Databeveiliging & Dataverlies

Een kritieke kwetsbaarheid in de Logix-controllers van fabrikant Rockwell Automation maakt het mogelijk voor aanvallers om op afstand toegang tot industriële systemen te krijgen. Het beveiligingslek, aangeduid als CVE-2021-22681, is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Een beveiligingsupdate is niet beschikbaar gemaakt. 

Door het beveiligingslek kan een aanvaller de key achterhalen en met elke willekeurige Logix-controller die toegankelijk is verbinding maken. Zo kan de aanvaller zich voordoen als het werkstation dat de Logix-controller bestuurt en de controller bijvoorbeeld met malware infecteren, wat gevolgen voor het productieproces heeft.

Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is de kwetsbaarheid op afstand te misbruiken en vereist dit weinig kennis. Rockwell adviseert organisaties om de instellingen van hun controller aan te passen en ervoor te zorgen dat die niet direct vanaf het internet toegankelijk is.

Alles bij de bron; Security


 

De Britse cameradienst NurseryCam voor kinderdagverblijven heeft de privégegevens van 12.000 gebruikers gelekt die vervolgens op internet zijn gepubliceerd. Het gaat e-mailadressen, gehashte wachtwoorden, namen en gebruikersnamen. Vanwege het datalek is cameradienst NurseryCam zelf nog altijd offline.

NurseryCam maakt het mogelijk voor ouders om met de camera's van het kinderdagverblijf van hun kind mee te kijken. Zo'n veertig kinderdagverblijven in het Verenigd Koninkrijk maken gebruik van de cameradienst. Ouders installeren een app en kunnen vervolgens via een aangemaakt account hun kind bij het kinderdagverblijf op afstand in de gaten houden.

Recentelijk liet een beveiligingsonderzoeker weten dat de app en het onderliggende platform allerlei kwetsbaarheden bevatten, waardoor onbevoegden zouden kunnen meekijken. Het blijken niet de enige problemen van NurseryCam te zijn. Een aanvaller wist onlangs toegang tot de gebruikersdatabase te krijgen en heeft die vervolgens op internet geplaatst. De database bevat 12.000 unieke accounts van ouders.

De server van de cameradienst is uit voorzorg offline gehaald en ook is de website van NurseryCam offline.

Alles bij de bron; Security


 

De desktopversie van de end-to-end versleutelde chatapp Keybase liet afbeeldingen van gebruikers onversleuteld in de cache en directories op het systeem achter, ook als gebruikers de bestanden via de normale verwijderoptie of "explode" functie hadden verwijderd. Zo hebben beveiligingsonderzoekers ontdekt. Keybase heeft een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen.

Het probleem deed zich voor bij zowel de Linux-, macOS- als Windowsversie. 

"Keybase staat bekend als een end-to-end versleutelde chatapp, wat inhoudt dat gesprekken tussen personen of groepen binnen de app niet onversleuteld op de schijf zouden moeten zijn opgeslagen", aldus onderzoeker Jackson. Hij rapporteerde de kwetsbaarheid aan Keybase, waarna het probleem in versie 5.6.0 voor macOS en Windows en versie 5.6.1 voor Linux werd verholpen. Lokaal opgeslagen en gecachete afbeeldingen worden automatisch door het updaten naar deze versie verwijderd.

Alles bij de bron; Security


 

Canadese privacyexperts maken zich zorgen over het plan van de Canadese overheid om een online paspoortaanvraag te laten ontwikkelen. Via het nieuwe platform kunnen burgers straks ook de foto voor hun paspoort uploaden en de aanvraagkosten betalen. De experts vrezen dat persoonlijke informatie op buitenlandse servers wordt opgeslagen en een aantrekkelijk doelwit voor criminelen zal zijn, zo meldt CBC.

Uit de tender blijkt dat het om Amazon Web Services (AWS) gaat. "Zelfs wanneer we zaken doen met een Amerikaans bedrijf dat akkoord gaat om de data binnen Canada op te slaan, zal onder de Amerikaanse Cloud-wetgeving de data uiteindelijk het land uitgaan", zegt Sébastien Gambs, informaticahoogleraar aan de Université du Québec à Montréal. AWS stelt in een reactie dat klanten volledige eigenaar over hun gegevens blijven en zeggenschap hebben wie er toegang toe mag krijgen.

Het Professional Institute of the Public Services (PIPSC) hekelt de uitbesteding van de ontwikkeling. Dit zou namelijk ten koste gaan van de kennis bij de overheid. "Het is een vicieuze cirkel. In plaats van het intern te ontwikkelen kiezen we voor extern. Daardoor missen we intern de benodigde expertise, dat helaas in de loop van de tijd verdwijnt, waardoor we het moeten uitbesteden", zegt Stéphane Aubry, vicepresident van de PIPSC.

Alles bij de bron; Security


 

Adorcam, een camera-app voor ip-camera's, heeft via een onbeveiligde database miljoenen gegevens van gebruikers gelekt, waaronder e-mailadressen, ip-adressen, gehashte wachtwoorden, wifi-netwerknamen, locatie en mogelijk ook door de camera gemaakte foto's. Dat ontdekte Justin Paine een beveiligingsonderzoeker.

Paine vond een onbeveiligde Elasticsearch-database van Adorcam die voor iedereen op internet zonder wachtwoorden toegankelijk was. 

De 51 gigabyte grote database bevatte 124 miljoen rijen met gebruikersgegevens. Het ging om ip-adressen, e-mailadressen, serienummers, gehashte wachtwoorden, geolocatiegegevens, naam van wifi-netwerken en webcaminstellingen. Paine waarschuwde de app-ontwikkelaars op 14 januari, vijf dagen later was de database beveiligd.

Alles bij de bron; Security


 

Namen, adressen, telefoonnummers en de inhoud van bestellingen van willekeurige klanten waren eenvoudig in te zien op de website van winkelketen Blokker. Een kwaadwillende hoefde alleen een url aan te passen door het bestelnummer te wijzigen, waarna de gegevens getoond werden.

Het datalek kwam aan het licht aan een tip van een lezer van Opgelicht?!, dat de zaak daarna onderzocht. Ethisch hacker Sijmen Ruwhof zegt tegen Opgelicht dat het datalek zeker sinds eind oktober 2020 aanwezig is en dat er 720.000 verschillende bestellingen mee gemoeid zijn, hoewel er niet specifiek wordt vermeld hoe men tot dat getal komt.

Blokker zegt in een reactie de Autoriteit Persoonsgegevens ingelicht te hebben over het datalek. Het bedrijf biedt zijn excuses aan en zegt er alles aan te doen om herhalingen te voorkomen. Een jaar geleden had Blokker ook een datalek. Toen werd er ingebroken bij accounts, hoewel niet duidelijk is of de logins ook van Blokker zelf zijn gestolen, of dat er gebruik werd gemaakt van credential stuffing.

Alles bij de bron; Tweakers


 

Medewerkers van de GGD’s kunnen voorlopig niet meer bij intern informatiesysteem Kennisnet, waarin bijvoorbeeld werkinstructies staan. De databeveiliging van het systeem is niet op orde, blijkt uit forensisch onderzoek. En dus is de applicatie inmiddels uitgeschakeld.

Sinds begin februari speurt een zogeheten Red Team bij koepelorganisatie GGD GHOR actief naar kwetsbaarheden in de databeveiliging van de diverse GGD-systemen. Het team test de digitale verdediging van de organisatie en van de systemen zelf.

Binnen een etmaal wist het team zich toegang te verschaffen tot documenten die niet voor hen beschikbaar zouden moeten zijn. Dit gebeurde in de applicatie GGD GHOR Kennisnet. Om misbruik van de geconstateerde kwetsbaarheid te voorkomen, is Kennisnet direct uitgeschakeld.

Alles bij de bron; Computable


 

Het delen van data tussen uiteenlopende sectoren en domeinen krijgt een belangrijke impuls. Om datadelen op grotere schaal mogelijk te maken, zijn praktische afspraken in de maak die algemeen toepasbaar zijn. Ze gaan niet alleen over datastandaarden en beveiliging maar ook over bijvoorbeeld businessmodellen. Daarvoor is een gids in wording, het zogenoemde Harmonisation Canvas.

Tijdens de tweede Conferentie Nederland Digitaal presenteerde de Data Sharing Coalition (DSC) de eerste versie van dit document, een basis voor generieke afspraken. Want om goed, effectief en veilig data te kunnen delen tussen verschillende sectoren moeten partijen duidelijke afspraken met elkaar maken. De definitieve versie van het Canvas volgt in het tweede kwartaal van dit jaar.

De DSC is een samenwerkingsverband van 34 organisaties en bedrijven uit allerlei sectoren. De deelnemers, variërend van brancheverenigingen en standaardisatie-instellingen tot infrastructuuraanbieders, vertegenwoordigen duizenden organisatie die data delen, data consumeren of dit voor anderen faciliteren.

Alles bij de bron; Computable


 

Vlaanderen is sinds 2018 een van de trekkers voor de ontwikkeling van een Interregionaal Platform voor Persoonlijke Data, met daarin ook een digitale kluis. VITO is als onderzoekscentrum internationale coördinator voor Vlaanderen, Oost-Nederland en het Finse Oulu. 

De coronapandemie heeft volgens VITO het nut van databeheer alleen maar duidelijker gemaakt. Binnen de gezondheidszorg is een efficiënte gegevensdeling met een waterdichte garantie op privacy cruciaal, benadrukt de onderzoeksinstelling. "Meer nog: de burger die zijn gegevens deelt, moet de volledige controle hebben over zijn eigen data."  

"Elke burger krijgt in dit platform een persoonlijke datakluis, waar alleen hij de sleutel van heeft", zegt de onderzoeksinstelling. In zijn persoonlijke kluis - een virtuele 'kast' waar de individuele burger via een app de sleutel van heeft - hoeft hij ook maar één keer zijn gegevens in te voeren. Als dat nodig is, kan hij zelf beslissen welke gegevens hij met welke partner en op welke manier wil delen."

Om de ontwikkeling van het platform te ondersteunen, maakt Vlaams minister voor Innovatie Hilde Crevits (CD&V) nu een subsidie van 120.000 euro vrij. "Privacy is het hoogste goed, ook online. We zijn ons steeds meer bewust van de waarde van data en onze persoonlijke digitale gegevens en maar goed ook", zegt ze.

Alles bij de bron; Plusmagazine


 

Nederlandse melkveehouders vrezen dat hun data niet goed beschermd worden en dat controle en zeggenschap verloren gaat. De zorgen zijn ontstaan rondom de invoering van een nieuw kwaliteitssysteem van de zuivelindustrie. ..

...De zorgen bij de boeren zijn ontstaan naar aanleiding van plannen voor een nieuw kwaliteitssysteem genaamd Koemonitor, dat door de zuivelindustrie werd ontwikkeld om aan verplichte Europese hygiëne- en gezondheidsverordening te voldoen. 

Het nieuwe kwaliteitssysteem betekent onder meer dat leveringsvoorwaarden van melk worden aangescherpt. Hierbij zijn volgens de vakbond voor melkveehouders (NMV) ook ‘bovenwettelijke eisen’ meegenomen. De vereniging maakt zich naar aanleiding daarvan onder meer zorgen over de slechte bescherming van de data. Bovendien stelt NMV dat boeren geen keuzevrijheid hebben omdat hun melk anders wordt geweigerd.

“NMV is van mening dat data van melkveehouders zijn en blijven. De melkveehouder moet vrijwillige zeggenschap houden over wie hij machtigt om zijn data te gebruiken. Ook mag een wettelijke verplichting nooit aanleiding geven tot nog meer bovenwettelijke verplichtingen. De regeldruk is al veel te hoog en te kostbaar”, zo meldt de vereniging in een brief aan haar leden.

Alles bij de bron; AGConnect


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha