- Gegevens
- Hoofdcategorie: Internet en Telecom
Een kritieke kwetsbaarheid in de wachtwoordmanager Passwordstate maakt het mogelijk voor aanvallers om de wachtwoorden van gebruikers te stelen. Alleen het weten van een gebruikersnaam is voldoende, authenticatie of interactie van gebruikers is niet vereist.
Het is een on-premise webgebaseerde oplossing voor zakelijk wachtwoordbeheer. Organisaties moeten die op een eigen server installeren. Via de wachtwoordmanager kunnen medewerkers wachtwoorden opslaan en delen.
Passwordstate biedt verschillende API's om met de wachtwoordenkluis te communiceren. Onderzoekers van Modzero ontdekten dat het mogelijk is voor een ongeauthenticeerde aanvaller om de authenticatie van de API te omzeilen. Alleen het weten van een gebruikersnaam is voldoende om opslagen wachtwoorden, one-time passwords, wachtwoordenlijsten en andere 'secrets' van de gebruiker op te vragen. "Vanwege de ontbrekende end-to-end encryptie van wachtwoorden, zijn wachtwoorden via deze aanval in cleartext te achterhalen", aldus de onderzoekers.
Click Studios, de ontwikkelaar van Passwordstate, heeft inmiddels een beveiligingsupdate uitgebracht.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het kabinet heeft op algoritmes.overheid.nl de eerste versie van een publiek register gelanceerd waarin algoritmes zijn te vinden die door overheden worden toegepast. Volgens staatssecretaris Van Huffelen schiet de transparantie over de inzet van algoritmes door de overheid nog vaak tekort. Iets dat het register zou moeten veranderen.
"Burgers moeten erop kunnen vertrouwen dat algoritmes voldoen aan publieke waarden en de daarvan afgeleide (wettelijke) normen en dat uitgelegd wordt hoe ze werken. Op basis daarvan kunnen burgers de overheid desgewenst kritisch volgen en bevragen of zij zich aan de regels houdt", aldus de staatssecretaris.
Volgens Van Huffelen gaat het hier om een eerste versie en is verdere doorontwikkeling "beslist nodig". Het komend jaar zal in overleg met overheden gewerkt worden aan een eenduidige registratie van algoritmes in het register.
In de huidige versie van het register zijn de gegevens handmatig ingevoerd. Het plan is om de informatie automatisch op te halen uit decentrale algoritmeregisters. Deelname aan het algoritmeregister is niet verplicht voor overheden, maar hier wordt wel naar gekeken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Vrije Universiteit in Amsterdam heeft een datalek gemeld, nadat een laptop van de universiteit is gestolen. Op de ontvreemde computer stonden persoonsgegevens van (oud-)studenten. De universiteit heeft melding gedaan van het datalek bij de Autoriteit Persoonsgegevens.
Op zijn website en via een mail aan alumni maakt de VU bekend dat er op 25 november dit jaar twee laptops zijn gestolen van de campus in Amsterdam. Op een van de laptops stonden persoonsgegevens van studenten, waaronder kopieën van paspoorten en verblijfsvergunningen.
De eerste groep die mogelijk is getroffen, zijn studenten die zich tussen 2003 en 2008 hebben ingeschreven voor een doctoraal-, bachelor- of masteropleiding. Ook studenten die zich hebben proberen in te schrijven zijn mogelijk getroffen. Het gaat om zowel Nederlandse als internationale studenten. Naast een kopie paspoort of verblijfsvergunning is van deze studenten mogelijk ook een cijferlijst, informatie over betalingsachterstand of een bezwaar gelekt.
De tweede groep waarvan data op de laptops staat, zijn internationale studenten die zich tussen 2008 en 2015 hebben ingeschreven voor een studie. Van deze studenten zijn mogelijk ook identiteitsbewijzen en correspondentie zoals bezwaarschriften gelekt.
De derde groep bestaat uit studenten die tussen 2008 en 2019 een bijvak volgden aan de VU of een vooropleiding hadden met een of meer ontbrekende vakken. Van deze studenten zijn mogelijk behaalde certificaten gelekt.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman.
Het beveiligingslek was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.
Bouman ontdekte een onbeveiligde API endpoint waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Epic Games heeft een schikking van 520 miljoen dollar (490 miljoen euro) getroffen, meldt de Amerikaanse concurrentiewaakhond FTC maandag. De gameontwikkelaar van het populaire schietspel Fortnite werd beschuldigd van onder meer het schenden van privacyregels voor kinderen.
Het bedrijf zou informatie van spelers onder de dertien jaar hebben verzameld, zonder ouders op de hoogte te stellen of toestemming te verkrijgen. Ook heeft Epic Games volgens de FTC spraak- en tekstchat bij het populaire computerspel standaard ingeschakeld voor kinderen en tieners. Dat zou ervoor gezorgd hebben dat kinderen werden gepest, bedreigd en lastiggevallen.
Daarnaast werd het bedrijf beschuldigd van het in de val lokken van consumenten met bepaalde technieken om ze te laten betalen voor extra opties in het spel. Mensen die de aankoop wilden annuleren, werden daarbij belemmerd. Dat zou tot honderden miljoenen dollars aan onbedoelde aankopen hebben geleid.
Epic Games geeft de beschuldigingen niet toe, maar ontkent ze ook niet.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Google geeft Gmail voor scholen en het duurdere abonnement voor bedrijven de optie om aan de kant van de client mails te versleutelen. Daardoor kunnen de servers van Google niet langer zien wat er in de mails staat.
Gebruikers kunnen zich in de komende maand opgeven voor de bèta, zegt Google. De functie heet CSE, Client Side Encryption. Het is voor het eerst dat er een optie komt om mails te versleutelen in Gmail.
De bèta gaat functioneren op Workspace Enterprise Plus, Education Plus en Education Standard. Voor Enterprise-gebruikers komt de functie er voorlopig dus niet, evenmin als voor particuliere gebruikers van Workspace. Ook reguliere gebruikers van de gratis maildienst krijgen de optie voorlopig niet.
Het valt te bezien of die ooit zal komen, want relevante advertenties tonen op basis van de inhoud van mails is een verdienmodel van Google voor Gmail. Bij abonnementen komt het geld binnen via de abonnees en in die versie van de dienst zitten geen advertenties.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Amerikaanse cryptobeurs Gemini heeft van 5,3 miljoen gebruikers de privégegevens gelekt, die vervolgens voor gerichte phishingaanvallen zijn gebruikt. Het gaat om e-mailadressen en gedeeltelijke telefoonnummers.
De melding van het datalek komt een paar dagen na een soortgelijk datalek bij cryptodienstverlener CoinTracker. Daar werden de gegevens van anderhalf miljoen klanten gelekt.
De 5,3 miljoen e-mailadressen van Gemini-gebruikers zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij CoinTracker buitgemaakte e-mailadressen was 63 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Microsoft stelt zakelijke klanten in staat om data op te slaan en te verwerken in de Europese Unie. Vanaf 1 januari gaat hiervoor het zogeheten EU Data Boundary-project van start, waarbij de gegevens gegarandeerd alleen op Europese servers terechtkomen. Het geldt voor data vanuit Microsoft 365, Azure, Power Platform en Dynamics 365.
De softwareleverancier komt met het project tegemoet aan de wens van veel Europese bedrijven, overheden en instellingen. Zij willen liever niet dat de gegevens die zij opslaan en gebruiken, buiten de EU terechtkomen.
Buiten de EU is het lastig om Europese regels voor privacy en databescherming na te leven, terwijl Europese organisaties zich daar wel aan moeten houden. Met Amerikaanse leveranciers lopen zij bovendien het risico dat deze door de Amerikaanse autoriteiten worden gedwongen om klantinformatie en klantdata te overhandigen. Dit risico is klein, maar niet nihil.
Alles bij de bron; Computable
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het hackerscollectief Play dreigt ermee komende maandag een halve terabyte aan gevoelige data van Antwerpenaren op het internet te zetten. Op zijn darkwebsite claimt Play dat het gaat over onder meer persoonlijke informatie, paspoorten, identiteitskaarten en financiële documenten. ‘Mensen mogen de gevolgen van zo’n lek niet onderschatten’, zegt ethisch hacker Inti De Ceukelaire....
...Wat kan iemand met een gestolen kopie van je identiteitskaart?
Inti De Ceukelaire: Heel veel. Er kunnen wagens gehuurd worden op jouw naam of leningen aangegaan worden. In sommige ziekenhuizen kun je met een kopie van een identiteitskaart patiëntendossiers opvragen vol medische gegevens die je vervolgens met de post opgestuurd worden. Hetzelfde geldt voor heel wat attesten via overheidswebsites. Je kunt iemand laten schrappen uit de bevolkingsregisters van zijn gemeente. Ook bepaalde beleggingsplatformen laten toe om met een kopie van je identiteitskaart rekeningnummers of persoonsgegevens in te kijken of aan te passen. Op die manier kan iemand met slechte bedoelingen je geld innen. Dankzij de GDPR (de Algemene Verordening Gegevensbescherming die regels oplegt over het verwerken van persoonsgegevens binnen de Europese Unie, nvdr) kun je bij organisaties en bedrijven een verzoek indienen om je persoonlijke gegevens in te kijken of aan te passen. Daarvoor heb je vaak alleen een kopie van je identiteitskaart nodig. Mensen mogen de gevolgen van zo’n lek niet onderschatten.
Met checkdoc.be biedt de overheid wel een manier om na te gaan of een Belgisch identiteitsdocument bekendstaat als gestolen, verloren, verlopen, ongeldig of niet uitgereikt, maar het gebruik van die website is totaal niet ingebakken.
Alles bij de bron; Knack
- Gegevens
- Hoofdcategorie: Internet en Telecom
Staatssecretaris Vijlbrief (Mijnbouw) informeert de Tweede Kamer over Beantwoording schriftelijke vragen misbruik datalek Instituut Mijnbouwschade..
5; Herkent u dat het bedrijf ‘loket bevingsschade’ aan de gegevens over schademeldingen is gekomen door zich op de website van het Instituut Mijnbouwschade (IMG) voor te doen als gemachtigde terwijl ze dat niet zijn?
Antwoord; Ja. Naar aanleiding van de berichten over een mogelijk datalek heeft EZK direct contact opgenomen met het IMG. Zij hebben aan mij bevestigd dat het inderdaad om een lek ging en dat zij maatregelen hebben genomen om dit te dichten. Het IMG betreurt dat er onterecht gegevens van mensen zijn gedeeld en heeft inmiddels bekend gemaakt aangifte te doen tegen het bedrijf in kwestie.
7; Herkent u dat het IMG de gegevens over of op een adres reeds schade is gemeld niet op deze manier aan derden had mogen verstrekken? Is hier sprake van het tweede datalek bij het IMG in een maand tijd? Wat gaat u doen om te zorgen dat de kans op datalekken vanuit het IMG wordt geminimaliseerd?
Antwoord; Ja, hier is inderdaad sprake geweest van twee datalekken bij het IMG in relatief korte tijd. Het eerste datalek vond plaats medio oktober. Hierbij waren gedurende 48 uur voor maximaal 60 aanvragers ten onrechte de gegevens van andere aanvragers inzichtelijk. Dit vond plaats door een fout in een nieuwe versie van software waar het IMG op haar bewonersportaal gebruik van maakt.
Om dit in de toekomst te voorkomen heeft het IMG een verbetering doorgevoerd in de tests die worden uitgevoerd voorafgaand aan de implementatie van nieuwe software.
Het tweede lek kwam voort uit het feit dat mensen informatie konden opvragen over de schadegeschiedenis van een pand waar zij niet de eigenaar van waren. Deze situatie bestond sinds de introductie van de vaste vergoeding in november 2021. Inmiddels heeft het IMG maatregelen genomen om dit lek te dichten. Het IMG heeft extern laten valideren of er afdoende maatregelen getroffen waren bij het oplossen van dit datalek. Dit bleek het geval. Tenslotte heeft het IMG het datalek gemeld bij de Autoriteit Persoonsgegevens.
Dergelijke lekken schaden het vertrouwen van mensen in de achterliggende ICTsystemen die gebruikt worden voor de schadeafhandeling. Ik ben hierover in contact met het IMG en zal blijven benadrukken dat ik er van uit wil kunnen gaan dat zij werken met veilige en betrouwbare ICT-systemen.
Alles bij de bron; RijksOverheid