- Gegevens
- Hoofdcategorie: Internet en Telecom
EasyPark zegt dat er bij de cyberaanval van december ook 'gehashte versies van wachtwoorden' zijn gestolen. Het bedrijf meldt niet van hoeveel klanten er wachtwoorden zijn gestolen. Het bedrijf zegt contact op te nemen met getroffen klanten.
"Onze analyse bevestigt dat gehashte versies van wachtwoorden ook deel uitmaakten van het datalek", schrijft EasyPark in een update en zegt contact op te nemen met klanten waarvan het gehashte wachtwoord is gelekt, via een e-mail, sms of pushmelding.
Het bedrijf zegt niet op welke termijn dit zal gebeuren; de eerdere communicatie over het datalek verliep stapsgewijs en duurde meerdere weken. Naast EasyPark-klanten kunnen ook Parkmobile-klanten getroffen zijn door het datalek. Het lek zat in het EasyPark-selfservice-webportaal.
Het bedrijf meldde het datalek op 14 december. Het lek was onderdeel van een cyberaanval die op 10 december plaatsvond. Daarbij zijn, naast gehashte wachtwoorden, ook namen, telefoonnummers, adressen, e-mailadressen en 'enkele cijfers van IBAN- of creditcardnummers' ingezien. Het bedrijf sprak destijds over 'niet gevoelige data'.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
De rechtbank Midden-Nederland heeft een man uit Almere veroordeeld tot vier jaar cel voor fraude met gestolen inloggegevens. De verdachte bezat maar liefst 221 bots en fingerprints waarmee hij ook over gegevens van zijn slachtoffers beschikte.
Een aantal slachtoffers raakte daadwerkelijk geld kwijt: de verdachte had identificerende persoonsgegevens, inloggegevens en zelfs kopieën van valse paspoorten of identiteitskaarten voorhanden.
Daarmee deed hij aankopen en betalingen op accounts van slachtoffers, vroeg op hun naam creditcards en telefoonabonnementen aan, plaatste hij bestellingen en maakte hij grote sommen geld over naar bankrekeningen die hij weer op naam van derden had aangemaakt.
Alles bij de bron; Cops-in-Cyberspace
- Gegevens
- Hoofdcategorie: Internet en Telecom
Demissionair minister Ollongren van Defensie heeft de eindtermijn van een bulkdataset van de inlichtingendiensten, die eigenlijk binnenkort vernietigd zou moeten worden, met één jaar verlengd (pdf).
De bulkdatasets mogen op dit moment maximaal anderhalf jaar worden bewaard. In 2022 oordeelde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na een klacht van burgerrechtenbeweging Bits of Freedom dat de AIVD en MIVD vijf bulkdatasets moesten vernietigen, wat inmiddels ook is gedaan. De diensten bleken de bulkdatasets namelijk langer dan anderhalf jaar te bewaren.
Het wetsvoorstel 'Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma' maakt het mogelijk om bulkdatasets, na toestemming van de CTIVD, langer te bewaren. De termijn kan steeds met een jaar worden verlengd. Vanaf de derde verlenging zal er extra streng worden getoetst of dit nodig is. De Eerste Kamer moet nog over het wetsvoorstel stemmen.
Eind vorig jaar werd bekend dat de CTIVD een voorschot op het wetsvoorstel neemt en er een overgangsregeling is. Daardoor is het mogelijk om de eindtermijn van bulkdatasets die de inlichtingendiensten eigenlijk zouden moeten vernietigen te verlengen, ook al is wetsvoorstel waarin dit wordt geregeld nog niet aangenomen.
Vandaag meldt minister Ollongren aan de Tweede Kamer dat ze van één bulkdataset de eindtermijn met een jaar heeft verlengd en dat de CTIVD hiermee akkoord is.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
In SonicWall firewalls zijn twee kwetsbaarheden ontdekt, die aanvallers de mogelijkheid bieden Denial of Service (DoS)- of Remote Code Execution (RCE)-aanvallen uit te voeren. In totaal zijn naar schatting ruim 178.000 firewalls kwetsbaar. Een patch is beschikbaar.
De kwetsbaarheden (CVE-2022-22274 en CVE-2023-0656) treffen specifiek Series 6- en Series 7-firewalls van SonicWall.
Vooralsnog zijn er geen aanwijzingen dat het lek actief wordt uitgebuit.
Alles bij de bron; DutchIT
- Gegevens
- Hoofdcategorie: Internet en Telecom
De persoonsgegevens die eind vorig jaar bij EasyPark werden gestolen zijn niet gevoelig, zo stelt het bedrijf in een recente update over het incident. Parlementariër Paul Tang hekelt die reactie van de parkeerapp. "Het bedrijf probeert dit zo klein mogelijk te maken. 'Het stelt niet zoveel voor, maakt u zich geen zorgen, loopt u rustig door'. Dat is eigenlijk de reactie van het bedrijf", aldus Tang tegenover tv-programma Kassa.
Bij de aanval werden de persoonsgegevens van een onbekend aantal mensen gestolen. Het gaat om contactgegevens zoals naam, telefoonnummer en cijfers van IBAN- of creditcardnummer. "De gegevens waartoe toegang is verkregen, worden volgens de EU-regelgeving niet als gevoelig beschouwd.", aldus EasyPark in een update over het incident.
Tang voegt toe; "Het klopt wat EasyPark zegt. Bij gevoelige gegevens wordt bedoeld gegevens waarmee mensen kunnen worden uitgesloten of gediscrimineerd. Denk aan geaardheid, gezondheid, afkomst. Dat is dit niet. Maar het zijn wel gevoelige gegevens in de zin dat het gegevens zijn die geld opleveren en door criminelen gebruikt kunnen worden. In die zin zijn ze wel gevoelig."
De PvdA-Europarlementariër legt verder uit dat de verantwoordelijkheid voor dit soort datalekken ligt bij de bedrijven die de data verzamelen en beheren. "In dit geval is EasyPark ook verantwoordelijk voor de bescherming van onze gegevens. Hier kunnen we nog zo vaak ons wachtwoord veranderen, maar als het de tweede keer in korte tijd is dat EasyPark de gegevens laat lekken is daar het probleem en ligt dat niet bij ons."
"Een bedrijf als EasyPark verzamelt die gegevens, beheert die gegevens, maar let niet goed op en dat gebeurt eigenlijk nog veel te vaak." Tang pleit voor strenger toezicht en het meer inzetten op handhaving en boetes. "Er zijn veel datalekken, maar zoveel boetes worden niet uitgedeeld."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Online wervingsplatform Chattr.AI heeft gegevens gelekt van sollicitanten, klanten en eigen personeel. Via het platform kunnen bedrijven op geautomatiseerde wijze personeel werven. Allerlei grote Amerikaanse fastfoodketens werken ermee.
Chattr.AI maakt gebruik van Firebase, Googles ontwikkelplatform voor mobiele en web-apps.
Het online werveringsplatform bleek de Firebase-omgeving niet goed te hebben beveiligd, want de onderzoekers konden een nieuwe gebruiker registreren waarmee ze volledige toegang tot de Firebase-database van Chattr.AI kregen. Daarin vonden ze namen, e-mailadressen, telefoonnummers, plaintext wachtwoorden, vertrouwelijke berichten en andere informatie van Chattr-medewerkers, franchisemanagers en sollicitanten.
In het geval van de sollicitanten ging het onder andere om cv's, sollicitatiegesprekken, profielfoto en adresgegevens. Een dag na te zijn ingelicht werd het probleem door Chattr.AI verholpen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Privacystichting noyb van Max Schrems heeft een tweede klacht ingediend tegen Meta bij de Oostenrijkse privacyautoriteit. Volgens noyb maakt de techgigant het consumenten te lastig om de toestemming voor tracking in te trekken en wordt daarmee de AVG-wetgeving geschonden.
Gebruikers op Facebook en Instagram krijgen sinds november vorig jaar de keuze tussen een gratis en een betaalde versie. Als voor de betaalde versie wordt gekozen krijgen ze geen reclames meer te zien; de gratis versie verzamelt daarentegen net als voorheen gebruikersgegevens om gepersonaliseerde advertenties te kunnen tonen. Als gebruikers voor de gratis optie kiezen, geven ze volgens Meta toestemming om gevolgd te worden.
Noyb vindt echter dat het te moeilijk is om die toestemming naderhand weer in te trekken. "Hoewel gebruikers met één (gratis) klik al toestemming geven om gevolgd te worden, kan die toestemming alleen worden ingetrokken via het ingewikkelde proces van wisselen naar een betaald abonnement", aldus noyb.
Volgens de stichting wordt daarmee artikel 7 van de AVG-wetgeving geschonden, aangezien daarin vermeld staat dat het intrekken van de toestemming net zo makkelijk moet zijn als het geven ervan.
De EDPB noemt bovendien expliciet dat het intrekken van toestemming 'niet mag leiden tot kosten voor de betrokkene en dus niet leidt tot een duidelijk nadeel voor degenen die de toestemming intrekken'.
Noyb heeft zijn klacht ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit. Het moet volgens noyb makkelijker worden om de toestemming in te trekken, zonder dat gebruikers daarvoor een vergoeding hoeven te betalen. Ook wil noyb dat de autoriteiten een boete opleggen aan Meta.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Zo'n 150.000 WordPress-sites zijn door een kritieke kwetsbaarheid in een populaire SMTP-plug-in op afstand over te nemen. Een beveiligingsupdate is beschikbaar, maar zo'n 150.000 websites hebben die nog niet geïnstalleerd.
De kwetsbaarheid is aanwezig in de plug-in "POST SMTP", waarmee het mogelijk is om een SMTP-mailer in WordPress in te stellen voor het versturen van e-mail. Dat meldt securitybedrijf Wordfence. De plug-in is een vervanging voor de standaard PHP-mailfunctie van WordPress. Meer dan 300.000 websites maken gebruik van de plug-in.
De plug-in is via een mobiele app te bedienen. Een kwetsbaarheid in een functie van deze app maakt het mogelijk voor een aanvaller om alle verzonden e-mails te bekijken, waaronder wachtwoordresetmails. Een aanvaller kan een wachtwoordreset voor de beheerder uitvoeren en via de kwetsbaarheid dit bericht in handen krijgen om vervolgens een eigen wachtwoord voor de beheerder in te stellen en zo de website over te nemen. Op 1 januari verscheen een update voor de kwetsbaarheid.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Amerikaans advocatenkantoor dat organisaties en bedrijven bijstaat die slachtoffer van een datalek zijn geworden, is zelf door een datalek getroffen. Daarbij zijn de gegevens van 637.000 personen, die eerder al slachtoffer van een datalek waren geworden, in handen van aanvallers gekomen.
Het datalek deed zich begin vorig jaar voor en werd destijds ook al bekendgemaakt, maar blijkt veel groter te zijn dan in eerste instantie werd gecommuniceerd.
Het kantoor stond in het verleden verschillende Amerikaanse zorgverleners bij waar de gegevens van miljoenen mensen werden gestolen. Daardoor beschikte het ook over gegevens van cliënten van deze zorgverleners die slachtoffer van het datalek waren geworden.
In eerste instantie werd gemeld dat het om de gegevens van 152.000 personen ging, maar dat blijken er nu ruim 637.000 te zijn. De gestolen data bestaat onder andere uit naam, adresgegevens, e-mailadres, geboortedatum, social-securitynummer, rijbewijs- of paspoortnummer, rekeninginformatie, belastingidentificatienummer, medische diagnoses, medische behandelingen, zorgclaims, medisch dossiernummer en creditcardnummer. Vorige maand besloot het advocatenkantoor vier massaclaims die vanwege het datalek waren aangespannen te schikken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de 14.000 accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n 14 miljoen gebruikers. Er lopen inmiddels meer dan 30 rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen.
In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe.
De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten.
Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd."
Alles bij de bron; Security