Gegevens van reizigers die gebruik maakten van gratis wifi op een aantal treinstations in het Verenigd Koninkrijk waren online in te zien via een onbeveiligde database. Dat meldt de BBC.
Het gaat in ieder geval om de treinstations Harlow Mill, Chelmsford, Colchester, Waltham Cross, Burnham, Norwich en London Bridge. In de database stonden de e-mailadressen van zo'n 10.000 verschillende gebruikers en nog 146 miljoen andere gegevens.
Wifi-provider C3UK heeft de database inmiddels offline gehaald.
Alles bij de bron; NU
Clearview is opnieuw in opspraak geraakt. Ditmaal wegens het lekken van klantgegevens. Volgens een brief die klanten van Clearview hebben ontvangen, heeft een ongeautoriseerde persoon toegang gekregen tot de door het bedrijf verzamelde data.
Het bedrijf struint het internet af op zoek naar afbeeldingen en persoonsgegevens en legt deze vast in een enorme database. Deze zou inmiddels al ruim drie miljard profielen bevatten. De meeste informatie komt van sociale media. Er zijn geen technische methodes waarmee de sociale media het ‘scrapen’ van informatie van gebruikers kunnen tegengaan.
Het bedrijf benadrukt dat er geen gegevens uit de database zijn gelekt. De ongeautoriseerde persoon kreeg alleen toegang tot een lijst met klanten, het aantal zoekopdrachten per klant en het aantal accounts per klant.
Alles bij de bron; BeveiligingsNieuws
Decathlon heeft te kampen met een enorm datalek, die gegevens van 123 miljoen gebruikers en werknemers blootlegt. Volgens onderzoekers van vpnMentor, is er meer dan 9GB aan data gelekt van een onbeveiligde ElasticSearch server.
De gelekte informatie, die met name betrekking heeft op het Spaanse deel van het bedrijf, werd op 12 februari ontdekt, op 16 februari werd Decathlon hierover geïnformeerd. Het bedrijf liet weten dat er de volgende dag een oplossing kwam en dat de server gerepareerd was.
De gelekte bestanden bevatten informatie over de werknemers, zoals hun gebruikersnamen, niet gecodeerde wachtwoorden, officiële e-mailadressen, contractinformatie, API logs en API toegangsgegevens. Maar ook persoonlijke, identificeerbare informatie zoals burgerservicenummers, nationaliteiten, mobiele telefoonnummers, volledige adressen en geboortedata van de werknemers. Niet gecodeerde logingegevens en privé IP-adressen die van de klanten zijn, kunnen ook worden gevonden in de gelekte database.
Alles bij de bron; TechRadar
Onderzoekers waarschuwen voor een beveiligingslek in een babyfoon van fabrikant iBaby waardoor een aanvaller toegang tot de camera kan krijgen en zo op afstand kan meekijken, opnames kan maken of muziek kan afspelen. Het probleem is aanwezig in de iBaby Monitor M6S, die ook in Nederland werd verkocht, en een beveiligingsupdate is niet beschikbaar.
De camera en achterliggende infrastructuur blijken verschillende kwetsbaarheden te bevatten Het eerste probleem wordt veroorzaakt door de manier waarop de iBabyCloud, waar gemaakte beelden worden opgeslagen, is geconfigureerd. Met de sleutel van één camera is het mogelijk om toegang tot opgeslagen beelden van alle andere camera's te krijgen. Een tweede probleem speelt bij de communicatieserver. Ook die is niet goed geconfigureerd waardoor een aanvaller informatie kan achterhalen waarmee hij toegang tot andere camera's kan krijgen.
Als laatste werd er een Indirect Object Reference (IDOR) kwetsbaarheid ontdekt waarmee een aanvaller gegevens van gebruikers kan achterhalen, zoals e-mailadressen, namen, locatie, profielfoto en loggegevens. De details zijn nu openbaar gemaakt (pdf).
Alles bij de bron; Security
Persoonlijke gegevens van zeker tachtigduizend passagiers van Transavia zijn mogelijk gestolen bij een datalek. Inbrekers hadden toegang tot een mailbox van het bedrijf. Daarin zat een bestand met de gegevens van 80.000 passagiers.
Het gaat om voor & achternamen en geboortedatums van passagiers die tussen 21 en 31 januari 2015 met de maatschappij hebben gevlogen.
De inbrekers zijn binnengekomen door een e-mailadres dat ergens is gelekt, in combinatie met een zwak wachtwoord, zegt een woordvoerder van het bedrijf. Volgens haar zijn er aanwijzingen dat de gegevens ook daadwerkelijk uit de mailbox zijn gestolen, en is er niet enkel toegang geweest.
Alles bij de bron; Tweakers
Het smarthome van vandaag de dag is voorzien van sensoren, camera’s, slimme apparaten en (draadloze) netwerken. Daarover gaat veel informatie die behoorlijk privacygevoelig kan zijn. En wie registreert dan eigenlijk wat, kijkt ongewenst mee of tapt stiekem af? Bij nader inzien blijkt jouw slimme huis of gebouw regelmatig zo lek als een mandje te zijn....
...Voorkomen is beter dan genezen en valt bij privacy en domotica vaak eenvoudig te doen. Bekijk de instelling van de gebruikte smart devices. Wat registreren ze, met wie wordt dat gedeeld en kan je de instellingen persoonlijk aanpassen? Hoe betrouwbaar is de leverancier en wat zeggen reviews over de veiligheid van het smart device? Geef liever wat meer uit aan kwaliteitsapparatuur dan straks opgescheept te zitten met leaking devices. Scherm WiFi echt goed af en geef gasten alleen toegangsaccounts met passende beperkingen.
Houd de privacy van het slimme huis, kantoor of auto altijd in het achterhoofd. Kritische aankoop, het aanbrengen van afdoende toegangsbescherming en aanvullende maatregelen kunnen het schenden en misbruik van jouw privacygevoelige data voorkomen.
Meer over privacy in je smarthome en hoe je jezelf en je smarthome beter kunt beschermen en beveiligen lees je in onze smarthome gids.
Alles bij de bron; SmarthomeMagazine [long read]
Een inlogportal die zes Nederlandse gemeenten gebruikten om burgers toegang te geven tot gemeentelijke belastingdocumenten, bleek vatbaar voor sql-injectie. Via de kwetsbaarheid waren onder andere BSN's te raadplegen. Het lek is inmiddels gedicht.
Een Tweaker wilde zijn aanslagen voor de gemeentelijke belasting vast inzien, en merkte daarbij op dat hij bij de portal waar de gemeentesite van Oldambt naar verwees, kon inloggen met alleen zijn burgerservicenummer en geboortedatum. Een burgerservicenummer wordt algemeen niet als betrouwbare inlog beschouwd omdat dit nummer niet vertrouwelijk genoeg is...
...Een medetweaker constateerde naar aanleiding van de posting naast deze slordigheid een nog kwalijker euvel: de portal bleek ook kwetsbaar voor sql-injectie. Via deze kwetsbaarheid was het mogelijk bij de database achter de portal te komen en zo de betreffende documenten te benaderen. Ook bleek het mogelijk om een tabel met burgerservicenummers te raadplegen.
Het lek zat dus niet in gemeentesites zelf, maar in een externe site waar gemeenten naar verwijzen op hun pagina voor inwoners die hun documenten in willen zien.
De tweaker lichtte Data B Mailservice in over de kwetsbaarheid, het bedrijf dat verantwoordelijk is voor het portaal. Dat bedrijf is gespecialiseerd in fysieke en digitale documentstromen. "Na contact met de ontwikkelaar hebben zij adequaat gehandeld, het lek binnen enkele uren gedicht en de portalen uitgeschakeld".
Alles bij de bron; Tweakers
Door een fout in de app van het programma Het Jachtseizoen, zijn mogelijk namen, profielfoto's en de locatie van gebruikers op straat komen te liggen, maakt Talpa vrijdag bekend op zijn website.
Nadat het mediabedrijf de bug ontdekte, is de app offline gehaald. Ook is het bedrijf een onderzoek gestart om vast te stellen welke persoonsgegevens mogelijk toegankelijk waren en of de gegevens daadwerkelijk door derden zijn ingezien.
In Het Jachtseizoen gaan de presentatoren op zoek naar een bekende Nederlander. Het trio heeft vier uur de tijd om de persoon op te sporen. De bijbehorende app is in 2017 uitgebracht en stelt kijkers in staat om het spel na te spelen, waarbij de GPS-locatie van het doelwit wordt gedeeld met de jagende spelers.
Alles bij de bron; NU
Een commerciële spyware-app KidsGuard gericht op ouders, werkgevers en wantrouwende partners heeft de data van duizenden slachtoffers via een verkeerd geconfigureerde server gelekt. De app maakt het mogelijk om de locatie te volgen, telefoongegevens en socialmediagebruik te controleren, berichten van allerlei chat-apps te lezen, screenshots en foto's te maken, gesprekken op te nemen en de surfgeschiedenis te bekijken.
Ook is het mogelijk om een keyloggerfunctie in te schakelen, alsmede alle bestanden op de telefoon te benaderen, zoals foto's en video's die het slachtoffer heeft gemaakt. Om de app op het toestel van een slachtoffer te installeren is het niet nodig om het toestel te jailbreaken of rooten. Eenmaal geïnstalleerd doet de spyware zich op Android voor als een "system update" app en laat geen icoon zien, zodat het slachtoffer niet weet dat de spyware is geïnstalleerd.
Beveiligingsonderzoeker Till Kottmann ontdekte dat de app gegevens in een cloudbucket van internetgigant Alibaba opsloeg. De bucket, waar bedrijven allerlei data in kunnen opslaan, stond op openbaar en was die niet met een wachtwoord beveiligd.
Alles bij de bron; Security
Yourhosting heeft uit voorzorg e-mailwachtwoorden van klanten een reset gegeven. Het bedrijf ontdekte in het afgelopen weekend dat een criminele hacker zijn systemen was binnengedrongen en daarbij misschien toegang had tot onversleutelde inloggegevens. Het bedrijf weet niet welke e-mailaccounts getroffen zijn bij de mogelijke diefstal en reset daarom een groot aantal wachtwoorden van klanten.
Volgens het bedrijf waren de gegevens onversleuteld 'om bepaalde manieren voor inloggen van e-mailclients mogelijk te maken'. "Veel klanten maken gebruik van oude protocollen. Dat is ook de reden waarom we ervoor hebben gekozen dit zo te laten staan", stelt de hostingpartij. Het bedrijf gaat de ondersteuning voor deze protocollen nu wel stoppen. Daarnaast belooft het zijn beveiliging aan te scherpen.
De anonieme dader eist cryptovaluta van Yourhosting, maar het bedrijf gaat daar niet op in.
Alles bij de bron; Tweakers