Databeveiliging & Dataverlies

Het Nederlands Woning Waarde Instituut (NWWI) heeft na een waarschuwing een groot datalek gedicht, meldt de Consumentenbond. Via het lek waren honderdduizenden taxatierapporten en miljoenen andere privédocumenten van Nederlandse consumenten te bekijken.

Een onderzoeker van de Consumentenbond wist begin maart via een gat in de beveiliging toegang te krijgen tot de broncode en logbestanden van het NWWI. Daar vond hij onder meer wachtwoorden en IP-adressen van banken en verzekeraars.

Ook kon de onderzoeker via de zoekmachine van Google talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes en foto's (onder meer van gebreken aan huizen) inzien en downloaden. In enkele gevallen was het ook mogelijk om kopieën van identiteitsbewijzen te bekijken en te downloaden.

Alls bij de bron; NU


 

I-SEC zegt dat er zipbestanden van 23 gigabyte zijn gepubliceerd op het darkweb, het afgesloten deel van het internet.

In de dataset zijn onder meer persoonsgegevens uit de personeelsadministratie te vinden. De woordvoerder treedt verder niet in detail, maar zegt dat er in elk geval gegevens van huidige en voormalige medewerkers van I-SEC in staan. I-SEC heeft als luchthavenbeveiliger een groot aandeel in de beveiliging van Schiphol.

De bestanden werden in april gepubliceerd. Het lek is gemeld bij de Autoriteit Persoonsgegevens. 

Alles bij de bron; NU


 

De Nederlandse Aardolie Maatschappij (NAM) heeft onterecht gegevens van Groningse aardbevingsslachtoffers gedeeld met het ministerie van Economische Zaken. Dat meldt het Dagblad van het Noorden. De NAM verstuurde een Excel-bestand naar het ministerie met alle dossiers van inwoners uit Groningen die gebruik hadden gemaakt van de waardedalingsregeling van het bedrijf.

De NAM en het ministerie bevestigen dat er onbedoeld gegevens van inwoners door het gaswinningsbedrijf zijn verstrekt. Ambtenaren van het ministerie spreken van "nogal een datalek". Er is echter geen melding gedaan bij de Autoriteit Persoonsgegevens. Volgens de NAM is er namelijk geen echt risico voor de privacy van bewoners geweest.

Alles bij de bron; Security


 

Een datalek bij de gemeenten Emmen, Coevorden en Borger-Odoorn, wat vorig jaar juli plaatsvond en ontstond doordat criminelen toegang tot de e-mailaccounts van ambtenaren kregen, heeft ruim zevenduizend inwoners geraakt. Hoewel het datalek negen maanden geleden plaatsvond heeft het college van burgemeester en wethouders van Emmen dit nu pas in een brief aan de gemeenteraad bekendgemaakt.

...De gemeente heeft het datalek vorig jaar juli bij de Autoriteit Persoonsgegevens gemeld. Eind december oordeelde de privacytoezichthouder over de afhandeling van het incident dat niet kan worden uitgesloten dat er gegevens zijn ingezien. Daarom moet de gemeente getroffen inwoners alsnog over het datalek informeren. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld.

Alles bij de bron; Security


 

De GGD Twente heeft een schadeclaim ontvangen als onderdeel van de miljardenclaim die is neergelegd bij de overheid na het lekken van persoonsgegevens bij de GGD. Tientallen Twentenaren werden daar de dupe van. In een zogenaamde massaclaim wordt 3,2 miljard euro geëist van de overheid.

Bij de coronacallcenters van de GGD ging het vorig jaar - op het hoogtepunt van de crisis - goed mis. Callcentermedewerkers maakten misbruik van de toegang die ze hadden tot persoonlijke gegevens van ruim 6,5 miljoen Nederlanders, die zich hadden laten testen op corona. Deze informatie is op grote schaal verkocht aan criminelen.

Van zeker 1250 mensen is bewezen dat hun vertrouwelijke gegevens zoals Burgerservicenummers en adresgegevens uit coronadossiers zijn gestolen en aan criminelen zijn verkocht. Dat aantal ligt vermoedelijk veel hoger. In Twente is van tientallen mensen bekend dat hun gegevens daar bij zaten.

De stichting ICAM eist 500 euro voor iedere Nederlander die ten tijde van de datadiefstal in de systemen stond en 1500 euro voor elke burger waarvan blijkt dat diens data verhandeld zijn. De claim loopt op tot minimaal 3,2 miljard euro. Volgens de stichting is het GGD-lek qua omvang het grootste datalek ooit in Nederland.

De staat is primair aansprakelijk gesteld, maar daarnaast zijn ook de 25 GGD’en, GGD GHOR Nederland, de 25 veiligheidsregio’s en van ieder van de 25 GGD‐regio’s de grootste gemeente aangeschreven.

Alles bij de bron; Tubantia


 

Het Duitse hostingbedrijf ZAP-Hosting heeft klanten gewaarschuwd voor een datalek waarbij hun privégegevens zijn gestolen en vervolgens op internet gepubliceerd. 

Volgens ZAP wist een aanvaller tussen 13 en 15 maart van dit jaar in te breken op de systemen en maakte daarbij zestig gigabyte aan data buit. Het ging om e-mailadressen van 747.000 klanten, alsmede ip-adressen, namen, aankopen, fysieke adresgegevens, telefoonnummers en chatlogs. De dataset was van november vorig jaar. Beveiligingsonderzoeker Troy Hunt van de datalekzoekmachine Have I Been Pwned meldt dat de data in die periode ook is gestolen.

Klanten vroegen de hostingprovider dan ook waarom het datalek pas op 15 maart werd gemeld. ZAP stelt dat de gestolen dataset van 22 november 2021 is. "De aanvaller publiceerde de dataset pas op 13/14 maart. Daarvoor was niets bij ons of het publiek bekend", aldus een verklaring van ZAP. De hostingprovider is nog steeds bezig met het onderzoek naar de datadiefstal. 

Alles bij de bron; Security


 

Microsoft MVP Rudy Ooms heeft een flink gebrek ontdekt in de ingebouwde tools voor het schoonmaken van schijven in Windows, zoals beschreven op zijn blog Call4Cloud. Als de optie om alle data te verwijderen wordt gebruikt, bijvoorbeeld om een systeem door te verkopen, blijft persoonlijke data achter. Het probleem speelt bij lokale wipes en op afstand, op Windows 10 en 11, versie 21H2.

Op de leeggemaakte schijf blijft in de meeste gevallen een map genaamd Windows.old achter, ondanks de waarschuwing vooraf dat alle persoonlijke en zakelijke data en instellingen verwijderd worden. Hierbij komt nog dat de Bitlocker-encryptie wordt uitgeschakeld, waardoor alle data onversleuteld bewaard wordt. Ditzelfde geldt voor OneDrive-bestanden waarvoor gekozen was om deze altijd lokaal te bewaren.

Alles bij de bron; HardwareInfo


 

De hack op het Internationale Rode Kruis gebeurde via een kwetsbaarheid in netwerktool ManageEngine van Zoho. Daarin zat een bug waarmee authenticatie kon worden omzeild. De kwetsbaarheid was al bekend en er was sinds 7 september ook al een patch beschikbaar, maar het Rode Kruis had die nog niet doorgevoerd. Het Internationale Rode Kruis en de Rode Halve Maan schrijven dat in een update over de hack die in januari plaatsvond.

Het Rode Kruis meldde toen dat er gegevens van zeker 515.000 kwetsbare personen waren gestolen, waaronder die van 4600 Nederlanders. De organisatie zegt nu dat de hack kon plaatsvinden door een ongepatchte kwetsbaarheid. De aanval vond plaats op 9 november vorig jaar, schrijft de organisatie. Het duurde vervolgens tot 18 januari voordat die ontdekt werd.

Opvallend is dat het Rode Kruis niet met stelligheid wil zeggen of er gegevens zijn buitgemaakt. "We moeten daarvan uitgaan", zegt de organisatie, maar ze wijst daarbij niet op bewijs uit bijvoorbeeld logs.

Alles bij de bron; Tweakers


 

Onderzoekers van CCC hebben de afgelopen weken persoonsgegevens gevonden bij 'meer dan vijftig' datalekken, schrijft de Duitse hackersgroep. Het zou gaan om datalekken bij bedrijven en overheidsinstanties. De hackers ontdekten kwetsbaarheden bij het Ministerie van Volksgezondheid, Welzijn en Sport, BMW, Deutsche Bahn, Nestlé en MediaMarktSaturn in Oostenrijk.

De CCC schrijft dat de onderzoekers toegang hadden tot meer dan 6,4 miljoen persoonsgegevens, onder meer klantgegevens van winkels, passagiersgegevens van een luchtvaartmaatschappij, patiëntgegevens, gegevens van sollicitanten, verzekeringsgegevens en informatie van sociale netwerken. Alle data die de onderzoekers vonden was afkomstig uit onbeveiligde bronnen.

De club ontdekte ook een kwetsbaarheid bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport. In een reactie aan Tweakers zegt een woordvoerder dat het een responsible disclosure-melding ontvangen heeft van iemand die in een van de systemen van VWS een kwetsbaarheid in de beveiliging had ontdekt. "We zijn dankbaar voor dat soort meldingen en hebben het diepgravend onderzocht. De kwetsbaarheid is inderdaad geconstateerd en vervolgens hersteld." maar het was al publiek beschikbare informatie. Daarom is er volgens de woordvoerder geen sprake van een datalek en is er als zodanig ook geen melding gedaan bij de Autoriteit Persoonsgegevens.

Alles bij de bron; Tweakers


 

Naar schatting meet ruim de helft van de Nederlanders zelf zijn gezondheid. Dit biedt ook mogelijkheden voor cybercriminelen. Zo ontdekten Kaspersky-experts meer dan dertig kwetsbaarheden in het meest gebruikte protocol voor gegevensoverdracht van wearable devices die worden gebruikt voor patiëntmonitoring op afstand.

Het aantal kwetsbaarheden groeit, want dit zijn er 10 meer dan in het jaar ervoor. Veel van deze kwetsbaarheden blijven ongepatcht. Sommige van deze kwetsbaarheden geven cybercriminelen de mogelijkheid om gegevens te onderscheppen die online vanaf het device worden verzonden.

Lees het volledige rapport over e-healthsecurity op Securelist. Het volledige rapport en details over de huidige stand van zaken in de e-healthsector zijn hier beschikbaar.

Alles bij de bron; WinMagPro


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha