Zorgverlener Pluryn is een onbeveiligde usb-stick met gegevens van voormalige en huidige cliënten kwijtgeraakt, alsmede (oud)medewerkers. Pluryn verwacht op 20 juni meer duidelijkheid te hebben over welke gegevens precies zijn gelekt en van wie, maar "de eerste indruk" is dat het om persoonsgegevens gaat van cliënten en medewerkers, waaronder namen, adressen en BSN-nummers.
"Onlangs is Pluryn een niet beveiligde usb-stick met daarop bedrijfs- en privacygevoelige informatie verloren. De usb-stick is helaas nog niet teruggevonden. Daarmee moeten we er rekening mee houden dat gegevens in verkeerde handen terecht kunnen komen", zo laat de zorgverlener weten.
Waarom de gegevens op een onbeveiligde usb-stick stonden laat de zorgverlener niet weten. Op de eigen website meldt Pluryn dat het gegevens veilig bewaart. "We delen deze alleen als dat nodig is voor jouw zorgverlening. Of als wij dat moeten van de wet."
Alles bij de bron; Security
De Duitse hotelketen Numa heeft via een IDOR-lek de persoonlijke gegevens van een half miljoen gasten gelekt, zo ontdekte een beveiligingsonderzoeker van de Chaos Computer Club (CCC). Alleen het aanpassen van een getal in een url was voldoende. Het probleem is inmiddels door de hotelketen verholpen.
IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend.
In het geval van Numa stuurde de hotelketen gasten een e-mail met daarin een link naar hun factuur. Alleen het aanpassen van een getal in deze url was voldoende om de facturen van andere gasten te bekijken, met daarop hun namen, adresgegevens, locatie en verblijfsdatum. Daarnaast bleek de broncode van de pagina met de factuur ook de e-mailadressen en telefoonnummer van gasten te bevatten, alsmede alle data van hun eerder gekopieerde identiteitskaart, waaronder geboortedatum en identiteitsnummer.
Alles bij de bron; Security
In de eerste drie maanden van dit jaar meldde het UWV in totaal 216 datalekken bij de Autoriteit Persoonsgegevens (AP).
Twee daarvan hadden een hoge impact, zo staat in het document vermeld. Zo werd in januari een interne e-mail per ongeluk naar een cliënt gestuurd. De mail bevatte een bijlage met persoonsgegevens waaronder gezondheidsgegevens van andere cliënten. De ontvanger liet het UWV weten dat hij de mail ongeopend heeft verwijderd. Het UWV informeerde getroffen cliënten en de AP.
Het tweede datalek met een hoge impact deed zich voor in februari. Wederom ging het mis bij het versturen van e-mail. Een bericht met twee bestanden werd naar een verkeerde afnemer gestuurd. De twee bestanden bevatten persoonsgegevens van 158 personen. Ook dit incident werd bij de AP gemeld. Het UWV zegt dat het contractueel gedragscodes heeft afgesproken die voldoende waarborgen moeten bieden voor de bescherming van de betrokkenen. Volgens de uitkeringsinstantie is de impact voor betrokkenen daardoor minimaal en heeft het besloten deze personen niet te informeren. De ontvanger liet weten dat hij de betreffende bestanden meteen heeft verwijderd.
Alles bij de bron; Security
De data die op donderdag bij meerdere Nederlandse ministeries uitlekte, betreft enkel de namen van Rijksoverheidsambtenaren. Die metadata werd niet goed verwijderd uit documenten bij het uploaden naar websites van de ministeries.
Volgens NOS-journalist Joost Schellevis gaat het om een fout die ontstond bij het uploaden van documenten naar websites van de Rijksoverheid. Hij baseert zich op meerdere anonieme bronnen. Op donderdag meldde BNR dat er 'een groot datalek' had plaatsgevonden bij de Nederlandse ministeries van Economische Zaken, Binnenlandse Zaken en Klimaat en Groene Groei.
Nu blijkt dat het privacyprobleem het uitlekken van namen en e-mailadressen van individuele ambtenaren betreft. Die gegevens staan als metadata gekoppeld aan documenten. Die data hoort bij het uploaden naar websites van de Rijksoverheid te worden gestript, omdat het anders mogelijk zou zijn om de ambtenaar te achterhalen die een bepaald document heeft geschreven.
Zowel de aard als de omvang van het datalek zijn op het moment nog niet bekend. Het is onduidelijk hoeveel documenten er precies zijn geüpload waarin die metadata nog te vinden was.
Alles bij de bron; Tweakers
Een ernstig datalek bij Oracle Health heeft geleid tot de diefstal van gevoelige patiëntgegevens bij meerdere Amerikaanse zorginstellingen en ziekenhuizen. Oracle Health, voorheen Cerner, zou een datalek hebben bevestigd waarbij patiëntgegevens zijn gestolen van verouderde servers.
Het incident, dat plaatsvond na 22 januari 2025, werd ontdekt op 20 februari 2025. Onbevoegden gebruikten gecompromitteerde klantgegevens om toegang te krijgen tot de servers en patiëntinformatie te kopiëren.
Verschillende klanten van Hudson Rock die getroffen zijn door het vermeende datalek bij Oracle, melden eerder dat de uitgelekte gegevens authentiek zijn. Ook melden zij dat de gegevens gerelateerd zijn aan productieomgevingen.
De communicatie van Oracle Health over het incident wordt door getroffen klanten als onduidelijk en onprofessioneel ervaren. Het is onduidelijk of er ransomware is gebruikt bij de aanval.
Alles bij de bron; Dutch-IT-Channel
Troy Hunt, oprichter van de zoekmachine voor datalekken Have I Been Pwned, is zelf slachtoffer geworden van een datalek.
Hunt meldt een phishingmail te hebben ontvangen waarin werd aangegeven dat het verzenden van e-mail via zijn MailChimp-account is beperkt, en hem werd gevraagd zijn gegevens te controleren. Hij klikte in de link in de e-mail, logde in op de getoonde webpagina en voerde vervolgens zijn 2FA-code in.
De oprichter van Have I Been Pwned meldt dat de pagina na het inloggen bleef hangen, en hij zich enkele seconden later realiseerde dat hij doelwit was van een phishingaanval. Hij logde vervolgens in bij MailChimp en wijzigde direct zijn wachtwoord. Voordat hij dit kon doen ontving hij echter al een melding dat zijn mailinglijst werd geëxporteerd, met daarbij een onbekend IP-adres.
De mailinglijst bevat ongeveer 16.000 mailadressen die zijn geabonneerd op de nieuwsbrief van Hunt. Getroffen abonnees zijn inmiddels door Hunt op de hoogte gesteld.
Alles bij de bron; Dutch-IT-Channel
Een Nederlandse onderzoeksinstelling heeft te maken met een groot datalek, waarbij persoonsgegevens van meer dan 35.000 onderzoekers zijn uitgelekt. Het lek omvat telefoonnummers, e-mailadressen en zwak beveiligde wachtwoorden, die gratis worden aangeboden op besloten hackerforums in het Deep Web, wat het risico op misbruik door cybercriminelen verhoogt.
Het Centrum voor Cybersecurity, Veiligheid en Technologie (CCVT) ontdekte het lek tijdens hun dagelijkse controle van hackerforums. De dataset is in .sql-formaat, wat een directe kopie van de database is waarin alle gegevens zichtbaar zijn. Cybercriminelen kunnen deze informatie gebruiken voor gerichte phishing-aanvallen of om ongeautoriseerde toegang tot accounts te verkrijgen.
De betrokken instelling is door het CCVT geïnformeerd direct nadat het lek op het hackersforum werd geplaatst. Ook adviseerde het CCVT directe maatregelen om verdere schade te beperken. Door snel te handelen bleef de impact beperkt, meldt het centrum.
Alles bij de bron; Dutch-IT-Channel
Aanvallers zijn er vorig jaar in geslaagd om meer dan twintig jaar aan bezoekersgegevens van de Toronto Zoo te stelen, zo heeft de grootste dierentuin van Canada zelf bekendgemaakt. Vorig jaar januari meldde het bedrijf dat het was getroffen door een ransomware-aanval. De data zou mogelijk teruggaan tot 1989.
De dierentuin laat nu weten dat het datalek veel groter is dan eerst werd gedacht. "Een kopie van transactiegegevens was gestolen en vorig jaar gelekt op het dark web. De manier waarop de data was gelekt maakt het lastig om te downloaden. Het is op dit moment niet gepubliceerd, maar dit kan veranderen", aldus een verklaring van de dierentuin.
De gelekte transactiegegevens beslaan de periode 2000 tot en met april 2023. Het gaat om namen, adresgegevens, telefoonnummers en e-mailadressen. Van klanten die tussen januari 2022 en april 2023 met hun creditcard betaalden gaat het ook om laatste vier cijfers van creditcardnummer en verloopdatum. Hoeveel mensen zijn getroffen en hoe de aanval mogelijk was is niet bekendgemaakt. De dierentuin ontvangt jaarlijks meer dan 1,2 miljoen bezoekers.
Alles bij de bron; Security
Eind december ging het mis, meldt het stadsbestuur in een brief aan de gemeenteraad. Toen verhuisde het kantoor van de gemeentelijke organisatie Geynwijs, waar mensen terechtkunnen voor zorg en ondersteuning, van de Ratelaar in Nieuwegein-Zuid naar het Stadshuis.
Tijdens een verhuizing van de gemeentelijke organisatie Geynwijs, waar mensen terechtkunnen voor zorg en ondersteuning, zijn alle spullen in bakken gestopt en is er onverhoopt een bak kwijtgeraakt’.
Daarin zaten onder meer vijf notitieblokken met aantekeningen van een medewerker van Geynwijs. ‘Het betreft aantekeningen van alle Wmo-hulpvragen die deze medewerker in de afgelopen 2,5 jaar heeft behandeld. In totaal gaat het om zaken van 417 inwoners waarvan mogelijk aantekeningen met persoonsgegevens in de notitieblokken hebben gestaan’.
Het kan gaan om namen, adressen en telefoonnummers, omschrijvingen van de woonsituatie en van de medische situatie. In de notitieblokken staan geen BSN-nummers of geboortedata, dus is er niet direct risico op identiteitsfraude, stelt de burgemeester.
‘Wel kan iemand zien dat een inwoner Wmo-ondersteuning heeft aangevraagd en naam en adres gebruiken om bijvoorbeeld onterecht spullen met die naam en adresgegevens te bestellen. Ook kan iemand inwoners bellen of bij hem langsgaan en doen alsof hij of zij werkt bij een van de zorgorganisatie waar de gemeente mee werkt.”
Een zoektocht leverde niets op. Waar de notitieblokken gebleven zijn? Volgens de gemeente is de kans groot dat ze zijn vernietigd als oud papier. Maar dat is niet zeker en daarom is Nieuwegein in actie gekomen. Er is melding gedaan van een datalek bij de Autoriteit Persoonsgegevens en contact gezocht met de betrokken inwoners. Ook zijn er nu een telefoonnummer en een mailadres voor vragen beschikbaar.
De gemeente adviseert betrokkenen extra alert te zijn als onbekende mensen bellen of aanbellen én medewerkers van Geynwijs steeds naar hun medewerkerspasje te vragen.
Alles bij de bron: AD
Locatiegegevens van gebruikers die zijn vergaard door ruim honderd Nederlandse apps, worden online te koop aangeboden, zo claimt BNR.
Het gaat om locatiegegevens die volgens BNR en internationale partnermedia van het platform door een malafide datahandelaar, Datastream Group, intussen als Datasys bekend, worden aangeboden. Een andere partij, Datarade uit Berlijn, zou het contact tussen de databroker en de journalisten hebben gefaciliteerd.
Onder meer locatiegegevens vergaard door Buienalarm en games van de Nederlandse ontwikkelaars My.games, GameHouse en Sparkling Society zouden via de datahandelaars te koop zijn aangeboden. Er zouden 'miljoenen Nederlanders' door deze praktijken getroffen zijn.
Het verschilt per appaanbieder welke locatiegegevens van gebruikers er worden opgeslagen. Soms gaat het om zeer exacte coördinaten, zo legt BNR uit, maar in andere gevallen om minder nauwkeurige locaties gebaseerd op IP-adressen. Het verzamelen van deze gegevens zonder nadrukkelijke toestemming van de gebruiker is volgens de Stichting Data Bescherming Nederland hoe dan ook illegaal.
Alles bij de bron; Tweakers