Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
Naar aanleiding van een tip van haar Duitse collega’s in Brandenburg is de Autoriteit Persoonsgegevens (AP) een onderzoek gestart naar een mogelijk datalek bij Tesla. Daarbij zouden, dat meldt de Duitse krant Handelsblatt, niet alleen gegevens van klanten, waaronder ook bankgegevens, maar ook bedrijfsgegevens op straat komen te liggen.
De Duitse krant kwam het lek op het spoor doordat ‘insiders’ 100GB aan data naar de krant stuurden. Die zouden afkomstig zijn uit de IT-systemen van Tesla. De persoonsgegevens van klanten die in de gestolen data zit is op sommige vlakken behoorlijk gedetailleerd. Handelsblatt spreekt over gelekte bankgegevens, maar ook, telefoonnummers en privé emailadressen. Daarnaast staan ook veel persoonlijke en zakelijke gegevens van Tesla medewerkers in de gelekte of gestolen data. Zoals Burgerservicenummers en salarissen.
De reden dat de Duitse privacy waakhond contact gezocht heeft met de AP heeft alles te maken met het feit dat het Europese hoofdkantoor van Tesla in Amsterdam zetelt.
Alles bij de bron; DutchCowboys
- Gegevens
- Hoofdcategorie: Internet en Telecom
Toyota had de database van een van zijn clouddiensten tien jaar lang online staan zonder wachtwoord. In die database staat informatie van meer dan twee miljoen 2,15 miljoen Japanse gebruikers. Dat zijn bijna alle klanten die zich sinds 2012 hebben ingeschreven voor T-Connect, of G-Link in het geval van Lexus-auto's.
Met T-Connect, dat ook smartphoneapps omvat, kunnen gebruikers navigeren, acculading uitlezen en plannen, het klimaat in de wagen voorbereiden op een rit en hulp onderweg inschakelen indien nodig.
Het is de tweede maal in korte tijd dat Toyota zich in een dergelijke situatie bevindt. Vorig jaar bleek dat een deel van de broncode van de Toyota Connect-website vijf jaar lang beschikbaar is geweest via een openbaar GitHub-account. In de broncode zat een sleutel die toegang verschafte tot een server met klantgegevens van 296.000 mensen. Daarbij ging het om e-mailadressen en klantnummers.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een technische fout hebben tientallen inwoners met een betalingsachterstand per ongeluk de brief van een ander ontvangen. Daarbij zijn privacygevoelige gegevens bij de verkeerde personen terechtgekomen. De privacy officer van de gemeente heeft het incident gemeld bij de Autoriteit Persoonsgegevens.
Dat schrijft wethouder van Kansengelijkheid, Jeugd en Onderwijs Abdelhaq Jermoumi in een brief aan de gemeenteraad (pdf).
“Bij het uitprinten van de brieven zijn pagina’s verschoven doordat er een lege scheidingspagina toegevoegd is in het bestand om een splitsing te kunnen maken naar de verschillende wijken. Inwoner A heeft een brief ontvangen met een Engelstalige voorkant voor hem/haar zelf en een Nederlandstalige achterkant voor inwoner B. Vervolgens heeft inwoner B een brief ontvangen met Engelstalige voorkant voor hem/haar zelf en een Nederlandstalige achterkant voor inwoner C. En zo verder.”
Alles bij de bron; VPNGids
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Amerikaanse leverancier van elektronische patiëntendossiers en software voor huisartspraktijken, heeft de gegevens van meer dan een miljoen patiënten gelekt. Het gaat om naam, geboortedatum, adresgegevens en social-securitynummers van 1.049.375 personen die via gestolen inloggegevens konden worden buitgemaakt.
In een verklaring aan gedupeerden stelt NextGen dat het op 30 maart verdachte activiteit op het kantoorsysteem ontdekte. Verder onderzoek wees uit dat een "onbekende derde partij" van 29 maart tot 14 april ongeautoriseerde toegang tot opgeslagen persoonlijke informatie had. Volgens NextGen heeft het onderzoek geen bewijs opgeleverd dat de aanvaller toegang tot elektronische medische dossiers of gezondheidsgegevens had.
Er wordt niets gezegd over de oorzaak, maar in een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine staat dat het datalek mogelijk was doordat de aanvaller over inloggegevens beschikte die ergens anders zouden zijn gestolen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt is een kritieke kwetsbaarheid gevonden waardoor het mogelijk is voor een aanvaller om de instellingen, configuraties, software en testresultaten op afstand aan te passen. Het gaat om verschillende producten die van de Universal Copy Service van fabrikant Illumina gebruikmaken en wereldwijd in gebruik zijn, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
De kritieke kwetsbaarheid, aangeduid als CVE-2023-1968, zorgt ervoor dat de apparaten verkeer van elk ip-adres accepteren. Een ongeauthenticeerde aanvaller kan zo ook met de poorten communiceren die remote communicatie mogelijk maken, zonder dat er enige authenticatie is vereist. Voorwaarde is wel dat de aanvaller op hetzelfde netwerk als de apparatuur zit. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Energieleverancier Vattenfall heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een inhuurkracht toegang tot de persoonlijke gegevens van dertigduizend klanten kreeg en deze mogelijk aan fraudeurs doorspeelde. Ook getroffen klanten zijn inmiddels ingelicht. Eind vorig jaar waarschuwde Vattenfall klanten al voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters.
Nu blijkt er opnieuw een dergelijke situatie zich te hebben voorgedaan. Een inhuurkracht van een externe partij kon via het digitale archief dat wordt gebruikt om brieven op te slaan toegang tot de persoonsgegevens van zo'n dertigduizend klanten krijgen. "Hierdoor kunnen klantgegevens bij derden zijn beland, om misbruik van te maken", aldus de energieleverancier in een bericht met de titel "Fraude met klantdata".
De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, telefoonnummer, en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatum. Volgens Vattenfall kunnen deze gegevens worden misbruikt voor bankhelpdeskfraude en phishing. Bij meerdere gevallen van bankhelpdeskfraude, waarbij slachtoffers voor tienduizenden euro's werden bestolen, bleek dat oplichters over lijsten met persoonsgegevens van slachtoffers beschikten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Criminelen die wisten in te breken op de systemen van de Australische kredietverstrekker Latitude en daar de gegevens van veertien miljoen klanten wisten te stelen, hebben losgeld geëist. Dat heeft Latitude in een update over de datadiefstal bekendgemaakt. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland.
Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. In een update meldde Latitude dat de gegevens van veel meer klanten zijn gestolen.
Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt...
... De Nieuw-Zeelands privacytoezichthouder is niet te spreken over het datalek en de werkwijze van Latitude. "Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is." Volgens de databeschermingsautoriteit laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren. " Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Inwoners van de IJmond die bij Omgevingsdienst Noordzeekanaalgebied melding maakten van overlast van Tata Steel, lopen kans dat hun persoonsgegevens op straat liggen. Het meldpunt is onderdeel geweest van een datalek.
Op 29 maart ontving de OD NZKG een e-mail van een ethische hacker, die aangaf dat hij gegevens kon inzien van de personen die een overlastmelding hebben gedaan via de meldingentool en het Meldpunt overlast Tata Steel. Hierbij ging het om voor- en achternaam, woonadres, telefoonnummer, e-mailadres en de coördinaten van de melding van gebruikers.
Samen met de leverancier van de applicaties is onderzoek gedaan naar de kwestie. De kwetsbaarheid is inmiddels verholpen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Alle personen die een overlastmelding hebben gedaan via de genoemde tools zijn per mail geïnformeerd.
Alles bij de bron; IJmuiderCourant
- Gegevens
- Hoofdcategorie: Internet en Telecom
Wifi-routers kunnen pakketjes bedoeld voor mobiele telefoons en laptops in een queue plaatsen, bijvoorbeeld als het apparaat in kwestie in de slaapstand staat. Wanneer de client in de slaapstand staat, om zo energie te besparen, zal de router de gebufferde frames later versturen.
Onderzoekers Domien Schepers en Aanjhan Ranganathan van de Northeastern University en Mathy Vanhoef van de KU Leuven hebben nu een aanval ontwikkeld waarbij ze wifi-routers kunnen misleiden om de frames die nog in de queue staan in plaintext te laten lekken, of in versleutelde vorm, maar dan met een all-zero key, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is.
De onderzoekers laten ook zien hoe ze via deze "fundamentele ontwerpfout" een dos-aanval kunnen veroorzaken, waardoor bijvoorbeeld een verbonden smartphone de verbinding met de wifi-router verliest.
Tevens is het mogelijk om de securitycontext van frames te controleren en overschrijven, waardoor frames die nog in de queue moeten worden geplaatst worden versleuteld met een door de aanvaller gekozen key. Op deze manier wordt de wifi-encryptie in zijn geheel omzeild. De onderzoekers roepen dan ook op tot een betere beveiliging ronden het queuen van frames door wifi-apparaten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het beheer van onze data is de laatste jaren uitgegroeid tot een heet hangijzer. Idealiter zijn onze gegevens in ons eigen bezit én makkelijk te gebruiken. Dat klinkt eenvoudig, maar in de realiteit ligt dit ingewikkelder.
Welke alternatieven zijn er op dit moment? En wat kunnen we verwachten van een initiatief als de Nederlandse Datakluis? De Technoloog gaat in gesprek met journalist Peter Olsthoorn, schrijver van het boek Baas over Eigen Data.
Alles bij de bron; BNR