Internet en Telecom

Aanvallers zijn er in maart in geslaagd om toegang te krijgen tot een database van stockfotowebsite 123RF en hebben zo de gegevens van meer dan 8,6 miljoen gebruikers kunnen stelen. De data werd vervolgens op internet verkocht.

Het gaat om e-mailadressen, ip-adressen, adresgegevens, namen, gebruikersnamen, telefoonnummers en met het MD5-algoritme gehashte wachtwoorden. MD5 is een zwak algoritme waardoor het voor aanvallers eenvoudig is om wachtwoordhashes te kraken en zo het bijbehorende wachtwoord achterhalen.

De data zou al in maart van dit jaar zijn gestolen, maar het datalek kwam deze week pas aan het licht. De stockfotowebsite is inmiddels begonnen met het waarschuwen van getroffen gebruikers. Van de gestolen e-mailadressen was 74 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security

Een vrouw uit Utrecht die via een website van het RIVM beschermingsmiddelen dacht te kopen is voor ruim 13.000 euro bestolen. Begin april ontvangt de vrouw een sms die van het RIVM afkomstig lijkt. De link wijst echter naar een nagemaakte RIVM-site die beschermingsmiddelen verkoopt.

Het afrekenen van de bestelde goederen lijkt via iDeal te kunnen. De getoonde iDeal-pagina's zijn echter phishingsites. Een eerste betaling via de Rabobank mislukt, waarna ze ervoor kiest om via Triodos te betalen, waar ze ook een rekening heeft. "Ik deed een aantal pogingen maar het lukte niet. Later op de ochtend probeerde ik het weer, het lukte weer niet", zo laat ze tegenover het AD weten.

De codes die de vrouw met haar identifier genereert en invoert worden door een crimineel gebruikt om de Triodos-app met haar gegevens op twee telefoons te activeren. De crimineel maakt vervolgens zo'n 13.000 euro over van de spaarrekening naar de betaalrekening van de vrouw. Vervolgens doet hij verschillende overboekingen, waarbij het bedrag steeds onder de 5.000 euro blijft. In twintig minuten wordt er in totaal 13.250 euro naar verschillende rekeningen overgemaakt.

Triodos stuurt de vrouw twee keer een e-mail dat zij de de Triodos Bankieren-app heeft geactiveerd. Deze berichten ziet zij pas later als het geld al van de rekening is verdwenen. De vrouw doet aangifte bij de politie en de bank stelt een onderzoek in. Triodos besluit het slachtoffer niet te vergoeden. "Hoewel we van mening zijn dat u in deze situatie geen verkeerde intentie heeft gehad, heeft u wel met de oplichters meegewerkt door op de link te klikken en daarna uw persoonlijke codes te verstrekken", zo laat de bank in een e-mail weten.

Alles bij de bron; Security

Onrechtmatige content blijkt soms voor slachtoffers moeilijk om weer offline te krijgen. Ze moeten bijvoorbeeld complexe juridische procedures doorlopen of weten niet waar ze terecht kunnen.

Een simpele oplossing bestaat niet, maar er zijn wel een aantal verbeteringen mogelijk, zo blijkt uit onderzoek van het Instituut voor Informatierecht van de Universiteit van Amsterdam in opdracht van het WODC...

...Nu laten we vrij veel over aan zelfregulering, maar de vraag die wij in ons onderzoek allereerst stellen, is: Moet het niet makkelijker worden om onrechtmatige content van het internet te verwijderen? Daarin hebben we eerst de huidige juridische routes geanalyseerd, en zijn we vervolgens op zoek gegaan naar verbeterpunten.’

De onderzoekers zien als verbeterpunt bijvoorbeeld het experimenten met een toegankelijke civiele procedure waarin de rechter snel uitspraak kan doen. Verder stellen ze in hun rapport dat het inrichten van een centraal meldpunt of kenniscentrum kan helpen om slachtoffers advies te geven over wat voor hen de beste route is. Het rapport wordt voorgelegd aan de Tweede Kamer.

Alles bij de bron; EMerce

Het kledingmerk The North Face heeft van een onbekend aantal klanten het wachtwoord gereset nadat het te maken kreeg met een credential stuffing-aanval. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

Bij een onbekend aantal klanten wisten de aanvallers door middel van hergebruikte wachtwoorden op accounts in te loggen. Naast e-mailadres hebben de aanvallers zo toegang gekregen tot informatie over bestellingen, adresgegevens, loyaliteitspunten, naam, geboortedatum en telefoonnummer.

Creditcardgegevens waren niet toegankelijk voor de aanvallers, maar die hebben wel toegang tot een token kunnen krijgen waarmee producten op de webshop van het kledingmerk konden worden gekocht.

Om klanten te beschermen heeft The North Face van alle gecompromitteerde accounts het wachtwoord gereset. Daarnaast roept het kledingmerk deze klanten op om geen wachtwoorden te hergebruiken en heeft het bij de Amerikaanse autoriteiten melding van een datalek gemaakt. 

Alles bij de bron; Security

De European Data Protection Board (EDPB) heeft aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. Dat zijn landen waar persoonsgegevens minder goed beschermd zijn dan in de EU.

De EDPB wil het bedrijfsleven hiermee meer duidelijkheid geven, nadat het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaarde...

...Om bedrijven te helpen die bescherming te waarborgen, heeft de EDPB aanbevelingen opgesteld voor aanvullende maatregelen bij het gebruik van ‘doorgifte-instrumenten’, waaronder modelcontracten. 

De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven zullen per geval moeten bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

Bij twijfel: houd data in EU 

Als bedrijven persoonsgegevens willen opslaan in landen waar persoonsgegevens minder goed worden beschermd, is het hun eigen verantwoordelijkheid om te waarborgen dat dit alsnog net zo veilig gebeurt. Is er na nader onderzoek nog steeds enige twijfel over de veiligheid van doorgifte van persoonsgegevens? Stop dan met de doorgifte of begin niet aan een nieuwe doorgifte. Houd data dan in de EU.

Zie verder: 

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Recommendations 02/2020 on the European Essential Guarantees for surveillance measures.

Alles bij de bron; AutoriteitPersoonsgegevens

Tienduizenden WordPress-sites kunnen eenvoudig door criminelen worden overgenomen omdat ze gebruikmaken van een kwetsbare plug-in. Het gaat om Ultimate Member, een plug-in waarmee WordPress-sites allerlei functionaliteit voor geregistreerde gebruikers kunnen toevoegen, zoals uitgebreide gebruikersprofielen en speciale gebruikersrollen. Ultimate Member is vooral bedoeld voor online communities en membership sites.

Meer dan 100.000 websites maken gebruik van de plug-in. Onderzoekers van securitybedrijf Wordfence ontdekten drie kwetsbaarheden in de plug-in waardoor gebruikers beheerder kunnen worden en zo volledige controle over de website krijgen. Op een schaal van 1 tot en met 10 wat betreft de ernst zijn twee van de kwetsbaarheden met een 10 beoordeeld, het derde beveiligingslek scoort een 9,9.

Alles bij de bron; Security

Een aanvaller is erin geslaagd om een database van de Amerikaanse nieuwssite Mashable te stelen die de privégegevens van 1,4 miljoen gebruikers bevat. De data is nu op internet verschenen. Het gaat om voor- en achternaam, locatie (zoals stad of land), e-mailadressen, geslacht, registratiedatum, ip-adressen, links naar socialmediaprofielen, verlopen OAuth-tokens en maand en dag van de verjaardag.

De 1,4 miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 76 procent al via een ander datalek bij Have I Been Pwned bekend.

Alles bij de bron; Security

Meer dan tien miljoen bestanden met details over hotelboekingen waren inzichtelijk op een verkeerd geconfigureerde AWS S3-bucket. De data werd beheerd door Prestige Software, een Spaans bedrijf dat samenwerkt met onder andere Agoda, Booking.com en Expedia...

...Volgens de onderzoekers gaat het om 24,4GB aan logbestanden en bevat de verzameling gegevens van hotelboekingen wereldwijd. Zowel recente boekingen als details over oudere boekingen, tot 2013, werden aangetroffen.

De persoonsgegevens werden zonder enige bescherming opgeslagen. Het gaat om creditcardgegevens, naam- en adresgegevens, paspoortnummers en e-mailadressen van hotelbezoekers. Ook de details van hotelreserveringen, zoals de kosten, het aantal nachten en aanvullende verzoeken staan vermeld.

Alles bij de bron; Tweakers