45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Met dit trucje kan iemand je Facebookaccount overnemen

Als je je wachtwoord van je Facebookaccount bent vergeten, krijg je de vraag om je telefoonnummer door te geven. De sociaalnetwerksite stuurt dan een unieke code naar je telefoon. Zo kun je weer toegang krijgen tot je account. Een hacker kan natuurlijk hetzelfde doen. Dat is alleen mogelijk als je nog een oud nummer hebt dat is gekoppeld aan je account en omdat Facebook je nooit vraagt om je gegevens te updaten, komt dat best vaak voor.

Programmeur James Martindale nam de proef op de som en kon zo heel snel inbreken bij meerdere accounts. “Ik was nieuwsgierig. Ik wist dat je in Facebook mensen kunt vinden door hun telefoonnummer in te vullen dus ik typte het nummer in en keek wat er tevoorschijn kwam”, hij voerde een willekeurig wachtwoord in, zodat hij de vraag kreeg om het paswoord te herstellen via zijn gsmnummer. Zo kreeg hij een code en was hij plots aangemeld op iemands account.

Alles bij de bron; Metro


 

Gegevens half miljoen Belgische patiënten gestolen

Een aanvaller heeft in een systeem voor het maken van afspraken met huisartsen de gegevens van een half miljoen Belgische patiënten gestolen. Het gaat om de 'Digitale Wachtkamer', waar door een kwetsbaarheid in de website e-mailadressen, telefoonnummers, wachtwoorden en reden voor het huisartsbezoek werden buitgemaakt.

Zowel de wachtwoorden als berichten die patiënten via de Digitale Wachtkamer versturen bleken niet versleuteld te zijn. De aanvaller eist zo'n 86.000 euro 'voor zijn stilzwijgen'. Ook de artsen kregen een rekening. De aanbieder van de Digitale Wachtkamer benadrukt dat medische dossiers niet zijn gestolen. Patiënten die van de website gebruikmaken wordt verzocht een nieuw wachtwoord aan te maken.

Alles bij de bron; Security


 

Dow Jones lekt gegevens miljoenen klanten door configuratiefout

Uitgeverij Dow Jones & Company, verantwoordelijk voor publicaties als The Wall Street Journal, heeft door een configuratiefout de gegevens van miljoenen abonnees gelekt. Dat meldt securitybedrijf UpGuard, dat de gegevens ontdekte. Volgens UpGuard gaat het om 4 miljoen accounts, terwijl Dow Jones stelt dat 2,2 miljoen klanten zijn getroffen. 

Het gaat om namen, adresgegevens, accountgegevens, e-mailadressen en de laatste vier cijfers van creditcardnummers van miljoenen abonnees. Daarnaast werd er een gegevensverzameling gevonden van verdachte personen waar banken gebruik van maken om aan anti-witwaswetgeving te voldoen. De gegevens waren in een Amazon Web Services (AWS) S3-bucket opgeslagen, de cloudopslagdienst van Amazon.

De bucket stond zo ingesteld dat alle 'geauthenticeerde gebruikers' de data via de url van de bucket konden downloaden. Amazon beschouwt alle gebruikers met een Amazon AWS-account als een geauthenticeerde gebruiker. 

Alles bij de bron; Security


 

Deze ransomware deelt je browsergeschiedenis met je contacten

McAfee heeft een nieuw stuk ransomware ontdekt dat niet je gegevens versleutelt, maar zoveel mogelijk data als e-mails, browsergeschiedenis, locatiegeschiedenis, Facebookberichten, foto's en meer verzamelt en dit deelt met mensen in je contactenlijst. Slachtoffers moeten 50 dollar betalen om dat te voorkomen.  De ransomware, genaamd LeakerLocker, wordt op dit moment gebundeld met de apps Wallpapers Blur HD en Booster & Cleaner Pro. 

De malware maakt overigens geen misbruik van kwetsbaarheden in het besturingssysteem en versleutelt ook geen data. Het enige dat de besmette apps doen is vragen om permissies zodat ze bij de eerder genoemde gegevens kunnen komen. De apps maken dus gebruik van het feit dat niemand de privileges van tevoren controleert.

Alles bij de bron; WebWereld


 

Privégegevens 14 miljoen Amerikaanse Verizon-klanten gelekt

De privégegevens van 14 miljoen Amerikaanse Verizon-klanten waren via een onbeveiligde Amazon-server voor iedereen te downloaden. Het ging om namen, adresgegevens, accountinformatie en persoonlijke pincodes van acounts. Onderzoeker Chris Vickery van securitybedrijf UpGuard ontdekte de gegevens op een onbeveiligde Amazon-cloudserver. De server, die was geconfigureerd om publiek bereikbaar te zijn, werd beheerd door databedrijf NICE Systems, dat diensten aan Verizon levert.

Alleen het weten van het adres van de server was voldoende om voor terabytes aan data te downloaden. Op 13 juni waarschuwde Vickery Verizon, maar pas op 22 juni werd het datalek verholpen. De onderzoeker merkt op dat het datalek niet veroorzaakt is door het bedrijf dat in eerste instantie verantwoordelijk is voor de data, Verizon, maar door een derde partij die diensten aan het bedrijf levert. Het delen van gegevens met een derde partij wil echter niet zeggen dat Verizon de verantwoordelijkheid kan afschuiven, aldus Vickery, die verder stelt dat maar weinig klanten zullen beseffen dat een leverancier van Verizon toegang tot hun gegevens heeft.  

Alles bij de bron; Security


 

Lek bij vastgoeddienst gaf toegang tot duizenden persoonlijke gegevens

Door een lek in een vastgoeddienst van automatiseringsbedrijf EyeMove konden hackers toegang krijgen tot 304.186 documenten. Onder de documenten bevonden zich onder meer kopieën van paspoorten, werkgeversverklaringen en bankverklaringen. Daarnaast was het mogelijk om tachtig databases bloot te leggen, ontdekte beveiligingsonderzoeker Nelson Berg. In die database staan onder meer NAW-gegevens, rekeningnummers en financiële verplichtingen.

Berg vond de kwetsbaarheid toen hij zich inschreef bij een makelaar. Daar moest hij documenten voor uploaden, maar er bleek een fout te zitten in de uploadfunctionaliteit. Die fout was te misbruiken om toegang te krijgen tot de documenten van alle gebruikers van de dienst. Daaronder vallen ook klanten van andere makelaars. 

De beveiligingsonderzoeker heeft het lek gemeld bij EyeMove, die het dezelfde dag nog dichtte. EyeMove doet onderzoek en bepaalt op basis daarvan of een melding bij de Autoriteit Persoonsgegevens vereist is.

Alles bij de bron; NU


 

Onbeveiligde database gaf toegang tot gegevens van 198 miljoen kiezers in VS

Een onderzoeker van het bedrijf UpGuard heeft ontdekt dat op een publiek toegankelijke cloudserver, die door ingehuurde data-analisten van de Republikeinse Partij werd gebruikt, de gegevens van 198 miljoen Amerikaanse kiezers voor iedereen waren in te zien.

Volgens het beveiligingsbedrijf UpGuard gaat het om het grootste lek van kiezersinformatie tot nu toe. De onbeveiligde database, die gebruik maakte van de Amazon Simple Storage Service, zou door de Republikeinen zijn gebruikt in een poging om Donald Trump de verkiezingen te laten winnen. Niet alleen namen, geboortedata, adressen, telefoonnummers waren zichtbaar, maar ook de etniciteit en religieuze achtergrond van de kiezers. De data ging terug tot aan de verkiezingen van 2008 en 2012. Het is onduidelijk hoe lang de data onbeveiligd is geweest.

Het ging waarschijnlijk om bijna alle registreerde Amerikaanse kiezers. Het bedrijf Deep Root Analytics had in totaal 1,1 terabyte aan onbeveiligde persoonsgegevens samengesteld samen met twee andere ingehuurde databedrijven, te weten TargetPoint Consulting en Data Trust. Deze bedrijven waren ingehuurd om via data-analyses potentiële kiezers te kunnen beïnvloeden en hun kiesgedrag vrij accuraat te kunnen voorspellen. Het ontwikkelde model had 9,5 miljard datapunten nodig voor drie van de vijf Amerikaanse kiezers, om zo via een algoritme van elk van de 198 miljoen kiezers te kunnen voorspellen wat hun politieke voorkeuren zijn.

Alles bij de bron; Tweakers


 

Datalek: OM kan kijken bij rechters

In het computersysteem van de rechterlijke macht (‘Compas’) is een ernstig datalek geconstateerd. Medewerkers van het Openbaar Ministerie blijken in sommige gevallen toegang te hebben tot het afgeschermde computer- en informatiedeel waar alleen rechters stukken zouden moeten kunnen lezen en bewerken.

Het datalek kwam vorige maand aan het licht bij de rechtbank Oost-Brabant. Werknemers van het OM konden in het computersysteem beslissingen van de rechtbank in een groot drugsonderzoek (codenaam Gutenberg) zien nog voordat het vonnis was uitgesproken. Het ‘inbreken’ door leden van het OM in het computersysteem van de rechters kon gebeuren doordat justitie te ruime autorisatiecodes afgaf aan de eigen OM-medewerkers. Compas wordt door magistraten gebruikt voor ernstige misdrijven die door de meervoudige kamer worden behandeld.

Bij de rechtbank is men erg geschrokken van het lek maar wijst er wel op dat het OM „geen enkele invloed” heeft kunnen uitoefenen op het rechterlijk oordeel. „Het OM heeft op geen enkele wijze getracht de inhoud van vonnissen te beïnvloeden.” De rechters werden door het OM zelf geattendeerd op het feit dat eigen medewerkers met rechters konden meelezen.

Alles bij de bron; NRC