45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

British Airways meldt diefstal financiële data 380.000 reizigers

De gegevens van 380.000 klanten van British Airways zijn gestolen. Het gaat onder andere om financiële data zoals creditcardgegevens, die klanten invoerden bij het boeken van vluchten.

Om precies te zijn gaat het om de gegevens van boekingen die tussen 21 augustus en 5 september via ba.com of de app van de luchtvaartmaatschappij zijn gemaakt, staat op de waarschuwingspagina. British Airways raadt getroffen klanten aan een nieuw wachtwoord in te stellen en contact op te nemen met hun bank over de te nemen stappen.

Om welke gegevens het precies gaat, meldt het bedrijf niet. Paspoort- en reisgegevens zijn in ieder geval niet weggesluisd, belooft British Airways. Niet duidelijk is hoe de kwaadwillenden de systemen wisten binnen te dringen. Volgens het bedrijf is het lek gedicht en zijn de autoriteiten op de hoogte gebracht.

Alles bij de bron; Tweakers


 

Air Canada waarschuwt 20.000 klanten voor datalek

Air Canada heeft 20.000 klanten gewaarschuwd voor een datalek en heeft 1,7 miljoen gebruikers van de mobiele app verplicht om een nieuw wachtwoord in te stellen. De luchtvaartmaatschappij heeft van 22 tot en met 24 augustus verdacht inloggedrag op de eigen mobiele app waargenomen. Hoe er op de accounts kon worden ingelogd is niet bekendgemaakt.

Standaard bevat het account informatie zoals naam, e-mailadres en telefoonnummer, maar gebruikers kunnen ook geslacht, geboortedatum, nationaliteit en paspoortgegevens toevoegen, zoals paspoortnummer, land van uitgifte en verloopdatum.

Alles bij de bron; Security


 

Ouderlijk toezicht-app lekt 281 gigabyte aan kinderfoto's

Softwarebedrijf Family Orbit, dat een app biedt waarmee ouders hun kinderen kunnen monitoren, heeft gigabytes aan kinderfoto's gelekt. Via de app kunnen ouders zien wat hun kind met de telefoon doet, het kind in realtime lokaliseren, het toestel vergrendelen of ontgrendelen en gevaarlijke apps en websites blokkeren. Ook kunnen ouders bijvoorbeeld zien wat voor foto's hun kinderen maken en delen en met wie ze bellen.

Een hacker wist de API-leutel te vinden waarmee hij toegang tot de cloudservers van Family Orbit kon krijgen. De servers bleken allerlei foto's te bevatten die door de app waren onderschept. In totaal ging het om 281 gigabyte aan afbeeldingen. De API-sleutel die de ouderlijk toezicht-app gebruikt is versleuteld in de app opgeslagen. Om toegang tot de servers te krijgen zou daarnaast een wachtwoord zijn gebruikt dat "bijna iedereen kon vinden", aldus de hacker. Het softwarebedrijf zegt de API-sleutel en inloggegevens te hebben veranderd.

Alles bij de bron; Security


 

Ooops; Black Hat-beveiligingsconferentie lekte data bezoekers

Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt waardoor het mogelijk was om gegevens te downloaden van alle 18.000 mensen die begin augustus de Black Hat-beveiligingsconferentie in Las Vegas hebben bezocht. 

Bezoekers van het evenement ontvingen een badge met een NFC-tag die door leveranciers op het evenement kon worden gescand. Op deze manier kunnen leveranciers informatie over bezoekers verzamelen en hen vervolgens allerlei marketingmateriaal e-mailen. De onderzoeker, die van het alias "NinjaStyle" gebruikmaakt, ontdekte dat er verschillende gegevens op de tag stonden. Het ging onder andere om voor- en achternaam. Het e-mailadres stond echter niet in plain text op de tag. Wel bevatte de tag een link die gebruikers vroeg om de BCard-app te downloaden.

Via de programmeerinterface (API) van de BCard-app bleek het mogelijk te zijn om gegevens van conferentiebezoekers op te vragen door een badgeID en eventID te versturen. Er was hiervoor geen enkele authenticatie vereist. Via een bruteforce-aanval was het mogelijk om in 6 uur tijd alle mogelijke BadgeID's te proberen en zo gegevens van alle Black Hat-bezoekers te achterhalen. Het ging dan om namen, e-mailadressen, bedrijfsnamen, telefoonnummers en adresgegevens.

De onderzoeker probeerde het probleem op 9 augustus bij ITN International te rapporteren, de aanbieder van BCard en het tag-systeem. Dit bleek in eerste instantie lastig. Nadat er uiteindelijk op 12 augustus contact was gelegd werd de API binnen 24 uur uitgeschakeld. De onderzoeker zegt zich volgend jaar met valse gegevens te zullen registreren.

Alles bij de bron; Security


 

Babysitter-app lekte data 93.000 gebruikers door open database

De babysitter-app Sitter heeft door een configuratiefout de gegevens van 93.000 gebruikers gelekt. Het ging om versleutelde wachtwoorden, e-mailadressen, telefoonnummers, adresgegevens, transactiegegevens met gedeeltelijke creditcardnummers, adresboeken en andere data, aldus onderzoeker Bob Diachenko die de database via de zoekmachine Shodan ontdekte.

Door een fout was de MongoDB-database voor heel het internet openbaar. Naast de eerder genoemde gegevens bevatte de database ook in-app chatgesprekken en notificatiegeschiedenis met informatie van wie een babysitter zocht, op welk adres en op welk moment. Diachenko informeerde Sitter over het datalek. Het bedrijf zegt het probleem te hebben verholpen en meldt dat het alle gebruikers heeft geïnformeerd.

Bron; Security


 

UWV lekt privégegevens van 2.400 cliënten

Het UWV heeft privégegevens van 2.400 cliënten naar 96 werkzoekenden gestuurd. Het gaat om onder meer namen, telefoonnummers, geboortedata en burgerservicenummers. 

Het UWV wilde via een speciaal communicatiekanaal tussen de uitkeringsinstantie en werkzoekenden een uitnodiging naar 2.400 klanten sturen. "Bij 96 is dat misgegaan. In plaats van de uitnodiging is bij hen de verzendlijst bijgesloten.", aldus de woordvoerder. 

Alle 96 mensen zijn door het UWV gebeld met het verzoek een eventueel gemaakte kopie te verwijderen. Volgens een woordvoerder hebben alle 96 ontvangers beloofd dat te doen. "Maar we kunnen natuurlijk niet in hun computers meekijken of ze dit ook hebben gedaan", aldus de instantie. Verder hebben alle 2.400 gedupeerde klanten excuses en een uitleg gekregen.

De bewuste brief ontving ik via de mail;

UWV LEK PRIVACY GEGEVENS

Alles bij de bron; NU


 

Privégegevens 1,5 miljoen patiënten Singapore gestolen

Aanvallers hebben de privégegevens van 1,5 miljoen mensen gestolen die in Singaporese ziekenhuizen en klinieken zijn behandeld. De gegevens zijn afkomstig uit een database van SingHealth, de grootste Singaporese zorgverlener.

Op 10 juli werd vastgesteld dat er informatie uit de database is gestolen. Het gaat om namen, de Singaporese tegenhanger van het BSN, adresgegevens, geslacht, etniciteit en geboortedatum van 1,5 miljoen patiënten die tussen 1 mei 2015 en 4 juli in ziekenhuizen en poliklinieken zijn behandeld. Van 160.000 patiënten zijn ook gegevens over medicijngebruik buitgemaakt.

Uit het onderzoek blijkt dat de aanvallers via een front-end workstation wisten binnen te komen. Vervolgens bemachtigden ze de inloggegevens van een geprivilegieerd account om geprivilegieerde toegang tot de database te krijgen. 

Alles bij de bron; Security


 

Onderzoek privacy Arnhem: ‘Eigenlijk lag alles open en bloot’

De rekenkamer heeft onderzoek gedaan naar de informatiebeveiliging van het sociaal domein binnen de gemeente Arnhem. Een ethische hacker heeft daarbij getoetst wat de huidige stand van de beveiliging is en onderzocht of de informatieveiligheid en privacy in technische zin geborgd is. De rekenkamer kwam hierbij tot verontrustende conclusies. 

In het rapport zegt de rekenkamer dat feitelijk alle kernprocessen van Arnhem toegankelijk en manipuleerbaar waren voor een door de Rekenkamer ingeschakelde ethische hacker en dat deze toegang heeft verkregen tot privacygevoelige informatie van zowel burgers, bestuurders als ambtenaren. Er is een groot aantal tekortkomingen in de informatiebeveiliging vastgesteld.

Het onderzoek richtte zich in eerste instantie op het sociaal domein waar onder meer zorg, onderwijs, opvoeding en inburgering onder vallen. Het gaat hierbij dus om de gegevens van kwetsbare groepen. De hacker heeft zich echter toegang kunnen verschaffen tot meer gegevens. ‘Eigenlijk lag alles open en bloot. Degene die deze test heeft uitgevoerd was in staat zichzelf administratorrechten toe te eigenen in het netwerk van de gemeente en kon daardoor overal bij.’

De Connectie, de organisatie die namens de gemeente verantwoordelijk is voor deze processen, krijgt bovendien stevige kritiek over de manier waarop de tekortkomingen worden aangepakt. De rekenkamer zegt hierover: ‘De connectie is niet in control op het gebied van informatiebeveiliging en privacybescherming, gelet op de wijze waarop de aanpak van de aangetoonde tekortkomingen wordt gekoppeld aan lopende projecten zonder dat deze tekortkomingen daarmee inhoudelijk worden verholpen. Hierdoor is Arnhem kwetsbaar.’ Ook concludeert de rekenkamer een groot verschil tussen gedrag, beleid en uitvoering binnen De Connectie. Kortom, er wordt niet het beleid uitgevoerd dat ze uit zouden moeten voeren.

De aanbevelingen zijn unaniem door de gemeenteraad overgenomen.

Alles bij de bron; A'hemDirect