Databeveiliging & Dataverlies

Namen van 250 slachtoffers die vorige eeuw werden misbruikt en mishandeld in opvanghuizen die onder leiding stonden van de overheid, liefdadigheidsinstellingen en kerken zijn via een e-mailblunder openbaar geworden. 

Het Interim Advocate's Office, dat slachtoffers en overlevenden van het misbruik vertegenwoordigt, verstuurde afgelopen vrijdag een maandelijkse nieuwsbrief. Daarbij waren 250 namen van de geadresseerden voor andere ontvangers zichtbaar. Interim Advocate Brendan McAllister heeft excuses gemaakt voor het datalek en een onderzoek naar de oorzaak aangekondigd, zo melden de BBC en ITV. Inmiddels is ook de Britse privacytoezichthouder ICO over het datalek geïnformeerd.

Verschillende slachtoffergroepen hebben om zijn ontslag gevraagd, zo meldt The Irish Times. McAllister zegt zich over zijn positie te zullen beraden mocht blijken dat hij verantwoordelijk is voor het datalek.

Alles bij de bron; Security


 

AIS, de grootste mobiele aanbieder van Thailand, heeft een database offline gehaald die realtime miljarden internetgegevens van miljoenen Thaise internetgebruikers lekte. Dat schrijft beveiligingsonderzoeker Justin Paine maandag op zijn blog.

Paine zegt dat hij de database zonder wachtwoord op internet heeft gevonden. Met toegang tot deze database beweert hij dat iedereen "snel een beeld kan schetsen van wat een internetgebruiker (of het complete huishouden) op dat moment aan het doen is".

Op 13 mei waarschuwde Paine al voor de open database. Na een week niets te hebben gehoord, meldde hij de grote beveiligingslek bij ThaiCERT, het coördinatiecentrum voor de beveiliging van computersystemen in Thailand. Kort daarna werd de database ontoegankelijk.

Alles bij de bron; NU


 

Privégegevens van miljoenen gebruikers van de Wishbone-app zijn op internet verschenen. Het gaat onder andere om e-mailadres, gebruikersnaam, telefoonnummer, locatie, geslacht, authenticatietokens voor Facebook en Twitter, profielafbeeldingen en gehashte wachtwoorden.

Via de Wishbone-app kunnen gebruikers content op social media vergelijken en beoordelen, alsmede privéberichten met elkaar uitwisselen. Met name tieners en jongvolwassenen maken er gebruik van. In 2016 werd de app al een keer getroffen door een datalek. Nu zou Wishbone opnieuw slachtoffer van een datalek zijn. De gestolen data werd vervolgens op internet te koop aangeboden.

Eén van de partijen die de data te koop aanbood besloot die vervolgens gratis aan te bieden. Het zou volgens het bericht om data van 40 miljoen accounts gaan. Het is echter onduidelijk of dit aantal klopt. Volgens cijfers van Google is de Androidversie van de app meer dan 5 miljoen keer geïnstalleerd. 

Alles bij de bron; Security


 

Een databank waarop te zien is wie er besmet is het coronavirus, heeft voortaan een paswoord. 
 

Het Riziv nam die beslissing omdat te veel artsen uit nieuwsgierigheid gegevens opvroegen, zonder dat ze die informatie nodig hadden voor hun job. Het gaat om huisdokters die slechts zeer sporadisch actief zijn in de triageposten die tests afnemen. “Een ongewenst neveneffect”, luidt het bij het Riziv. De maatregel is sinds deze week van kracht.

Bron; HLN


 

Bij de dataroof bij EasyJet zijn ook de e-mailadressen en reisplannen van 200.000 Nederlandse klanten gestolen, vertelt een woordvoerder. Van 58 Nederlandse klanten zijn de creditcardgegevens gestolen.

EasyJet maakte dinsdag bekend dat de e-mailadressen en reisplannen van in totaal negen miljoen klanten gestolen zijn. Daarnaast wisten de daders de creditcardgegevens van in totaal 2.208 klanten in handen te krijgen.

Volgens de woordvoerder worden de getroffen Nederlandse klanten uiterlijk op 26 mei benaderd. EasyJet heeft al contact opgenomen met de Nederlandse klanten van wie creditcardgegevens zijn gestolen. "Ze hebben ondersteuning aangeboden gekregen", aldus de woordvoerder.

Alles bij de bron; NU


 

Het kabinet wil de Telecommunicatiewet wijzigen om het delen van telecomdata in de strijd tegen corona mogelijk te maken. De Autoriteit Persoonsgegevens (AP) heeft het voorstel tot wetswijziging beoordeeld en zal haar bevindingen uiterlijk bekendmaken zodra het kabinet het wetsvoorstel publiceert.

“Wij hebben steeds gezegd: de inzet van telecomdata kan alléén als dat in de wet geregeld wordt; volgens de huidige wetgeving is dit namelijk niet toegestaan”, zegt AP-voorzitter Aleid Wolfsen. “Het anonimiseren van de gegevens, waarbij die gegevens bruikbaar blijven voor het RIVM, is in de praktijk onmogelijk. En dit gaat om zeer gevoelige informatie: namelijk wie waar is, dag en nacht. Dit gaat om de privacy van álle Nederlanders, van iedereen met een mobiele telefoon. Daarom is extra zorgvuldigheid geboden.”

“Wij hebben de aangekondigde wetswijziging scherp getoetst”, vervolgt Wolfsen. “Want privacy en de bescherming van je gegevens zijn mensenrechten. Die moeten we goed bewaken. Mocht het advies van de AP onvoldoende zijn verwerkt in het wetsvoorstel, waardoor de privacy niet gewaarborgd is, dan zal de AP dat laten weten vóórdat de Tweede Kamer het voorstel behandelt.”

De effectiviteit van de inzet van telecomdata moet volgens de AP in verhouding staan tot de inbreuk op de privacy. Wolfsen: “Alleen als voorstel voldoet aan de strenge normen van de privacywetgeving geven wij een positief advies.”

Alles bij de bron; BeveilNieuws


 

Honderdduizenden NAS-systemen van fabrikant QNAP zijn door verschillende kritieke kwetsbaarheden op afstand over te nemen en een aanvaller hoeft niet over inloggegevens te beschikken. Eind vorig jaar kwam QNAP al met beveiligingsupdates en onderzoeker Henry Huang die de in totaal 4 beveiligingslekken ontdekte heeft nu de details openbaar gemaakt.

Via de kwetsbaarheden kan een aanvaller zonder inloggegevens willekeurige code met rootrechten op de NAS-systemen uitvoeren. Dat houdt in dat een aanvaller volledige controle heeft en alle bestanden op het systeem kan benaderen. De beveiligingslekken bevinden zich in QNAP Photo Station en CGI-programma's die op de NAS draaien. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die allemaal een 9,8 beoordeeld.

De enige voorwaarde voor het uitvoeren van de aanval is dat het NAS-systeem via internet toegankelijk is en QNAP Photo Station staat ingeschakeld. Photo Station wordt door QNAP omschreven als een online fotoalbum waarmee gebruikers foto's en video op het NAS-systeem met vrienden en familie via het internet kunnen delen. Eigenaren van een QNAP NAS krijgen het advies om de laatste firmware-update te installeren.

Alles bij de bron; Security


 

EasyJet zegt dat de data van zo'n negen miljoen klanten is gestolen. Het bedrijf meldt dat het is gehackt en dat daardoor e-mailadressen en reisgegevens zijn buitgemaakt. In tweeduizend gevallen zijn er ook creditcardgegevens gestolen.

EasyJet meldt in een e-mail aan klanten dat alle slachtoffers worden ingelicht. "Als je geen bericht krijgt, zijn je gegevens niet gestolen", staat in het bericht. 

Het is niet precies duidelijk wat er gebeurd is. EasyJet geeft geen details over die aanval. Ook is niet duidelijk wanneer die plaatsvond, en hoe lang deze duurde. Wel is op Twitter te zien hoe de klantenservice begin april klanten al te woord staat die op dat moment vragen hebben over een mail die ze kregen in verband met een datalek. Inmiddels zouden de inbrekers geen toegang meer hebben tot de data.

Alles bij de bron; Tweakers


 

Eerder deze week werd bekend dat onderzoekers in februari een onbeveiligde Elasticsearch-server op internet hadden gevonden met 90 gigabyte aan persoonlijke informatie. Het ging om tientallen miljoenen records, waaronder e-mailadressen, functieomschrijvingen, namen, telefoonnummers, adresgegevens en socialmediaprofielen. Het was echter onbekend waar de gegevens vandaan kwamen en wie de eigenaar was. 

Nu blijkt dat de gegevens bij Covve vandaan kwamen. Covve omschrijft zichzelf als een "intelligent adresboek" voor het beheren van contacten. In een verklaring laat Covve weten dat het is getroffen door een datalek waarbij de gegevens van een onbekend aantal gebruikers is gecompromitteerd. Op 15 mei ontdekte het bedrijf na een tip van Troy Hunt, van datalekzoekmachine Have I Been Pwned, dat een derde partij ongeautoriseerde toegang tot een uitgefaseerd legacy systeem had gekregen. Daarbij heeft deze derde partij contactgegevens benaderd, zoals namen en contactdetails. 

Inmiddels zijn alle getroffen gebruikers en de Cypriotische privacytoezichthouder geïnformeerd. Verder is er een onderzoek ingesteld naar hoe het datalek zich heeft kunnen voordoen en zullen er aanvullende maatregelen worden getroffen om herhaling te voorkomen. 

Alles bij de bron; Security


 

Verschillende kwetsbaarheden in Thunderbolt 1, 2 en 3 maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde computer om het systeem te ontgrendelen. Dat laat de Nederlandse beveiligingsonderzoeker Björn Ruytenberg van de Technische Universiteit Eindhoven weten.

Het probleem speelt bij alle met Thunderbolt uitgeruste systemen die tussen 2011 en 2020 zijn uitgebracht. Het maakt daarbij niet uit of het doelwit Linux of Windows draait. MacOS is deels kwetsbaar. 

Om de aanval uit te voeren, die door Ruytenberg Thunderspy wordt genoemd, moet een aanvaller het ingeschakelde systeem wel eerst openen. Vervolgens is het door de gevonden kwetsbaarheden mogelijk om de Thunderbolt-firmware te herprogrammeren. Daardoor is het mogelijk om het ingetelde beveiligingsniveau te veranderen, zodat willekeurige Thunderbolt-apparaten worden geaccepteerd. De gemaakte aanpassing is niet zichtbaar voor het besturingssysteem.

Nadat een aanvaller de firmware heeft aangepast kan die zijn eigen Thunderbolt-apparaat aansluiten en zo de schermvergrendeling van de computer omzeilen. De gehele aanval is binnen vijf minuten uit te voeren. De Thunderspy-kwetsbaarheden zijn volgens Ruytenberg niet met een software-update te verhelpen. 

Ruytenberg ontwikkelde een tool voor Linux en Windows genaamd Spycheck waarmee gebruikers kunnen controleren of hun systeem risico loopt. Wie zich tegen een Thunderspy-aanval wil beschermen krijgt het advies om hibernation (Suspend-to-Disk) toe te passen of het systeem volledig uit te schakelen. Gebruikers moeten in ieder geval voorkomen dat ze een vergrendelde computer onbeheerd achterlaten. Wanneer er geen gebruik van Thunderbolt wordt gemaakt doen gebruikers er verstandig aan om de interface via de UEFI/BIOS uit te schakelen.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha