Veel datalekken waar de gemeente Haarlem vorig jaar mee te maken kreeg zijn het gevolg van verloren mobiele apparaten.Andere oorzaken die geregeld voorkomen zijn het verkeerd adresseren van een brief of e-mail en het publiceren van niet geanonimiseerde stukken.
Vorig jaar werden er veertig datalekken gemeld, net iets meer dan de 38 incidenten in 2022. In vijftien gevallen werd een datalek bij de Autoriteit Persoonsgegevens (AP) gemeld. Dat is ongeveer twee keer zoveel als in eerdere jaren.
De toename van het aantal meldingen aan de Autoriteit Persoonsgegevens ten opzichte van voorgaande jaren ligt volgens de Functionaris Gegevensbescherming in de strengere lijn die inmiddels gevolgd wordt. "Alles wordt gemeld tenzij het privacyrisico echt verwaarloosbaar is." Verder blijkt dat relatief veel (mogelijke) datalekken het gevolg zijn van een verloren mobiel apparaat. Dat was in twaalf meldingen het geval.
Vorige maand heeft de gemeente Haarlem op het eigen intranet een 'meldknop' geïntroduceerd die het eenvoudiger voor medewerkers moet maken om melding van een datalek te doen.
Alles bij de bron; Security
Een groot deel van de gegevens die de gemeente Amersfoort over inwoners heeft gelekt had volgens beleid van de gemeente zelf al lang verwijderd moeten zijn.
Deze week maakte de gemeente bekend dat de gegevens van honderdduizend inwoners bij een externe softwareleverancier gestolen. Het gaat om twee datasets met gegevens van 2009 tot en met 10 oktober 2024. De "oude" dataset met persoonsgegevens van 2009 tot en met 2019. De "nieuwe dataset" beslaat de periode van 2016 tot en met 10 oktober 2024.
Het gaat om naam, adres, woonplaats, geboortedata, geslacht, e-mailadressen en telefoonnummers van mensen die tussen 2009 en 2024 een afspraak hebben gemaakt met de afdeling Burgerzaken. Van zevenduizend personen gaat het ook om het Burgerservicenummer (BSN).
In het verwerkingsregister van de gemeente Amersfoort staat dat gegevens over afspraken die met de afdeling Burgerzaken zijn gemaakt na vijf jaar moeten zijn verwijderd na een succesvolle afhandeling van het verzoek. Bij een 'afgebroken verzoek' moet de data al na een jaar weg zijn.
De gemeente erkent dat een deel van de data verwijderd had moeten worden. Vanwege 'beperkte capaciteit en middelen' is er voor gekozen om te wachten met het vernietigen van de persoonsgegevens, zo laat het college verder weten.
Alles bij de bron; Security
Amersfoort heeft de persoonlijke gegevens van honderdduizend huidige en voormalige inwoners gelekt. Het gaat om naam, adres, woonplaats, geboortedata, geslacht, e-mailadressen en telefoonnummers van mensen die tussen 2009 en 2024 een afspraak hebben gemaakt met de afdeling Burgerzaken.
Van zevenduizend personen gaat het ook om het Burgerservicenummer (BSN). De data werd bij een niet nader genoemde softwareleverancier gestolen.
"Het systeem van Gemeente Amersfoort is niet gehackt, het gaat om een bestand met oude afspraken, op het netwerk van de leverancier. Het is niet uit te sluiten dat deze gegevens ook echt zijn ingezien of gekopieerd."
Op de vraag waarom het bestand op het netwerk van de leverancier stond laat de gemeente weten dat het overstapt naar de cloud en daarom een back-up van de database met de leverancier deelde, zodat die het bestand kon gebruiken voor de overstap. Hoe de aanvallers op het systeem van de leverancier konden inbreken is niet bekendgemaakt. Het onderzoek is nog gaande
Gisteren maakten de gemeenten Tubbergen en Dinkelland bekend dat ook zij de gegevens van inwoners hebben gelekt. De gegevens werden ook daar buitgemaakt bij een externe leverancier die diensten verleent voor de afdeling Burgerzaken van de twee gemeentes.
Alles bij de bron; Security
Adobe heeft bevestigd dat door een datalek bij een externe leverancier namen en e-mailadressen van Nederlandse accounts zijn buitgemaakt.
De gevolgen lijken mee te vallen: er zijn geen gevoelige gegevens buitgemaakt. "Deze bestanden bevatten geen wachtwoorden, financiële gegevens of andere gevoelige informatie."
Het bedrijf wilde niet zeggen om hoeveel accounts het ging. Ook is onduidelijk welke externe leverancier betrokken was bij het datalek.
Alles bij de bron; Tweakers
Data van 41 leden van de Nederlandse Eerste en Tweede Kamer is op het darkweb gelekt.
De gelekte data bestaat naast e-mailadressen en wachtwoorden ook uit persoonlijke details als geboortedata, fysieke adressen, IP-adressen en informatie van sociale media, stelt het onderzoek. In ieder geval een deel van de data werd buitgemaakt bij datalekken bij diensten van derde partijen, waar politici zich met hun werkmail hebben aangemeld. Het gaat bijvoorbeeld om datalekken bij LinkedIn, Dropbox en Adobe.
In totaal werden 32 plaintextwachtwoorden van politici gelekt op het darkweb. Verder zijn 35 gehashte wachtwoorden gelekt. Naast wachtwoorden werden ook e-mailadressen van 41 politici gelekt, wat neerkomt op achttien procent van alle Eerste en Tweede Kamerleden. Van één individu werden gegevens in 25 afzonderlijke datalekken op het darkweb geplaatst. Van diegene werden zes plaintextwachtwoorden gepubliceerd.
Alles bij de bron; Tweakers
De Engelse stad Southend-on-Sea heeft via verborgen data in een openbaar gemaakte Excel-spreadsheet de persoonlijke gegevens van meer dan tweeduizend huidige en voormalige medewerkers gelekt. De stad reageerde op een Freedom of Information (FOI) request, de Britse tegenhanger van een verzoek onder de Wet open overheid (Woo).
Het antwoord van de stad bevatte een Excel-spreadsheet dat ook verborgen persoonlijke data van meer dan tweeduizend personen bleek te bevatten. Het ging om huidige en voormalige medewerkers, alsmede uitzendkrachten.
De verborgen data in de spreadsheet bestond onder meer uit contactgegevens, werk- en salarisgegevens, gezondheidsinformatie, geslacht en etniciteit. Het datalek werd vorig jaar oktober pas ontdekt, toen het bestand al vijf maanden online stond.
Onderzoek van de Britse privacytoezichthouder ICO wees uit dat het datalek werd veroorzaakt door een gebrek aan bewustzijn over het omgaan met verborgen data in Excel-spreadsheets. Zo was personeel onvoldoende getraind in het gebruik van de "Inspect Document" feature waarmee het mogelijk is om verborgen data in spreadsheets te vinden.
Alles bij de bron; Security
Cisco heeft door een configuratiefout op de eigen DevHub-site bestanden bedoeld voor klanten onbedoeld gelekt, die zodoende door een aanvaller gestolen konden worden. Via DevHub maakt Cisco scripts, templates, code en andere software beschikbaar voor klanten en gebruikers van de site. Het grootste deel van de informatie op DevHub is bewust publiek beschikbaar, aldus het netwerkbedrijf.
Vorige maand claimde iemand op een online forum een 'Cisco Data Breach'. Volgens deze persoon beschikte hij over allerlei gevoelige informatie van Cisco. Het bedrijf deed daarop een onderzoek en stelde dat het om bestanden van de DevHub-site ging.
Verder onderzoek wees uit dat een configuratiefout ervoor zorgde dat bestanden bedoeld voor klanten, die niet publiek hadden moeten zijn, toch zijn gepubliceerd. Volgens Cisco betreft het een 'beperkt aantal' CX Professional Services-klanten die inmiddels zijn ingelicht. Het probleem is inmiddels verholpen, aldus de verklaring.
Alles bij de bron; Security
Op 3 september meldde de uitbater van het openbaar transport in de Britse hoofdstad Londen, Transport for Londen (TfL), dat getroffen was door een cyberincident. In een mail aan klanten meldde TfL dat er ‘op dit moment geen enkel bewijs is dat de gegevens van klanten zijn gecompromitteerd’ en dat het incident ‘geen impact heeft op de diensten van TfL’.
In een nieuwe mail aan de klanten komt TfL hierop terug en erkent dat ‘bankgegevens van ongeveer 5.000 klanten’ zijn gestolen. Het zou dan meer specifiek gaan om data van de contactloze Oyster-betaalkaarten zoals die op het TfL-netwerk gebruikt worden. Getroffen klanten zouden persoonlijk gecontacteerd worden. Er is ook sprake van ‘bepaalde namen van klanten en hun contactgegevens’ die gelekt zouden zijn.
Alles bij de bron; Dutch-IT-Channel
Dna-testbedrijf 23andMe wil een gevoelig datalek, waarbij de afstammingsgegevens van 6,9 miljoen gebruikers werden gestolen, voor 30 miljoen dollar schikken. Getroffen gebruikers krijgen een vergoeding en kunnen drie jaar kosteloos aan een monitoringsprogramma deelnemen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature.
Tevens werden ook gezondheidsrapporten over gebruikers buitgemaakt, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' in handen kregen, alsmede woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.
Na het datalek werd in de VS een massaclaim tegen 23andMe aangespannen. Volgens de klagers had het bedrijf hun gegevens niet goed beschermd. Ook zouden gebruikers niet goed zijn geïnformeerd over het datalek. Het voorlopige schikkingsvoorstel, moet nog door de rechter worden goedgekeurd.
Alles bij de bron; Security
De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, heeft vandaag de gegevens van domeinnaamhouders via de Whois op Sidn.nl gelekt. Dit is de zoekfunctie op Sidn.nl waarmee informatie over een domeinnaam is op te zoeken.
Gegevens van zakelijke domeinnaamhouders zijn openbaar, gegevens van particuliere domeinnaamhouders mogen niet gepubliceerd worden.
"Tijdens het onderhoud zijn webservers vervangen. Hiervoor zijn nieuwe verbindingen gelegd, waarbij een fout is gemaakt. De nieuwe machines hadden onbedoeld meer toegang. Hierdoor waren in de Whois meer registratiegegevens van de betrokken domeinnaamhouder zichtbaar", aldus een verklaring van SIDN. De gelekte gegevens bestaan uit naam, adresgegevens, e-mailadres en telefoonnummer van de houder.
Alles bij de bron; Security