Databeveiliging & Dataverlies

Het lekken van persoonlijke informatie die bij de Nederlandse politie- en defensieleverancier Abiom door een ransomwaregroep werd gestolen heeft naar verwachting een beperkte impact, zo stelt minister Yesilgöz van Justitie en Veiligheid. Vorig jaar werd het bedrijf slachtoffer van de LockBit-ransomwaregroep, waarbij de aanvallers allerlei gegevens buitmaakten en vervolgens online publiceerden. De VVD wilde onder andere van de minister weten wat de impact van het datalek was.

Ze stelt dat Abiom geen kopieën van paspoorten van politieambtenaren, verdachten, verbalisanten en benadeelden vanuit de politie heeft ontvangen. De informatie die de ransomwaregroep publiceerde betreft in het geval van de politie kentekens van voertuigen en een zeer beperkt aantal zakelijke e-mailadressen van medewerkers. De gegevens stonden op facturen van Abiom aan de politie.

De minister laat verder weten dat het Digital Trust Center (DTC) van de overheid Abiom om meer informatie over de aanval heeft gevraagd, maar nog geen reactie heeft ontvangen.

Alles bij de bron; Security


 

Meer dan tachtigduizend Nederlanders hebben zich inmiddels aangesloten bij de massaclaim tegen het ministerie van Volksgezondheid over het datalek bij de GGD. Dat laat stichting ICAM weten, de partij die de rechtszaak is gestart. De komende maanden kunnen mensen zich via datalek-ggd.nl aanmelden voor de claim en zich zonder kosten inschrijven. 

Vorig jaar bleek dat callcentermedewerkers van de GGD toegang hadden tot de privégegevens van ruim 6,5 miljoen Nederlanders. Deze data werd via Telegram te koop aangeboden. Uiteindelijk werden meerdere GGD-medewerkers aangehouden waarvan er verschillende al zijn veroordeeld. Volgens de stichting heeft het ministerie van Volksgezondheid een onaanvaardbaar risico genomen met de persoonsgegevens van miljoenen mensen.

De stichting meldt op Twitter dat het inmiddels diverse meldingen heeft ontvangen die erop duiden dat er van gestolen persoonsgegevens misbruik wordt gemaakt. Het zou daarbij ook om gegevens van kinderen gaan. Binnenkort komt ICAM met een update over de massaclaim en stand van zaken.

Alles bij de bron; Security


 

Meer dan de helft (55%) van de Nederlandse consumenten vindt dat dataprivacy onmogelijk is in het digitale tijdperk waarin we nu leven. Dat blijkt uit de nieuwe Unisys Security Index™, wereldwijd het langstlopende veiligheidsonderzoek onder 11.000 consumenten, waaronder 1.000 uit Nederland. 

Zo blijkt uit het onderzoek dat zeven van de tien (73%) werknemers zich onprettig voelen bij één centrale ruimte waarin biometrische gegevens worden opgeslagen voor verificatiedoeleinden door een commerciële partij. Dit percentage is iets lager wanneer de overheid (65%) of een bank (64%)  deze gegevens in een centrale plek opslaat voor verificatiedoeleinden.

Daarnaast voelt bijna driekwart van de respondenten (73%) zich oncomfortabel bij organisaties die hun dynamisch gedrag, zoals de manier waarop ze hun toetsenbord gebruiken, inzetten voor verificatiedoeleinden. Zes van de tien werknemers (58%) voelen zich bovendien niet fijn bij het gebruik van hun vingerafdruk, iris of gezichtsherkenning voor verificatiedoeleinden van organisaties.

Jeroen Zonnenberg, Team Lead Security Consulting bij Unisys: “Uit de resultaten van de Unisys Security Index blijkt dat Nederlanders erg weinig vertrouwen hebben in dataprivacy....”

Alles bij de bron; Emerce


 

De app My2022 die deelnemers aan de Olympische Spelen van Peking verplicht zijn te gebruiken om gegevens aangaande hun gezondheid door te geven, blijkt een aantal cruciale beveiligingsproblemen te hebben. Verkeer van en naar de app waarin zaken als paspoortgegevens en medische details worden gedeeld, kan hierdoor worden onderschept.

Het Citizen Lab van de Universiteit van Toronto ontdekte dat de zogeheten SSL-certificaten in de app niet worden gevalideerd. Dat is de codering die wordt gebruikt voor beveiliging, zodat onbevoegden geen toegang hebben tot informatie terwijl deze wordt verzonden.

Daarnaast kan de encryptie van spraakaudio en bestandoverdrachten worden omzeild. Tevens blijken serverreacties te kunnen worden nagemaakt, waardoor hackers vervalste instructies aan gebruikers van My2022 kunnen versturen. Ten slotte blijken op de app gevoelige zoekwoorden als 'Tibet' en 'Xinjiang', verwijzend naar de situatie van de Oeigoeren, te kunnen worden gedetecteerd.

Mensenrechtenorganisatie Human Rights Watch spreekt inmiddels van de Orwelliaanse Spelen. Sophie Richardson, leider van het Chinese programma binnen HRW, maakt zich ernstige zorgen om de huidige gang van zaken.

Alles bij de bron; NOS


 

Vorig jaar zijn de privégegevens van ruim 6,7 miljoen gebruikers van de website OpenSubtitles.org gestolen via een zwak beheerderswachtwoord. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen, geografische locaties en met het MD5-algoritme gehashte wachtwoorden...

...De aanvaller eiste losgeld, anders zou hij de data openbaar maken, wat inmiddels ook is gebeurd.

Van de 6,7 miljoen toegevoegde e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security


 

Safari 15 kan de recente browsegeschiedenis en sommige persoonlijke informatie, zoals het Google-account van de gebruiker, lekken naar andere websites.Het gaat om een fout in IndexedDB, een onderdeel van Safari waarmee websites bepaalde data op het apparaat van de gebruiker kunnen opslaan, en later weer kunnen opvragen. Daardoor laden sites bij latere bezoeken bijvoorbeeld sneller.

Er zit een veiligheidsmaatregel in IndexedDB, waardoor sites niet van elkaar kunnen zien welke data zij in de browser hebben opgeslagen en in Safari 15 werkt die veiligheidsmaatregel niet goed. Daardoor kunnen andere sites gedeeltelijk zien welke data er door die IndexedDB zijn opgeslagen. 

De identiteit van gebruikers kan bovendien achterhaald worden als zij inloggen bij diensten van Google. De unieke Google User ID staat in de titel van de bestanden die in IndexedDB worden opgeslagen. Met die unieke Google User ID is dus de naam van de gebruiker ongemerkt te koppelen aan het browsegedrag, met allerlei malafide mogelijkheden tot gevolg.

De kwetsbaarheid werd ontdekt door online fraudebestrijder FingerprintJS.

Alles bij de bron; RTL


 

DatPiff, een online distributieplatform voor mixtapes, heeft de gegevens van 7,5 miljoen gebruikers gelekt, die nu op internet te koop worden aangeboden. Naast e-mailadressen bevat de aangeboden data ook gekraakte wachtwoordhashes, gebruikersnamen en securityvragen en antwoorden.

De wachtwoorden waren voorzien van een statische salt en gehasht via het zwakke MD5-algoritme en zijn na de diefstal gekraakt. Van de 7,5 miljoen toegevoegde e-mailadressen was 81 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security


 

Een Amerikaanse journalist die door het bekijken van html-broncode een datalek in een overheidssite ontdekte zal waarschijnlijk worden vervolgd, zo denkt gouverneur Mike Parson van de Amerikaanse staat Missouri. Door het datalek waren social-securitynummers en andere gevoelige informatie van meer dan honderdduizend leraren voor iedereen op internet toegankelijk.

Via de website van het ministerie van Onderwijs van Missouri is het mogelijk om op leraren te zoeken en hun diploma's en referenties te bekijken. De social-securitynummers en andere gegevens van meer dan honderdduizend leraren waren niet op de betreffende pagina's direct zichtbaar, maar wel via de html-broncode te achterhalen.

Een verslaggever van de St. Louis Post-Dispatch, tevens webontwikkelaar, ontdekte en meldde de kwetsbaarheid aan het ministerie, waarna de zoektool werd uitgeschakeld en de code aangepast.

Vervolgens publiceerde de journalist, die in totaal drie social-securitynummers had bekeken, het verhaal over het datalek. Parson was zeer ontstemd over de werkwijze van de journalist en publicatie en dreigde met juridische stappen. Oorspronkelijk was de staat van plan om de journalist voor zijn melding te bedanken, maar daar werd in de uiteindelijke verklaring van afgezien, zo meldt de St. Louis Post-Dispatch.

Alles bij de bron; Security


 

Gevoelige bestanden van game-uitgever SEGA waren opgeslagen in een publiek toegankelijke server, ontdekten onderzoekers van VPNGids.nl. Daardoor kregen onderzoekers toegang tot onder meer data van 250.000 leden van het forum Football Manager. Het is niet bekend hoeveel Nederlandse gebruikersgegevens toegankelijk waren. 

Onder de gebruikersgegevens waren onder meer IP-adressen en e-mailadressen. Onderzoekers kwamen erachter dat ze mails konden versturen vanuit het officiële mailaccount van Football Manager. 

SEGA werd direct na de ontdekking van de kwetsbaarheden op de hoogte gebracht. Inmiddels zijn de meeste problemen verholpen.

Alles bij de bron; NU


 

De app Amigos, waarmee veel spontane huisfeestjes worden georganiseerd, lekte maandenlang de privégegevens van zijn honderdduizenden gebruikers. Het was onder andere mogelijk om hun exacte locatie op te vragen, mee te lezen met privégesprekken, namen en wachtwoorden buit te maken.

Het lek in de app is ontdekt door Sten Lankreijer, een 21-jarige student aan de Technische Universiteit Eindhoven "Ik keek wat voor gegevens de app verstuurt en ontvangt en zag al snel dat je die data kunt manipuleren", vertelt hij. 

Het lukte Lankreijer op die manier om zichzelf beheerder van Amigos te maken. Daarmee had hij toegang tot alle gegevens van de gebruikers. Hij kon ook pushberichten namens de app sturen naar gebruikers, uit naam van anderen berichten sturen en evenementen organiseren, en ook die gewilde sterren ongelimiteerd uitdelen.

Als beheerder was het eveneens mogelijk om e-mails te sturen waarmee gebruikers hun wachtwoord opnieuw moeten instellen. Een cybercrimineel zou deze functie kunnen misbruiken om wachtwoorden van gebruikers te stelen.

Het lek in de app is een week na de melding door Amigos gedicht.

Alles bij de bron; RTLNieuws


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha