bedrijf gebruikt. Het statement bevat echter verder geen details over wat er precies is misgegaan.

Meer informatie komt van iemand die zich op Twitter uitgeeft onder de naam 0m3n. Hij werd namelijk een tijdlang blootgesteld aan spamberichten en besloot op zoek te gaan naar de bron. Zijn zoektocht leidde hem naar een webserver waarop een bestand stond met de inloggegevens voor een Elasticsearch-database waarvan Straffic de eigenaar is, zo vertelde hij tegenover Data Breach Today.

Met de inloggegevens die 0m3n vond, kreeg hij toegang tot de database, waardoor hij 140GB aan bestanden kon doorzoeken. Hij vond allerlei persoonlijke gegevens, zoals namen, adressen en telefoonnummers van mensen. Ook e-mailadressen en het geslacht van de in de database opgenomen mensen was vindbaar. Het is echter niet duidelijk wie er toegang hebben gehad tot de gegevens en wie ze momenteel nog in handen heeft.

Alles bij de bron; Tweakers


 

De Belastingdienst heeft donderdagavond een groot fraudesysteem uit de lucht gehaald omdat dat volstrekt niet aan de regels bleek te voldoen. Er stonden zo’n 180.000 mensen in vermeld als (mogelijke) fraudeur, maar de bewijzen voor die fraude waren onbetrouwbaar en niet controleerbaar.

Al meer dan twintig jaar gebruikte de dienst het geheime registratiesysteem om alle ‘vermoedens’ en ‘signalen’ van fraude op te slaan. Burgers die op deze interne zwarte lijst werden opgenomen wisten daar niets van en konden zich er niet tegen verweren.

Het systeem, de zogeheten Fraude Signalering Voorziening (FSV), bevat gegevens van burgers sinds 2001 en werd gebruikt voor selectie en profilering van groepen burgers die extra controle en toezicht krijgen. In januari vorig jaar werd al gewaarschuwd voor grote risico’s. Het onderzoek spreekt van een ‘zwarte-lijst-effect’ en ‘stigmatisering’ van grote groepen burgers.

Belangrijkste gebrek in FSV was dat ambtenaren vaak geen idee hebben waarom burgers erin staan. Een verzoek om informatie van bijvoorbeeld het Openbaar Ministerie leidt tot registratie, maar ook een klikmelding van een andere burger of een daadwerkelijke veroordeling vanwege bijvoorbeeld het opstellen van valse facturen. In het systeem staat vaak niet om wat voor melding het gaat, alleen dát er sprake is van registratie.

Ambtenaren konden niet alleen gegevens raadplegen, maar ook aanpassen, exporteren en zelfs van een andere datum voorzien, zonder dat dit geregistreerd werd. Zodoende is onduidelijk wat de waarde van een melding is, concludeert de Belastingdienst zelf.

Het interne onderzoek (zie hieronder) concludeert dat FSV volledig in strijd is met wetten op het gebied van privacy en gebruik van persoonlijke gegevens. Privacy-experts reageren geschrokken op het feit dat de Belastingdienst het systeem vervolgens nog meer dan een jaar in de lucht hield.

“Dat is echt een probleem”, stelt Joris van Hoboken, hoogleraar in de rechten aan de Vrije Universiteit Brussel en senior onderzoeker aan het Instituut voor Informatierecht van de Universiteit van Amsterdam. “Het roept bovendien de vraag op: speelt er nog meer? Wat heeft de Belastingdienst de afgelopen jaren met dit systeem gedaan?”

Alles bij de bron; Trouw


 

Gegevens van klanten zijn door United Consumers per abuis naar duizenden andere klanten gestuurd. Onder meer e-mailadressen, woonadressen en namen van andere klanten zijn te vinden in de e-mail. De mail is verstuurd naar 2.865 klanten.

United Consumers erkent het lek; getroffen klanten zijn per sms-bericht op de hoogte gesteld. Het lek ontstond bij het versturen van een update over het energieverbruik van klanten. Hierbij werd het e-mailadres van de vorige geadresseerden niet verwijderd, waardoor steeds nieuwe e-mailadressen werden toegevoegd. Sommige klanten ontvingen hierdoor in korte tijd duizenden e-mails, waarin ook gegevens van andere klanten zichtbaar waren.

"De storing in ons mailsysteem is het gevolg van een update die we uitgevoerd hebben. Na een klein kwartier bleek er een fout te zitten in het mailsysteem. Waar klant 1 netjes zijn of haar verbruiksoverzicht kreeg, bleek deze klant ook het verbruiksoverzicht te ontvangen van klant 2, 3, 4 etc. Bij elke nieuwe mail die het systeem aanmaakte, bleef het e-mailadres van de vorige ontvanger staan."

De fout werd tijdig ontdekt, waardoor de mailing kon worden stopgezet en het aantal getroffen klanten kon worden beperkt. De energieleverancier gaat melding maken bij de Autoriteit Persoonsgegevens.

