Databeveiliging & Dataverlies

Cruisemaatschappijen Holland America Line, Carnival Cruise Line en Princess Cruises zijn getroffen door een datalek nadat een aanvaller toegang wist te krijgen tot e-mailaccounts van moedermaatschappij Carnival Corp. Er zijn aanwijzingen dat er misbruik van de gestolen data wordt gemaakt. Dat blijkt uit een datalekmelding die het bedrijf deed bij de procureur-generaal van de Amerikaanse staat Montana (pdf).

Volgens Carnival Cruise heeft een aanvaller op 19 maart toegang tot een aantal e-mailaccounts gekregen. In deze accounts was persoonlijke informatie aanwezig van gasten en medewerkers. Het gaat onder andere om namen, adresgegevens, telefoonnummers, paspoortnummers, geboortedatum, gezondheidsinformatie en nationale identificatienummers. Hoe de aanvaller kon inbreken op de accounts is niet bekendgemaakt.

Alles bij de bron; Security


 

Onbekenden hebben toegang gekregen tot een database van Qualifio, een bedrijf dat online formulieren aan sites levert. Hierdoor zijn persoonsgegevens van zeker 5100 Bnnvara- en VPRO-leden en -abonnees uitgelekt. Van een deel zijn ook bankrekeningnummers uitgelekt.

Mogelijk zijn er ook gegevens van andere bedrijven gelekt, aangezien Qualifio veel klanten had. Op de website van het bedrijf staan bedrijven als Mailchimp, Adobe, Salesforce, Nestlé, MediaMarkt en L'Oréal vermeld. Het is niet duidelijk of deze bedrijven daadwerkelijk slachtoffer zijn van het datalek. 

Het datalek ontstond na een update waardoor een Qualifio-database 'een aantal dagen' openbaar toegankelijk was. Qualifio bevestigt volgens de omroep dat deze gegevens ook daadwerkelijk zijn benaderd. Het gaat om naam- en adresgegevens, geboortedata en bankrekeningnummers. Deze gegevens zijn door 'onbevoegden' buitgemaakt, schrijft de omroep. Het lek zou inmiddels gedicht zijn.

Alles bij de bron; Tweakers


 

Labonovum, een aanbieder van bloed-, speeksel- dna- en urinetesten, heeft de privégegevens van duizenden klanten gelekt. Het zou volgens NU.nl gaan om de namen, e-mailadressen, woonplaatsen en postcodes van naar schatting ruim zesduizend mensen. De site werd via een tipgever erop gewezen dat de persoonsdata via de website van Labonovum voor iedereen toegankelijk waren.

Het bedrijf biedt via PostYourLab verschillende testpakketten, onder andere om te testen op corona-antistoffen. De website laat het volgende weten: "Download je gegevens tijdig. De resultaten blijven 30 dagen beschikbaar. Daarna worden je gegevens verwijderd." Aan de hand van de gevonden data blijkt dat niet zo te zijn. De directeur van Labonovum laat in een reactie weten dat die tekst niet goed omschrijft hoe het bedrijf met persoonlijke gegevens omgaat. Labonovum zal gegevens voortaan wel na dertig dagen verwijderen.

Labonovum is van plan om alle gedupeerde klanten vandaag te informeren en aangifte bij de politie te doen. Het bedrijf kijkt nog of het de Autoriteit Persoonsgegevens moet waarschuwen.

Alles bij de bron; Security


 

De Autoriteit Persoonsgegevens (AP) heeft een bedrijf een boete van € 15.000,- opgelegd, omdat het in een verzuimsysteem bijhield welke klachten zieke medewerkers hadden. Daarnaast was het systeem ook niet voldoende beveiligd.

Gezondheidsgegevens zijn bijzondere persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming. Dat betekent dat het verwerken van die persoonsgegevens in principe verboden is, tenzij sprake is van één van de uitzonderingen genoemd in de wet.

Zo is het verboden dat de werkgever vragen stelt aan de zieke werknemer die gaan over de aard en/of de oorzaak van de ziekte. Ook als de medewerker deze informatie op eigen initiatief verstrekt, mag deze informatie niet worden vastgelegd of gedeeld.

De AP legt het bedrijf in kwestie een boete op voor het overtreden van het verwerkingsverbod van bijzondere persoonsgegevens en voor het niet treffen van passende beveiligingsmaatregelen...

...De verzuimregistratie was ook onvoldoende beveiligd. Zo was de verzuimregistratie online toegankelijk, zonder een vorm van authenticatie. Als een verzuimregistratiesysteem via internet toegankelijk is, mag de toegang tot het systeem alleen via meerfactor-authenticatie verlopen. 

Alles bij de bron; BinnlandsBestuur


 

Testen voor Toegang, het platform van de Stichting Open Nederland dat in opdracht van Het Rijk coronatesten faciliteert voor evenementen waarbij test- of vaccinatiebewijzen verplicht zijn, had zijn e-mailinstellingen niet op orde, Daardoor was spoofing van het afzenderadres mogelijk.

Het Financieele Dagblad schrijft dat Testen voor Toegang zijn Sender Policy Framework Record niet had ingesteld; dat is een authenticatiemethode die ontworpen is om het vervalsen van het afzenderadres te voorkomen. Het lukte de krant, in samenwerking met securitybedrijf KnowBe4, om een e-mail naar zichzelf te versturen met als afzender Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

De website is sinds twee weken actief. Het lek is nu naar alle waarschijnlijkheid gedicht, hoewel het FD dat niet uitdrukkelijk zegt. Wat het wel zegt is dat de stichting het lek 'moet dichten' en dat de e-mailbeveiliging 'niet op orde was', wat impliceert dat het lek inmiddels inderdaad gedicht is.

Alles bij de bron; Tweakers


 

Mensen die bij een commerciële teststraat een test doen, zijn verplicht een burgerservicenummer (bsn) te delen. En bij sommige bedrijven ook een documentnummer. Klanten maken zich zorgen over de veiligheid van deze gegevens. Is dat terecht?

Gerrie uit Apeldoorn kon niet anders. Een testuitslag van de GGD duurde te lang, dus maakte Gerrie een afspraak bij spoedtest.nl, een commerciële snelteststraat, met een locatie bij haar om de hoek. Voor de afspraak was ze verplicht bsn en het paspoortdocumentnummer te delen. Door het unieke karakter van het persoonsnummer en het documentnummer zijn de gegevens aantrekkelijk voor fraudeurs en criminelen. Het laatste jaar zijn door datalekken en hacks veel persoonsgegevens in verkeerde handen gekomen.

Het delen van gegevens met snelteststraten geeft extra risico’s. Uit onderzoek van Nieuwsuur bleek dat de persoonlijke en medische informatie van tienduizenden mensen die zich lieten testen op corona bij U-Diagnostics, onvoldoende was beveiligd. Open en bloot werden de gegevens gedeeld in WhatsAppgroepen met honderden leden.

Het gebruik van het bsn is aan inflatie onderhevig. Toenmalig staatssecretaris Louw de Graaf zei in 1988 bij de invoering van het sofinummer - voorloper bsn - dat het alleen gebruikt werd voor belastingen, inkomens en uitkeringen. Tegenwoordig wordt het gebruikt door gemeenten, UWV, ziekenhuizen, banken, scholen, GGD en commerciële teststraten...

...Privacydeskundige Van der Sloot begrijpt dat positieve testen naar de GGD moeten, maar meent dat het ook kan zonder delen van bsn. ,,En waarom moeten álle mensen hun bsn afstaan en niet alleen mensen die positief testen? Het grootste gedeelte test negatief.” Hij ziet dat sinds de coronacrisis de datahonger van overheid en bedrijven toenam en sommige wetten ten koste van de privacy worden doorgevoerd. ,,Pas als het een paar keer echt fout gaat, bijvoorbeeld door identiteitsfraude of de komst van een dictatoriaal regime die andere doelen voor ogen heeft met de gegevens, wordt men bewust van het belang van privacy. De vraag is of het dan nog op tijd is.”

Met de komst van toegangstesten, waarbij mensen op vertoon van een negatieve testuitslag een concert, voetbalwedstrijd of een museum mogen bezoeken, groeit het aantal tests door commerciële partijen, omdat deze toegangstesten niet door de GGD worden gedaan. De ondernemers die door het ministerie zijn ingeloot om deze testen af te nemen, worden in NRC omschreven als cowboys, zonder medische ervaring en zonder duidelijke ervaring met het beschermen van persoonsgegevens. Zij sprongen vorig jaar in het gat dat ontstond omdat bij de GGD grote tekorten waren en mensen lang moesten wachten op een test...

...Sinds ze een test deed bij spoedtest.nl controleert de Apeldoornse Gerrie vaker haar bankafschrijvingen, uit angst dat haar bsn en documentnummer door anderen is gebruikt om aankopen te doen. Ze is huiverig met delen van gegevens. Vorige zomer weigerde Gerrie ook gegevens in te vullen toen ze op een terras wilde zitten. ,,Je weet nooit wat er gebeurt, altijd gebeurt er toch meer met je gegevens dan ze aanvankelijk zeggen.”

Alles bij de bron; Tubantia


 

Logius heeft in de eerste vier maanden van dit jaar meer dan 13.000 DigiD-accounts verwijderd om misbruik te voorkomen. Meer dan alle vier voorgaande jaren bij elkaar opgeteld, zo blijkt uit cijfers van de DigiD-aanbieder. Het gaat onder andere om accounts waar criminelen door middel van malware, phishing en hergebruikte wachtwoorden toegang toe hebben gekregen.

Van 2017 tot en met 2020 werden in totaal 11.300 DigiD-accounts door Logius geblokkeerd. In de eerste vier maanden van dit jaar is de 13.000 al gepasseerd. 

"Het aantal phishingaanvallen waarbij een mail of sms uit naam van DigiD wordt verstuurd is nog steeds groot. Veelal wordt er op deze manier gevist naar de bankgegevens van iemand. Daarnaast zien we ook pogingen tot uitbuiting van accounts die bij datalek ken buitgemaakt zijn", laat de woordvoerder verder weten.

Het komt ook geregeld voor dat er tijdens een opsporingsonderzoek DigiD-gegevens worden aangetroffen op servers van criminelen die via malware zijn gestolen. Deze accounts worden direct verwijderd en er wordt gecontroleerd of er mogelijk misbruik van de accounts is gemaakt. Volgens Logius is het criminelen meestal niet zo zeer te doen om de inloggegevens van DigiD, maar vooral om de bankgegevens van gebruikers.

In het geval van een gecompromitteerd en verwijderd account worden getroffen gebruikers via brief ingelicht. Er wordt dan uitgelegd waarom het account is verwijderd en hoe er een nieuw account kan worden aangevraagd. Wanneer de inloggegevens mogelijk via malware zijn gestolen staan er ook tips om de computer op te schonen.

Alles bij de bron; Security


 

Mailprogramma Thunderbird heeft door een programmeerfout maandenlang de OpenPGP-sleutels van eindgebruikers opgeslagen in openlijk leesbaar tekstformaat. 

Gebruikers die OpenPGP-sleutels hebben geïmporteerd in mailclient Thunderbird, genoten niet de ingebouwde bescherming voor die encryptie van mailberichten. De sleutels voor het coderen van mails waren op een computer open en bloot inzichtelijk. Een aanvaller die hier misbruik van maakt, kan dan vanaf andere computers berichten versturen die dankzij toepassing van een gestolen privésleutel dan echt afkomstig lijken van de eigenlijke OpenPGP-gebruiker.

De bug is inmiddels gepatched, in versie 78.10.2 van de mailclient.

Alles bij de bron; AGConnect


 

GGD, Facebook, Allekabels.nl: de datalekken van grote hoeveelheden persoonlijke gegevens tuimelen over elkaar heen. Daar reageren velen nonchalant op – ten onrechte, kunnen slachtoffers vertellen...

...In eerdere oplichtingstrucs die op haar Hotmail of mobiel nummer binnenkwamen, trapte ze niet. Ze is niet gek. Maar bij haar zoon die zogenaamd in nood was, liet ze alle argwaan varen.  

Zoals vele anderen die iets soortgelijks hebben meegemaakt, heeft ook Nina geen flauw idee hoe de oplichters aan haar mailadres en telefoonnummer zijn gekomen. Toch is daar wel iets over te zeggen. Het is niet ondenkbaar dat ze het slachtoffer is geworden van een datalek.

Haar Hotmail-adres komt voor in een groot lek uit 2017 van genealogiewebsite MyHeritage, waarbij adressen en wachtwoorden werden buitgemaakt. Verder komt haar adres voor in een datalek uit 2019 van Verifications.io, een dienst die wordt gebruikt voor het verifiëren van mailadressen. Bij dit lek zijn destijds ook telefoonnummers en andere persoonlijke gegevens buitgemaakt.

Voor Nina is dit nieuw. Ook de politie geeft haar tijdens haar aangifte deze informatie niet. De dienstdoende wijkagent is naar eigen zeggen ‘niet van de cyber’...

...De Fraudehelpdesk, waar Nina ook aanklopte, ziet het totaal aantal meldingen van digitale fraude stijgen. Een vergelijkbaar geluid komt van de Autoriteit Persoonsgegevens, die ‘een explosieve toename van het aantal hacks, gericht op het buitmaken van persoonsgegevens’ meldt. 

De afgelopen maanden is er veelvuldig nieuws over datalekken, zoals bij Facebook, LinkedIn en Viruswaarheid. Met al die persoonlijke informatie die op straat ligt of te koop is op hackersfora kunnen oplichters zich overtuigend voordoen als een bekende (vriend of familielid) of als een vertrouwde instantie zoals een bank. Gooien oplichters bij phishing (een nepbericht dat hengelt naar persoonlijke gegevens) een net uit in de hoop dat iets blijft hangen, gericht mikken levert allicht meer op. Spearphishing, noemen ict-beveiligers dat ook wel.....

....Niet de lakse burger, maar de datahonger van bedrijven en overheden is het grote probleem, betoogt Evelyn Austin, directeur van burgerrechtenorganisatie Bits of Freedom. ‘Iedere keer wordt het probleem bij de consument neergelegd.’ Die moet volgens haar woedend zijn, omdat het een politieke keuze is om de handhaving een wassen neus te laten zijn.

Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cyber Security van de Erasmus Universiteit, zoekt de verbetering in een andere richting: bij het bedrijfsleven zelf. ‘Het probleem is dat veel bedrijven enthousiast beginnen met het verzamelen van data van burgers en pas daarna gaan nadenken over cybersecurity. Terwijl de kennis van cybersecurity bij de softwareleverancier ligt.’ De verantwoordelijkheden van de leverancier moeten dan ook groter worden en worden vastgelegd in duidelijke afspraken, zegt Nieuwesteeg.

Alles bij de bron; Volkskrant


 

Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) meldden ieder afgelopen jaar honderden datalekken bij de Autoriteit Persoonsgegevens. In de meeste gevallen ging het om postgerelateerde lekken. Beide instanties doen hun best om het aantal fouten terug te brengen.

Meer dan 90 procent van de gemelde datalekken had betrekking op de door het UWV verzonden post. Dan is er bijvoorbeeld een verkeerd adres op de envelop terecht gekomen, of een verkeerde bijlage aan de brief toegevoegd. 

De Sociale Verzekeringsbank (SVB) schrijft in haar jaarverslag dat ze jaarlijks miljoenen brieven met persoonlijke informatie van burgers verstuurt. Daarbij komt het voor dat brieven niet of bij de verkeerde persoon bezorgd worden. Het afgelopen jaar meldde de instantie 353 postgerelateerde datalekken bij de Autoriteit Persoonsgegevens. Daarnaast zijn er nog 93 datalekken met een andere oorzaak gemeld bij de toezichthouder. 

Dat blijkt uit de jaarverslagen van het UWV en de SVB, die dinsdag naar de Tweede Kamer zijn gestuurd.

Alles bij de bron; VPNGids


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha