Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
In tientallen landen wereldwijd wordt er gebruikgemaakt van corona-apps die gebruikers waarschuwen als ze in contact zijn geweest met een besmet persoon, maar bij veel van deze apps buiten de EU is de privacy niet goed geregeld. Dat stelt securitybedrijf Symantec op basis van eigen onderzoek naar de corona-apps uit 31 landen.
Van de 31 onderzochte corona-apps hebben er 18 toegang tot apparaatgegevens die persoonlijke informatie bevatten, waardoor de identiteit van de gebruiker kan lekken. Het gaat dan om toegang tot de microfoon, kalender, adresboek, wifi-informatie en telefoonservice. Verder blijkt dat 16 van de onderzochte corona-apps gebruikersgegevens onbeveiligd versturen zodat die door aanvallers kunnen worden afgeluisterd.
Van de 18 corona-apps die toegang tot apparaatgegevens hebben komen er vier uit de Europese Economische Ruimte (EER), namelijk Hongarije, Ierland, Noorwegen en Polen. In het geval van het onbeveiligd versturen van data is dit het geval bij twee apps uit de EER, te weten Hongarije en Polen. De Nederlandse CoronaMelder-app is niet in het onderzoek van Symantec meegenomen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De maatschappelijke kosten van verzwakken van versleuteling zijn hoog. Encryptie is hard nodig, vinden
enDigitale beveiliging is een race. Cybercriminelen en buitenlandse geheime diensten proberen voortdurend computers te hacken, geheimen te ontfutselen en data te gijzelen. Cybersecurityfirma’s, de staat en burgers die een moeilijk wachtwoord bedenken, proberen die inbraken te stoppen. Helaas liggen in deze race de beveiligers inmiddels ver achter...
...Dus wat staat de politiek te doen? Welke stappen kan de samenleving nemen om de hackers weer in te halen en de veiligheid van het internet structureel op te voeren? Encryptie aanmoedigen! Want encryptie lijkt zo ongeveer de enige beveiligingsmaatregel te zijn die werkt. Met encryptie kan iedere Nederlander zijn of haar digitale veiligheid significant versterken.
Het is onverstandig om encryptie te verzwakken. Omdat je het meest betrouwbare en breed beschikbare beveiligingsmiddel minder betrouwbaar maakt. Overheden die zelf voortdurend gehackt worden, kunnen ons niet garanderen dat alleen criminelen last zullen hebben van zwakkere encryptie. Het zal ons allemaal raken. Niet doen dus.
Alles bij de bron; NRC
- Gegevens
- Hoofdcategorie: Internet en Telecom
1. Waarom gebruiken niet gewoon WhatsApp?
"Het probleem zit bij de metadata, de extra informatie die aan de berichten hangt", vertelt computerwetenschapper Jeroen Baert. "Facebook weet misschien niet wat er in die berichten staat, maar wel wie ze stuurt, om hoe laat, hoe vaak en naar wie. Als de politie met een gerechtelijk bevel naar Google of Facebook stapt, worden die gegevens vrijgegeven, want zij zijn gebonden aan het recht."
"End-to-end-encryptie (versleuteling waarbij enkel zender en ontvanger de inhoud kunnen lezen, red.) is bovendien maar zo veilig als de uiteindes. Als je een crimineel bij wijze van spreken een telefoon uit zijn handen slaat, dan kan je meelezen", zegt Baert. Cryptofoons of superbeveiligde telefoons, zoals die van Sky ECC, bieden extra bescherming tegen allerlei mogelijke manieren waarop iemand toch zou kunnen meelezen.
2. Zijn alternatieve berichtenapps als Signal en Telegram beter beveiligd?
"Signal wordt gezien als de gouden standaard van beveiligde apps", zegt Baert. "Zij houden echt het minimum minimorum bij van wat nodig is om berichten te versturen. "Telegram is een beetje een raar beestje. Daar is de end-to-end-encryptie niet standaard, je moet die aanzetten. Het bedrijf is van Russische oorsprong en er is weinig bekend over welke beveiliging ze precies gebruiken. Ze doen daar nogal mysterieus over."
3. Bestaat er eigenlijk zoiets als "onkraakbaar"?
"Hoe de politie Sky ECC heeft gekraakt, weten we niet exact. Bij EncroChat (een gelijkaardig bedrijf als Sky ECC dat vorig jaar werd gehackt door de politie, red.) is bijvoorbeeld de updateserver van de telefoons gehackt. Die server werd overgenomen, waardoor de sleutels in handen kwamen van de politie. Eigenlijk heb je de encryptie dan vervangen, niet gekraakt. Mogelijk is hier iets gelijkaardigs gebeurd. Het kan ook dat er ergens een fout is gemaakt bij de implementatie van de versleuteling."
Alles bij de bron; VRT
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een groep hackers zou toegang hebben gekregen tot 150.000 beveiligingscamera's van de Amerikaanse start-up Verkada. Daardoor konden ze live meekijken in ziekenhuizen, gevangenissen, politiebureaus, scholen en bedrijven.
Persbureau Bloomberg kreeg diverse beelden van de hackers toegestuurd. Op camerabeelden die het persbureau mocht inzien was te zien hoe acht zorgmedewerkers een patiënt aan een bed vastbonden in een psychiatrisch ziekenhuis in Florida.
De hackers zeggen dat ze ook mee konden kijken in een gevangenis in Alabama. Daar zou gezichtsherkenning zijn gebruikt om gevangenen te volgen. Ook konden ze meekijken tijdens verhoren op verschillende politiebureaus.
De groep zou toegang hebben tot het volledige videoarchief van alle Verkada-klanten. Ze verklaren de start-up te hebben gehackt om de gebrekkige beveiliging van het bedrijf aan te willen tonen.
Bloomberg heeft Verkada op de hoogte gesteld van het lek. Het bedrijf zegt het incident te onderzoeken. "We hebben alle interne beheerdersaccounts uitgeschakeld om ongeautoriseerde toegang te voorkomen", meldt een woordvoerder.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
De persoons- en adresgegevens van circa negentienduizend gedupeerden met aardbevingsschade aan hun huis in Groningen zijn door een groot datalek bij de Nederlandse Aardolie Maatschappij (NAM) gelekt.
Het overgrote deel van de gegevens die van deze groep gelekt zijn, zijn NAW-gegevens (naam, adres en woonplaats), aldus de woordvoerder. In totaal zijn er van 120 mensen privacygevoelige gegevens zoals e-mailadressen, telefoonnummers of bankgegevens gelekt. De mensen van wie bankgegevens zijn buitgemaakt zijn gebeld door de NAM.
Het bedrijf werd vorige week op de hoogte gebracht van het lek in de software die de NAM gebruikt voor het versturen van grote bestanden, waaronder documenten met gegevens over de afhandeling van de door de gedupeerden ingediende waardedalingsclaims.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een niet goed werkend script zijn de persoonsgegevens van 18.000 inburgeraars gelekt, zo heeft minister Van Engelshoven van Onderwijs laten weten. Inburgeraars kunnen een verzoek doen om te vragen wat hun buitenlandse diploma in Nederland waard is.
De huidige leverancier van dit digitale aanvraagsysteem is een Nederlands bedrijf met een vestiging in Servië, waar de testers en ontwikkelaars werken. Met deze leverancier heeft overheidsinstantie Nuffic een verwerkersovereenkomst afgesloten met de verplichting dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens mogen worden verwerkt. De huidige leverancier gebruikte een script voor het anonimiseren van persoonsgegevens voordat die in de testomgeving komen. Nu blijkt dit script niet goed te hebben gewerkt.
De nieuwe leverancier van het diplomawaarderingssysteem ontdekte vorige maand bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de applicatie op 1 februari 2017. Het gaat om zo'n 18.000 personen. De persoonsgegevens hebben sinds 11 augustus 2020 in de testomgeving gestaan.
Nuffic heeft het datalek bij de Autoriteit Persoonsgegevens gemeld en het meldpunt datalekken van DUO. De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden ook verwijderd, waaronder uit de back-ups. Alle gedupeerde personen zijn gisteren ingelicht, zo stelt de minister.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Hierbij bied ik uw Kamer het onderzoeksrapport “Inventarisatie maatregelen t.a.v. beheer externe gegevensdragers Donorregister” van de Audit Dienst Rijk (ADR) aan. Op 10 maart 2020 is uw Kamer geïnformeerd over het datalek dat zich heeft voorgedaan bij het CIBG ten aanzien van het Donorregister.
Twee fysieke gegevensdragers (externe harde schijven) met daarop een kopie van donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010 lagen niet meer in de kluis waar ze werden bewaard. Na de melding van het datalek bij het ministerie van VWS en de Autoriteit Persoonsgegevens heeft het CIBG de ADR gevraagd onafhankelijk onderzoek uit te voeren...
...Specifiek heeft de ADR geconstateerd dat procedures en werkinstructies voor het bewaren en vernietigen van externe gegevensdragers niet of onvoldoende aanwezig waren. Hierdoor heeft het kunnen gebeuren dat de twee harde schijven zijn verdwenen, zonder dat kan worden nagegaan wat er precies is gebeurd met deze gegevensdragers. De ADR constateerde voor het nieuwe Donorregister dat het ten tijde van het onderzoek nog ontbrak aan een voldoende invulling en borging van het bijbehorend informatiebeveiligingsplan.
Het management van het CIBG geeft aan dit ernstige constateringen te vinden en stelt dat dit niet had mogen gebeuren. De interne sturing op de naleving van de regels omtrent informatiebeveiliging is onvoldoende geweest.
Ik sluit mij hierbij aan. Ook ik vind de bevindingen zeer ernstig. Iedereen moet erop kunnen vertrouwen dat met persoonsgegevens in het Donorregister zorgvuldig en op een goed beveiligde manier wordt omgegaan. Hierin is helaas tekortgeschoten...
...Het CIBG is direct aan de slag gegaan met de constateringen van de ADR en heeft al tijdens het lopende onderzoek de informatiebeveiliging rondom het nieuwe Donorregister verbeterd. Als resultaat hiervan zijn op dit moment de meeste maatregelen die het CIBG diende te nemen al geïmplementeerd. Nu richt het CIBG haar aandacht op de resterende maatregelen en het integreren van de maatregelen in de besturingscyclus van het CIBG om de kwaliteit continu te verbeteren. Op deze manier worden de aanbevelingen van het ADR-onderzoek structureel ingebed in de werkwijze van het CIBG.
Alles bij de bron; RijksOverheid
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een kritieke kwetsbaarheid in de Logix-controllers van fabrikant Rockwell Automation maakt het mogelijk voor aanvallers om op afstand toegang tot industriële systemen te krijgen. Het beveiligingslek, aangeduid als CVE-2021-22681, is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld. Een beveiligingsupdate is niet beschikbaar gemaakt.
Door het beveiligingslek kan een aanvaller de key achterhalen en met elke willekeurige Logix-controller die toegankelijk is verbinding maken. Zo kan de aanvaller zich voordoen als het werkstation dat de Logix-controller bestuurt en de controller bijvoorbeeld met malware infecteren, wat gevolgen voor het productieproces heeft.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is de kwetsbaarheid op afstand te misbruiken en vereist dit weinig kennis. Rockwell adviseert organisaties om de instellingen van hun controller aan te passen en ervoor te zorgen dat die niet direct vanaf het internet toegankelijk is.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Britse cameradienst NurseryCam voor kinderdagverblijven heeft de privégegevens van 12.000 gebruikers gelekt die vervolgens op internet zijn gepubliceerd. Het gaat e-mailadressen, gehashte wachtwoorden, namen en gebruikersnamen. Vanwege het datalek is cameradienst NurseryCam zelf nog altijd offline.
NurseryCam maakt het mogelijk voor ouders om met de camera's van het kinderdagverblijf van hun kind mee te kijken. Zo'n veertig kinderdagverblijven in het Verenigd Koninkrijk maken gebruik van de cameradienst. Ouders installeren een app en kunnen vervolgens via een aangemaakt account hun kind bij het kinderdagverblijf op afstand in de gaten houden.
Recentelijk liet een beveiligingsonderzoeker weten dat de app en het onderliggende platform allerlei kwetsbaarheden bevatten, waardoor onbevoegden zouden kunnen meekijken. Het blijken niet de enige problemen van NurseryCam te zijn. Een aanvaller wist onlangs toegang tot de gebruikersdatabase te krijgen en heeft die vervolgens op internet geplaatst. De database bevat 12.000 unieke accounts van ouders.
De server van de cameradienst is uit voorzorg offline gehaald en ook is de website van NurseryCam offline.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De desktopversie van de end-to-end versleutelde chatapp Keybase liet afbeeldingen van gebruikers onversleuteld in de cache en directories op het systeem achter, ook als gebruikers de bestanden via de normale verwijderoptie of "explode" functie hadden verwijderd. Zo hebben beveiligingsonderzoekers ontdekt. Keybase heeft een beveiligingsupdate uitgebracht om de kwetsbaarheid te verhelpen.
Het probleem deed zich voor bij zowel de Linux-, macOS- als Windowsversie.
"Keybase staat bekend als een end-to-end versleutelde chatapp, wat inhoudt dat gesprekken tussen personen of groepen binnen de app niet onversleuteld op de schijf zouden moeten zijn opgeslagen", aldus onderzoeker Jackson. Hij rapporteerde de kwetsbaarheid aan Keybase, waarna het probleem in versie 5.6.0 voor macOS en Windows en versie 5.6.1 voor Linux werd verholpen. Lokaal opgeslagen en gecachete afbeeldingen worden automatisch door het updaten naar deze versie verwijderd.
Alles bij de bron; Security