Databeveiliging & Dataverlies

Hackers hebben een reeks hackmethodes buitgemaakt bij FireEye, een van de grootste cybersecuritybedrijven in de Verenigde Staten. FireEye gebruikte de hackmethodes om de beveiliging van klanten te testen, waaronder overheidsinstanties. 

Het gaat volgens de topman om een zeer geavanceerde hackoperatie, die volgens het bedrijf mogelijk is uitgevoerd door de regering van een ander land. De hackers hebben ook interesse getoond in een aantal overheidsinstanties die klant zijn bij FireEye, schrijft de topman. FireEye gebruikte de gestolen hackmethodes om kwetsbaarheden in veelgebruikte software uit te buiten.

Volgens Microsoft laat de hack zien dat de beveiligingsindustrie meer moet samenwerken tegen "goed gefinancierde actoren". De FBI heeft nog niet gereageerd op vragen over het incident.

Alles bij de bron; NU


 

De criminele groepering die de backupsystemen van de gemeente Hof van Twente in gijzeling heeft, wil 750 duizend euro om de bestanden weer vrij te geven. De hackers zeggen dat ze 40 terabyte aan backup met gemeentelijke informatie hebben, zoals de financiële administratie, e-mails en persoonlijke gegevens van burgers, en dat ze tevens data hebben gestolen...

...De gemeente en de politie hebben zelf geen contact opgenomen met de criminele groepering. Dat is opmerkelijk, omdat al dagen bekend is dat de backupsystemen zijn versleuteld. De hackers lieten een bericht achter waarin ze vroegen om contact. ‘Hello, need data back? Contact us fast.’

Burgemeester Ellen Nauta (CDA) zegt dat de beslissing om daar niet op in te gaan, is genomen op advies van de politie. Nauta: ‘De politie heeft uitdrukkelijk verzocht om hen de tijd te geven onderzoek te doen. Dat advies heb ik gerespecteerd.’...

...Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken. Vanaf vrijdag is het onderzoek overgenomen door een externe partij, NFIR. Burgemeester Nauta bevestigt dat de politie pas zaterdag toegang kreeg tot de computersystemen.

Alles bij de bron; Volkskrant


 

De beveiliging van medische dossiers van het Bravis Ziekenhuis in Roosendaal faalde jarenlang terwijl het dit niet in de gaten had. Een secretaresse van het ziekenhuis heeft gedurende tenminste vier jaar onrechtmatig in medisch dossiers van bekenden gekeken. De medewerkster had zonder behandelrelatie vrijwel onbeperkt toegang tot de medische dossiers.

De secretaresse bekeek tussen juni 2014 en juli 2018 in totaal 347 keer de medische dossiers van de ex-vrouw van haar partner. Zij richtte een uitgeverij op die in eigen beheer een boek uitgaf van haar partner. Deze ‘wraakroman’ beschreef de vechtscheiding van haar man met zijn ex-vrouw waarin medische details over de voormalige partner zijn verwerkt. 

Het slachtoffer ontdekte in 2018 zelf het datalek toen ze bij het ziekenhuis informeerde wie er inzage in haar dossier had gehad. De secretaresse bleek ook tienmaal noodprocedures te hebben gebruikt om in haar dossier en dat van haar moeder en dochter te kijken. Deze procedures bestaan zodat personeel in spoedgevallen medische dossiers kan inzien. De noodtoegang bij de betrokken dossiers is het Bravis-ziekenhuis nooit opgevallen. 

Het slachtoffer heeft het ziekenhuis inmiddels aansprakelijk gesteld vanwege nalatigheid. Het is de eerste keer dat een patiënt een ziekenhuis aanklaagt om een datalek.

Alles bij de bronnen; NRC1 & NRC2


 

De gemeente Hof van Twente is getroffen door een cyberaanval en sinds dinsdag niet meer bereikbaar, meldt de gemeente op haar website. De gemeente zegt niet om wat voor cyberaanval het gaat, maar het lijkt om ransomware te gaan.

"Onbekende derden hebben toegang gekregen tot al onze systemen en onze servers ontoegankelijk gemaakt. We kunnen veel van deze gegevens als onbruikbaar beschouwen", zegt burgemeester Ellen Nauta.

Volgens de gemeente zijn er bij de aanval ook allerlei persoonsgegevens getroffen. Het gaat om 'soms zeer privacygevoelige informatie', maar de gemeente wil niet zeggen wat daar precies mee gebeurd is. De gemeente zegt dat het mogelijk nog maanden nodig heeft voor het de uitkomsten van het onderzoek naar de aanval kan toelichten.

Ondertussen is er een melding gemaakt bij de Autoriteit Persoonsgegevens, de politie en zelfs het ministerie van Binnenlandse Zaken. De gemeente probeert ondertussen de dienstverlening weer op te starten, al kan het dat sommige aanvragen langer kunnen duren. De gemeente is van plan een compleet nieuwe ict-infrastructuur op te bouwen.

Alles bij de bron; Tweakers


 

De patiëntdossiers van 243 miljoen Brazilianen waren een tijd toegankelijk door een fout van het ministerie van Volksgezondheid. Het aantal getroffen mensen overstijgt de ruim 212 miljoen inwoners van het land. Dat komt volgens de krant doordat er ook gegevens van overleden personen in de database stonden. 

De fout zat in een COVID-19-registratiesysteem. Het wachtwoord voor de dossiers was zes maanden lang eenvoudig te vinden in de code van de site. Daarmee zou een onbevoegde toegang kunnen krijgen tot onder meer de volledige namen, adressen en telefoonnummers van de miljoenen Brazilianen. 

Onder meer de gegevens van de president Jair Bolsonaro en andere hooggeplaatste medewerkers van de Braziliaanse regering stonden in de database. In sommige gevallen voorkwam een speciale VIP-status dat de gegevens open en bloot op straat lagen.

Alles bij de bron; NU


 

Hackers zijn erin geslaagd toegang te krijgen tot persoonlijke gegevens van leden van wielerbond KNWU. Het gaat om een hack in de oude MijnKNWU-omgeving, meldt de bond. De hackers eisen losgeld. De KNWU, die aangifte heeft gedaan bij de politie en de Autoriteit Persoonsgegevens heeft ingeschakeld, zegt daar niet op in te gaan.

"Enerzijds omdat er wel back-ups van deze data zijn gemaakt en deze data alleen historische gegevens bevat. Anderzijds omdat het betalen van dit losgeld op geen enkele wijze de zekerheid geeft dat de data niet alsnog wordt gebruikt voor andere doeleinden", schrijft de KNWU op de website. Daarop staan tips voor de gebruikers, die onder meer wordt geadviseerd zo snel mogelijk hun gebruikersnaam en wachtwoord te wijzigen.

Bron; LeeuwarderCourant


 

De privégegevens van miljoenen Braziliaanse coronapatiënten zijn door een fout op internet gelekt. Het ging om het burgerservicenummer, adresgegevens, telefoonnummer en eventuele bestaande aandoeningen, zoals diabetes, hartproblemen, kanker en hiv, van zestien miljoen mensen die vermoedelijk of bevestigd met corona besmet zijn geraakt. In de dataset werden de gegevens van de Braziliaanse president Jair Bolsonaro en verschillende ministers aangetroffen.

Het datalek ontstond door een medewerker van een ziekenhuis die een spreadsheet met gebruikersnamen en wachtwoorden op zijn GitHub-pagina had geplaatst. Met de inloggegevens kon er toegang tot twee overheidssystemen worden verkregen met daarin de gegevens van de vermoedelijke en bevestigde coronapatiënten.

Na te zijn ingelicht werden de inloggegevens van de GitHub-pagina verwijderd en in de systemen aangepast. Volgens het ziekenhuis gaat het om een menselijke fout en wordt er een onderzoek naar het datalek ingesteld.

Alles bij de bron; Security


 

Antivirusbedrijf Sophos heeft klanten gewaarschuwd voor een datalek dat ontstond door een probleem met toegangsrechten. Dat blijkt uit een e-mail die klanten ontvingen. De virusbestrijder is gewezen op een probleem met een tool die wordt gebruikt voor het opslaan van de gegevens van klanten die contact met de helpdesk opnemen.

Daardoor waren gegevens van een "klein deel" van de Sophos-klanten voor derden toegankelijk. Het gaat om naam, e-mailadres en telefoonnummer. Sophos zegt in de e-mail aan klanten dat het stappen heeft genomen waardoor de informatie inmiddels weer is afgeschermd. 

Alles bij de bron; Security


 

Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Alles bij de bron; Security


 

Staatssecretaris Paul Blokhuis (Volksgezondheid, Welzijn en Sport) is bezorgd over de beveiliging van persoonsgegevens in de jeugdzorg. Tot zijn schrik kwam onlangs opnieuw een groot datalek aan het licht bij Kenter. Notabene op vergelijkbare wijze als in april 2019 konden onbevoegden toegang tot persoonsgegevens krijgen. En dat terwijl het datalek gemakkelijk was te voorkomen. Dat maakt deze affaire extra pijnlijk.

Begin oktober bleek uit onderzoek van RTL Nieuws dat buitenstaanders gemakkelijk toegang konden krijgen tot de dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg. Voor het grijpen lagen de volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.

Naar aanleiding van het vorige datalek bij SAVE Utrecht heeft het expertisecentrum voor cybersecurity in de zorg (Z-CERT) een domein naam check gedaan. De jeugdhulpaanbieders werden opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020. Ze ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam had eenvoudig kunnen worden voorkomen, stelt de staatssecretaris in antwoord op Kamervragen. 

Jeugdzorg Nederland had zijn achterban eerder al gewaarschuwd voor het risico van niet goed afgesloten domeinnamen. 

Alles bij de bron; Computable


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha