Hackerscollectief Medusa heeft bij de cyberaanval op de computersystemen van Limburg.net niet enkel persoonsgegevens van 311.000 Belgische huishoudens buitgemaakt. De groep zou ook gerechtelijke en notariële documenten met financieel gevoelige info hebben kunnen bemachtigen.
De redactie van VRT NWS heeft de documenten naar eigen zeggen kunnen inkijken en stelde vast dat het om meer dan enkel rijksregisternummers, namen en adressen gaat, zoals eerder werd gesuggereerd. "Er zijn ook documenten gelekt van notarissen en rechtbanken waarin details van erfenissen of leeflonen staan vermeld", klinkt het. "Er worden mensen met naam en toenaam benoemd."
Limburg.net zegt dat data zoals identiteitskaartnummers, wachtwoorden, inloggegevens, rekeningnummers en bankkaartnummers niet tot de uitgelekte gegevens behoorden.
Medusa heeft in december vorig jaar een oude dataserver kunnen hacken. De groepering heeft gegevens van 311.000 Belgische huishoudens kunnen bemachtigen en heeft ook gedreigd om deze gegevens openbaar te maken als Limburg.net geen 100.000 euro losgeld wilde betalen. De afvalbeheermaatschappij heeft dat bedrag naar eigen zeggen niet betaald.
Alles bij de bron; Tweakers
Onderzoekers van Cybernews hebben een enorm datalek gevonden met de gegevens van 26 miljard online accounts. Het bestand bevat inloggegevens zoals accountnamen en wachtwoorden, maar ook andere "gevoelige" data, schrijven de onderzoekers.
In totaal heeft het bestand een omvang van zo'n 12 terabyte. Wie de eigenaar van dit enorme pakket aan informatie is, is niet bekend.
De onderzoekers noemen de dataset extreem gevaarlijk, omdat kwaadwillenden de gegevens kunnen gebruiken voor verschillende soorten cyberaanvallen. Voorbeelden daarvan zijn identiteitsdiefstal, phishing en inbraken op persoonlijke accounts, schrijven de onderzoekers.
Ook gegevens van Nederlandse sites zijn onderdeel van het lek, zoals van het reserveringssysteem Ticketcounter. Daarvan is bekend dat twee jaar geleden gegevens van honderdduizenden pretpark- en dierentuinbezoekers lekten.
Alles bij de bron; NU
35,5 miljoen klanten zijn getroffen door een datalek na een cyberaanval in december vorig jaar, dat zegt VF Corporation, het moederbedrijf van kledingmerken zoals Vans, The North Face, Timberland, Eastpak, Kipling en Supreme.
Het bedrijf stelt dat het geen burgerservicenummers of gegevens van bankrekeningen en betaalkaarten van consumenten heeft verzameld. Ook zou er geen bewijs zijn dat er wachtwoorden gestolen zijn door de hackers. De ongeautoriseerde gebruikers zouden twee dagen na de ontdekking geen toegang meer hebben gehad tot de systemen van VF Corp.
Alles bij de bron; Tweakers
Leverancier van cryptowallets Trezor waarschuwt 66.000 klanten voor een datalek nadat een aanvaller toegang kreeg tot het helpdesksysteem. Het incident deed zich vorige week voor, waarbij de aanvaller toegang wist te krijgen tot gegevens van 66.000 klanten die sinds december 2021 om support hadden gevraagd. Vervolgens ontvingen tientallen klanten een bericht dat van de helpdesk afkomstig leek en om hun seed phrases vroeg.
Geen van de klanten die een phishingmail ontving heeft gegevens verstrekt, aldus Trezor, dat zegt alle gedupeerde 66.000 klanten te hebben geïnformeerd. Het onderzoek naar het incident is nog gaande.
Alles bij de bron; Security
Locatiegegevens van Nederlandse mobiele telefoons, waarmee de eigenaren van deze toestellen zijn te volgen, worden online door datahandelaren te koop aangeboden, zo meldt BNR.
BNR verkreeg via een Duits bedrijf gigabytes aan locatiedata. Door de gegevens te combineren met informatie van openbare registers, zoals het Kadaster, en LinkedIn-profielen, is te achterhalen waar iemand woont en werkt. De locatiedata wordt verzameld via de apps die gebruikers op hun telefoon installeren en toegang tot locatiegegevens vragen.
De aangeboden datasets bevatten niet alleen locatiedata, maar worden in combinatie met een advertentie-ID aangeboden. Het advertentie-ID is een unieke identificatiecode voor de telefoon, tablet of ander smart device waarmee bedrijven gebruikers kunnen volgen. Het advertentie-ID maakt het mogelijk om data uit verschillende bronnen aan één identiteit te koppelen. Gebruikers kunnen het advertentie-ID resetten, maar weinig gebruikers doen dit, aldus Jaap-Henk Hoepman, universitair hoofddocent Digital Security aan de Radboud Universiteit.
Eén van de datahandelaren claimt in promotiematerialen elke maand bijna de helft van alle Nederlandse telefoons te kunnen volgen. Volgens BNR zaten in het door deze datahandelaar aangeleverde proefbestanden iets meer dan vier miljoen unieke identifiers.
Alles bij de bron; Security
Adresgegevens van klanten van telecombedrijf KPN mogen met ingang van volgende maand niet langer worden doorverkocht.
KPN neemt diensten af van Experian, één van de drie grote kredietinformatiebureaus in Nederland. Klantgegevens, waaronder adressen, blijken stilzwijgend te worden verhandeld zo bleek uit onderzoek van RTL Nieuws.
KPN is daardoor onaangenaam verrast. "Op basis van de bevindingen van RTL Nieuws zijn we meteen met Experian om tafel gegaan", zegt woordvoerder Gerd De Smyter.
"Experian heeft aangegeven dat de gegevens van onze klanten niet meer door andere partijen opvraagbaar zullen zijn. Er is ons verzekerd dat dit na februari niet meer het geval zal zijn."
Kredietinformatiebureaus bieden ook adressen te koop aan van Nederlanders die zwaar worden bedreigd, bewindslieden en advocaten.
Bedreigde persoon misdaadjournalist John van den Heuvel overweegt juridische stappen.
"Je doet alle moeite om je adres af te schermen en dan krijg je dit. Ik reken erop dat de NCTV en de politie alert zijn en adequaat zullen handelen, het gaat hier ook om de veiligheid van mijn gezin." aldus VVD kamerlid Ulysse Ellian.
Alles bij de bron; RTL-nieuws
RTL Nieuws meldt op basis van eigen onderzoek dat databedrijven de gegevens van miljoenen Nederlanders online verhandelen. Het gaat onder meer om de adresgegevens van bedreigde bewindslieden, journalisten en advocaten.
Het wijst op kredietinformatiebureaus als Experian en Focum, die grote databestanden aanleggen waarin persoonsgegevens van consumenten zijn gekoppeld aan informatie over hun betaalgedrag. Deze informatie verkopen zij aan diverse partijen.
Denk daarbij aan bedrijven die willen achterhalen of iemand kredietwaardig is, maar ook aan incassobureau's of private recherchebedrijven. Deze laatste partijen kunnen zo onder meer adresgegevens van personen achterhalen.
Het doorverkopen van persoonsgegevens is volgens privacy-experts in strijd met de wet.
De branchevereniging van kredietinformatiebureaus stelt dat de bureaus volgens de wet handelen. Consumenten worden via de privacyverklaring van bedrijven die een kredietcheck doen geïnformeerd over de werkwijze.
Ook wijst de branchevereniging erop dat gegevens bij verkoop aan derden alleen onder voorwaarden worden volstrekt. Zo moeten derde partijen betrokkenen informeren dat er een 'zoekslag' plaatsvindt.
Alles bij de bron; DutchIT
De AIVD en MIVD mogen bulkdatasetse die ze eigenlijk binnenkort zouden moeten vernietigen langer van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) bewaren.
Daarmee neemt de CTIVD een voorschot op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma, bulkdatasets en overige specifieke voorzieningen’ dat nog door de Eerste Kamer moet worden goedgekeurd.
De bulkdatasets mogen op dit moment maximaal anderhalf jaar worden bewaard. Vorig jaar oordeelde de CTIVD na een klacht van burgerrechtenbeweging Bits of Freedom dat de AIVD en MIVD vijf bulkdatasets moesten vernietigen, wat inmiddels ook is gedaan. De diensten bleken de bulkdatasets namelijk langer dan anderhalf jaar te bewaren.
Het wetsvoorstel, waarover de Eerste Kamer nog moet stemmen en de Toetsingscommissie Inzet Bevoegdheden (TIB) kritisch was, geeft de inlichtingendiensten de mogelijkheid om bulkdatasets, na toestemming van de CTIVD, langer te bewaren. De termijn kan steeds met een jaar worden verlengd. Vanaf de derde verlenging zal er extra streng worden getoetst of dit nodig is.
Demissionair minister De Jonge van Binnenlandse Zaken voegt toe dat als het wetsvoorstel niet door de Eerste Kamer wordt aangenomen, de bulkdatasets waarvoor een nieuwe eindtermijn is vastgesteld, alsnog meteen vernietigd worden (pdf).
Alles bij de bron; Security
Internetprovider Xfinity heeft door een kwetsbaarheid in NetScaler de gegevens van 36 miljoen klanten gelekt. Het is daarmee één van de grootste datalekken in de Verenigde Staten van dit jaar.
De gestolen gegevens bestaan uit gebruikersnaam en gehashte wachtwoorden. Voor een onbekend aantal klanten gaat het ook om namen, contactgegevens, de laatste vier cijfers van social-securitynummers, geboortedatum en antwoorden op geheime vragen.
Xfinity bleek de beschikbaar gestelde update niet op tijd te hebben geïnstalleerd, want voor het uitrollen van de patch hadden aanvallers al tussen 16 en 19 oktober toegang tot de NetScaler-systemen gekregen.
Verder onderzoek wees uit dat de aanvallers ook gegevens van klanten hadden gestolen. In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine meldt de internetprovider dat het om de data van 36 miljoen klanten gaat.
Alles bij de bron; Security
Parkeerapp EasyPark is deze week getroffen door een cyberaanval. Volgens de makers zijn gegevens als namen, telefoonnummers en adressen van klanten gelekt.
Op de website van EasyPark staat dat een deel van de klanten is getroffen door het datalek. Het bedrijf maakt niet bekend hoeveel mensen precies zijn gedupeerd. Mensen van wie gegevens zijn gelekt, krijgen een bericht.
Bij de cyberaanval is toegang verkregen tot bepaalde contactgegevens die klanten hebben gedeeld. Naast namen en telefoonnummers zijn ook enkele cijfers van IBAN- en creditcardnummers te zien geweest. "Er kunnen echter geen betalingen gedaan worden met deze onvolledige gegevens", schrijft EasyPark.
Wel waarschuwt het bedrijf dat gestolen gegevens door criminelen gebruikt kunnen worden voor pogingen tot phishing.
Alles bij de bron; NU