Databeveiliging & Dataverlies

Meer dan tachtigduizend Nederlanders hebben zich inmiddels aangesloten bij de massaclaim tegen het ministerie van Volksgezondheid over het datalek bij de GGD. Dat laat stichting ICAM weten, de partij die de rechtszaak is gestart. De komende maanden kunnen mensen zich via datalek-ggd.nl aanmelden voor de claim en zich zonder kosten inschrijven. 

Vorig jaar bleek dat callcentermedewerkers van de GGD toegang hadden tot de privégegevens van ruim 6,5 miljoen Nederlanders. Deze data werd via Telegram te koop aangeboden. Uiteindelijk werden meerdere GGD-medewerkers aangehouden waarvan er verschillende al zijn veroordeeld. Volgens de stichting heeft het ministerie van Volksgezondheid een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen.

De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan. Binnenkort komt ICAM met een update over de massaclaim en stand van zaken.

Alles bij de bron; Security


 

Meer dan de helft (55%) van de Nederlandse consumenten vindt dat dataprivacy onmogelijk is in het digitale tijdperk waarin we nu leven. Dat blijkt uit de nieuwe Unisys Security Index™, wereldwijd het langstlopende veiligheidsonderzoek onder 11.000 consumenten, waaronder 1.000 uit Nederland. 

Zo blijkt uit het onderzoek dat zeven van de tien (73%) werknemers zich onprettig voelen bij één centrale ruimte waarin biometrische gegevens worden opgeslagen voor verificatiedoeleinden door een commerciële partij. Dit percentage is iets lager wanneer de overheid (65%) of een bank (64%)  deze gegevens in een centrale plek opslaat voor verificatiedoeleinden.

Daarnaast voelt bijna driekwart van de respondenten (73%) zich oncomfortabel bij organisaties die hun dynamisch gedrag, zoals de manier waarop ze hun toetsenbord gebruiken, inzetten voor verificatiedoeleinden. Zes van de tien werknemers (58%) voelen zich bovendien niet fijn bij het gebruik van hun vingerafdruk, iris of gezichtsherkenning voor verificatiedoeleinden van organisaties.

Jeroen Zonnenberg, Team Lead Security Consulting bij Unisys: “Uit de resultaten van de Unisys Security Index blijkt dat Nederlanders erg weinig vertrouwen hebben in dataprivacy....”

Alles bij de bron; Emerce


 

De app My2022 die deelnemers aan de Olympische Spelen van Peking verplicht zijn te gebruiken om gegevens aangaande hun gezondheid door te geven, blijkt een aantal cruciale beveiligingsproblemen te hebben. Verkeer van en naar de app waarin zaken als paspoortgegevens en medische details worden gedeeld, kan hierdoor worden onderschept.

Het Citizen Lab van de Universiteit van Toronto ontdekte dat de zogeheten SSL-certificaten in de app niet worden gevalideerd. Dat is de codering die wordt gebruikt voor beveiliging, zodat onbevoegden geen toegang hebben tot informatie terwijl deze wordt verzonden.

Daarnaast kan de encryptie van spraakaudio en bestandoverdrachten worden omzeild. Tevens blijken serverreacties te kunnen worden nagemaakt, waardoor hackers vervalste instructies aan gebruikers van My2022 kunnen versturen. Ten slotte blijken op de app gevoelige zoekwoorden als 'Tibet' en 'Xinjiang', verwijzend naar de situatie van de Oeigoeren, te kunnen worden gedetecteerd.

Mensenrechtenorganisatie Human Rights Watch spreekt inmiddels van de Orwelliaanse Spelen. Sophie Richardson, leider van het Chinese programma binnen HRW, maakt zich ernstige zorgen om de huidige gang van zaken.

Alles bij de bron; NOS


 

Vorig jaar zijn de privégegevens van ruim 6,7 miljoen gebruikers van de website OpenSubtitles.org gestolen via een zwak beheerderswachtwoord. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen, geografische locaties en met het MD5-algoritme gehashte wachtwoorden...

...De aanvaller eiste losgeld, anders zou hij de data openbaar maken, wat inmiddels ook is gebeurd.

Van de 6,7 miljoen toegevoegde e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security


 

Safari 15 kan de recente browsegeschiedenis en sommige persoonlijke informatie, zoals het Google-account van de gebruiker, lekken naar andere websites.Het gaat om een fout in IndexedDB, een onderdeel van Safari waarmee websites bepaalde data op het apparaat van de gebruiker kunnen opslaan, en later weer kunnen opvragen. Daardoor laden sites bij latere bezoeken bijvoorbeeld sneller.

Er zit een veiligheidsmaatregel in IndexedDB, waardoor sites niet van elkaar kunnen zien welke data zij in de browser hebben opgeslagen en in Safari 15 werkt die veiligheidsmaatregel niet goed. Daardoor kunnen andere sites gedeeltelijk zien welke data er door die IndexedDB zijn opgeslagen. 

De identiteit van gebruikers kan bovendien achterhaald worden als zij inloggen bij diensten van Google. De unieke Google User ID staat in de titel van de bestanden die in IndexedDB worden opgeslagen. Met die unieke Google User ID is dus de naam van de gebruiker ongemerkt te koppelen aan het browsegedrag, met allerlei malafide mogelijkheden tot gevolg.

De kwetsbaarheid werd ontdekt door online fraudebestrijder FingerprintJS.

Alles bij de bron; RTL


 

DatPiff, een online distributieplatform voor mixtapes, heeft de gegevens van 7,5 miljoen gebruikers gelekt, die nu op internet te koop worden aangeboden. Naast e-mailadressen bevat de aangeboden data ook gekraakte wachtwoordhashes, gebruikersnamen en securityvragen en antwoorden.

De wachtwoorden waren voorzien van een statische salt en gehasht via het zwakke MD5-algoritme en zijn na de diefstal gekraakt. Van de 7,5 miljoen toegevoegde e-mailadressen was 81 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security


 

Een Amerikaanse journalist die door het bekijken van html-broncode een datalek in een overheidssite ontdekte zal waarschijnlijk worden vervolgd, zo denkt gouverneur Mike Parson van de Amerikaanse staat Missouri. Door het datalek waren social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk.

Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen.

Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast.

Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Oorspronkelijk was de staat van plan om de journalist voor zijn melding te bedanken, maar daar werd in de uiteindelijke verklaring van afgezien, zo meldt de St. Louis Post-Dispatch.

Alles bij de bron; Security


 

Gevoelige bestanden van game-uitgever SEGA waren opgeslagen in een publiek toegankelijke server, ontdekten onderzoekers van VPNGids.nl. Daardoor kregen onderzoekers toegang tot onder meer data van 250.000 leden van het forum Football Manager. Het is niet bekend hoeveel Nederlandse gebruikersgegevens toegankelijk waren. 

Onder de gebruikersgegevens waren onder meer IP-adressen en e-mailadressen. Onderzoekers kwamen erachter dat ze mails konden versturen vanuit het officiële mailaccount van Football Manager. 

SEGA werd direct na de ontdekking van de kwetsbaarheden op de hoogte gebracht. Inmiddels zijn de meeste problemen verholpen.

Alles bij de bron; NU


 

De app Amigos, waarmee veel spontane huisfeestjes worden georganiseerd, lekte maandenlang de privégegevens van zijn honderdduizenden gebruikers. Het was onder andere mogelijk om hun exacte locatie op te vragen, mee te lezen met privégesprekken, namen en wachtwoorden buit te maken.

Het lek in de app is ontdekt door Sten Lankreijer, een 21-jarige student aan de Technische Universiteit Eindhoven "Ik keek wat voor gegevens de app verstuurt en ontvangt en zag al snel dat je die data kunt manipuleren", vertelt hij. 

Het lukte Lankreijer op die manier om zichzelf beheerder van Amigos te maken. Daarmee had hij toegang tot alle gegevens van de gebruikers. Hij kon ook pushberichten namens de app sturen naar gebruikers, uit naam van anderen berichten sturen en evenementen organiseren, en ook die gewilde sterren ongelimiteerd uitdelen.

Als beheerder was het eveneens mogelijk om e-mails te sturen waarmee gebruikers hun wachtwoord opnieuw moeten instellen. Een cybercrimineel zou deze functie kunnen misbruiken om wachtwoorden van gebruikers te stelen.

Het lek in de app is een week na de melding door Amigos gedicht.

Alles bij de bron; RTLNieuws


 

Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft de persoonlijke informatie van 2,1 miljoen mensen gelekt. Op 6 augustus ontdekte DDC dat een aanvaller een gearchiveerde database had gestolen met de persoonlijke informatie van mensen die tussen 2004 en 2012 is verzameld.

De actief gebruikte databases van DDC zijn niet gecompromitteerd, zo laat de verklaring verder weten. Volgens DDC heeft de aanvaller tussen 24 mei en 28 juli van dit jaar mogelijk bepaalde bestanden en mappen uit de database verwijderd.

Na ontdekking van het datalek werd verder onderzoek uitgevoerd. Daaruit bleek dat de aanvaller naam, socialsecurity-nummer en andere persoonlijke informatie heeft gestolen in combinatie met rekeningnummer of creditcardnummer en accountgegevens, waaronder mogelijk wachtwoorden, zo meldt het openbaar ministerie van de staat Maine.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha