45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort

Uit een onderzoek van de rekenkamer Rotterdam blijkt dat de beveiliging van persoonsgegevens door de gemeente Rotterdam ernstig tekortschiet. De onderzoekers konden e-mailsessies inzien, wachtwoorden eenvoudig achterhalen en zonder toegangspas binnenkomen. Volgens de rekenkamer gebruikt de gemeente ook verouderde software die veiligheidsrisico's met zich meebrengt.

De onderzoekers komen tot de conclusies na het uitvoeren van penetratie-, inloop- en social engineering-testen. Het onderzoek, dat een jaar geleden van start is gegaan en in december is afgerond, heeft zich grotendeels gericht op systemen waarin gegevens over Rotterdammers zijn opgeslagen.

Dat de beveiliging van informatiesystemen ernstig tekortschieten, blijkt uit een brief die de directeur van de rekenkamer heeft gestuurd naar de gemeente. Daarin staan in grote lijnen de bevindingen van het onderzoek. Die brief is een reactie op het verzoek van de gemeente om het rapport niet openbaar te maken. 

Applicaties waarnaar specifiek onderzoek is verricht, worden niet bij naam genoemd. Wel wordt beschreven welke soort gegevens hierin omgaan en hoeveel gebruikers er zijn. De rekenkamer begrijpt zorgen over de publicatie, maar is van mening dat eventuele gevolgen van tekortschietende informatiebeveiliging de rekenkamer niet kan en mag worden aangerekend. Het rapport beschrijft niet hoe de systemen binnengedrongen kunnen worden, maar wel wat het betekent voor de lokale samenleving. Die duiding van mogelijke gevolgen is volgens de rekenkamer cruciaal omdat het inzicht geeft in de ernst van de bevindingen.

Burgemeester Aboutaleb van Rotterdam heeft naar aanleiding van de brief de gemeenteraad verzocht om te proberen de publicatie van het rapport tegen te houden. Volgens de burgemeester brengt de openbaarmaking van het rapport met 'specifieke informatie over de kwaliteit van de informatiebeveiliging' de veiligheid van persoonsgegevens verder in gevaar. Hoewel het college probeert om de publicatie van onderzoek tegen te gaan, heeft het wel aan de rekenkamer laten weten alle hoofdconclusies te onderschrijven en alle aanbevelingen te zullen opvolgen.

Alles bij de bron; Tweakers


 

Gemeente Apeldoorn blundert met privacy

Gemeente Apeldoorn blundert met het versturen van mails naar zorginstellingen. Zorginstanties die betaald worden vanuit de Zorg in Natura krijgen mails van de gemeente Apeldoorn over hun cliënten via hun persoonlijke mailadressen, in plaats van het daarvoor bedoelde, beveiligde Cryptshare.

Apeldoorn Direct is in het bezit van een mail met daarin BSN-nummers van cliënten. Die informatie is verstuurd naar een onbeschermd mailadres van één van de zorginstellingen. De instelling, die anoniem wil blijven, zegt dat deze mail één van velen is. Volgens de organisatie komt het door het gebrekkig werkende Cryptshare dat communicatie ,,makkelijker en sneller te versturen is via persoonlijke mails.”

Volgens de gemeente Apeldoorn is het niet de bedoeling dat gevoelige, persoonlijke informatie buiten het beveiligde Cryptshare verspreid wordt. ,,Dit betekent dat alle betrokkenen zich erg bewust moeten zijn van de privacyregels en daar zijn wij ook steeds over in gesprek om dit bewustzijn te vergroten”, laat de afdeling Voorlichting van de gemeente in een reactie weten. 

Bron; A'doornDirect


 

Google vindt ernstig lek in wachtwoordmanager LastPass

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.

Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen.

Alles bij de bron; Security


 

McDonald's India lekt gegevens 2,2 miljoen gebruikers

De Indiase tak van fastfoodketen McDonald's heeft via een mobiele bestel-app de gegevens van 2,2 miljoen gebruikers gelekt, zoals naam, e-mailadres, telefoonnummer, adresgegevens, coördinaten en een link naar een socialmediaprofiel. De app blijkt een onbeveiligd api-endpoint te gebruiken.

Daardoor kan iedereen via internet de gegevens opvragen. Na aandacht in de media stelde McDonald's India dat het lek was verholpen en gebruikers geadviseerd zou worden om een nieuwe versie van de app te installeren. De onderzoekers ontdekten echter dat de oplossing van McDonald's incompleet is en de api-endpoint nog steeds gegevens lekt. Wederom is de fastfoodketen ingelicht.

Alles bij de bron; Security


 

Wachtwoord verplicht? De 5 gouden regels

Wachtwoorden zijn een beroerd middel om je op internet te identificeren. Maar vooralsnog is dat de meest gehanteerde methode. Jeff Atwood, mede-oprichter van Stack Overflow schreef zijn bevindingen op in een bijdrage aan een blogpagina: Coding Horror. En de titel windt er ook geen doekjes om 'Wachtwoordregels zijn gelul'. De regels die bij het gebruik van wachtwoorden worden opgelegd, zijn vaak onhanteerbaar.

Atwood formuleert 5 regels die software-ontwikkelaars zouden moeten respecteren.

1. Stop met wachtwoordregels

Wachtwoordregels werken niet, ze straffen je ideale klant - de klant die een wachtwoordgenerator gebruikt, ze frustreren de gemiddelde gebruiker - die vervolgens creatief ezelsbruggetjes verzint waarmee het wachtwoord minder veilig wordt, en de regels zijn vaak incompleet of soms ronduit onzinnig.

2. Dwing een minumumlengte af

In weerwil van regel 1 formuleert Atwood 4 regels die wél moeten gelden. De eerste is een minimumlengte. Als men wachtwoorden in Unicode laat invoeren, is 10 tekens een mooi aantal. Dat zorgt automatisch voor enige entropie, en bant bovendien 20 van de 25 meest gebruikte wachtwoorden uit; die zijn goed voor 80 procent van alle wachtwoorden. Als men ook emoji's en Chinese karakters toelaat, kan het wellicht met minder tekens, Hoe minder beperkingen men oplegt, hoe beter het is.

3. Check op veelgebruikte wachtwoorden.

Hackers beginnen altijd met een lijst veelgebruikte wachtwoorden; die kun je om je klant een dienst te bewijzen dus beter verbieden.

4. Check op voldoende entropie

Hoe willekeuriger de karakters in een wachtwoord verdeeld zijn, hoe lastiger het te kraken is. Je zou als eis moeten stellen dat een wachtwoord een minimum aantal elementen moet bevatten dat slechts eenmaal voorkomt.

5. Weiger wachtwoorden die een hacker makkelijk zal raden

Sommige wachtwoorden die wellicht aan alle eisen voldoen,zijn toch een slecht idee. Denk aan een wachtwoord dat gelijk is aan gebruikersnaam, e-mailadres, url, app-naam ...Software-ontwikkelaars zouden moeten proberen te denken als een gebruiker - dan komen ze een heel eind bij het opstellen van een lijstje afraders.

Alles bij de bron; AGConnect [Thnx-2-Dick]


 

Privégegevens duizenden Britse zorgmedewerkers gestolen

Bij de hack van een medisch bedrijf zijn de privégegevens van duizenden Britse zorgmedewerkers gestolen. Het gaat om namen, geboortedata, stralingsdosis en verzekeringsgegevens van medisch personeel dat zich met röntgenfoto's bezighoudt. De data werden gestolen van een server van een Amerikaans bedrijf dat röntgenproducten en -diensten aanbiedt.

Alle getroffen medewerkers gebruiken een stralingsdosismeter om tijdens het werk met röntgenfoto's hun blootstelling te meten. Deze gegevens worden vervolgens door Landauer voor de Britse gezondheidszorg verwerkt. Hoe de aanvallers toegang tot de server wisten te krijgen is onbekend. Het datalek deed zich vorig jaar oktober al voor, maar sommige werknemers kregen dit pas begin deze maand te horen, zo meldt de BBC.

Alles bij de bron; Security


 

Stemwijzers passen verwerking persoonsgegevens aan

Verschillende stemwijzers hebben na onderzoek van de Autoriteit Persoonsgegevens hun beleid en werkwijze voor de verwerking van persoonsgegevens aangepast. De toezichthouder deed onderzoek naar 24 interactieve stemwijzers.

De toezichthouder constateerde dat een aantal stemwijzers zonder uitdrukkelijke toestemming van de gebruikers gegevens over politieke voorkeur en soms ook over geloofsovertuiging verwerkte en ook dat sommige stemwijzers de ingevulde politieke voorkeuren of adviezen in combinatie met een ip-adres of e-mailadres voor lange of zelfs onbepaalde tijd bewaarden. De verwerking van deze bijzondere persoonsgegevens is niet toegestaan zonder uitdrukkelijke toestemming van de mensen die de gegevens over zichzelf invullen. Dat geldt ook als de gegevens alleen voor onderzoek en statistiek worden verwerkt.

De stemwijzers hebben na optreden door de Autoriteit Persoonsgegevens hun werkwijze aangepast of hebben verklaard deze op korte termijn aan te zullen passen. Zij hebben ook verklaard de persoonsgegevens niet meer zonder uitdrukkelijke toestemming te bewaren. De persoonsgegevens waarvoor zij geen rechtsgeldige toestemming hebben verkregen, moeten worden vernietigd of geanonimiseerd. De toezichthouder zal de komende tijd controleren of dit ook is gebeurd. Eerder hadden de stemwijzers na actie van de Autoriteit Persoonsgegevens de beveiliging van de internetverbinding van hun websites al verhoogd.

Alles bij de bron; Security


 

Onderzoek: vervalste cookies gaven toegang tot 32 miljoen Yahoo-accounts

Yahoo heeft de uitkomsten bekendgemaakt van een onderzoek naar toegang tot accounts door middel van vervalste cookies. Daaruit blijkt dat aanvallers 32 miljoen accounts konden binnendringen in 2015 en 2016. In zijn jaarlijkse rapport schrijft Yahoo dat het waarschijnlijk om dezelfde nationale partij gaat als de verantwoordelijke voor de diefstal van 500 miljoen accountgegevens in 2014.

Uit het rapport blijkt verder dat Yahoo er in 2014 van op de hoogte was dat een derde partij toegang had tot gebruikersaccounts. Destijds nam het de beslissing om 26 gebruikers, op wie de aanvallen specifiek gericht waren, daarover te informeren. Het onderzoek naar het voorval wijst verder uit dat sommige leden van het bestuur van het bedrijf onjuist op de informatie hebben gereageerd door geen actie te ondernemen. Bij een andere hack in 2013 werden een miljard gebruikersaccounts buitgemaakt.

Alles bij de bron; Tweakers