- Gegevens
- Hoofdcategorie: Internet en Telecom
De aanvallers die in oktober toegang wisten te krijgen tot accounts van duizenden gebruikers van dna-testbedrijf 23andMe hebben een "aanzienlijk aantal" bestanden met de afstammingsgegevens van gebruikers gestolen.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen.
Van hoeveel andere gebruikers deze gegevens zijn gestolen is onbekend.
Bij credential stuffing proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Gisterenavond maakte 23andMe bekend dat het van alle bestaande gebruikers het wachtwoord heeft gerest en nu ook tweestapsverificatie verplicht.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Winkelketen Sprinter Sports, voorheen bekend onder de namen Perry Sport en Aktiesport, is getroffen door een cyberaanval. Criminelen wisten onder meer door te dringen tot het bestelsysteem en de accountgegevens van klanten.
Hoewel Sprinter geen volledige betaalkaartinformatie zegt te bewaren, adviseert de winkelketen de klanten waakzaam te zijn op verdachte activiteiten op de bankrekening. Als klanten rare dingen zien, dienen zij meteen contact op te nemen met hun bank.
Hackersgroep Metaencryptor claimt op sociale media achter de aanval zitten. Deze groep hackt computersystemen van bedrijven en infecteert ze daarna met gijzelsoftware.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
De gemeente Eindhoven heeft inwoners die het slachtoffer van een datalek werden soms helemaal niet geïnformeerd. In andere gevallen werden slachtoffers onvolledig of onduidelijk ingelicht.
Dat meldt de interne Functionaris Gegevensbescherming (FG) in een onderzoek waarover het AD bericht. Voor het onderzoek werd een steekproef van zeventig geregistreerde datalekken onderzocht.
Bij acht datalekken werden slachtoffers helemaal niet gewaarschuwd. In elf andere gevallen gebeurde dit onvolledig, onduidelijk of tegenstrijdig. De FG stelt ook vast dat het verplichte datalekkenregister van de gemeente niet overeenkomt met de meldingen die aan de Autoriteit Persoonsgegevens zijn gedaan. Het gaat dan bijvoorbeeld over het soort gegevens dat is gelekt en de mogelijke gevolgen.
Verder blijkt dat datalekken te laat worden geregistreerd. Dit moet binnen 72 uur gebeuren, maar bij een kwart van de zeventig datalekken gebeurde dit later. Sommige datalekken worden na weken of zelfs maanden geregistreerd. De registratie moeten vijf jaar worden bewaard, maar blijken eerder te worden verwijderd. De Functionaris Gegevensbescherming heeft dan ook zijn vragen of het register wel actueel en volledig is.
Eerder dit jaar besloot de Autoriteit Persoonsgegevens het toezicht op de gemeente Eindhoven te verscherpen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Laadpassen voor elektrische auto’s zijn fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden, zo laat cybersecuritybedrijf Vest vandaag op basis van eigen onderzoek weten. Vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.
Een laadpas voor een elektrische auto is online aan te vragen. "En controle op juistheid van gegevens is er niet, zo heb ik verschillende keren een bankrekeningnummer gebruikt dat helemaal niet van de aanvrager was", aldus Van Ee. Zo vroeg de onderzoeker een pas aan op naam van Mark Rutte met daarbij het rekeningnummer van de Belastingdienst. "Dat zou natuurlijk absoluut niet de bedoeling moeten zijn."
Volgens de verstrekker van de laadpas moet die eerst worden geactiveerd voordat die te gebruiken is, maar dat blijkt niet echt noodzakelijk. Bij een aantal van de aangevraagde passen kan de auto worden opgeladen zonder dat de pas daadwerkelijk geactiveerd is.
Verder blijkt dat de beveiliging van de chip op de laadpassen minimaal is. Kopiëren van een bestaande pas is relatief eenvoudig. De op de chip wel aanwezige beveiligingsmogelijkheden worden namelijk niet gebruikt.
Het blijkt ook eenvoudig om pasnummer te achterhalen, die daarna te koppelen zijn aan herschrijfbare passen en vervolgens te gebruiken. De reeks gebruikte pasnummers is dusdanig klein, dat bij een bruteforce-aanval relatief snel een bruikbaar pasnummer is te vinden.
De onderzoeker ontdekte ook dat het mogelijk is om elektrische auto's gratis op te laden door middel van 'druppelladen'. Gebruikers gaan namelijk pas na een minuut laden betalen. Door middel van een apparaatje zoals de Flipper Zero is het mogelijk om korte oplaadsessies van een minuut te automatiseren en zo de auto 'vol te druppelen'.
"De geconstateerde gebreken om het betalen van elektrisch laden minder fraudegevoelig te maken lijkt een collectieve tekortkoming. Om die reden wordt de aandacht gevraagd om dit ook collectief naar een voor de consument betrouwbaarder niveau te brengen", stelt het cybersecuritybedrijf. Dat stelt dat het oplossen en voorkomen van misbruik van de aangetoonde problemen het doel is. "Niemand mag het risico lopen onnodig gedupeerd te worden."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Noyb stapt naar de rechter tegen Meta. De organisatie van privacyactivist Max Schrems noemt het betalend model zonder advertentie geen voorbeeld van vrije keuze.
Meta kondigde vorige maand aan dat het in Europa gebruikers de keuze geeft: een gratis Facebook en/of Instagram zoals nu het geval is, met reclame.
Hoe Meta dat doet is niet naar de zin van de privacybelangengroep noyb (none of your business) van Max Schrems.
Volgens noyb stelt de Europese wetgeving dat toestemming uit vrije keuze moet bestaan. Tegelijk rekent het bedrijf volgens de privacygroep tot maximaal 250 euro per jaar aan om reclamevrij te gaan.
De organisatie hekelt dat als iemand een fundamenteel recht op databescherming uit, dit geld kost. noyb verwacht ook dat als Meta dit ongestoord kan doen, ook andere platformen zo’n praktijken zullen hanteren.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
De Britse privacytoezichthouder ICO heeft een Brits ziekenhuis berispt voor een gevoelig datalek met patiëntgegevens.
Begin dit jaar gaf het ziekenhuis aan een ongeautoriseerd persoon de gegevens van veertien personen mee. De man, die geen medewerker van het ziekenhuis was, meldde zich op een afdeling. Door een gebrek aan identificatiecontroles en formele processen, kreeg de man een document met informatie over veertien patiënten.
Het ziekenhuis had wel een beveiligingscamera geïnstalleerd. Het stopcontact van de camera was per ongeluk door een ziekenhuismedewerker, als onderdeel van een energiebesparingsoefening, uitgeschakeld. Daardoor zijn er geen beelden van de man.
Verder onderzoek van de Britse privacytoezichthouder wees uit dat personeel onvoldoende op het gebied van privacy en databeveiliging was getraind.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Tijdens een internationale politieoperatie is een vanuit Oekraïne opererende ransomwaregroep opgerold. Dat laat Europol weten. De groep wordt verantwoordelijk gehouden voor wereldwijde aanvallen met de LockerGoga-, MegaCortex-, HIVE- en Dharma-ransomware.
Organisaties in 71 landen zouden door de groep zijn aangevallen.
Om toegang tot de netwerken van slachtoffers te krijgen werd gebruikgemaakt van bruteforce-aanvallen, SQL-injection en phishingmails met malafide bijlagen om zo inloggegevens te stelen.
Zodra er toegang was verkregen maakte de groep gebruik van tools zoals de TrickBot-malware, Cobalt Strike en PowerShell Empire om zich lateraal door het netwerk te bewegen en zoveel mogelijk systemen te infecteren voordat de ransomware werd uitgerold. Uit het onderzoek dat de autoriteiten naar de groep uitvoerden blijkt dat die meer dan 250 servers van grote bedrijven hebben versleuteld, wat voor honderden miljoenen euro's schade zorgde, aldus Europol.
Het forensische onderzoek zorgde ervoor dat decryptietools voor varianten van de LockerGoga- en MegaCortex-ransomware konden worden ontwikkeld, die via nomoreransom.org beschikbaar zijn.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Meta verzamelt volgens een aanklacht ingediend door tientallen Amerikaanse staten data van deze gebruikers.
In de aanklacht beschuldigen tientallen Amerikaanse staten Meta van het schenden van de Children’s Online Privacy Protection Act, gericht op de bescherming van online privacy van kinderen.
Meta zou sinds 2019 meer dan 1,1 miljoen meldingen hebben ontvangen gerelateerd aan Instagram-gebruikers die jonger zijn dan 13 jaar, en daarom volgens het officiële beleid van Meta te jong zijn om over een Instagram-account te beschikken.
Het bedrijf zou bewust hebben geprobeerd het aantal stil te houden, ondanks dat het hiervan intern op de hoogte was. Ook zou Meta gericht op zoek zijn geweest naar data van deze groep jonge gebruikers. Het weren van jongeren onder de dertien jaar en de leeftijdsverificatiesystemen die Meta gebruikt op Instagram waren volgens de aanklacht dan ook geen prioriteit voor het social media-bedrijf.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het plan is een opvolger van een omstreden wetsvoorstel rond CSAM (child sexual abuse material, beelden van seksueel kindermisbruik). Aanvankelijk zou dat plan techbedrijven verplichten om alle content van gebruikers te scannen, wat een zware schending van de privacy zou zijn.
Het nieuwe plan zou volgens Reuters diezelfde spelers verplichten om beelden te identificeren en verwijderen, maar zonder dat encryptie wordt omzeild. Details zijn er nog niet; die worden komend jaar met de lidstaten afgetoetst, om vervolgens tot een finale wettekst te komen.
Alles bij de bron; DutchITChannel
- Gegevens
- Hoofdcategorie: Internet en Telecom
In het digitale tijdperk, waarin organisaties afhankelijk zijn van geavanceerde technologieën en het internet, is het risico op datalekken aanzienlijk toegenomen.
Een datalek verwijst naar de ongeoorloofde toegang tot of vrijgave van vertrouwelijke informatie. Dit kan persoonlijke gegevens, financiële informatie, gezondheidsgegevens, bedrijfsgeheimen of andere gevoelige gegevens omvatten. Datalekken kunnen het gevolg zijn van verschillende factoren, waaronder cyberaanvallen, menselijke fouten, zwakke beveiligingsmaatregelen en verouderde software.
De gevolgen van een datalek kunnen verwoestend zijn, zowel voor individuen als voor organisaties. Klantvertrouwen kan ernstig worden geschaad, wat resulteert in verlies van zakelijke kansen en reputatieschade. Bovendien kunnen er wettelijke boetes en juridische procedures volgen, vooral als de gelekte gegevens onderhevig zijn aan privacyregelgeving zoals de Algemene Verordening Gegevensbescherming (AVG).
Hoe kun je een datalek voorkomen?
1. Implementeer sterke beveiligingsmaatregelen:
Een robuuste beveiligingsinfrastructuur is essentieel om datalekken te voorkomen. Organisaties moeten investeren in firewalls, antivirussoftware, intrusion detection systems en andere geavanceerde beveiligingsoplossingen. Regelmatige beveiligingsaudits en penetratietests kunnen helpen bij het identificeren van zwakke plekken in het systeem.
2. Geef prioriteit aan gebruikerstraining:
Menselijke fouten zijn een belangrijke oorzaak van datalekken. Het is daarom van cruciaal belang om medewerkers te trainen in cybersecuritybewustzijn.
3. Versleutel gevoelige gegevens:
Het versleutelen van gevoelige gegevens is een extra beveiligingslaag die ervoor zorgt dat zelfs als er ongeautoriseerde toegang is, de informatie niet leesbaar is.
4. Houd software up-to-date:
Het regelmatig bijwerken van software en het installeren van patches is essentieel om kwetsbaarheden te verhelpen en de beveiliging van systemen te handhaven.
5. Implementeer toegangscontroles:
Beperk de toegang tot gevoelige gegevens tot alleen die medewerkers die deze nodig hebben voor hun functie.
6. Maak regelmatig back-ups:
Het regelmatig maken van back-ups is een cruciaal onderdeel van gegevensbeveiliging. In geval van een datalek of een ransomware-aanval, kan het herstellen van gegevens vanaf een back-up het verlies minimaliseren en bedrijfscontinuïteit waarborgen.
Alles bij de bron; 0297