Alles bij de bron; DutchIT


 

Polishouders van CZ, Zilveren Kruis, Menzis en VGZ van wie de kinderen niet naar de tandarts gaan, kunnen een brief van hun verzekeraar verwachten. Hierin worden ouders erop gewezen dat mondzorg bij minderjarigen kosteloos is. Zo moeten gebitsproblemen en hoge kosten op latere leeftijd voorkomen worden.

Minister Bruno Bruins (Medische Zorg) plaatste eerder vraagtekens bij de maatregel. "Als je verzekeraar gaat kijken welke zorg je hebt gehad, en je gaat bellen als je iets niet hebt geconsumeerd, daar ben ik niet zo erg voor." maar de Autoriteit Persoonsgegevens liet daarop weten dat hij de privacyregels in dit geval 'te streng' interpreteerde.

In principe mag volgens de privacywet alles worden gedaan wat nodig is om dat contract netjes uit te voeren, meldt de woordvoerder. "Bij het contract hoort ook dat er een goed en open contact is tussen de contractpartners. 

De Autoriteit Persoonsgegevens (AP) gaf zorgverzekeraars eerder deze maand de definitieve toestemming om op basis van declaratiegegevens gericht te informeren.

Alles bij de bron; NU


 

 

De gegevens van bijna tienduizend Nederlanders zijn buitgemaakt bij de hack op de Amerikaanse hotelketen MGM Resorts, meldt de NOS die inzage had in de database met gelekte gegevens. 

Op basis van adresgegevens en e-mailadressen die eindigen op .nl, constateert de NOS dat 9.800 Nederlanders slachtoffer zijn geworden van het datalek. Een aantal slachtoffers laat aan de NOS weten dat zij in hotels of casino's van MGM zijn geweest.

Alles bij de bron; NU


 

De privacy van Europese burgers loopt gevaar als gadgetfabrikant Fitbit wordt overgenomen door Google-moederbedrijf Alphabet. Daarvoor waarschuwt de Europese privacywaakhond EDPB.

Fitbit is een van de bekendste merken op het vlak van zogeheten wearables, die allerlei gegevens over je gezondheid bijhouden. Alphabet zou daarmee een enorme berg gegevens over de gezondheid van mensen binnenhalen. Dat is zorgwekkend, aldus de European Data Protection Board. "Het mogelijke verdere combineren en verzamelen van gevoelige persoonlijke gegevens van mensen in Europa door een groot techbedrijf kan een groot risico voor de privacy en gegevensbescherming zijn", aldus de organisatie.

De Europese toezichthouder vraagt Alphabet en Fitbit om goed na te denken over hun privacyvoorwaarden voordat ze toestemming van Brussel vragen voor de overname. Ook het Amerikaanse ministerie van Justitie onderzoekt de gepland Fitbit-overname.

Alles bij de bron; RTLZ


 

Hackers hebben de persoonlijke informatie van 10.6 miljoen gasten van hotelketen MGM Resorts gestolen, meldt ZDNet. ZDNet vond de namen, adressen, telefoonnummers en burgerservicenummers van voormalige klanten op een hackersforum.

MGM Resorts bevestigt woensdag aan de BBC dat de hack afgelopen zomer heeft plaatsgevonden.

Alles bij de bron; NU


 

Driekwart jaar geleden mocht ik een namenlijst bekijken. Een lange: hij omvatte volgens de opstellers ruim 4500 mensen en hun laatst bekende huisadres. Ik bladerde, las hier en daar een paar regels, bladerde dan verder. Ik herkende wat namen. Hij natuurlijk, en ja, hij ook, dat was te verwachten, en och, was dat zijn officiële voornaam?

Viereneenhalfduizend namen: dat zijn er veel. De lijst was niet uitgeprint, hij was ouderwets getypt. Ergens in mijn hoofd klonk de vrolijke pling die typemachines maakten wanneer ze het einde van de regel naderden. Tijd om de hendel over te halen en aan de volgende regel te beginnen. 

Ik zat in een prachtige stijl­kamer in het Stadsarchief en sloeg nog een bladzijde van de lijst om. “Kijk,” zei de stads­archivaris, “deze brief hoort erbij.” De brief was van 16 januari 1941 en was auf Deutsch...

... In ’t Hooge Nest schrijft Roxane van Iperen: ‘In België wordt 30 procent van de gemeenschap naar concentratiekampen gedeporteerd. In Frankrijk 25 procent. Nederland voert binnen 26 maanden 76 procent van haar Joodse gemeenschap af.’

Dat kwam dus door lijsten als deze. Nederland had haar administratie keurig op orde. En op deze lijst stonden alle bekende en vermeende Amsterdamse homoseksuelen geboekstaafd, compleet met hun adres.

De brief is nu bijna tachtig jaar oud. Maar zulke lijsten maken we nog steeds, ook van mensen die alleen maar ‘verdacht’ worden van iets, en tegenwoordig doen we dat geautomatiseerd, met handige algoritmen.

Ik was blij toen de rechter vorige week het gebruik van SyRI verbood: het belang van fraudeopsporing woog niet op tegen de inbreuk op het privéleven die het systeem pleegde.

Alles bij de bron; Parool [via Sargasso]


 

Subcategorieën

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha