Troy Hunt, oprichter van de zoekmachine voor datalekken Have I Been Pwned, is zelf slachtoffer geworden van een datalek.
Hunt meldt een phishingmail te hebben ontvangen waarin werd aangegeven dat het verzenden van e-mail via zijn MailChimp-account is beperkt, en hem werd gevraagd zijn gegevens te controleren. Hij klikte in de link in de e-mail, logde in op de getoonde webpagina en voerde vervolgens zijn 2FA-code in.
De oprichter van Have I Been Pwned meldt dat de pagina na het inloggen bleef hangen, en hij zich enkele seconden later realiseerde dat hij doelwit was van een phishingaanval. Hij logde vervolgens in bij MailChimp en wijzigde direct zijn wachtwoord. Voordat hij dit kon doen ontving hij echter al een melding dat zijn mailinglijst werd geëxporteerd, met daarbij een onbekend IP-adres.
De mailinglijst bevat ongeveer 16.000 mailadressen die zijn geabonneerd op de nieuwsbrief van Hunt. Getroffen abonnees zijn inmiddels door Hunt op de hoogte gesteld.
Alles bij de bron; Dutch-IT-Channel
Een Nederlandse onderzoeksinstelling heeft te maken met een groot datalek, waarbij persoonsgegevens van meer dan 35.000 onderzoekers zijn uitgelekt. Het lek omvat telefoonnummers, e-mailadressen en zwak beveiligde wachtwoorden, die gratis worden aangeboden op besloten hackerforums in het Deep Web, wat het risico op misbruik door cybercriminelen verhoogt.
Het Centrum voor Cybersecurity, Veiligheid en Technologie (CCVT) ontdekte het lek tijdens hun dagelijkse controle van hackerforums. De dataset is in .sql-formaat, wat een directe kopie van de database is waarin alle gegevens zichtbaar zijn. Cybercriminelen kunnen deze informatie gebruiken voor gerichte phishing-aanvallen of om ongeautoriseerde toegang tot accounts te verkrijgen.
De betrokken instelling is door het CCVT geïnformeerd direct nadat het lek op het hackersforum werd geplaatst. Ook adviseerde het CCVT directe maatregelen om verdere schade te beperken. Door snel te handelen bleef de impact beperkt, meldt het centrum.
Alles bij de bron; Dutch-IT-Channel
Aanvallers zijn er vorig jaar in geslaagd om meer dan twintig jaar aan bezoekersgegevens van de Toronto Zoo te stelen, zo heeft de grootste dierentuin van Canada zelf bekendgemaakt. Vorig jaar januari meldde het bedrijf dat het was getroffen door een ransomware-aanval. De data zou mogelijk teruggaan tot 1989.
De dierentuin laat nu weten dat het datalek veel groter is dan eerst werd gedacht. "Een kopie van transactiegegevens was gestolen en vorig jaar gelekt op het dark web. De manier waarop de data was gelekt maakt het lastig om te downloaden. Het is op dit moment niet gepubliceerd, maar dit kan veranderen", aldus een verklaring van de dierentuin.
De gelekte transactiegegevens beslaan de periode 2000 tot en met april 2023. Het gaat om namen, adresgegevens, telefoonnummers en e-mailadressen. Van klanten die tussen januari 2022 en april 2023 met hun creditcard betaalden gaat het ook om laatste vier cijfers van creditcardnummer en verloopdatum. Hoeveel mensen zijn getroffen en hoe de aanval mogelijk was is niet bekendgemaakt. De dierentuin ontvangt jaarlijks meer dan 1,2 miljoen bezoekers.
Alles bij de bron; Security
Eind december ging het mis, meldt het stadsbestuur in een brief aan de gemeenteraad. Toen verhuisde het kantoor van de gemeentelijke organisatie Geynwijs, waar mensen terechtkunnen voor zorg en ondersteuning, van de Ratelaar in Nieuwegein-Zuid naar het Stadshuis.
Tijdens een verhuizing van de gemeentelijke organisatie Geynwijs, waar mensen terechtkunnen voor zorg en ondersteuning, zijn alle spullen in bakken gestopt en is er onverhoopt een bak kwijtgeraakt’.
Daarin zaten onder meer vijf notitieblokken met aantekeningen van een medewerker van Geynwijs. ‘Het betreft aantekeningen van alle Wmo-hulpvragen die deze medewerker in de afgelopen 2,5 jaar heeft behandeld. In totaal gaat het om zaken van 417 inwoners waarvan mogelijk aantekeningen met persoonsgegevens in de notitieblokken hebben gestaan’.
Het kan gaan om namen, adressen en telefoonnummers, omschrijvingen van de woonsituatie en van de medische situatie. In de notitieblokken staan geen BSN-nummers of geboortedata, dus is er niet direct risico op identiteitsfraude, stelt de burgemeester.
‘Wel kan iemand zien dat een inwoner Wmo-ondersteuning heeft aangevraagd en naam en adres gebruiken om bijvoorbeeld onterecht spullen met die naam en adresgegevens te bestellen. Ook kan iemand inwoners bellen of bij hem langsgaan en doen alsof hij of zij werkt bij een van de zorgorganisatie waar de gemeente mee werkt.”
Een zoektocht leverde niets op. Waar de notitieblokken gebleven zijn? Volgens de gemeente is de kans groot dat ze zijn vernietigd als oud papier. Maar dat is niet zeker en daarom is Nieuwegein in actie gekomen. Er is melding gedaan van een datalek bij de Autoriteit Persoonsgegevens en contact gezocht met de betrokken inwoners. Ook zijn er nu een telefoonnummer en een mailadres voor vragen beschikbaar.
De gemeente adviseert betrokkenen extra alert te zijn als onbekende mensen bellen of aanbellen én medewerkers van Geynwijs steeds naar hun medewerkerspasje te vragen.
Alles bij de bron: AD
Locatiegegevens van gebruikers die zijn vergaard door ruim honderd Nederlandse apps, worden online te koop aangeboden, zo claimt BNR.
Het gaat om locatiegegevens die volgens BNR en internationale partnermedia van het platform door een malafide datahandelaar, Datastream Group, intussen als Datasys bekend, worden aangeboden. Een andere partij, Datarade uit Berlijn, zou het contact tussen de databroker en de journalisten hebben gefaciliteerd.
Onder meer locatiegegevens vergaard door Buienalarm en games van de Nederlandse ontwikkelaars My.games, GameHouse en Sparkling Society zouden via de datahandelaars te koop zijn aangeboden. Er zouden 'miljoenen Nederlanders' door deze praktijken getroffen zijn.
Het verschilt per appaanbieder welke locatiegegevens van gebruikers er worden opgeslagen. Soms gaat het om zeer exacte coördinaten, zo legt BNR uit, maar in andere gevallen om minder nauwkeurige locaties gebaseerd op IP-adressen. Het verzamelen van deze gegevens zonder nadrukkelijke toestemming van de gebruiker is volgens de Stichting Data Bescherming Nederland hoe dan ook illegaal.
Alles bij de bron; Tweakers
Gegevens van ongeveer 800.000 elektrische auto's van Volkswagen AG waren maandenlang publiekelijk toegankelijk. In meer van de helft van de gevallen is er precieze locatiedata blootgesteld. Het lek is inmiddels gedicht.
Der Spiegel schrijft dat 'enkele terabytes aan gegevens' van ongeveer 800.000 elektrische auto's in Europa maandenlang grotendeels onbeschermd en toegankelijk waren via cloudopslag van Amazon.
Dit omvat gegevens zoals de acculading en of de motor aan of uit staat. Bij het uitschakelen van de motor wordt ook de locatie vastgelegd. Bij auto's van Volkswagen en Seat zou deze geodata tot op tien centimeter nauwkeurig zijn, terwijl het bij Audi's en Skoda's om tien kilometer gaat.
Deze gegevens konden worden gelinkt aan namen en contactgegevens van bestuurders, eigenaars of fleetmanagers. Volgens Der Spiegel behoren de Volkswagen ID.3 en ID.4 tot de modellen waarover veel data wordt vastgelegd. Gegevens van die auto's zouden vooral bijgehouden worden nadat gebruikers de app hebben geïnstalleerd.
Met 300.000 getroffen voertuigen heeft het lek voornamelijk een impact op Duitse gebruikers. In Nederland gaat het om 61.000 auto's, gevolgd door 38.000 in België.
Alles bij de bron; Tweakers
Meta moet een boete van 251 miljoen euro betalen vanwege een groot datalek dat plaatsvond in 2018. Daarbij belandden persoonlijke gegevens van 29 miljoen mensen wereldwijd op straat.
Een fout in het ontwerp van Facebook zorgde ervoor dat gegevens van gebruikers uitgelezen konden worden, ook als die normaal gesproken afgeschermd waren. Het ging om onder meer namen, e-mailadressen, telefoonnummers, religies en informatie over eventuele kinderen van Facebook-gebruikers.
Nadat het datalek werd ontdekt, greep Facebook in om te zorgen dat er geen verdere informatie meer openbaar was.
Alles bij de bron; NU
In de eerste zes maanden van dit jaar heeft de Autoriteit Persoonsgegevens (AP) al duizenden meldingen van datalekken ontvangen als gevolg van verkeerd geadresseerde post en e-mail. Dat blijkt uit een analyse van het Centraal Bureau voor de Statistiek (CBS) op basis van meer dan 9800 datalekmeldingen die in de eerste helft van 2024 gedaan.
In 41 procent van de meldingen bleek het datalek te zijn veroorzaakt door verkeerd geadresseerde post met persoonsgegevens. Achttien procent van de datalekmeldingen was het gevolg van fouten bij het versturen van e-mail met persoonsgegevens.
Bijna zeven op de tien datalekmeldingen werd gedaan door een groot bedrijf of grote organisatie. Verder blijkt dat de helft van de datalekmeldingen werd gedaan door openbaar bestuur, overheidsdiensten en verplichte sociale verzekeringen.
Vorig jaar ontving de AP in totaal zo'n 26.000 meldingen van datalekken.
Alles bij de bron; Security
Veel datalekken waar de gemeente Haarlem vorig jaar mee te maken kreeg zijn het gevolg van verloren mobiele apparaten.Andere oorzaken die geregeld voorkomen zijn het verkeerd adresseren van een brief of e-mail en het publiceren van niet geanonimiseerde stukken.
Vorig jaar werden er veertig datalekken gemeld, net iets meer dan de 38 incidenten in 2022. In vijftien gevallen werd een datalek bij de Autoriteit Persoonsgegevens (AP) gemeld. Dat is ongeveer twee keer zoveel als in eerdere jaren.
De toename van het aantal meldingen aan de Autoriteit Persoonsgegevens ten opzichte van voorgaande jaren ligt volgens de Functionaris Gegevensbescherming in de strengere lijn die inmiddels gevolgd wordt. "Alles wordt gemeld tenzij het privacyrisico echt verwaarloosbaar is." Verder blijkt dat relatief veel (mogelijke) datalekken het gevolg zijn van een verloren mobiel apparaat. Dat was in twaalf meldingen het geval.
Vorige maand heeft de gemeente Haarlem op het eigen intranet een 'meldknop' geïntroduceerd die het eenvoudiger voor medewerkers moet maken om melding van een datalek te doen.
Alles bij de bron; Security
Een groot deel van de gegevens die de gemeente Amersfoort over inwoners heeft gelekt had volgens beleid van de gemeente zelf al lang verwijderd moeten zijn.
Deze week maakte de gemeente bekend dat de gegevens van honderdduizend inwoners bij een externe softwareleverancier gestolen. Het gaat om twee datasets met gegevens van 2009 tot en met 10 oktober 2024. De "oude" dataset met persoonsgegevens van 2009 tot en met 2019. De "nieuwe dataset" beslaat de periode van 2016 tot en met 10 oktober 2024.
Het gaat om naam, adres, woonplaats, geboortedata, geslacht, e-mailadressen en telefoonnummers van mensen die tussen 2009 en 2024 een afspraak hebben gemaakt met de afdeling Burgerzaken. Van zevenduizend personen gaat het ook om het Burgerservicenummer (BSN).
In het verwerkingsregister van de gemeente Amersfoort staat dat gegevens over afspraken die met de afdeling Burgerzaken zijn gemaakt na vijf jaar moeten zijn verwijderd na een succesvolle afhandeling van het verzoek. Bij een 'afgebroken verzoek' moet de data al na een jaar weg zijn.
De gemeente erkent dat een deel van de data verwijderd had moeten worden. Vanwege 'beperkte capaciteit en middelen' is er voor gekozen om te wachten met het vernietigen van de persoonsgegevens, zo laat het college verder weten.
Alles bij de bron; Security