45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Tweestapsverificatie via sms is onveilig

Als je tweestapsverificatie instelt, voeg je een extra beveiligingslaag toe aan je accounts. Verscheidene onlinediensten – zoals Google, Facebook en Dropbox – bieden een dergelijke beveiliging aan, waarbij je via een app of sms’je een code krijgt die je bij het inloggen moet invoeren. Volgens enkele onderzoekers van Positive Technologies heeft de verificatie door middel van een sms zijn langste tijd gehad.

Tijdens een demonstratie hackten ze een neppersoon die een bitcoin wallet heeft bij provider Coinbase. In de proefopstelling was zijn account beschermd met tweestapsverificatie en gekoppeld met Gmail, die eveneens een tweede beveiligingspantser had.

Wat blijkt is dat een sms helemaal niet zo waterdicht is als je zou denken. Zo’n tekstberichtje wordt via verschillende stations verzonden om zo uiteindelijk bij een zendmast terecht te komen. Voor de experts bij Positive Technologies was het een fluitje van een cent om een berichtje te onderscheppen. In een mum van tijd hadden ze een handjevol tekstberichten opgevist, het wachtwoord op het Gmail-account gereset en de controle over de Bitcoin-portefeuille overgenomen. Het enige wat de groep daarbij nodig had, was de naam, achternaam en het telefoonnummer van hun slachtoffer. 

Het beveiligingslek zit in SS7 (Signalling System No 7) dat telefoonnetwerken koppelt om zo informatie te delen die nodig is bij een telefoonoproep en het versturen van een sms. Eens een hacker toegang heeft tot dit systeem, kan hij ook ongezien een gesprek aftappen of – in dit geval – een sms’je opvangen.

We juichten toe dat je je accounts wilt beveiligen, maar best doe je dat niet via een sms’je. Zo laten de meeste diensten toe dat je een code krijgt via een verificatie-app, zoals de universele Google Authenticator. Die app genereert een willekeurige zescijferige code die je samen met je wachtwoord moet ingeven wanneer je op onlinediensten wil aanmelden. Dit is niet alleen veiliger, maar je verliest bovendien geen tijd aan het wachten op een tekstberichtje.

Alles bij de bron; ZDNet


 

Nederlanders niet voorzichtig met online privacy

Veruit de meeste Nederlanders gaan niet veilig op het internet. Dat blijkt uit onderzoek van BIT. Uit het onderzoek, dat onder ruim duizend Nederlanders werd uitgevoerd, blijkt dat meer dan de helft niet weet wat ze moeten doen om de online privacy te beschermen.

Daarnaast blijkt uit het BIT-onderzoek dat maar liefst 68 procent van de Nederlanders niet weet wat er gebeurt met de informatie die ze online achterlaten. Er wordt ook niet heel bewust omgegaan met de privacygevoelige informatie die geplaatst wordt. Zo delen velen standaardgegevens als hun voor- en achternaam (75%), postcode (63%) en woonplaats (64%). Wanneer het echter om bankzaken en identiteitsbewijzen gaat, is de Nederlander voorzichtiger. Zo deelt slechts 20 procent bankrekeningnummers, 7 procent paspoortnummers en 12 procent creditcardgegevens.

Helemaal kommer en kwel is het niet. Er worden wel onbewuste maatregelen getroffen. Wido Potters, Manager Support & Sales bij BIT: “Nederlanders nemen vooral onbewust maatregelen op het gebied van online privacybescherming. Als we vragen hoe zij de privacy moeten waarborgen, hebben zij geen idee. Wanneer er echter een lijstje wordt voorgelegd met maatregelen, blijkt dat zij toch het een en ander ondernemen. Het gaat dan in de meeste gevallen om opgelegde maatregelen.

Alles bij de bron; TechZine


 

CCC: Software voor Duitse verkiezingen is onveilig

De software die tijdens de Duitse parlementsverkiezingen wordt gebruikt om stemmen te tellen is onveilig, zo stellen hackers van de Chaos Computer Club (CCC) aan de hand van eigen onderzoek (pdf). Volgens het onderzoek zijn zoveel problemen en kwetsbaarheden in de PC-Wahl-software aanwezig, dat het vertrouwen in een juiste verkiezingsuitslag in het geding is.

Voor hun onderzoek keken de hackers of de software bestand is tegen externe aanvallen. ...de kwaliteit van de software laat te wensen over. "Elementaire principes van it-beveiliging zijn niet nageleefd. Het aantal kwetsbaarheden en hun impact overtrof onze ergste verwachtingen", zegt Linus Neumann van de CCC.

Zo is de toegang tot de servers voor de verspreiding en werking van PC-Wahl slecht beveiligd. Daarnaast worden er geen digitale handtekeningen en encryptie gebruikt voor het uitwisselen van verkiezingsresultaten en maakt het updatemechanisme van PC-Wahl het mogelijk om systemen via een muisklik te compromitteren. Ook de beveiliging van de updateserver laat te wensen over. "Gegeven de eenvoudige aard van deze aanvallen is het verstandig om te veronderstellen dat ook anderen van deze kwetsbaarheden weten", aldus de CCC.

De hackergroep stelt dat veiligheid, correctheid en traceerbaarheid tijdens verkiezingen centraal moeten staan, niet hoe snel stemmen kunnen worden geteld. 

Alles bij de bron; Security


 

Gemeente Alkmaar blundert: bedrijfsgeheimen en privédata online

De gemeente Alkmaar heeft in een aanbestedingsprocedure bedrijfsgeheimen van het vervoersbedrijf ZCN / Bios online gezet. Ook kwamen allerlei vertrouwelijke gegevens van klanten op straat te liggen. In de zomer van 2015 zette de gemeente de aanbesteding op TenderNed, een marktplaats voor aanbestedingen van Nederlandse overheden. Nu blijkt dat daarbij door een ambtelijke fout ook een hoeveelheid vertrouwelijke en concurrentiegevoelige informatie over de bedrijfsvoering van ZCN online werd gezet.

Tot overmaat van ramp werd ook informatie die valt onder de Wet Bescherming Persoonsgegevens (Wbp) openbaar. Daarbij gaat het om namen en andere gegevens van de klanten van ZCN. Het vervoersbedrijf maakte onmiddellijk bezwaar, maar pas na een aantal dagen werden de gegevens verwijderd.

Als gevolg van de blunder schreef de gemeente een nieuwe aanbesteding met gewijzigde methodiek uit. ZCN schreef in met drie andere aanbieders, maar verloor. Het bedrijf kwam op de vierde plaats. Volgens ZCN heeft het bedrijf de aanbesteding mogelijk verloren omdat concurrenten zoveel vertrouwelijke bedrijfsinformatie kregen, dat ze onder de prijs van de concurrent konden gaan zitten. ZCN stapte naar de rechter om de gemeenten aansprakelijk te stellen voor de schade.

De rechtbank Noord-Holland oordeelde gisteren dat het 'evident gaat om bedrijfsgeheimen' en dat de gemeenten inderdaad aansprakelijk zijn. Bestuurssecretaris Martijn van Leeuwen van ZCN is blij met de uitspraak. "Hiermee is komen vast te staan dat de gemeente aansprakelijk is. Uit het feit dat zowel bedrijfsgeheimen als persoonsgegevens van klanten openbaar zijn geworden, blijkt wel hoe onzorgvuldig er is gehandeld."

Alles bij de bron; RTL


 

Instagram-lek groter dan gedacht

Het lek in Instagram waarmee kwaadwillenden persoonlijke informatie van gebruikers konden achterhalen, is groter dan eerder werd gedacht. Dat blijkt onder meer uit een bericht van Instagram zelf op zijn blog

Via het lek konden kwaadwillenden het telefoonnummer en/of e-mailadres van een Instagram-gebruiker achterhalen. Verschillende Amerikaanse media, waaronder Ars Technica, melden dat het om zes miljoen gebruikers zou gaan. Dat claimen hackers die een database hebben gemaakt waarin alle gelekte informatie is terug te vinden.

 Aanvankelijk stuurde Instagram enkel een bericht naar geverifieerde gebruikers, te herkennen aan een blauw vinkje bij hun profiel. Het sociale netwerk dacht namelijk dat alleen die groep gebruikers getroffen was. Dat blijkt niet het geval te zijn. Het bedrijf zegt niet te weten welke accounts precies zijn getroffen.

Alles bij de bron; NU


 

Onderzoekers vinden 600GB data op onbeveiligde Amazon-server

Beveiligingsonderzoekers van Kromtech Security Center hebben een onbeveiligde Amazon-server ontdekt. Op de server stond 600GB aan data van verschillende bedrijven. De meeste gegevens zijn afkomstig van de Amerikaanse kabelaar Time Warner Cable, aldus de onderzoekers. 

Volgens de onderzoekers staan er in totaal 4 miljoen records in de databases. Het gaat onder meer om gebruikersnamen, adressen en telefoonnummers. Een deel van de gegevens zouden van "honderdduizenden" klanten van Time Warner Cable zijn. Kromtech Security Center vond de gegevens toen het zocht naar servers met het woord 'test' erin. Kort daarvoor had het een onbeveiligde testserver van World Wrestling Entertainment gevonden. De onderzoekers hadden het vermoeden dat er nog meer onbeveiligde Amazon-servers waren. Het bedrijf gaat er vanuit dat de gegevens op de server van Broadsoft door een configuratiefout in te zien waren.

Alles bij de bron; NU


 

Voorzieningen rechter oordeelt; Privacy niet in het geding bij Stichting Benchmark GGZ

De zorgverzekeraars zijn blij dat de voorzieningenrechter heeft bevestigd dat de privacy van patiënten en cliënten bij de Stichting Benchmark GGZ (SBG) is gewaarborgd. “Met deze gerechtelijke uitspraak is er duidelijkheid voor iedereen en kan SBG door met haar werk. Om de zorg in de GGZ te kunnen blijven verbeteren, is het meten van kwaliteit van groot belang. Voor zorgverleners zelf en voor de zorgverzekeraars, om voor hun verzekerden goede, betaalbare en toegankelijke zorg te organiseren.” aldus Maarten Hoek, directeur Zorg van branchevereniging Zorgverzekeraars Nederland (ZN).

Het gezamenlijk door patiënten, GGZ-zorgaanbieders en zorgverzekeraars bestuurde SGB meet en vergelijkt de uitkomsten van de behandeling bij groepen GGZ-patiënten, op basis van geanonimiseerde resultaten van behandelingen. Uit zo’n benchmark blijkt hoe een zorgaanbieder het doet ten opzichte van andere zorgaanbieders. Met die kennis kan de kwaliteit van de zorg in de GGZ verder worden verbeterd.

Met de uitspraak van de voorzieningenrechter kunnen GGZ-zorgverleners het aanleveren van ROM-data aan SBG weer hervatten. In afwachting van het oordeel van de rechter had een aantal zorgverleners die tijdelijk gestaakt.

Alles bij de bron; MedicalFacts


 

Vacaturebanken slordig met privacy

Vacaturebanken nemen het niet zo nauw met de privacywetgeving. Dat stelt Privacy Zeker na controle bij sites als Intermediair, Nationalevacaturebank en indeed. Het is voor vrijwel iedereen eenvoudig te achterhalen wie op dit moment actief naar een nieuwe werkgever op zoek is.

In de zoekmachines van Nationale Vacature Bank en Intermediair worden alle gegevens geïndexeerd. Wanneer er binnen de online CV database gezocht wordt naar een naam, adres of bijvoorbeeld telefoonnummer komen de gegevens van de ingeschreven kandidaat direct naar boven. De werkgever kan dus makkelijk achterhalen of medewerkers op zoek zijn naar een andere baan en wanneer ze beschikbaar zijn.

Bron; Emerce