Databeveiliging & Dataverlies

De gestolen database is eind januari te koop aangeboden op een hackersforum voor een bedrag vanaf 15.000 euro, meldt RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De gegevens worden inmiddels al actief misbruikt om onder meer phishingberichten te sturen aan nietsvermoedende klanten van deze webwinkel.

De database bevat 2,6 miljoen unieke e-mailadressen die gekoppeld zijn aan namen, adressen, telefoonnummers, geboortedata en versleutelde wachtwoorden. Daarnaast zijn er in de te koop aangeboden databerg een miljoen gegevens te vinden van personen die via een andere webshop bij Allekabels hebben besteld. Ook zijn 109.000 IBAN-nummers van de klanten van Allekabels gestolen en verhandeld.

Allekabels laat aan RTL weten dat het sinds februari wist dat een werknemer informatie had gestolen en doorverkocht. Dat zou echter om 5000 klantgegevens gaan en die klanten zijn daarover geïnformeerd. RTL haalt nu diverse bronnen aan die stellen dat Allekabels al in augustus 2020 zou zijn gehackt én dat het bedrijf toen al op de hoogte was van de veel grotere datadiefstal.

Alles bij de bron; AGConnect


 

Na lekken bij Facebook (gegevens van 530 miljoen gebruikers) en LinkedIn (500 miljoen gebruikers) in de afgelopen weken liggen nu ook de gegevens van 1,3 miljoen gebruikers van audio-app Clubhouse op straat.

De data van Clubhouse – onder andere namen, profielfoto’s, gelinkte Instagram- en Twitteraccounts – verschenen dit weekend op een online hackerforum, zo ontdekte techwebsite Cyber News. Een datawetenschapper die zich online ‘John Tukey’ noemde, scrapete de data en publiceerde die daarna.

Voormalig Bellingcatonderzoeker Henk van Ess: „Hij zei tegen mij dat hij gewoon gebruik had gemaakt van de mogelijkheden die Clubhouse biedt aan softwareontwikkelaars om hun eigen apps aan Clubhouse te linken. De data wilde hij gewoon met de wetenschappelijke gemeenschap delen. Puur nerdy, maar wel naïef.”

Daarom ontkende Clubhouse, net als Facebook en LinkedIn, dat er sprake is van een hack; „Het gaat om publieke informatie waar iedereen toegang toe heeft.” Van Ess: „Dat is echt een heel irritante reactie, die mensen hebben geen flauw idee wat de consequenties van zo’n lek zijn.” 

Van Ess heeft de database ook zelf gedownload om er in te grasduinen. Hij wist de echte namen van 1.500 Clubhousegebruikers te linken aan anonieme twitteraccounts. Ook Jaap-Henk Hoepman, privacyonderzoeker bij de Radboud Universiteit en de Rijksuniversiteit Groningen, vindt het lek potentieel gevaarlijk: „Er zijn zoveel mensen van wie dit soort gegevens echt geheim moet blijven. Politieagenten, politici, maar ook voor mensen die gestalkt worden, is dit echt een probleem.”

De houding ten opzichte van privacy bij Clubhouse is van een andere orde dan die van Facebook en LinkedIn, zegt Hoepman. Facebook dacht met een hangslotje op de deur voldoende beveiliging te hebben”, vertelt hij, „maar de makers van Clubhouse hebben de voordeur van de snoepwinkel gewoon wagenwijd open laten staan, daar is echt geen enkele bescherming whatsoever. En het lek is nog niet dicht, ik heb de methode deze dinsdag nog gewoon kunnen herhalen.”

Alles bij de bron; NRC


 

Persoonlijke gegevens van 21 miljoen gebruikers van parkeer-app ParkMobile, zoals kentekennummer, e-mailadres, telefoonnummer en geboortedatum, worden te koop aangeboden op internet. ParkMobile meldde op 26 maart dat het te maken had gekregen met een "cybersecurity-incident" veroorzaakt door een kwetsbaarheid in een programma waar het bedrijf gebruik van maakt. 

Securitybedrijf Gemini Advisory laat aan it-journalist Brian Krebs weten dat bij ParkMobile gestolen gebruikersgegevens voor 125.000 dollar op een forum te koop worden aangeboden. Het gaat om e-mailadres, geboortedatum, telefoonnummers, kentekennummer, gesalte en met bcrypt gehashte wachtwoorden en in sommige gevallen ook postadres.

ParkMobile bevestigt tegenover Krebs dat de aanvallers accountgegevens van klanten in handen hebben gekregen, maar blijft erbij dat het niet om gevoelige gegevens gaat.

Alles bij de bron; Security


 

Na de database van meer dan 500 miljoen Facebook-gebruikers die dit weekend online verscheen, is er ook eentje gevonden met 500 miljoen LinkedIn-gebruikers. Dat meldt de site CyberNews. Waarschuwingen voor de gebruikers in kwestie zijn dan ook gelijkaardig: wees alert op phishing-aanvallen.

Het gaat om een grote hoeveelheid gegevens van LinkedIn-accounts, waaronder mailadressen, telefoonnummers, links naar andere sociale media en - typisch voor LinkedIn - professionele gegevens. Er zouden geen creditcardinformatie of andere meer administratieve en financiële gegevens bij zitten.

Het bestand werd gevonden op een hackersforum, waar het te koop is aangeboden. De aanbieders zeggen dat het gegevens van 500 miljoen gebruikers bevat. Als 'sample' heeft de groep erachter 2 miljoen van deze gegevens gelekt...

...de aanbieders zeggen dat het om geschraapte data gaat. Daarbij wordt er niet zozeer ingebroken op een server, maar maken de aanvallers gebruik van ingebouwde (zeer onveilige) tools van de dienst om informatie te verzamelen en samen te brengen.

Dat is ook hoe het bestand van gelekte Facebook-gegevens is samengesteld. En een bestand als dit brengt ongeveer dezelfde gevaren met zich mee als de eerder gelekte gegevens van Facebook. 

Alles bij de bron; DutchIT-Channel


 

De afgelopen week herinnerde ons er weer eens aan dat iedereen online wél iets te verbergen heeft. Dit alles kwam in beweging door de onbedoeld openbaar gemaakte documenten van de verkenners Jorritsma en Ollongren, die de Kamer na de verkiezingen had aangesteld. Hun verslagen van gesprekken, scenario’s of voorstellen gaven een inkijkje in een doorgaans bewust vertrouwelijk gehouden proces...

...Ik hoop dat – nu de gevoeligheid van informatie zo zichtbaar is geworden – misschien ook in andere gevallen wat bewuster met gegevens zal worden omgegaan. Ik hoop ook dat de Kamer hierin de regie neemt. En dat er op het hoogste politieke niveau meer verontwaardiging komt over het feit dat informatie(systemen) in de praktijk zwaar onvoldoende beschermd worden. Er moet een oplossing komen voor de ongekende kwetsbaarheid van data van burgers in ons land...

...Onbedoeld varen hier containerschepen aan data het land uit. Informatie die elders een functie heeft – criminelen rijk maken bijvoorbeeld of buitenlandse overheden inzicht geven in onze samenleving – kan onze veiligheid of stabiliteit ondermijnen. Ook ziekenhuizen en laboratoria vormen een populair doelwit voor cyberaanvallen en digitale inbraken. Groepen of landen azen op de ingrediënten en productieprocessen van Covid-vaccins om ze zelf na te kunnen maken.

Ik kijk niet alleen uit naar een serieus debat in de Tweede Kamer over de kwetsbaarheid van data in ons land, maar vooral ook naar concrete oplossingen. Die kunnen er alleen komen als het probleem wordt gevoeld en tastbaar wordt gemaakt. Tot dan blijven datalekken duizelingwekkend en onduidelijk tegelijk, en krijgen ze te weinig politieke prioriteit.

Alles bij de bron; NRC


 

Het zorgvuldig en technisch kunnen uitwisselen van medische gegevens wordt van steeds groter belang, maar het ontbreekt zorgorganisaties op dit gebied vaak aan kennis en ervaring....

...In de praktijk merken wij dat het zorgorganisaties niet ontbreekt aan wilskracht – het medisch beroepsgeheim is onderdeel van het zorgverlener-DNA en zo oud als de hippocratische eed – maar aan kennis en ervaring over hoe het wettelijk kader zich moet manifesteren op de werkvloer.

De rechten van patiënten in relatie tot (de bescherming van) hun medische gegevens zijn vastgelegd in een complex geheel van zorg- en privacywetten, waaronder het medisch beroepsgeheim in de Wet op de geneeskundige behandelovereenkomst (“WGBO”). In aanvulling hierop zijn relevante richtsnoeren vastgesteld en geldt bijzondere wetgeving voor gegevensgebruik in het kader van medisch-wetenschappelijk onderzoek. Deze wetten zijn niet nieuw, maar de Algemene Verordening Gegevensbescherming (“AVG”) legt zorgaanbieders aanvullende verplichtingen op die in de context van voornoemde specifieke zorgwetten moeten worden vormgegeven.

In deze juridisch-technische complexiteit ligt de uitdaging voor het veld. Hoe kunnen we zorgen voor een duurzaam data- en privacy beleid in zorgorganisaties waarbij zowel de zorg als de patiënt centraal staan?....

...De eerste stap van zorgorganisaties is wat ons betreft goed te onderzoeken wat wél kan binnen het huidige wettelijke stramien en de huidige technologische oplossingen, bijvoorbeeld op het gebied van logging of authenticatie. Goed gegevensgebruik in de zorg is ten slotte een zeer belangrijke randvoorwaarde voor het verlenen van verantwoorde (digitale) zorg. Daarover kan geen discussie bestaan.

Alles bij de bron; ZorgVisie


 

Ziekenhuizen, biotechbedrijven en farmabedrijven hebben de taak gevoelige informatie te beschermen - van persoonlijke patiëntgegevens tot waardevol eigen onderzoek - van bekwame tegenstanders die gevoelige gegevens willen stelen, verkopen of afpersen van slachtofferorganisaties.

Zoals het gezegde luidt, hoeven hackers maar één keer gelijk te hebben. Een succesvolle phishing-e-mail kan een kettingreactie van ransomware veroorzaken die elk bestand dat het aanraakt, versleutelt. Een enkele insider met onbeperkte toegang tot bestandsshares kan duizenden of zelfs miljoenen documenten kopiëren, wijzigen of verwijderen.

Om een licht te werpen op gegevensbeveiliging in de life sciences-ruimte, heeft Varonis het Healthcare Data Risk Report 2021 ontwikkeld. Het bedrijf onderzocht daarbij de staat van gegevensbeveiliging - on-premise, cloud en hybride omgevingen - voor zorginstellingen, waaronder ziekenhuizen, biotech- en farmaceutische bedrijven. 

Enkele belangrijke bevindingen uit het onderzoek: Bijna 20% van alle bestanden staat open voor elke medewerker. De gemiddelde zorgorganisatie heeft 31.000 gevoelige bestanden die voor iedereen toegankelijk zijn. Gemiddeld staat meer dan 1 op de 10 gevoelige dossiers open voor iedere medewerker. 77% van de bedrijven die we hebben ondervraagd, heeft 500 of meer accounts met wachtwoorden die nooit verlopen.

Alles bij de bron; DutchIT


 

Huawei heeft jaren geleden onbeperkt toegang gehad tot klant- en facturatiegegevens van telecombedrijf Telfort. Dat blijkt uit een onderzoek van Telforts moederbedrijf KPN uit 2011.

KPN onderzocht destijds een nieuwe klant- en facturatieomgeving van Telfort, die door Huawei werd beheerd. Uit het onderzoek bleek dat Huawei regelmatig bestanden uit de klantomgeving haalde. Het is niet duidelijk hoeveel gegevens daadwerkelijk zijn opgeslagen en wat ermee is gebeurd, omdat niet werd bijgehouden wat er precies uit de systemen gekopieerd werd.

Telfort-klanten zijn er niet over ingelicht en het is niet bij de Autoriteit Persoonsgegevens gemeld. Dat was in die tijd nog niet verplicht. Het is niet bekend of er opnieuw een onderzoek wordt ingesteld. 

Alles bij de bron; NU


 

Een beveiligingsonderzoeker is door het combineren van verschillende kwetsbaarheden erin geslaagd toegang te krijgen tot het interne netwerk van Facebook. Het socialmediabedrijf heeft de problemen inmiddels verholpen en onderzoeker Alaa Abdulridha voor zijn bugmelding met een beloning van 47.300 dollar beloond.

Abdulridha had eerder al een kwetsbaarheid in een interne applicatie van Facebook gevonden waardoor hij toegang tot de applicatie en het beheerderspaneel wist te krijgen. Deze applicatie wordt binnen Facebook door de juridische afdeling gebruikt. Facebook verhielp dit probleem. Voor zijn tweede aanval richtte de onderzoeker zich opnieuw op deze applicatie.

Abdulridha rapporteerde de problemen op 9 september. Op 26 oktober vroeg het socialmediabedrijf een nieuwe melding te openen waarna er dezelfde dag mitigaties werden doorgevoerd. Op 25 februari van dit jaar kwam Facebook met een volledige oplossing en beloonde de onderzoeker voor zijn bugmelding.

Alles bij de bron; Security


 

Onderzoekers hebben in een systeem waarmee scholen de laptops van hun leerlingen kunnen besturen en monitoren verschillende kwetsbaarheden ontdekt waardoor een aanvaller op hetzelfde netwerk de machines had kunnen overnemen. Het gaat in totaal om vier beveiligingslekken in Netop Vision Pro, die vorige maand door de fabrikant zijn verholpen. 

De onderzoekers ontdekten dat al het netwerkverkeer van de software onversleuteld wordt verstuurd, waaronder Windowswachtwoorden. Het gaat om het wachtwoord dat een docent gebruikt om op de computer van een leerling in te loggen. Screenshots van de desktops van de leerlingen, die de software continu maakt, worden ook onversleuteld verstuurd naar de leraar. Iedereen op het lokale netwerk kan deze screenshots onderscheppen.

Het tweede probleem was dat de commando's die door een docent naar een computer worden verstuurd door een aanvaller zijn te onderscheppen, aan te passen en opnieuw zijn "af te spelen". Zo zou het mogelijk zijn om willekeurige applicaties te starten. De derde kwetsbaarheid maakte het mogelijk voor een aanvaller om zijn rechten te verhogen.

Via de software kunnen docenten op afstand taken op de schoolcomputers van leerlingen uitvoeren, zoals het blokkeren van websites, het installeren of uitvoeren van applicaties en het delen van documenten. Volgens de onderzoekers hoort Netop Vision Pro in de standaardconfiguratie nooit toegankelijk te zijn vanaf het internet. Door de coronapandemie worden schoolcomputers echter op allerlei netwerken aangesloten, wat het aanvalsoppervlak vergroot.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha