45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Pacemakers door onveilig protocol kwetsbaar voor aanvallen

Pacemakers en implanteerbare hartapparaten van fabrikant Medtronics maken gebruik van een onveilig telemetrieprotocol en zijn hierdoor kwetsbaar voor aanvallen, zo waarschuwt de Amerikaanse overheid. Een aanvaller in de buurt van een slachtoffer kan hierdoor op afstand de pacemaker manipuleren.

Voor de communicatie tussen monitoringapparaten en pacemakers wordt er gebruik gemaakt van het draadloze Conexus-telemetrieprotocol. Het protocol maakt geen gebruik encryptie, authenticatie of autorisatie. Daardoor kan een ongeautoriseerd persoon de pacemaker of programmeer- en monitoringapparaten op afstand manipuleren, aldus de Amerikaanse toezichthouder FDA.

Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,3 beoordeeld. Medtronic zou inmiddels aan beveiligingsupdates werken, maar wanneer die verschijnen is nog niet bekend (pdf). 

Alles bij de bron; Security


 

Gegevens 49.000 mensen op straat door datalek bij Altijd Wonen

Privégegevens van 49.000 klanten van huurmakelaar Altijd Wonen zijn jarenlang inzichtelijk geweest door een onbeveiligde website, laat de makelaar donderdag weten. Door het lek waren namen, e-mailadressen en telefoonnummers door anderen in te zien. De verouderde website van de makelaar was niet goed beveiligd.

De wachtwoorden en gebruikersnamen waren ook in te zien, maar een woordvoerder van Altijd Wonen laat weten dat het gaat om unieke wachtwoorden, omdat die gegenereerd werden door het systeem van de huurmakelaar. Wel kon met die informatie bij de website van Altijd Wonen ingelogd worden, waar afspraken voor bezichtigingen gemaakt konden worden. Het lek werd ontdekt na een anonieme tip.

Alles bij de bron; NU


 

Het www is kapot, hoe gaan we het repareren?

Van wie is die foto die je net op Instagram hebt gezet? Waar blijft je YouTube-filmpje eigenlijk als je het hebt geplaatst? En ben jij wel de baas over jouw privacy? Het zijn vragen die te maken hebben met de enorme macht van techreuzen als Facebook en Google. Vragen ook die specialisten ertoe brengen te zeggen dat het wereldwijde web kapot is.

Het web is groter gegroeid dan ooit bevroed, maar het is niet geworden wat Berners-Lee ervan had gehoopt. Hij maakt zich zorgen over de verspreiding van desinformatie, heimelijke politieke beïnvloeding en privacyschandalen. 

Berners-Lee werkt samen met de Gentse hoogleraar computerwetenschappen Ruben Verborgh aan een oplossing; Solid: een persoonlijke datakluis waarin webgebruikers al hun data opslaan. Als ze iets willen posten op een platform zoals Facebook, sturen ze deze foto niet naar het sociale medium, maar mag dat platform alleen een linkje maken naar de foto. Die blijft in de persoonlijke datakluis. Hetzelfde geldt voor commentaren die op het web worden geplaatst. Het voordeel is dat de gebruiker zelf de baas blijft over zijn data.

Zelf gebruiken Berners-Lee en Verborgh al Solid, maar het moet nog gebruikersvriendelijk worden gemaakt voor het grote publiek.

Alles bij de bron; NOS


 

E-mailverificatiedienst lekt 808 miljoen records met privédata

Een e-mailverificatiedienst waar marketingbedrijven gebruik van maken heeft via een onbeveiligde MongoDB-database 808 miljoen records met privédata gelekt, waaronder 763 miljoen unieke e-mailadressen.

Naast e-mailadressen ging het ook om namen, ip-adressen en geboortedata.Verder onderzoek wees uit dat de database van een e-mailverificatiedienst was met de naam Verifications.io.

Marketingbedrijven maken van dergelijke diensten gebruik. Ze leveren een lijst met te valideren e-mailadressen aan. Vervolgens stuurt de verificatiedienst een e-mail naar de e-mailadressen op de lijst. Wanneer de e-mail aankomst gaat het om een geldig adres, bij een bounce wordt het adres op een bouncelijst geplaatst.

Nadat de onderzoeker Verifications.io had gewaarschuwd haalde het bedrijf de database, alsmede de eigen website, offline.

Alles bij de bron; Security


 

Gevoelige gegevens 2,4 miljoen mensen en bedrijven Dow Jones gelekt

Een database met gegevens van ruim 2,4 miljoen mensen en bedrijven van de Amerikanase aandelenbeurs Dow Jones heeft voor onbekende tijd onbeschermd online gestaan. Het gaat om de Dow Jones Watchlist, een lijst van personen met politieke invloed, hun zakenpartners en geassocieerde bedrijven.

De Dow Jones laat aan Diachenko weten dat het erop lijkt dat de Watchlist door een derde partij op een onbeschermde server is geplaatst. Na melding van de onderzoeker op 22 februari is de publiekelijk toegankelijke database offline gehaald.

Alles bij de bron; NU


 

Bijna helft van kantoorwerkers heeft toegang tot meer data dan nodig

Bedrijven zijn nog slecht in staat om cruciale data af te schermen, aangezien bijna de helft van de medewerkers toegang heeft tot gevoelige informatie, ongeacht of ze het nodig hebben bij hun dagelijkse werkzaamheden. Dat blijkt uit Engels onderzoek.

Bijna de helft (48 procent) heeft toegang tot financiële documenten, en 46 procent tot vertrouwelijke HR-gegevens. Daarnaast heeft net geen derde (29 procent) toegang tot de zakelijke bankrekening en 37 procent kon bij research en development plannen en blauwdrukken voor nieuwe producten en services.

Bij vrijwel elk grootschalige digitale inbraak bleek diefstal van inloggegevens de meest gebruikte en meest effectieve route naar een geslaagde aanval. Het beschermen van inloggegevens is dus van belang, maar veel bedrijven blijken tekort te schieten hierin. Zo is vooral de spookmedewerker een probleem: voormalige collega’s die het bedrijf verlaten en nog in het bezit zijn van werkende inlogs tot bijvoorbeeld interne servers, financiële systemen en HR-databases, buiten het zicht van security-medewerkers om... 

...Turner: “Of het nu gaat om de laatste wearable of een HR-systeem dat al jaren draait; beheer van accountgegevens blijft cruciaal. Toegangsrechten moeten beter beveiligd worden, waarbij gebruikers tegen zichzelf worden beschermd om niet per ongeluk in de fout te gaan, en de risico’s op een bewuste aanval verkleind wordt. Het aantal mogelijke ingangen moet zo klein mogelijk zijn.”

Alles bij de bron; Persberichten


 

Miljoenen Indiase burgerservicenummers op straat na groot datalek

De persoonlijke identificatienummers van miljoenen mensen uit India liggen op straat na een datalek bij de oliemaatschappij Indane. Zeker 5,8 miljoen van de identificatienummers zijn inzichtelijk via het lek. Dat aantal kan mogelijk oplopen naar 6,7 miljoen.

Het gaat bij het lek om zogeheten Aadhaar-nummers. Dat is een vertrouwelijk nummer dat wordt gebruikt om mensen bij de overheid te identificeren, net als bijvoorbeeld het Nederlandse burgerservicenummer. 

Het is niet voor het eerst dat er Aadhaar-nummers lekken. Afgelopen jaar was de database met de nummers direct inzichtelijk via een lek bij een energiemaatschappij.

Alles bij de bron; NU


 

20 miljoen gebruikers fotosite EyeEm slachtoffer datalek

Aanvallers wisten vorig jaar februari toegang tot een database van de site te krijgen die bijna 20 miljoen unieke e-mailadressen, namen, gebruikersnamen, profielomschrijvingen en wachtwoordhashes bevatte.

Dat laat onderzoeker Troy Hunt weten. Hij is de beheerder van Have I Been Pwned, een zoekmachine waarmee gebruikers in zo'n 6,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de ruim 19,6 miljoen unieke e-mailadressen die in de database voorkwamen was 44 procent al via een ander datalek bij Have I Been Pwned bekend.

Naar aanleiding van het datalek besloot EyeEm de wachtwoorden van gebruikers te resetten. Hoe de aanvallers toegang tot de database wisten te krijgen is niet door de fotosite bekendgemaakt.

Alles bij de bron; Security