Databeveiliging & Dataverlies

GGD, Facebook, Allekabels.nl: de datalekken van grote hoeveelheden persoonlijke gegevens tuimelen over elkaar heen. Daar reageren velen nonchalant op – ten onrechte, kunnen slachtoffers vertellen...

...In eerdere oplichtingstrucs die op haar Hotmail of mobiel nummer binnenkwamen, trapte ze niet. Ze is niet gek. Maar bij haar zoon die zogenaamd in nood was, liet ze alle argwaan varen.  

Zoals vele anderen die iets soortgelijks hebben meegemaakt, heeft ook Nina geen flauw idee hoe de oplichters aan haar mailadres en telefoonnummer zijn gekomen. Toch is daar wel iets over te zeggen. Het is niet ondenkbaar dat ze het slachtoffer is geworden van een datalek.

Haar Hotmail-adres komt voor in een groot lek uit 2017 van genealogiewebsite MyHeritage, waarbij adressen en wachtwoorden werden buitgemaakt. Verder komt haar adres voor in een datalek uit 2019 van Verifications.io, een dienst die wordt gebruikt voor het verifiëren van mailadressen. Bij dit lek zijn destijds ook telefoonnummers en andere persoonlijke gegevens buitgemaakt.

Voor Nina is dit nieuw. Ook de politie geeft haar tijdens haar aangifte deze informatie niet. De dienstdoende wijkagent is naar eigen zeggen ‘niet van de cyber’...

...De Fraudehelpdesk, waar Nina ook aanklopte, ziet het totaal aantal meldingen van digitale fraude stijgen. Een vergelijkbaar geluid komt van de Autoriteit Persoonsgegevens, die ‘een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens’ meldt. 

De afgelopen maanden is er veelvuldig nieuws over datalekken, zoals bij Facebook, LinkedIn en Viruswaarheid. Met al die persoonlijke informatie die op straat ligt of te koop is op hackersfora kunnen oplichters zich overtuigend voordoen als een bekende (vriend of familielid) of als een vertrouwde instantie zoals een bank. Gooien oplichters bij phishing (een nepbericht dat hengelt naar persoonlijke gegevens) een net uit in de hoop dat iets blijft hangen, gericht mikken levert allicht meer op. Spearphishing, noemen ict-beveiligers dat ook wel.....

....Niet de lakse burger, maar de datahonger van bedrijven en overheden is het grote probleem, betoogt Evelyn Austin, directeur van burgerrechtenorganisatie Bits of Freedom. ‘Iedere keer wordt het probleem bij de consument neergelegd.’ Die moet volgens haar woedend zijn, omdat het een politieke keuze is om de handhaving een wassen neus te laten zijn.

Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cyber Security van de Erasmus Universiteit, zoekt de verbetering in een andere richting: bij het bedrijfsleven zelf. ‘Het probleem is dat veel bedrijven enthousiast beginnen met het verzamelen van data van burgers en pas daarna gaan nadenken over cybersecurity. Terwijl de kennis van cybersecurity bij de softwareleverancier ligt.’ De verantwoordelijkheden van de leverancier moeten dan ook groter worden en worden vastgelegd in duidelijke afspraken, zegt Nieuwesteeg.

Alles bij de bron; Volkskrant


 

Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om postgerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.

Meer dan 90 procent van de gemelde datalekken had betrekking op de door het UWV verzonden post. Dan is er bijvoorbeeld een verkeerd adres op de envelop terecht gekomen, of een verkeerde bijlage aan de brief toegevoegd. 

De Sociale Verzekeringsbank (SVB) schrijft in haar jaarverslag dat ze jaarlijks miljoenen brieven met persoonlijke informatie van burgers verstuurt. Daarbij komt het voor dat brieven niet of bij de verkeerde persoon bezorgd worden. Het afgelopen jaar meldde de instantie 353 postgerelateerde datalekken bij de Autoriteit Persoonsgegevens. Daarnaast zijn er nog 93 datalekken met een andere oorzaak gemeld bij de toezichthouder. 

Dat blijkt uit de jaarverslagen van het UWV en de SVB, die dinsdag naar de Tweede Kamer zijn gestuurd.

Alles bij de bron; VPNGids


 

De Autoriteit Persoonsgegevens (AP) heeft onderhoudsbedrijf CP&A een boete opgelegd van 15.000 euro vanwege overtredingen bij het verwerken van gezondheidsgegevens van zieke werknemers. CP&A hield bij wat de oorzaak was van het ziekteverzuim. Daarmee verwerkte het bedrijf meer gezondheidsgegevens dan was toegestaan. Bovendien was de verzuimregistratie onvoldoende beveiligd, deze was online toegankelijk, zonder enige vorm van authenticatie. 

De verzuimregistratie van CP&A bevatte zeer gevoelige informatie over de fysieke en/of mentale gezondheid van werknemers. Zoals de namen van ziektes, specifieke klachten en pijnaanduidingen. Met kennis over iemands fysieke en emotionele toestand zou een werkgever een oordeel kunnen vellen of beslissingen kunnen nemen die grote impact hebben op een werknemer.

De privacywetgeving verbiedt om informatie over de aard en oorzaak van iemands ziekmelding te registreren. Een werkgever mag er ook niet naar vragen. Dat is aan de arbodienst of de bedrijfsarts.

Alles bij de bron; AutoriteitPersoonsgegevens


 

In plaats van wc-rollen te hamsteren, snelden Amerikanen zich de afgelopen week naar tankstations om benzine in te slaan. 

De aanleiding voor dit gehamster was minder lollig. Afgelopen week kwam het pijpleidingennetwerk Colonial Pipeline, dat bijna de helft van de Amerikaanse oostkust van brandstof voorziet, plat te liggen. 

Criminelen slagen er steeds vaker in om via kleine gaatjes en kwetsbaarheden binnen te dringen in softwaresystemen. Universiteiten, ziekenhuizen en gemeenten werden al eerder de dupe. In Finland dreigden hackers de persoonlijke patiëntendossiers van mensen die psychiatrische hulp hadden gekregen online te zetten. Ditmaal richtten ze zich op de tienduizenden getroffen patiënten zelf, in de hoop dat publicatie van hun dossiers over zelfmoordpogingen, drugsgebruik, of angstaanvallen hen snel tot betaling zou aanzetten.

Patiëntendossiers, belastingdatabanken of betalingssystemen: ze zijn alle gedigitaliseerd zonder dat het helder is of de ingekochte technologie wel voldoet aan de hoogste veiligheidsstandaard. Blind erop vertrouwen dat softwarebedrijven voor voldoende bescherming zorgen, werkt hier niet. Zeker niet als klanten, zoals ziekenhuizen, dure software-updates niet kunnen betalen.

Voor inkopers of gebruikers van software zijn dit soort complexe systemen niet te doorgronden. En doordat ICT-bedrijven maar beperkt publiekelijk informatie delen over gehackte producten, blijven de risico’s bestaan en worden beschermingsmaatregelen niet genomen.

Hoe groot de risico’s van kwetsbare software zijn, is geen verrassing. Als mogelijk rampzalig resultaat van een cyberaanval door criminelen of een vijandige staat is al vaker het raken van kritieke infrastructuur genoemd. Nu kun je nog lachen om mensen die in paniek een tasje benzine komen halen. Maar misschien zijn de gevolgen van de volgende cyberaanval wel fataal.

Alles bij de bron; NRC


 

Het is mogelijk dat er méér gegevens van honderden Alkmaarders zijn bekeken tijdens een inbraak in het mailsysteem van de gemeente vorig jaar. Het gaat onder meer rekeningnummers, adressen en geboortedatums. Dat valt allemaal te lezen in een brief die de gemeente Alkmaar aan inwoners heeft gestuurd.

De phishing kwam in december aan het licht nadat een medewerker op een neplink klikte. De mailbox was daardoor enige tijd toegankelijk en kon worden ingekeken door onbevoegden. In februari meldde de gemeente dat het onderzoek naar de phishingmail bijna was afgerond. Nu blijkt dus dat er mogelijk meer gegevens zijn gelekt dan in eerste instantie bekend was.

De gemeente waarschuwt Alkmaarders 'alert' te zijn, omdat de kans groot is dat de gegevens zijn ingezien door mensen die er misbruik van willen maken. "Pas bijvoorbeeld op bij e-mails van een onbekende of onbetrouwbare afzender. Vaak worden gegevens namelijk ook wéér gebruikt voor phishing."

Alles bij de bron; NHNieuws


 

DSIT, moederbedrijf van webshops zegt slachtoffer te zijn geweest van een hack waarbij onder meer naw-gegevens en versleutelde wachtwoorden zijn buitgemaakt. 

Het datalek was op 6 april, maar op dinsdag zeggen meerdere tweakers in een GoT-topic een mail van het webshopbedrijf te hebben ontvangen. In die mail geeft DSIT aan dat er na een hack ongeoorloofde toegang is geweest tot klantgegevens. In het forumtopic zeggen tweakers sinds medio april phishingmails te ontvangen die gericht zijn aan mailadressen die voor DSIT-webshops zijn gebruikt. Het gaat onder meer om betalingsverzoeken die ogenschijnlijk in naam van DSIT-webshops zijn verzonden.

Onder DSIT vallen ServerKast.com, PatchKast.nl, PatchKast.com, PatchKast.be, UTP-Kabel.nl en Glasvezel-kabel.com. Het is niet bekend of alle webshops door de hack zijn getroffen en van hoeveel klanten er data is gestolen. Onder de mogelijk gelekte data vallen naam en bedrijfsnaam, eventuele btw-nummers, e-mailadressen, telefoonnummers en ordergegevens zoals producten en aantallen. 

Bij de aanval zijn mogelijk ook wachtwoorden gelekt. Deze waren versleuteld, afhankelijk van de activiteit was dit met een SHA- of een MD5-hash.

Alles bij de bron; Tweakers


 

De Britse overheid heeft via een website waar mensen een afspraak voor een coronavaccinatie kunnen maken de vaccinatiestatus van burgers gelekt. Via de website van de National Health Service (NHS) kunnen burgers via hun NHS-nummer een afspraak maken. Wanneer dit nummer niet voorhanden is volstaan wat basale identiteitsgegevens, namelijk naam, geboortedatum en postcode. Tijdens dit proces wordt ook de vaccinatiestatus van de gebruiker getoond.

Iedereen die wat persoonlijk informatie van een vriend, collega of onbekende heeft kan zo de vaccinatiestatus van deze persoon achterhalen, terwijl dit eigenlijk vertrouwelijke medische informatie hoort te zijn. Voor werkgevers zou het eenvoudig zijn om te achterhalen wie van hun personeel wel of niet gevaccineerd is, zo meldt The Guardian.

Verder blijkt dat bij gebruikers die via hun huisarts een eerste vaccinatie hebben ontvangen maar nog geen tweede afspraak hebben gepland, de website het mogelijk maakt om zonder enige verdere verificatie een tweede afspraak te plannen. "Dit is een zeer ernstige tekortkoming in het beschermen van de medische vertrouwelijkheid van patiënten in een tijd dat dit niet belangrijker had kunnen zijn", zegt Silkie Carlo, directeur van Big Brother Watch.

Alles bij de bron; Security


 

Wegens een privacyprobleem met CoronaMelder is het tijdelijk niet mogelijk voor besmette gebruikers om waarschuwingen naar andere gebruikers te versturen. Daartoe heeft demissionair minister De Jonge van Volksgezondheid besloten, zo laat de Rijksoverheid via de eigen website weten en wordt ook gemeld door Ron Roozendaal, cio en directeur informatiebeleid van het ministerie van Volksgezondheid.

Gisteren maakten onderzoekers van AppCensus bekend dat gevoelige data van corona-apps toegankelijk is voor voorgeïnstalleerde apps op Androidtoestellen. Informatie van de apps, waaronder uitgezonden en ontvangen codes van andere gebruikers, wordt in de systeemlog van Android opgeslagen, waar honderden third-party apps toegang toe hebben. Deze apps zouden de informatie kunnen uitlezen en koppelen aan de gebruiker. Het probleem is niet aanwezig op iOS.

Google is al meer dan zestig dagen geleden door de onderzoekers over het probleem ingelicht, maar had gisteren nog geen update uitgerold, waardoor de onderzoekers hun bevindingen openbaar maakten. Vandaag besloot het ministerie het waarschuwen via de app twee dagen stop te zetten. 

Volgens het ministerie is er mogelijk sprake van een datalek. "Derden zouden deze codes niet moeten kunnen verzamelen en inzien. Op telefoons die gebruik maken van het Google Android operating systeem is dit wel mogelijk. Apps die meegeleverd werden met een telefoon konden vaststellen of de telefoon in bezit is van iemand die eerder als besmet is gemeld in CoronaMelder en welke ontmoetingen met besmette personen hebben plaatsgevonden. Hiervoor moeten deze codes gecombineerd worden met andere databronnen, wat in strijd is met de Tijdelijke wet notificatieapplicatie covid-19."

Alles bij de bron; Security


 

 

Passwordstate, een wachtwoordmanager voor bedrijven, is getroffen door een supply chain attack. De aanvallers zaten ongeveer 28 uur lang in de leveringsketen van de software, maar hoeveel van de meer dan 29.000 klanten getroffen zijn, is niet bekend.

De aanvallers braken in bij de systemen van ontwikkelaar ClickStudios en plaatsten daar een software-update voor de self-hosted-wachtwoordmanager. Die vervalste update bevatte een aangepaste versie van 'Moserware.SecretSplitter.dll', met een 'Loader' aan boord die contact zocht met een server die in handen was van de aanvallers. Daar zou de malware de payload ophalen, maar het is onbekend wat daarin zou zitten; CSIS heeft die niet kunnen bemachtigen omdat de server al offline is.

ClickStudios heeft een onbekend aantal klanten per e-mail op de hoogte gebracht en treedt naar buiten met een publiekelijk bericht. In dat bericht stelt het dat de malware onder andere gebruikersnamen, wachtwoorden en een lijst van draaiende processen naar de server van de aanvallers zou sturen. 

Het Australische bedrijf komt met een hotfix om het geïnfecteerde bestand te vervangen. Ook raadt het aan om alle wachtwoorden te vervangen bij aan het internet blootgestelde systemen, interne infrastructuur en alle wachtwoorden die in Passwordstate opgeslagen staan.

Alles bij de bron; Tweakers


 

Onderzoekers hebben een fout in Apples AirDrop ontdekt waardoor het e-mailadres en het telefoonnummer van een gebruiker kan lekken naar iedereen in de buurt. Mits ze een apparaat hebben dat wifi-signalen kan opvangen, natuurlijk.

AirDrop lekt gegevens naar nabijgelegen apparaten op het moment dat een gebruiker bestanden deelt, schrijft de Technische Universiteit Darmstadt. Je kan met AirDrop bestanden delen met apparaten die vlakbij zijn.

Om zeker te zijn dat je niet zomaar bestanden naar een vreemde stuurt, checkt de app welke apparaten in de buurt toebehoren aan iemand van je contactlijst. Voor deze vergelijking vraagt AirDrop e-mailadressen en telefoonnummers op van apparaten in de buurt en kijkt of de zender en ontvanger bij elkaar in de contactlijst staan. De data die voor die vergelijking nodig is, is volgens de TU Darmstadt niet goed versleuteld. Een kwaadwillende zou zo deze informatie kunnen onderscheppen.

Het lek is al sinds mei 2019 bekend. 

Alles bij de bron; RTL


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha