Databeveiliging & Dataverlies

In 2003, toen Bill Burr werkzaam was bij het National Institute of Standards and Technology (NIST), schreef hij een document dat later zou uitgroeien tot de referentie voor beveiliging met wachtwoorden. In de tekst van acht pagina's beschreef hij dat wachtwoorden hoofdletters, speciale tekens en cijfers moeten bevatten. Hij legde ook de eis vast dat wachtwoorden regelmatig moeten veranderd worden.

Nu Burr (72) op pensioen is, verontschuldigt hij zich daarvoor in een opmerkelijk interview in The Wall Street Journal. Hij geeft toe dat die richtlijnen destijds gebaseerd waren op weinig empirische data en dat hij onder druk stond om zijn paper snel af te werken. 'Mensen worden zot van die regels en ze kiezen uiteindelijk toch wachtwoorden die gemakkelijk te kraken zijn', vertelt hij...

...Experts wijzen er al langer op dat je beter een lang en gemakkelijk te onthouden wachtwoord kan gebruiken dan een kort wachtwoord met moeilijk te onthouden tekens. De nieuwe richtlijnen van NIST stellen ook geen limiet meer aan de levensduur van een wachtwoord. 

In de nabije toekomst zullen wachtwoorden meer en meer vervangen worden door biometrische controle, zoals vingerafdrukherkenning en irisscans.

Alles bij de bron; Knack


 

Al een miljoen mensen hebben op de website van de Nederlandse politie gecheckt of bijvoorbeeld hun e-mailadres in handen van kwaadwillenden is. In achthonderd gevallen bleek dat inderdaad zo te zijn. 

Bezoekers moeten op de site hun e-mailadres invullen, waarna wordt gekeken of het mailadres en eventuele andere persoonlijke gegevens voorkomen in de database van door de politie in beslag genomen gegevens. Wanneer iemands gegevens voorkomen in die database, dan stelt de politie de gebruiker na invoer van het e-mailadres op de hoogte. Ook worden er tips gegeven hoe te handelen.

Alles bij de bron; NU


 

Persoonlijke gegevens van zeker honderdduizend leaserijders liggen op straat. De beveiliging van meer dan vijftig leasemaatschappijen was zo slecht, dat namen, adressen, leasecontracten en zelfs bekeuringen te achterhalen waren.

Professionele autodieven gebruiken de adresgegevens om dure auto’s te stelen of om onderdelen te jatten. Het Verzekeringsbureau Voertuigcriminaliteit (VbV), een initiatief van alle Nederlandse verzekeraars ter bestrijding van voertuigcriminaliteit, is onthutst over de gebrekkige beveiliging ,,Met zulke datalekken maak je het voor boeven makkelijk shoppen."

De datalekken kwamen aan het licht doordat het IT-bedrijf ESET uit Sliedrecht voor zijn eigen medewerkers op zoek was naar een nieuwe leasemaatschappij. ,,Normaal moeten we heel ingewikkelde dingen doen, maar in dit geval bleek het binnen een paar minuten kinderlijk eenvoudig om bij de bij leasemaatschappijen toegang te krijgen tot privacygevoelige informatie van anderen, zoals waar je woont, wat voor auto je rijdt en de kilometerstanden. In sommige gevallen bleek je zelfs de historie van bekeuringen te kunnen zien en waar de winterbanden opgeslagen liggen'', aldus Dave Maasland van ESET.

Doordat de leasemaatschappijen één dataserver deelden, kon ESET met een trucje gegevens van alle aangesloten leasemaatschappijen opvragen. ,,Vanwege de hoeveelheid data die lekte, vonden we dit maatschappelijk relevant'', aldus Maasland. ,,Dit gaat om gegevens van 52 leasemaatschappijen en tussen de 180.000 en 250.000 leaserijders."

Alles bij de bron; AD


 

Troy Hunt heeft een verzameling van 306 miljoen gehashte wachtwoorden beschikbaar gemaakt, die websites bijvoorbeeld kunnen gebruiken om gebruikers voor bepaalde wachtwoorden te waarschuwen. Hunt is de man achter Have I Been Pwned. Een zoekmachine waarmee gebruikers in bijna 4 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen.

De gegevens in de database van Have I Been Pwned zijn uit allerlei datalekken afkomstig. Zelf noemt de onderzoeker deze dataset de "Pwned Passwords". Websites kunnen de data gebruiken om gebruikers te waarschuwen als ze een wachtwoord kiezen dat in de dataset voorkomt. 

Alles bij de bron; Security


 

De stichting Efficiënte Processen Schadeverzekeraars (EPS) heeft de MobielSchadeMelden-app uit de lucht gehaald wegens een datalek. Via zoekopdrachten op Google was het mogelijk om een link te vinden naar schademeldingen en schademeldingen te bekijken, zo meldt het Verbond van Verzekeraars.

Afgelopen maandag is geconstateerd dat links naar schademeldingen via zoekopdrachten op Google te vinden zijn. Volgens het Verbond van Verzekeraars zijn er geen aanwijzingen dat het lek daadwerkelijk is gebruikt. Het onderzoek naar het datalek loopt nog. De app is voorlopig uit de lucht gehaald en de Autoriteit Persoonsgegevens is inmiddels ingelicht.

Alles bij de bron; Security


 

De Lochemse PvdA maakt zich zorgen om de privacy van de bewoners van Lochem. Met name op het vlak van de afvalinzameling. 

Een inwoonster liet weten dit jaar verhuist te zijn. Nadat ze een nieuw 'Mijn Circulus-Berkel'-account te hebben aangemaakt, kon ze terugkijken in de geschiedenis van de vorige bewoners. Iets wat haar niets aangaat, zoals ze ook zelf liet weten aan de partij.

Circulus-Berkel liet na haar melding weten dat het niet mogelijk is om de historie te wissen of te verbergen. De registratie van de afvalophaling gaat namelijk op basis van adressen en niet op die van bewoners.

De PvdA wil graag weten van de gemeente of deze manier van data bewaren is toegestaan. Mocht dit niet legaal zijn, wil ze graag weten hoe dit wordt gestopt. De gemeente Lochem heeft nog niet gereageerd op de vragen.

Alles bij de bron; LokaalGelderland


 

E-mailprovider Riseup gaat alle e-mails van gebruikers voortaan versleuteld opslaan, zodat het die niet kan overhandigen als de FBI hier om vraagt. De Amerikaanse opsporingsdienst had de provider vorig jaar om informatie over twee e-mailadressen gevraagd, zo is nu bekendgemaakt.

De rechter had daarnaast een zwijgbevel opgelegd zodat Riseup hier niets tegen de betreffende gebruikers of de buitenwereld mocht vertellen. De periode dat het zwijgbevel van kracht was is nu afgelopen, waarop de provider besloten heeft om naar buiten te treden. 

De provider wil geen toegang meer hebben tot de accounts van gebruikers. Alle nieuwe e-mailaccounts bij Riseup worden daarom voortaan versleuteld opgeslagen. Alleen de gebruiker heeft zodoende toegang tot zijn e-mails. De provider benadrukt dat het hier niet om end-to-end-encryptie gaat. Daarvoor is nog steeds een client met OpenPGP vereist, zo laat het weten. Dit jaar wil Riseup echter een uitgebreider "endot-endsysteem" uitrollen.

Alles bij de bron; Security


 

EUR-studenten vinden hun online privacy belangrijk, maar besteden er naar eigen zeggen te weinig aandacht aan. Zo zijn gratis en gemakkelijk te gebruiken diensten als Gmail en Whatsapp populair, terwijl veiligere diensten nauwelijks gebruikt worden. Dat en meer blijkt uit een door EM uitgevoerde enquête onder 220 studenten over hun online gedrag en hoe ze tegen hun privacy bij de EUR aankijken (zie infographics voor de resultaten).

Directe aanleiding was de hack van de EUR-website in november. In het magazine van EM, dat vandaag verschijnt, vertellen EUR-medewerkers Roeland Reijers en Marlon Domingus daarom hoe de universiteit met persoonsgegevens van studenten omgaat en de doorgevoerde verbeteringen sinds de digitale inbraak. 

Studenten willen graag hun privacy op internet beschermen, maar ze handelen er zelden naar. Meer dan een derde, 37 procent, geeft eerlijk toe er ‘te weinig’ aan te doen. Een iets kleinere groep (33 procent) zegt zich er juist actief mee bezig te houden. Toch betekent dat niet dat ze Facebook, Gmail of Whatsapp, wat notoire privacyschenders zijn, links laten liggen.

Zo gebruikt slechts 6 procent Signal, een veiliger alternatief voor Whatsapp. Ook e-mailen gaat bijna uitsluitend via gratis diensten, terwijl die het niet zo nauw nemen met jouw privacy. Maar liefst 97 procent appt en 79 procent facebookt. Ook e-mailen doet 97 procent via de gratis diensten Gmail of Hotmail, die graag je gegevens met derden delen.

Alles bij de bron; ErasmusMag


 

Ethisch hacker Inti De Ceukelaire heeft een nieuw tooltje klaar. Wie op Facebookscanner.com iemands profiel invoert krijgt onmiddellijk de mogelijkheid om bijvoorbeeld alle foto’s te zien waarin iemand getagd is, zelfs als is die persoon niet bevriend met u. Voorts kan u ook zien welke foto’s, video’s of statussen iemand leuk heeft gevonden.

Zelfs geheime groepen waar u lid van bent, ontsnappen niet aan de aandacht van Facebookscanner. “Mensen denken dat ze met een geheime groep niets prijsgeven”, vertelt De Ceukelaire. “Maar zo gaat dat niet bij Facebook. Pas als je je groep gesloten maakt, dan pas kunnen enkel leden de berichten zien. En dus niet gans de wereld.”

De ethische hacker maakt voor zijn website gebruik van Graph Search, een tool die Facebook in 2013 aanvankelijk voor iedereen lanceerde, maar al snel terug inperkte omwille van privacy problemen. Die functie werd volgens De Ceukelaire echter nooit helemaal verwijderd. “Mijn tool genereert voor elke situatie de juiste link en stuurt de gebruikers vervolgens door naar het juiste verborgen stukje Facebook. En dat is perfect legaal”, aldus De Ceukelaire.

Alles bij de bron; NieuwBlad [Thnx-2-Luc]


 

Het Kadaster kampt met slepende computerproblemen, met als gevolg onacceptabel grote veiligheidskwesties. Dat blijkt uit interne directierapporten die in bezit zijn gekomen van het Financieele Dagblad.

Er zou een reële kans zijn dat onbevoegden met de informatie kunnen rommelen. 'Het risico bestaat dat Kadasterdiensten onveilig zijn voor klanten of informatie toegankelijk is of muteerbaar is voor personen die hier geen toegang toe mogen hebben,' meldt de Kadaster-directie intern in stukken waar Het Financieele Dagblad de hand op heeft gelegd. In het meest recente interne veiligheidsrapport (24 november 2016) wijzen directie en het managementteam op liefst tien veiligheidsthema's waar de ict 'substantiële' en 'hoge risico's' oplevert. Die zijn zo groot dat ze 'buiten de risicoacceptatie' vallen.

Het Kadaster worstelt al jaren met de veiligheid van haar ict, blijkt uit een rapportage over het vierde kwartaal van 2015. Daaruit blijkt dat accountantskantoor Deloitte al in 2012 de rode kaart trok voor de veiligheidsissues. Accountantsorganisatie KPMG hamerde in haar managementletters aan de directie van 2013 en 2014 op verbetering.

Tegenover het FD bevestigt de woordvoerder van het Kadaster dat de krant twee 'zeer kritische' stukken van de directieraad van het Kadaster in bezit heeft. Het oplossen van de veiligheidsissues heeft volgens de woordvoerder 'zeer hoge prioriteit'. Eind van het eerste kwartaal van dit jaar moet driekwart van de zwaarste problemen zijn teruggebracht naar beheersbare proporties.

Notarisorganisatie KNB noemt de problemen in een reactie zorgwekkend, omdat wat in het Kadaster staat als waarheid geldt. Een goed functionerend Kadaster is essentieel voor de onroerendgoedmarkt. Notarissen zijn grootgebruikers van Kadaster-informatie.

Bron; BNR


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha