Databeveiliging & Dataverlies

De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15.000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd, deze was online toegankelijk, zonder enige vorm van authenticatie. 

De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Met kennis over iemands fysieke en emotionele toestand zou een werkgever een oordeel kunnen vellen of beslissingen kunnen nemen die grote impact hebben op een werknemer.

De privacywetgeving verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts.

Alles bij de bron; AutoriteitPersoonsgegevens


 

In plaats van wc-rollen te hamsteren, snelden Amerikanen zich de afgelopen week naar tankstations om benzine in te slaan. 

De aanleiding voor dit gehamster was minder lollig. Afgelopen week kwam het pijpleidingennetwerk Colonial Pipeline, dat bijna de helft van de Amerikaanse oostkust van brandstof voorziet, plat te liggen. 

Criminelen slagen er steeds vaker in om via kleine gaatjes en kwetsbaarheden binnen te dringen in softwaresystemen. Universiteiten, ziekenhuizen en gemeenten werden al eerder de dupe. In Finland dreigden hackers de persoonlijke patiëntendossiers van mensen die psychiatrische hulp hadden gekregen online te zetten. Ditmaal richtten ze zich op de tienduizenden getroffen patiënten zelf, in de hoop dat publicatie van hun dossiers over zelfmoordpogingen, drugsgebruik, of angstaanvallen hen snel tot betaling zou aanzetten.

Patiëntendossiers, belastingdatabanken of betalingssystemen: ze zijn alle gedigitaliseerd zonder dat het helder is of de ingekochte technologie wel voldoet aan de hoogste veiligheidsstandaard. Blind erop vertrouwen dat softwarebedrijven voor voldoende bescherming zorgen, werkt hier niet. Zeker niet als klanten, zoals ziekenhuizen, dure software-updates niet kunnen betalen.

Voor inkopers of gebruikers van software zijn dit soort complexe systemen niet te doorgronden. En doordat ICT-bedrijven maar beperkt publiekelijk informatie delen over gehackte producten, blijven de risico’s bestaan en worden beschermingsmaatregelen niet genomen.

Hoe groot de risico’s van kwetsbare software zijn, is geen verrassing. Als mogelijk rampzalig resultaat van een cyberaanval door criminelen of een vijandige staat is al vaker het raken van kritieke infrastructuur genoemd. Nu kun je nog lachen om mensen die in paniek een tasje benzine komen halen. Maar misschien zijn de gevolgen van de volgende cyberaanval wel fataal.

Alles bij de bron; NRC


 

Het is mogelijk dat er méér gegevens van honderden Alkmaarders zijn bekeken tijdens een inbraak in het mailsysteem van de gemeente vorig jaar. Het gaat onder meer rekeningnummers, adressen en geboortedatums. Dat valt allemaal te lezen in een brief die de gemeente Alkmaar aan inwoners heeft gestuurd.

De phishing kwam in december aan het licht nadat een medewerker op een neplink klikte. De mailbox was daardoor enige tijd toegankelijk en kon worden ingekeken door onbevoegden. In februari meldde de gemeente dat het onderzoek naar de phishingmail bijna was afgerond. Nu blijkt dus dat er mogelijk meer gegevens zijn gelekt dan in eerste instantie bekend was.

De gemeente waarschuwt Alkmaarders 'alert' te zijn, omdat de kans groot is dat de gegevens zijn ingezien door mensen die er misbruik van willen maken. "Pas bijvoorbeeld op bij e-mails van een onbekende of onbetrouwbare afzender. Vaak worden gegevens namelijk ook wéér gebruikt voor phishing."

Alles bij de bron; NHNieuws


 

DSIT, moederbedrijf van webshops zegt slachtoffer te zijn geweest van een hack waarbij onder meer naw-gegevens en versleutelde wachtwoorden zijn buitgemaakt. 

Het datalek was op 6 april, maar op dinsdag zeggen meerdere tweakers in een GoT-topic een mail van het webshopbedrijf te hebben ontvangen. In die mail geeft DSIT aan dat er na een hack ongeoorloofde toegang is geweest tot klantgegevens. In het forumtopic zeggen tweakers sinds medio april phishingmails te ontvangen die gericht zijn aan mailadressen die voor DSIT-webshops zijn gebruikt. Het gaat onder meer om betalingsverzoeken die ogenschijnlijk in naam van DSIT-webshops zijn verzonden.

Onder DSIT vallen ServerKast.com, PatchKast.nl, PatchKast.com, PatchKast.be, UTP-Kabel.nl en Glasvezel-kabel.com. Het is niet bekend of alle webshops door de hack zijn getroffen en van hoeveel klanten er data is gestolen. Onder de mogelijk gelekte data vallen naam en bedrijfsnaam, eventuele btw-nummers, e-mailadressen, telefoonnummers en ordergegevens zoals producten en aantallen. 

Bij de aanval zijn mogelijk ook wachtwoorden gelekt. Deze waren versleuteld, afhankelijk van de activiteit was dit met een SHA- of een MD5-hash.

Alles bij de bron; Tweakers


 

De Britse overheid heeft via een website waar mensen een afspraak voor een coronavaccinatie kunnen maken de vaccinatiestatus van burgers gelekt. Via de website van de National Health Service (NHS) kunnen burgers via hun NHS-nummer een afspraak maken. Wanneer dit nummer niet voorhanden is volstaan wat basale identiteitsgegevens, namelijk naam, geboortedatum en postcode. Tijdens dit proces wordt ook de vaccinatiestatus van de gebruiker getoond.

Iedereen die wat persoonlijk informatie van een vriend, collega of onbekende heeft kan zo de vaccinatiestatus van deze persoon achterhalen, terwijl dit eigenlijk vertrouwelijke medische informatie hoort te zijn. Voor werkgevers zou het eenvoudig zijn om te achterhalen wie van hun personeel wel of niet gevaccineerd is, zo meldt The Guardian.

Verder blijkt dat bij gebruikers die via hun huisarts een eerste vaccinatie hebben ontvangen maar nog geen tweede afspraak hebben gepland, de website het mogelijk maakt om zonder enige verdere verificatie een tweede afspraak te plannen. "Dit is een zeer ernstige tekortkoming in het beschermen van de medische vertrouwelijkheid van patiënten in een tijd dat dit niet belangrijker had kunnen zijn", zegt Silkie Carlo, directeur van Big Brother Watch.

Alles bij de bron; Security


 

Wegens een privacyprobleem met CoronaMelder is het tijdelijk niet mogelijk voor besmette gebruikers om waarschuwingen naar andere gebruikers te versturen. Daartoe heeft demissionair minister De Jonge van Volksgezondheid besloten, zo laat de Rijksoverheid via de eigen website weten en wordt ook gemeld door Ron Roozendaal, cio en directeur informatiebeleid van het ministerie van Volksgezondheid.

Gisteren maakten onderzoekers van AppCensus bekend dat gevoelige data van corona-apps toegankelijk is voor voorgeïnstalleerde apps op Androidtoestellen. Informatie van de apps, waaronder uitgezonden en ontvangen codes van andere gebruikers, wordt in de systeemlog van Android opgeslagen, waar honderden third-party apps toegang toe hebben. Deze apps zouden de informatie kunnen uitlezen en koppelen aan de gebruiker. Het probleem is niet aanwezig op iOS.

Google is al meer dan zestig dagen geleden door de onderzoekers over het probleem ingelicht, maar had gisteren nog geen update uitgerold, waardoor de onderzoekers hun bevindingen openbaar maakten. Vandaag besloot het ministerie het waarschuwen via de app twee dagen stop te zetten. 

Volgens het ministerie is er mogelijk sprake van een datalek. "Derden zouden deze codes niet moeten kunnen verzamelen en inzien. Op telefoons die gebruik maken van het Google Android operating systeem is dit wel mogelijk. Apps die meegeleverd werden met een telefoon konden vaststellen of de telefoon in bezit is van iemand die eerder als besmet is gemeld in CoronaMelder en welke ontmoetingen met besmette personen hebben plaatsgevonden. Hiervoor moeten deze codes gecombineerd worden met andere databronnen, wat in strijd is met de Tijdelijke wet notificatieapplicatie covid-19."

Alles bij de bron; Security


 

 

Passwordstate, een wachtwoordmanager voor bedrijven, is getroffen door een supply chain attack. De aanvallers zaten ongeveer 28 uur lang in de leveringsketen van de software, maar hoeveel van de meer dan 29.000 klanten getroffen zijn, is niet bekend.

De aanvallers braken in bij de systemen van ontwikkelaar ClickStudios en plaatsten daar een software-update voor de self-hosted-wachtwoordmanager. Die vervalste update bevatte een aangepaste versie van 'Moserware.SecretSplitter.dll', met een 'Loader' aan boord die contact zocht met een server die in handen was van de aanvallers. Daar zou de malware de payload ophalen, maar het is onbekend wat daarin zou zitten; CSIS heeft die niet kunnen bemachtigen omdat de server al offline is.

ClickStudios heeft een onbekend aantal klanten per e-mail op de hoogte gebracht en treedt naar buiten met een publiekelijk bericht. In dat bericht stelt het dat de malware onder andere gebruikersnamen, wachtwoorden en een lijst van draaiende processen naar de server van de aanvallers zou sturen. 

Het Australische bedrijf komt met een hotfix om het geïnfecteerde bestand te vervangen. Ook raadt het aan om alle wachtwoorden te vervangen bij aan het internet blootgestelde systemen, interne infrastructuur en alle wachtwoorden die in Passwordstate opgeslagen staan.

Alles bij de bron; Tweakers


 

Onderzoekers hebben een fout in Apples AirDrop ontdekt waardoor het e-mailadres en het telefoonnummer van een gebruiker kan lekken naar iedereen in de buurt. Mits ze een apparaat hebben dat wifi-signalen kan opvangen, natuurlijk.

AirDrop lekt gegevens naar nabijgelegen apparaten op het moment dat een gebruiker bestanden deelt, schrijft de Technische Universiteit Darmstadt. Je kan met AirDrop bestanden delen met apparaten die vlakbij zijn.

Om zeker te zijn dat je niet zomaar bestanden naar een vreemde stuurt, checkt de app welke apparaten in de buurt toebehoren aan iemand van je contactlijst. Voor deze vergelijking vraagt AirDrop e-mailadressen en telefoonnummers op van apparaten in de buurt en kijkt of de zender en ontvanger bij elkaar in de contactlijst staan. De data die voor die vergelijking nodig is, is volgens de TU Darmstadt niet goed versleuteld. Een kwaadwillende zou zo deze informatie kunnen onderscheppen.

Het lek is al sinds mei 2019 bekend. 

Alles bij de bron; RTL


 

Huawei had vanuit China ongeautoriseerde toegang tot de kern van het mobiele netwerk van KPN waardoor het telefoongesprekken kon afluisteren en in strijd met de wet inzicht in de database met afgetapte telefoonnummers had, zo claimt de Volkskrant op basis van een geheim intern rapport van KPN uit 2010. ...

... KPN maakt gebruik van de apparatuur van Huawei en overweegt in 2009 om het beheer van de apparatuur volledig uit te besteden aan Huawei. In voorbereiding op het plan laat KPN door consultancybedrijf Capgemini een risicoanalyse uitvoeren. Volgens het onderzoeksrapport is Huawei in staat om zowel binnen KPN-gebouwen als vanuit China ongeautoriseerd, ongecontroleerd en ongelimiteerd mobiele nummers van KPN af te luisteren.

Tevens weet Huawei welke nummers worden afgetapt en verschaft het bedrijf zich vanuit China ongeautoriseerd toegang tot de kern van het mobiele netwerk...

..."De conclusie van het Capgemini-rapport hield feitelijk in dat Huawei de regering of Chinese dissidenten kon afluisteren en dat niemand dat in de gaten zou hebben", aldus een anonieme bron tegenover de Volkskrant. Of en hoe vaak Huawei een gesprek meeluistert kunnen de onderzoekers niet vaststellen, aangezien dat niet wordt geregistreerd en het gebruikte programma in het Chinees is.

De bevindingen van het rapport worden volgens de Volkskrant tot geheim verklaard omdat die vergaande gevolgen voor KPN kunnen hebben. "Indien de door de onderzoekers geconstateerde gebreken publiekelijk bekend worden (...) moet rekening gehouden worden met de mogelijkheid dat overheden en het bedrijfsleven massaal overstappen op een andere provider. De business van KPN Mobiel, met uitstraling naar KPN als geheel, komt dan ernstig in gevaar", zo blijkt uit een reactie op het rapport.

KPN heeft op de eigen website een verklaring op het artikel gegeven waarin het stelt dat mede op basis van de risicoanalyse destijds is besloten om het beheer niet aan Huawei uit te besteden 

Alles bij de bron; Security


 

Omdat het de patiëntendossiers niet afdoende had beveiligd kreeg het HagaZiekenhuis in 2019 een boete van 460.000 euro van de Autoriteit Persoonsgegevens. Het ziekenhuis probeerde via de rechter kwijtschelding te krijgen. Dat is niet gelukt. Wel is de boete verlaagd tot 385.000 euro.

Volgens de Autoriteit Persoonsgegevens behoort een ziekenhuis ervoor te zorgen dat dossiers alleen toegankelijk zijn voor medewerkers die bij de behandeling van de betreffende patiënt betrokken zijn. Daarom blijven de basisboete van 310.000 euro en de eerste verhoging van 75.000 euro vanwege de ernst van de kwestie, overeind. Omdat het ziekenhuis al snel extra beveiliging heeft ingevoerd, hoeft de tweede verhoging van 75.000 euro niet betaald te worden.

Alles bij de bron; BeveilNieuws


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha