Een ransomwaregroep die vorige maand wist in te breken op systemen van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden.

Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden.

Dat laat staatssecretaris Van Huffelen vandaag in een brief aan de Tweede Kamer weten

Alles bij de bron; Security


 

Zooplus is het slachtoffer geworden van een cyberaanval, laat de online dierenwinkel in een e-mail aan zijn klanten weten. Daarbij zijn persoonsgegevens buitgemaakt.

"Een onbekende aanvaller of groep aanvallers is het gelukt om met behulp van een set inloggegevens illegaal Zooplus-accounts binnen te dringen", schrijft het bedrijf in de e-mail.

Hoeveel klanten zijn gedupeerd, is onduidelijk. Ook is niet bekend welke persoonsgegevens precies zijn buitgemaakt. Zooplus wil niet reageren op vragen van NU.nl, maar meldt in de e-mail dat er geen betaalgegevens zijn gestolen.

Alles bij de bron; NU


 

Bij de aanval op de Australische telco Optus, vorige maand, zijn naast persoonlijke gegevens van 9,8 miljoen klanten ook identiteitsnummers buitgemaakt. Het gaat om 2,1 miljoen ID-nummers die door de overheid worden gebruikt.

"Na grondige analyse in samenwerking met overheidsinstanties van de gegevens die Optus heeft over zijn 9,8 miljoen klanten, kan het bedrijf bevestigen dat de informatie die van 7,7 miljoen klanten werd gelekt, geen recente of geldige documentnummers voor identiteitsbewijzen bevat", schrijft Optus in een mededeling.

Van 2 miljoen dus wel, voor alle duidelijkheid. Ook staat het ondertussen vast dat persoonlijke gegevens zoals e-mailadressen, geboortedata en telefoonnummers van alle 9,8 miljoen klanten werden gelekt.

Alles bij de bron; ExecutivePeople


 

De Amerikaanse bank Morgan Stanley krijgt een boete van 35 miljoen dollar opgelegd door de Amerikaanse beurstoezichthouder Security and Exchange Commission (SEC). Aanleiding hiervoor is een datalek. Op harde schijven die op een veilingwebsites zijn aangeboden waren gegevens van 15 miljoen klanten van de bank opgeslagen.

De SEC stelt dat Morgan Stanley gedurende een periode van vijf jaar gegevens van klanten onvoldoende heeft beveiligd. Het bedrijf zou in diverse gevallen een verhuis- en opslagbedrijf zonder ervaring met datavernietiging hebben ingeschakeld voor het uitfaseren van duizenden harde schijven en servers waarop soms nog persoonlijke gegevens van miljoenen klanten stonden opgeslagen. 

De hardware is uiteindelijk doorverkocht via een veilingwebsite, zonder dat de persoonsgegevens zijn verwijderd. Een deel van de apparaten is door Morgan Stanley teruggehaald, maar bij het merendeel van de hardware zou dat niet zijn gelukt.

Opvallend is ook dat de harde schijven in kwestie de mogelijkheid boden tot het versleutelen van data, maar encryptiesoftware door Morgen Stanley niet zou zijn ingeschakeld. Data van klanten was hierdoor onversleuteld opgeslagen en vrij toegankelijk voor wie de harde schijven of servers in handen kreeg. Meer informatie is hier beschikbaar.

Alles bij de bron; DutchIT


 

De populaire website Neopets heeft meer details gegeven over het datalek waarbij de gegevens van 69 miljoen accounts werden gestolen. Zo zijn van miljoenen spelers niet-gehashte wachtwoorden buitgemaakt. Op 21 juli waarschuwde Neopets dat er mogelijk klantgegevens waren gestolen. 

In een update over het incident laat de ontwikkelaar weten dat de aanvaller toegang had tot namen, e-mailadressen, gebruikersnamen, geboortedata, geslacht, ip-adressen, Neopets PIN, gehashte wachtwoorden en data over het dier van de speler. Voor mensen die voor 2015 een Neopets-account hadden zijn ook niet-gehashte, inactieve wachtwoorden buitgemaakt. 

De nu gestolen data zou tussen 3 januari 2021 en 19 juli 2022 zijn gedownload, wat inhoudt dat de aanvaller lange tijd toegang tot de systemen van Neopets had. Vanwege het datalek is besloten de wachtwoorden van gebruikers te resetten en wordt er gewerkt aan het toevoegen van multifactorauthenticatie.

Alles bij de bron; Security


 

Waar gehakt wordt vallen spaanders. Dat blijkt wel uit het meest recente datalek bij de GGD. Een medewerker van GGD IJsselland wilde een lijst met persoonsgegevens opsturen naar een collega. In plaats daarvan belandde de lijst bij iemand buiten de organisatie. Zodoende zijn er persoonsgegevens van 148 Nederlanders bij de verkeerde persoon terecht gekomen.

Op de lijst stonden mensen die GGD IJsselland wilde uitnodigen voor een vaccinatie tegen het apenpokkenvirus. Naast voor- en achternaam bevatte de lijst ook geboortedata, 06-nummers en e-mailadressen.

Om herhaling te voorkomen, heeft GGD IJsselland aanvullende maatregelen genomen. Privacygevoelige bestanden worden voortaan versleuteld met een wachtwoord en e-mailadressen worden niet langer automatisch aangevuld. GGD-medewerkers die gevoelige informatie naar mensen buiten de organisatie willen versturen, moeten dit (beveiligd) via Zorgmail doen.

Tot slot kijkt GGD IJsselland of er technische verbeterpunten kunnen worden toegepast om dit soort fouten in de toekomst te voorkomen.

Alles bij de bron; VPN-Gids


 

De aanvallers achter de phishingaanval op Twilio en Cloudflare hebben bij meer dan 130 organisaties toegeslagen en tienduizend accounts weten te compromitteren. Bij de aanval werden sms-berichten verstuurd waarin gebruikers werd gevraagd om in te loggen. De link in het bericht wees naar een phishingpagina. Ook tientallen Nederlandse gebruikers zijn geraakt.

Via de gegevens van Twilio-medewerkers wisten de aanvallers toegang te krijgen tot gegevens van 125 Twilio-klanten, waaronder versleutelde chatapp Signal. Op deze manier werden telefoonnummers en sms-registratiecodes van 1900 Signal-gebruikers buitgemaakt. De aanval gaat echter veel verder dan alleen Twilio en Cloudflare.

Een securitybedrijf stelt dat bij de aanval meer dan 130 organisaties zijn getroffen en de aanvallers 10.000 accounts hebben weten te compromitteren. Al deze bedrijven maken gebruik van de diensten identiteitsprovider Okta. Aangevallen medewerkers ontvingen een sms-bericht met een link naar een nagemaakte Okta-inlogpagina van hun organisatie.

Naast inloggegevens werden er ook zo'n 5500 MFA-codes bemachtigd. Voor de aanval werden zeker 169 unieke domeinnamen gebruikt. Het grootste deel van de slachtoffers bevindt zich in de Verenigde Staten. Het gaat om vooral om it-dienstverleners, softwarebedrijven en cloudproviders.

Alles bij de bron; Security


 

Door een verkeerd geconfigureerde Meta-trackingpixel zijn de privégegevens van ruim 1,3 miljoen Amerikanen in handen van Meta gekomen, zo waarschuwt een Amerikaanse zorgverlener die meerdere ziekenhuizen en medische centra beheert. De zorgverlener startte in mei 2020 een advertentiecampagne op Facebook en maakte daarbij ook gebruik van een trackingpixel op de eigen website om zo het succes van de campagne te meten.

De Meta-pixel was echter verkeerd ingesteld waardoor privégegevens van meer dan 1,36 miljoen patiënten afkomstig van de Novant Health-website en patiëntenportaal zo'n twee jaar lang naar Meta werden gestuurd.

Via de portaal kunnen patiënten onder andere afspraken maken en herhaalrecepten aanvragen. De gelekte data bestaat uit demografische informatie zoals e-mailadres, telefoonnummer, ip-adresen ingevulde contactgegevens en informatie over afspraken, zoals datum, arts en door patiënten zelf ingevulde informatie. Dit kan letterlijk van alles zijn, zoals klachten of aandoeningen.

Novant Health zegt dat het Meta meerdere keren en op verschillende manieren heeft gevraagd om de gevoelige gegevens te verwijderen, maar nooit een reactie van het bedrijf heeft ontvangen. 

Alles bij de bron; Security


 

Het datalek bij Twitter dat vorig maand aan het licht kwam en onlangs door het bedrijf werd bevestigd is veel groter dan in eerste instantie gemeld.

Een aanvaller wist niet de gegevens van 5,4 miljoen accounts te stelen zoals eerst werd gemeld, maar van 6,7 miljoen accounts. Het gaat namelijk ook om gegevens van geschorste accounts. Het lek bevat profieltekst, e-mailadressen, geografische locaties, namen, telefoonnummers, profielfoto's en gebruikersnamen.

De gestolen profielinformatie is zowel van actieve als geschorste accounts, waarbij de 1,4 miljoen e-mailadressen van geschorste accounts op een aparte lijst werden aangeboden. De in totaal 6,7 miljoen unieke e-mailadressen van de getroffen Twitter-accounts zijn nu aan Have I Been Pwned toegevoegd.

Alles bij de bron; Security


 

Bij een aanval op Twitter zijn gegevens van 5,4 miljoen gebruikers gestolen, die vervolgens op internet te koop werden aangeboden, zo heeft het bedrijf bevestigd.

Vorige maand meldde Restore Privacy dat een aanvaller via een kwetsbaarheid in Twitter accountgegevens van 5,4 miljoen gebruikers had bemachtigd. Het beveiligingslek maakte het mogelijk om telefoonnummers en e-mailadressen van Twitter-accounts te achterhalen, ook al had de gebruiker deze velden via de privacyinstellingen afgeschermd.

In een verklaring bevestigt Twitter de datadiefstal en dat hierbij misbruik van een kwetsbaarheid is gemaakt. Twitter gaat getroffen gebruikers over het datalek informeren. Daarnaast adviseert het bedrijf gebruikers van een pseudoniem Twitter-account om geen publiek bekend telefoonnummer of e-mailadres aan het account te koppelen.

Alles bij de bron; Security


 

Schrijf je in op onze wekelijkse nieuwsbrief!