- Gegevens
- Hoofdcategorie: Databases
De privégegevens van meer dan 106 miljoen internationale bezoekers van Thailand was voor iedereen op internet via een open onbeveiligde database toegankelijk. Het gaat om namen, paspoortnummers, aankomstdatum, geslacht, visumtype, verblijfsstatus en aankomstkaartnummer die in de tweehonderd gigabyte grote Elasticsearch-database stonden...
...Beveiligingsonderzoeker Bob Diachenko van Comparitech ontdekte de database en waarschuwde de Thaise overheid. De database werd vervolgens beveiligd. Het ip-adres van de database is nog steeds openbaar, maar de database zelf is vervangen door een honeypot.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Gebruikers van Scoupy hebben donderdagavond een e-mail gekregen met de melding dat het bedrijf woensdagavond doelwit was van een aanval. Daarbij wisten de daders toegang te krijgen tot de persoonsgegevens van gebruikers van de kortingsapp. Het bedrijf heeft naar eigen zeggen meer dan 2,2 miljoen gebruikers.
De gestolen gegevens betreffen de naam, adres, woonplaats, telefoonnummer, e-mailadres, geboortedatum en kassabonnen. Ook de wachtwoorden en bankrekeningnummers zijn in handen van de criminelen. Deze zijn versleuteld maar Scoupy meldt geen details over de gebruikte versleuteling. "Door de versleuteling van wachtwoord en bankrekeningnummer zijn deze – voor zover wij nu hebben kunnen vaststellen - niet te ontcijferen", meldt het bedrijf wel. Ook adviseert Scoupy gebruikers hun wachtwoord regelmatig te wijzigen.
Het bedrijf heeft niet uit voorzorg de wachtwoorden zelf een reset gegevens en als gebruikers dit zelf willen doen, lukte dat niet altijd omdat Scoupy's platform verminderd bereikbaar was. Op Gathering of Tweakers klagen sommige gebruikers ook dat het hen niet lukte hun account te verwijderen.
Scoupy heeft het incident gemeld bij de Autoriteit Persoonsgegevens en aangifte gedaan bij de politie. Het lek is gevonden en gedicht.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
Een groep Nederlandse cybersecuritywetenschappers heeft in een open brief de Nederlandse overheid opgeroepen om datalekdata van de Autoriteit Persoonsgegevens (AP) beschikbaar te stellen voor wetenschappelijk onderzoek. Een zogeheten ‘cybersecuritydashboard’ zou tot betere beleidsoplossingen kunnen leiden, zo beargumenteert de Academic Cyber Security Society (ACCSS).
Nederland is wereldkampioen datalekmelden, betoogt ACCSS. “Al die meldingen kosten geld, maar het AP doet er heel weinig mee. Dat is ook niet hun taak. De data is een potentiële goudmijn voor onderzoek en beleid. Helaas blijft deze data nu liggen in een digitale bureaulade.”
De groep roept specifiek het ministerie van Justitie en Veiligheid op om de AP de financiële middelen te verschaffen om de datalekdata beschikbaar te stellen voor wetenschappelijk en beleidsonderzoek. “Zo kunnen we een start maken met een cybersecuritydashboard. En kunnen wij als wetenschappelijke cybersecuritycommunity efficiënter en effectiever bijdragen aan maatschappelijke oplossingen voor optimale cybersecurity.”
De volledige brief van ACCSS is hier te vinden.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Databases
Hackers zijn er in Frankrijk vandoor gegaan met de persoonlijke gegevens van 1,4 miljoen Parijzenaars die een coronatest deden. Ziekenhuizen in de regio doen aangifte en melden dat de gegevens al in de zomer gestolen werden.
Het ging om persoonlijke informatie, zoals BSN-nummers, contactgegevens en testresultaten van 1,4 miljoen personen. De hackers wisten de data te ontfutselen bij het departement van de regionale gezondheidszorg dat verantwoordelijk is voor bron- en contactonderzoek.
Alle getroffenen worden individueel op de hoogte gesteld en de Franse privacywaakhond is op de hoogte en stelt een onderzoek in.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Databases
Een groep hackers die zichzelf 'Official Anonymous' noemt, claimt persoonsgegevens te hebben gestolen van klanten van de domeinbeheerder Epik.
De hackers hebben een filedump online gezet op 4chan met daarin naar eigen zeggen alle domeinaankopen, domeintransfers, Whois-geschiedenis, DNS-wijzigingen, e-mailforwards, betaalgeschiedenis en niet-versleutelde account- en inloggegevens van alle klanten van Epik.
Volgens de groep werden logins in plaintext opgeslagen en de enige encryptie die de groep vond was unsalted MD5. Ook claimt de groep meer dan 500.000 private keys, een dump van de mailbox van een medewerker, Git-repositories, SSH-keys en /home- en /root-directories van een core system te hebben gevonden. Het gaat om 180GB aan data.
De hack werd als eerste publiekelijk gedeeld door Steven Monacelli van Protean Magazine, en schrijver voor onder meer The Daily Beast. Hij zegt dat de inhoud van de filedump bevestigd is. Inmiddels is de filedump ook online gezet door de hackers. In een reactie aan Domain Name Wire ontkent Epik-ceo Rob Monster dat er informatie gestolen is.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Databases
Uit onderzoek van de GGD blijkt dat de datadiefstal bij de organisatie niet groter is dan eerst gemeld of dat er mensen niet zijn geïnformeerd, zo laat demissionair minister De Jonge van Volksgezondheid weten. Onlangs berichtte RTL Nieuws dat veel meer mensen slachtoffer van de datadiefstal bij de GGD waren geworden...
..."Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd", antwoordt De Jonge op een vraag van SP-Kamerlid Hijink. De minister stelt dat RTL de datasets niet wil delen en daarom niet kan worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.
De minister roept iedereen op die meer informatie over de zaak heeft om dit te delen met de politie.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Databases
Stalking, bedreigingen, thuis commercieel lastiggevallen worden, zzp’ers met kantoor aan huis hebben ermee te maken doordat hun gegevens via de Kamer van Koophandel op straat liggen. Zolang het kabinet niet ingrijpt, is de zzp’er vogelvrij. ‘Grondrechten zijn geen handelswaar.’
Haar stalker was jarenlang zo aanhoudend, dat ze uiteindelijk maar is verhuisd. Zijn eenmanszaak was amper in de lucht of hij kreeg aan huis ongewenst bezoek van louche verkopers.
Wat deze twee zelfstandig ondernemers gemeen hebben? Bij het verkrijgen van hun privégegevens putten hun belagers uit dezelfde bron: het Handelsregister van de Kamer van Koophandel (KvK). Deze openbaar toegankelijke database bevat alle woonadressen van zzp’ers die hun bedrijf op hun privéadres hebben gevestigd. Gegevens die de KvK zelfs verstrekt aan partijen die commerciële plannen hebben met deze ondernemers, zoals stroomcontracten aansmeren.
Waarom doet de – gekscherend – ‘Kamer van Verkoophandel’ dit? In tijden waarin de privacy toch al onder druk staat en het de veiligheid niet ten goede komt in een toenemend gepolariseerde samenleving. Het is niet nieuw dat de KvK irritatie wekt bij ondernemers – die zich daar verplicht moeten inschrijven – door de omgang met hun persoonsgegevens. Ook de halsstarrigheid van de politiek verantwoordelijke er iets aan te doen, voedt de wrevel....
...Dit kan zo niet langer, liet de Autoriteit Persoonsgegevens staatssecretaris Mona Keijzer van Economische Zaken al voor haar antwoorden aan de Tweede Kamer weten. Voorzitter Aleid Wolfsen begrijpt niet waarom de bewindsvrouw doof is voor die oproep. ‘Er is gewoonweg geen noodzaak dat jan en alleman zonder reden bij privégegevens van zzp’ers kan’, zegt hij.
Wolfsen wil een systeem waarbij zzp’ers alleen een registratieplicht hebben bij de KvK, maar dat hun persoonsgegevens vervolgens afgeschermd blijven. Behalve voor deurwaarders, advocaten en notarissen, mocht een onderneming bijvoorbeeld worden aangeklaagd.
De staatssecretaris zegt hierop dat Europese regelgeving haar niet toestaat de uitgaande stroom adresgegevens dicht te draaien. Dit klopt niet volgens Wolfsen. ‘Die regelgeving geldt echt alleen voor rechtspersonen, niet voor zzp’ers.’
Zich verschuilen achter Europese regelgeving kan Keijzer niet als het gaat over het op grote schaal verstrekken van de privégegevens van zelfstandigen. De basis hiervoor werd gelegd in 2013. Met het samenvoegen van veertien verschillende KvK-organisaties werd ook de regionale ondernemersheffing afgeschaft. Deze stabiele stroom van inkomsten voor de KvK werd vervangen door een veel lagere rijksbijdrage, waardoor de directe inkomsten nu grofweg eenderde lager liggen dan in 2013.
Er kwamen eigen inkomsten voor terug. Ondernemerspleinen, voorlichtingsavonden en samenwerkingsverbanden. En datahandel dus. Tussen 2014 en 2020 groeide de tak ‘KvK Dataservice’ van 14 naar 33 miljoen uitgeleverde dataproducten. Toch is volgens de KvK geen sprake van ‘handel’, omdat ze naar eigen zeggen alleen de kostprijs rekenen voor uittreksels uit het handelsregister.
Alles bij de bron; Volkskrant
- Gegevens
- Hoofdcategorie: Nieuws
Volgens Haagse bronnen maakt de anderhalvemeterregel vanaf 25 september plaats voor een coronapas in onder meer de horeca, theaters en bioscopen.
Spraakmakers-luisteraar Wim is wel gevaccineerd, maar heeft geen smartphone met een app. Hij is gesteld op zijn privacy en “Daarom bel ik nu met mijn oude Nokia waar geen apps op staan en geen gegevens vanaf geroofd worden. Ik ben gevaccineerd door de huisarts. Daarbij heb ik aangegeven dat ik niet wil dat mijn gegevens bij het RIVM en GGD komen. Om die code geprint te krijgen, moeten de gegevens alsnog daarheen.”
Wel heeft Wim een kartonnen briefje met daarop de data van vaccineren, batchnummers en handtekeningen van zijn huisarts. “Maar die zijn juridisch niet rechtsgeldig. Ik ben dus gevaccineerd, maar kan nergens naar binnen. Er zullen ongetwijfeld plekken zijn waar het geaccepteerd wordt, maar het mag eigenlijk niet.”
Het stoort hem dat er al snel een tweedeling gemaakt wordt. “Als je geen QR-code wil laten zien, word je gezien als vaccinatieweigeraar. Nederland wordt simpel in tweeën gehakt, maar er zitten mensen tussenin. Er zijn genoeg mensen zonder smartphone, of die om andere redenen niet zo’n code kunnen of willen laten zien.”
Volgens Rijksoverheid worden zo min mogelijk persoonlijke gegevens bewaard. Hetzelfde geldt voor de CoronaMelder-app. Toch uitte de Autoriteit Persoonsgegevens half augustus nog zorgen over die app. De privacy zou nog onvoldoende gewaarborgd worden. Wim deelt die zorgen. “In deze crisis is privacy steeds het eerste dat sneuvelde. Waar gaan die gegevens naartoe?” Ook al zou de app alleen IP-adressen opslaan, dan nog zitten daar risico’s aan, stelt Wim.
Alles bij de bron; NPORadio1
- Gegevens
- Hoofdcategorie: Databases
De Hogeschool Arnhem en Nijmegen (HAN) heeft 4.300 mensen geïnformeerd over gelekte wachtwoorden. De gegevens werden vorige week gestolen via een server en deze week door de aanvaller online geplaatst. ...
...Onder de gestolen data zitten gegevens van mensen die online formulieren op de website van de onderwijsinstelling hebben ingevuld. Onder meer persoonsgegevens als de naam en het e-mailadres van de aanvragers werd opgeslagen. Daarnaast zijn er contactgegevens van HAN-werknemers gestolen.
Deze week bleek bovendien dat er ook wachtwoorden zijn buitgemaakt bij het datalek. De HAN meldt nu dat het gaat om wachtwoorden die al wel wat ouder zijn: ze werden in de periode voor 2018 gebruikt.
Alles bij de bron; AGConnect
- Gegevens
- Hoofdcategorie: Databases
Zowel de gemeente Zoetermeer als de Orde van Advocaten Midden-Nederland hebben door een cc-fout een datalek veroorzaakt. Vorige maand verstuurde de gemeente Zoetermeer een e-mail naar honderdtachtig ondernemers.
"Bij het versturen van de e-mail zijn per abuis de e-mailadressen in de cc opgenomen in plaats van de bcc. Daarmee is een datalek ontstaan. De e-mail is zo snel mogelijk ingetrokken, dit heeft echter niet kunnen voorkomen dat de mailadressen bekend zijn geworden bij een aantal ontvangers", melden burgemeester Bezuijen en wethouder Van Driel in een memo aan de gemeenteraad (pdf).
Het datalek is vervolgens gemeld bij de functionaris gegevensbescherming maar niet bij de Autoriteit Persoonsgegevens. "Na zorgvuldige afweging is besloten het incident niet bij de Autoriteit Persoonsgegevens te melden omdat de nadelige gevolgen van het datalek als beperkt worden ingeschat", stelt het stadsbestuur.
Een soortgelijk datalek deed zich afgelopen maandag voor bij de Orde van Advocaten Midden-Nederland. De orde had aan bijna driehonderd advocatenkantoren een e-mail gestuurd en de ongeveer 275 mailadressen waren in het cc-veld geplaatst en zo voor alle ontvangers zichtbaar, meldt Advocatie.
De Raad van de Orde Midden-Nederland laat in een reactie weten dat er geen sprake is van een meldingsplichtig datalek. "Uiteraard zijn de noodzakelijke maatregelen genomen om dit in de toekomst te voorkomen en is het datalek geregistreerd in ons datalekregister." De verantwoordelijk strafjurist van de Orde stuurde gisteren een excuusmail. "Het spijt mij vreselijk dat deze fout is gemaakt en ik bied daar mijn verontschuldigingen voor aan. Wij zullen alle noodzakelijke maatregelen nemen om dit in de toekomst te voorkomen."
Alles bij de bron; Security