Uit onderzoek van The Shadowserver Foundation blijkt dat 223 Zimbra-mailservers in Nederland kwetsbaar zijn voor een kritiek beveiligingslek. Dit lek stelt aanvallers in staat om op afstand commando's uit te voeren op getroffen servers.
Het beveiligingslek, dat een maximale ernstigheidsscore van 10 heeft gekregen, kan worden uitgebuit door simpelweg een e-mail te versturen met kwaadaardige code in het CC-veld. Het lek wordt gevolgd onder de CVSS-code CVE-2024-45519.
Zimbra heeft vorige maand patches uitgebracht om het probleem te verhelpen en organisaties worden geadviseerd om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen, aangezien er al actief misbruik van wordt gemaakt door cybercriminelen.
Alles bij de bron; Tweakers
Een onderzoek van beveiligingsbedrijf AppOmni heeft aan het licht gebracht dat meer dan 1000 ServiceNow-instanties potentieel gevoelige gegevens uit hun kennisbank blootleggen.
Dit soort gegevens kan een schatkamer zijn aan interne informatie, zoals oplossingen voor veelvoorkomende problemen, IT-ondersteuningsverzoeken, systeemdetails en zelfs inloggegevens.
Als cybercriminelen toegang krijgen tot deze gevoelige informatie, kunnen ze dit gebruiken om andere bedrijfssystemen aan te vallen. Denk hierbij aan het stelen van inloggegevens om toegang te krijgen tot databases of het ontvreemden van vertrouwelijke bedrijfsdocumenten.
De oorzaak van deze datalekken ligt vaak in verouderde of foute configuraties van de toegangsrechten.
ServiceNow bevestigt dat ze op de hoogte zijn van het onderzoek en is nu bezig met een grootschalig initiatief om de configuraties van alle kennisbanken te controleren en waar nodig aan te passen.
Alles bij de bron; Dutch-IT-Channel
Onderzoekers van de Zwitserse École Polytechnique Fédérale De Lausanne (EPFL) hebben meer dan 30 kwetsbaarheden ontdekt in het Android-besturingssysteem. Door de kwetsbaarheden kunnen kwaadwillenden onder meer vingerafdrukken en creditcardgegevens van Android-gebruikers buitmaken.
De onderzoekers bestookten Android met willekeurige code, en wisten zo in totaal 34 kwetsbaarheden op te sporen. 17 van de ontdekte beveiligingsproblemen zijn als kritiek beoordeeld.
Meer informatie over de ontdekte kwetsbaarheden is hier beschikbaar.
Alles bij de bron; Dutch-IT-Channel
Privacyorganisatie noyb dient twee klachten in tegen het Europees Parlement bij de European Data Protection Supervisor (EDPS). Het Europees Parlement heeft volgens de Oostenrijkse privacyvoorvechter onvoldoende gedaan voor het beschermen van de persoonsgegevens van zijn medewerkers.
Aanleiding voor de twee klachten is een datalek in het wervingsplatform 'PEOPLE' van het Europees Parlement. Dit lek is in mei door het Europees Parlement gemeld aan personeel. Noyb stelt echter dat het lek lange tijd is stilgehouden.
Het wervingsplatform omvat allerlei gevoelige informatie over werknemers. Denk daarbij aan identiteitskaarten en paspoorten, uittreksels uit het strafregister en verblijfsdocumenten, maar ook aan huwelijksakten waaruit de seksuele geaardheid van mensen kan worden afgeleid. De gegevens van zo'n 8.000 medewerkers van het Europees Parlement zijn opgeslagen in het platform.
Noyb stelt dat het Europees Parlement met zijn werkwijze rondom het lek de General Data Protection Regulation (GDPR) schendt, en wil dat de EDPS het Europees Parlement dwingt zich aan deze Europese verordening te houden.
Alles bij de bron; Dutch-IT-Channel
De gegevens van 3,2 miljoen Belgische WhatsApp gebruikers zijn te koop aangeboden op een forum op het dark web.
Onder de gelekte gegevens zijn telefoonnummers en gebruikersnamen, meldt het Belgische Centrum voor Cyberveiligheid. De instantie waarschuwt voor misbruik van de gegevens door criminelen die hiermee proberen om mensen op te lichten. Belgische WhatsApp-gebruikers wordt aangeraden om wantrouwend te zijn als ze opeens door een onbekende worden benaderd.
Het gaat waarschijnlijk om gegevens die gebruikers zelf openbaar hebben gemaakt, doordat ze deze in de instellingen van WhatsApp niet hebben afgeschermd. "Dit type inbreuk is niet uniek voor België en heeft zich in het verleden ook in andere landen voorgedaan”, aldus de Belgische instantie. Er is geen sprake van een hack, maar wel van scraping, waarbij op grote schaal openbaar gedeelde gegevens zijn verzameld. "Dit gaat voor alle duidelijkheid ook niet over wachtwoorden. Mensen kunnen niet inloggen op jouw WhatsApp-account."
Onder de aangeboden gegevens zijn ook profielfoto’s, schrijft De Morgen. Een cybercrime-expert noemt in de krant de grootte van de database wel opmerkelijk. "Het gaat om zo'n grote hoeveelheid, volgens mij zijn dit zowat alle Belgen die een WhatsApp-account hebben", aldus ethisch hacker Inti De Ceukelaire.
Gebruikers wordt geadviseerd om de privacy-instellingen van WhatsApp te controleren. Je kunt de zichtbaarheid van informatie zoals 'laatst gezien', 'online', en 'profielfoto' beperken tot 'niemand' of alleen contacten.
Alles bij de bron; Bright
Privacytoezichthouder AP heeft meerdere meldingen binnengekregen van datalekken die ontstonden nadat medewerkers persoonsgegevens van klanten en patiënten met een AI-chatbot hadden gedeeld. Niet alle organisaties zijn zich ervan bewust dat chatbots die informatie kunnen bewaren.
Het is niet duidelijk hoeveel meldingen de Autoriteit Persoonsgegevens (AP) precies binnenkreeg. De privacytoezichthouder komt wel met enkele voorbeelden.
Zo voerde een medewerker van een huisartsenpraktijk medische gegevens van patiënten in bij een AI-chatbot. Dit soort data zijn doorgaans zeer gevoelig. Om die zomaar te delen met een techbedrijf is volgens de AP "een grote schending van de privacy" van de betrokken patiënten. Ook kreeg de toezichthouder een melding binnen van een telecombedrijf. Daar had een medewerker een bestand met onder meer adressen van klanten ingevoerd in een AI-chatbot.
De meeste bedrijven die chatbots maken slaan alle ingevoerde gegevens op, waarschuwt de AP. "Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert", zegt de toezichthouder.
Het is vervolgens onduidelijk wat er met de ingevoerde gegevens gebeurt. Ook degene van wie de gegevens zijn, heeft daar geen weet van. Omdat techbedrijven toegang krijgen tot persoonsgegevens zonder dat het de bedoeling is, is er volgens de AP sprake van een datalek.
Alles bij de bron; NU
Bang Bros heeft de gevoelige gegevens van gebruikers gelekt, waaronder ip-adressen, gebruikersnamen, user agents, geolocatie en andere data, zo meldt Cybernews op basis van eigen onderzoek. De dataset van in totaal acht gigabyte werd in een onbeveiligde Elasticsearch-cluster aangetroffen en begin juni door zoekmachines geïndexeerd.
Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse. De dataset bevatte twaalf miljoen records met ip-adressen, gebruikersnamen, user agents, berichten, land, geolocatie tot op 11 meter nauwkeurig en modelgegevens.
De website waarschuwde Bang Bros, waarna de data werd beveiligd.
Alles bij de bron; Security
Secure Boot is een mechanisme dat onderdeel uitmaakt van Unified Extensible Firmware Interface (UEFI). Het zorgt dat bij het opstarten van een systeem alleen vertrouwde software draait. Hiervoor maakt het gebruik van digitale handtekeningen, die het vergelijkt met vertrouwde digitale sleutels die zijn opgeslagen in de UEFI.
Eind 2022 is een zogeheten platform key van American Megatrends International (AMI) gepubliceerd. Deze sleutel wordt gebruikt voor de Secure Boot-database. De private key van deze platform key bleek beveiligd met een zwak encryptie, die eenvoudig gekraakt kon worden. Nader onderzoek wijst uit dat zeker tweehonderd apparaten gebruikmaken van de uitgelekte platform key.
Daarnaast ontdekte de onderzoekers ook een brede reeks apparaten die gebruik maken van platform keys die als onveilig zijn bestempeld. Het gaat daarbij specifiek om testsleutels van AMI, die het bedrijf deelt met fabrikanten en leveranciers. Deze keys hadden vervangen moeten worden door veilige varianten, maar dat is in de praktijk niet gebeurd. Dit betekent in de praktijk dat de apparaten zijn geleverd met niet-vertrouwde sleutels.
In de praktijk maken de beveiligingsproblemen systemen met Secure Boot kwetsbaar voor het uitvoeren van niet-vertrouwde code tijdens het opstarten. De onderzoekers stellen dat dit de volledige beveiligingsketen van firmware tot besturingssysteem aantast.
Alles bij de bron; Dutch-IT-Channel
De provincie Zuid-Holland is door de Autoriteit Persoonsgegevens (AP) onder geïntensiveerd toezicht geplaatst en moet concrete afspraken maken met de AP over hoe het zorgvuldiger zal omgaan met persoonsgegevens en hierover rapporteren.
"De provincie gebruikt voor de archivering en opslag van documenten en het intern samenwerken aan documenten een document management systeem. Het systeem bevat allerlei gegevens, van memo’s en besluiten tot uiteenlopende (persoonlijke) gegevens van burgers, zakelijke contacten en (externe) medewerkers", licht de provincie toe.
"Onze teams Privacy en Informatieveiligheid kwamen in dat systeem (bijzondere) persoonsgegevens tegen die toegankelijk waren voor vrijwel alle medewerkers van de provincie. Categorieën van persoonsgegevens die zijn aangetroffen zijn onder meer NAW-gegevens, contactgegevens, geboortedata, kopieën van identiteitsdocumenten, BSN-nummers en gegevens over opleiding- en werkervaring. Veel medewerkers hadden geen toegang tot deze gegevens nodig om hun functie uit te oefenen. Dat betekent dat er sprake is van een datalek."
Om maatregelen op langere termijn te identificeren en de veiligheid van de systemen en bescherming van persoonsgegevens te kunnen waarborgen, is de provincie gestart met de opdracht: ‘Bescherming persoonsgegevens provincie Zuid-Holland: Privacyvolwassenheid 3 en datalek IDMS’. Binnen deze opdracht zijn diverse teams betrokken, ieder met hun eigen expertise, aldus de provincie Zuid-Holland.
Alles bij de bron; Dutch-IT-Channel
Vijf studenten van de Hogeschool van Arnhem en Nijmegen (HAN) krijgen wegens een datalek dat zich in 2021 voordeed een schadevergoeding van driehonderd euro.
In september 2021 maakte de HAN bekend dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen.
Het ging om ruim 530.000 unieke mailadressen, alsmede zo'n 15.000 "meer privacygevoelige gegevens", waaronder politieke voorkeur, BSN-nummer, niet versleutelde wachtwoorden, paspoort- en identiteitskaartnummers en meldingen over functiebeperkingen en studievertragingen.
Vorig jaar oktober oordeelde de kantonrechter dat de hogeschool een student wegens het datalek een schadevergoeding van driehonderd euro moet betalen. Kort daarna bleek dat meer huidige en voormalige studenten van de HAN overwogen een claim in te dienen tegen de onderwijsinstelling. De claims moesten aan strenge voorwaarden voldoen, wat er uiteindelijk voor zorgde dat in totaal zeven slachtoffers een claim indienden.
De juridische afdeling van de HAN oordeelde dat vijf van hen op basis van de uitspraak van de rechter recht hebben op een vergoeding.
Eén van deze studenten maakt aanspraak op nog eens driehonderd euro. Aanleiding is een datalek in januari van dit jaar, waarbij gedetailleerde medische gegevens van meerdere studenten op de aanwezigheidslijst voor een tentamen terecht waren gekomen.
Alles bij de bron; Security