Databeveiliging & Dataverlies

Het Amerikaanse dna-laboratorium DNA Diagnostics Center (DDC), dat voor mensen wereldwijd dna-tests uitvoert waaronder in Nederland, heeft de persoonlijke informatie van 2,1 miljoen mensen gelekt. Op 6 augustus ontdekte DDC dat een aanvaller een gearchiveerde database had gestolen met de persoonlijke informatie van mensen die tussen 2004 en 2012 is verzameld.

De actief gebruikte databases van DDC zijn niet gecompromitteerd, zo laat de verklaring verder weten. Volgens DDC heeft de aanvaller tussen 24 mei en 28 juli van dit jaar mogelijk bepaalde bestanden en mappen uit de database verwijderd.

Na ontdekking van het datalek werd verder onderzoek uitgevoerd. Daaruit bleek dat de aanvaller naam, socialsecurity-nummer en andere persoonlijke informatie heeft gestolen in combinatie met rekeningnummer of creditcardnummer en accountgegevens, waaronder mogelijk wachtwoorden, zo meldt het openbaar ministerie van de staat Maine.

Alles bij de bron; Security


 

Een nieuw in Nederland ontwikkeld platform moet het mogelijk maken voor internetgebruikers om op een privacyvriendelijke wijze versleuteld bestanden te versturen. Via Cryptify is het op dit moment mogelijk om bestanden tot maximaal twee gigabyte te delen. Gebruikers vullen hun eigen e-mailadres in en dat van de ontvanger. De opgegeven ontvanger ontvangt vervolgens via e-mail een downloadlink.

Om als ontvanger de bestanden te kunnen ontsleutelen en downloaden moet met de IRMA-app een qr-code worden gescand. IRMA staat voor 'I Reveal My Attributes' en is een soort van gepersonaliseerd paspoort dat op de telefoon van de gebruiker wordt opgeslagen. Gebruikers kunnen allerlei persoonlijke attributen aan de IRMA-app toevoegen, zoals naam, adresgegevens, geboortedatum, BSN, telefoonnummer, e-mailadres of onderwijsidentiteit. Ook vanuit sociale media zoals LinkedIn, Twitter en Facebook kunnen gegevens worden geladen.

Via de IRMA-app geeft de ontvanger alleen zijn e-mailadres vrij, om aan te tonen dat hij daadwerkelijk de ontvanger van het gedeelde bestand is. "Het mooie aan Cryptify is dat bestanden direct in de browser van de verzender worden versleuteld, voordat ze naar een server worden gestuurd”, zegt Arjen Zijlstra, één van de ontwikkelaars. "Op die manier kunnen kwaadwillenden niet bij de bestanden, zelfs niet als ze de server hacken."

Alles bij de bron; Security


 

Panasonic onderzoekt een datalek nadat een aanvaller toegang tot een fileserver van de elektronicagigant kreeg. In een melding laat het bedrijf weten dat het de ongeautoriseerde toegang op 11 november ontdekte (pdf), maar veel details worden niet gegeven. Volgens de Japanse publieke omroep NHK had de aanvaller bijna vijf maanden toegang tot de server voordat die werd opgemerkt.

Op dit moment wordt onderzocht of het om persoonlijke informatie gaat en/of gevoelige bedrijfsgegevens. 

Alles bij de bron; Security


 

De erotische webcamsite Stripchat heeft door een onbeveiligde database de privégegevens van miljoenen gebruikers en modellen gelekt. De gebruikersdatabase, die door onderzoeker Bob Diachenko werd gevonden, bevatte 65 miljoen records bestaande uit e-mailadres, gebruikersnaam, ip-adres, internetprovider, registratiegegevens, laatste inlog en saldo. Gebruikers van de website kunnen modellen tipgeld betalen.

Daarnaast trof Diachenko ook nog een modellendatabase aan met 421.000 records, bestaande uit gebruikersnaam, geslacht, tipbedragen en stripscore. Een transactiedatabase met 134 miljoen records bevatte informatie over gekochte tokens en door gebruikers betaalde tips, waaronder privétips. Verder vond de onderzoeker een moderatiedatabase met 719.000 chatberichten die naar modellen waren gestuurd, waaronder privé en openbare berichten. Elk record bevatte het gebruikers-ID van de gebruiker die het bericht had verstuurd.

De databases maakten deel uit van een Elasticsearch-database die voor iedereen op internet zonder wachtwoord toegankelijk was. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. 

De onbeveiligde database werd op 4 november door zoekmachines geïndexeerd. Een dag later ontdekte Diachenko de database, die vervolgens Stripchat waarschuwde. Op 7 november was de database niet langer beschikbaar.

Alles bij de bron; Security


 

Als je gedomicilieerd bent in Brussel, kan je werkgever, je verzekeraar of je bank in een handomdraai zien of je gevaccineerd bent of niet. Een rijksregisternummer en een postcode. Meer is niet nodig om te weten of een Brusselaar al dan niet gevaccineerd is. Als je die twee gegevens ingeeft op het Brusselse inschrijvingsplatform voor vaccinaties, Bruvax, zie je in één klik of er nog een afspraak vastgelegd kan worden of niet. Kan het wel nog, dan gebeurde de vaccinatie nog niet.

Charta21, een non-profitorganisatie die tijdens de lockdown is opgericht en voor privacy en grondrechten strijdt, stuurde maandagavond een brief naar de Brusselse Gemeenschappelijke Gemeenschapscommissie (GGC) met de dringende vraag ‘onmiddellijk een einde te stellen aan het datalek’.

‘Veel organisaties hebben het rijksregisternummer van hun klanten of werknemers’, zegt Charta21-voorzitter Hubert Petre. ‘Het gaat om werkgevers, bankiers, verzekeraars en gemeentepersoneel. Met het rijksregisternummer bij de hand is het ongelofelijk simpel om te zien of iemand gevaccineerd is of niet. Een flagrante schending van de privacy en een datalek van medische gegevens.’

Alles bij de bron; DataPanik


 

Transavia krijgt een boete van 400.000 euro van de Autoriteit Persoonsgegevens wegens de slechte beveiliging van persoonsgegevens, die leidde tot een lek van zeker 83.000 klantgegevens. 

De privacywaakhond vindt het zeer ernstig dat een hacker in 2019 toegang kon krijgen tot persoonsgegevens van 25 miljoen mensen door het systeem binnen te dringen met een zeer simpel wachtwoord.

Door de slechte beveiliging kon de hacker, toen hij toegang had, gemakkelijk rondsnuffelen binnen andere systemen op het Transavia-netwerk. Zo kreeg de hacker toegang tot systemen waarin hij gegevens van 25 miljoen mensen had kunnen inzien, waaronder naam, geboortedatum, geslacht, e-mailadres, telefoonnummer en vlucht- en boekingsgegevens. Vastgesteld is dat de hacker persoonsgegevens van zo'n 83.000 personen downloadde.

Alles bij de bron; NU


 

Vorige maand is WhatsApp begonnen om end-to-end versleutelde back-ups beschikbaar te maken voor gebruikers. Het externe beveiligingsonderzoek naar deze feature leverde meerdere kwetsbaarheden op, waaronder de mogelijkheid voor aanvallers om back-ups te ontsleutelen. Het onderzoeksrapport is onlangs openbaar gemaakt door securitybedrijf NCC Group, dat het onderzoek uitvoerde.

De onderzoekers van NCC Group ontdekten dat WhatsApp gebruikmaakte van een zwakke 512 bits RSA key signing key, waardoor aanvallers twee diensten van de berichtenapp konden imiteren en zo back-ups van gebruikers zouden kunnen ontsleutelen. Een andere kwetsbaarheid maakte het mogelijk voor een aanvaller om het WhatsApp-wachtwoord en versleutelde back-up-informatie van de gebruiker te achterhalen. In totaal vonden de onderzoekers zeventien kwetsbaarheden en zes "informational findings". 

WhatsApp ging met de onderzoeksresultaten aan de slag en voerde verschillende aanpassingen door. Vervolgens werden deze aanpassingen eind augustus getest. Voor de uitrol van feature zijn vijftien van de gevonden bevindingen verholpen. De resterende problemen hebben een lage impact of zijn informatief. WhatsApp legt in het onderzoeksrapport ook uit waarom deze problemen niet zijn verholpen (pdf).

Alles bij de bron; Security


 

Securityspecialisten van Booking.com vermoedden altijd al dat inlichtingendiensten interesse hadden in klantendata van de website. Maar een spion echt betrappen? Dat was nog nooit gelukt.

...De securitymensen van Booking, doorgaans druk met onschadelijk maken van phishingmails en beschermen van klant- en creditcardgegevens, zijn iets vreemds op het spoor. Zo vreemd, dat ze twee experts van inlichtingendienst AIVD hebben uitgenodigd. 

De securityman heeft bij een controle van een oude server, waarmee het bedrijf nieuwe ideeën voor de website test, verdachte activiteiten opgemerkt. De server had al lang opgeschoond moeten zijn, maar dat is niet gebeurd. Nu gebruikt een onbekende hacker de server om via PIN-codes – unieke codes die horen bij specifieke reserveringen – stiekem informatie over duizenden hotelboekingen op te vragen.

Booking.com heeft vaker te maken gehad met cybercriminelen die azen op de reusachtige hoeveelheid data die de hotelwebsite iedere dag verzamelt. Op de Booking-servers staan van miljoenen klanten naam, e-mailadres en telefoonnummer, wanneer ze met vakantie gaan en met welke creditcards (en codes) ze betalen. 

Doorgaans is het de digitale inbrekers om geld te doen. Deze keer is het anders, beseffen de medewerkers van de securityafdeling begin 2016 als ze de ene na de andere PIN-code in vreemde handen zien vallen. Deze gegevens zijn kapitalen waard op het dark web, waar een levendige handel in gestolen klantgegevens bestaat. Maar er gebeurt niets: het lijkt erop dat de inbreker bij Booking helemaal niet op zoek is geweest naar creditcardnummers.

Hun tegenstander is deze keer groter en moeilijker grijpbaar dan een eenvoudige hacker. Hier zou wel eens een buitenlandse mogendheid achter kunnen zitten. Spionage.

Alles bijde bron; NRC


 

Covid gehad? Een vaccin laten zetten? Of je geboortedatum? Via de CovidScan-app, die horeca- en fitnessuitbaters moeten gebruiken om je coronapas te testen, is het kinderspel om gevoelige medische gegevens te achterhalen.

Privacy-activist Matthias Dobbelaere-Welvaert zegt naar de rechtbank te trekken. 

Sinds maandag moet ook in Vlaanderen in horeca- en fitnesszaken de coronapas getoond worden. Dat via de CovidSafe-app, of een geprint exemplaar. Het is iemand van de zaak of het evenement die moet scannen, en dat via de officiële CovidScan-app. Dan komt de naam van de persoon tevoorschijn die binnen wil, met een groen of rood scherm.

Maar de applicatie heeft ook een profiel voor douane en politie, om terugkerende reizigers te scannen. Die functie is letterlijk voor iedereen beschikbaar, en toont plots ook heel wat meer info. Dat berichtte Data News eind vorige week. Een proef met een eigen smartphone en eigen QR-code bevestigt dat.

“Een caféuitbater kan plots ook iemands geboortedatum zien, of iemand een vaccin heeft gehad, welk vaccin precies, en wanneer de laatste prik was”, waarschuwt Matthias Dobbelaere-Welvaert, advocaat en bezieler van de ngo Ministry of Privacy. “Ik hoor dat ook een recent herstelcertificaat, en dus ook een besmetting, zichtbaar is. Terwijl dat allemaal niet nodig is.”

“Onze vaccinatiestatus is een medisch gegeven en wordt vanuit de GDPR sterk beschermd. Je kunt je afvragen of de uitbater daar veel mee aan kan, maar ook de werkgevers vragen nu al een tijd dat ook zij het CST mogen invoeren.” 

“Je komt dus op een slippery slope terecht waarbij we steeds meer informatie moeten achterlaten. Vorig jaar zijn in horecazaken ook mailadressen en telefoonnummers van klanten gebruikt voor andere doelen dan voor de contacttracing.”

De privacy-activist plant nu een rechtszaak te starten. “De app is gewoon slecht gemaakt."

Alles bij de bron; Gazet-v-Antwerpen


 

De school-app Scoolio heeft via een onbeveiligde API de privégegevens van 400.000 minderjarige leerlingen gelekt. Het ging om het e-mailadres van leerlingen en bij jonge leerlingen ook van hun ouders, gps-locatie waar de app was geopend, schoolnaam en klas, interesses en gebruikersnaam...

...Wittmann waarschuwde Scoolio op 21 september. De app-ontwikkelaar rolde op 25 oktober een oplossing uit. Volgens Wittmann had Scoolio het lek binnen 72 uur moeten dichten en alle gebruikers moeten informeren, zo laat ze tegenover MDR weten. Scoolio bedankt de onderzoeker op de eigen website voor het melden van de kwetsbaarheid en stelt dat het later dit jaar aanvullende beveiligingsmaatregelen zal doorvoeren.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha