Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
Cloudprovider DigitalOcean heeft klanten gewaarschuwd voor een datalek nadat aanvallers wisten in te breken bij e-mailmarketingbedrijf MailChimp.
Via MailChimp kunnen bedrijven en organisaties nieuwsbrieven en marketingmails versturen, maar ook andere e-mailcommunicatie. DigitalOcean maakte gebruik van de diensten van het bedrijf, mede voor het uitvoeren van wachtwoordresets, versturen van mailwaarschuwingen en e-mailbevestigingen.
Vorige week ontdekte de cloudprovider dat een aanvaller het eigen MailChimp-account had gecompromitteerd, wat volgens DigitalOcean vermoedelijk een groter beveiligingsincident lijkt te zijn. Zo werden transactionele e-mails van DigitalOcean die via MailChimp werden verstuurd niet meer afgeleverd bij klanten. Het ging onder andere om wachtwoordresets en e-mailbevestigingen.
De aanvaller kreeg via het gecompromitteerde account toegang tot e-mailadressen van DigitalOcean-klanten. Vervolgens probeerde de aanvaller toegang tot de accounts van deze klanten te krijgen door in naam van klanten wachtwoordresets uit te voeren. Ten tijde van de aanval liet tenminste één klant weten dat het wachtwoord van zijn account was gereset. De cloudprovider meldt dat de accounts van deze klanten inmiddels zijn beveiligd. Naast de e-mailadressen zijn er geen andere klantgegevens buitgemaakt.
Eerder dit jaar wist een aanvaller ook al toegang tot een interne tool van MailChimp te krijgen om vervolgens van meer dan honderd accounts klantgegevens te stelen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een kwetsbaarheid in de Titan M-beveiligingschip van Google Pixel-telefoons maakt het mogelijk voor aanvallers om encryptiesleutels en andere gevoelige data van het apparaat te stelen.
Google introduceerde de Titan M-chip in 2018 in Pixel-telefoons. De chip is ontwikkeld om gevoelige data te beschermen en bevindt zich op een aparte system-on-a-chip (SoC) in de telefoon. Het draait ook zijn eigen firmware en communiceert zelf met de applicatieprocessor. De chip wordt voor verschillende doeleinden gebruikt, waaronder het bootproces. Zo verifieert de chip de passcode die gebruikers op een vergrendeld scherm invoeren en regelt het decryptieproces daarna. Third-party apps kunnen de chip gebruiken om private keys te genereren en op te slaan die voor transacties binnen de betreffende apps worden gebruikt.
In mei van dit jaar bracht Google een beveiligingsupdate uit die een kwetsbaarheid in de Titan M-firmware veroorzaakte. Daardoor is het mogelijk voor een aanvaller om code op de beveiligingschip uit te voeren en gevoelige data te stelen, zoals encryptiesleutels. Met de gestolen sleutels is het vervolgens mogelijk om versleutelde data te ontsleutelen.
Google kwam in juni met een update voor het kritieke beveiligingslek (CVE-2022-20233), nadat het in mei ook al een kritieke kwetsbaarheid (CVE-2022-20117) in de Titan M-chip had verholpen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
De overheid heeft van tientallen gedupeerden van de toeslagenaffaire persoonsgevoelige informatie gelekt, zo heeft staatssecretaris De Vries van Financiën in een brief aan de Tweede Kamer laten weten. Het gaat om datalekken die zich voordeden bij het verstrekken van dossiers en een aanval op een ict-omgeving van Sociale Banken Nederland (SBN).
SBN helpt gedupeerden van de toeslagenaffaire bij het afbetalen van private schulden. Hiervoor wordt onder andere gewerkt aan een project met de naam 'al betaalde schulden'. In voorbereiding op de lancering vindt er eerst een proef plaats. Aanvallers zijn in mei erin geslaagd om toegang te krijgen tot de server waarop het proefproject draait en hadden zo toegang tot de gegevens van zeven gedupeerden die aan de proef deelnemen. Het datalek is zowel bij de betreffende ouders als de Autoriteit Persoonsgegevens gemeld.
In april meldde de staatssecretaris al dat in een periode van halverwege mei tot halverwege november vorig jaar niet altijd alle gevoelige informatie is gelakt uit hersteldossiers die aan ouders zijn verstrekt. Het gaat om burgerservicenummers van andere burgers en om persoonsinformatie van medewerkers.
De hersteldossiers bevatten alle informatie uit het verleden waar de Belastingdienst over beschikt en worden gebruikt om te bepalen voor welke regelingen iemand in aanmerking komt. Bij 73 van de 274 onderzochte hersteldossiers bleek dat er persoonsgevoelige informatie is blijven staan. Dit is volgens De Vries veroorzaakt doordat de afgesproken controle op de opgeleverde gelakte dossiers onvoldoende heeft plaatsgevonden.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Nederlandse hacker wist toegang te krijgen tot het systeem van het Chinese Solarman, dat omvormers voor zonnepanelen levert.
Met de inloggegevens was het mogelijk om de persoonsgegevens van Nederlandse klanten in te zien. Ursem zegt dat hij nieuwe gebruikers kon aanmaken en bestaande gebruikers kon verwijderen. Daarnaast kon hij onder meer de gps-coördinaten en de hoeveelheid stroom die de zonnepanelen opwekken inzien. Ook was het mogelijk om de firmware van de omvormers te downloaden, aan te passen en weer te uploaden.
Aanvallers met toegang tot het systeem konden de zonnepanelen van Solarman-klanten zelfs op afstand uitschakelen of onklaar maken. Daarnaast zou een hacker het internet van eigenaren van zonnepanelen kunnen platleggen als de omvormer is verbonden met het thuiswifinetwerk. Ook is er kans op brandgevaar als de beveiligingsinstellingen rond de spanning op een bepaalde manier worden aangepast.
Daarnaast kwam Ursem tot de ontdekking dat de klantendata naar China worden gestuurd, wat in strijd is met de AVG. Ook kan China op afstand de omvormers van in Nederland geplaatste zonnepanelen beheren. En dat terwijl Chinese bedrijven vanwege een te groot risico voor de staatsveiligheid geen vitale delen van het Nederlandse stroomnet op de Noordzee mogen bouwen.
Solarman, dat in Nederland meer dan 42.000 klanten heeft, geeft toe dat het mogelijk was om de software van de omvormers aan te passen.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Wie een account op social media aanmaakt moet geen echte namen gebruiken maar een alias. Ook is het verstandig om een apart e-mailadres voor de registratie te gebruiken en zo min mogelijk persoonlijke informatie te delen, zo adviseert het Australische Cyber Security Centre (ACSC). Volgens het ACSC kan social media een risico voor de veiligheid van zowel burgers als bedrijven vormen.
De overheidsinstantie heeft daarom advies opgesteld zodat Australiërs hier bewust van worden en maatregelen nemen. "Persoonlijke informatie die op social media wordt geplaatst of gedeeld via chatapps kan worden misbruikt. Zelfs onschuldig lijkende berichten, foto's of video's zijn te gebruiken voor het maken van gedetailleerde profielen van personen", aldus het ACSC. Dergelijke informatie is vervolgens te gebruiken om mensen af te persen of voor social engineering...
...Verder adviseert het ACSC om voor elk socialmedia-account een unieke passphrase te gebruiken, geen antwoorden te geven op de geheime vragen voor het uitvoeren van wachtwoordresets en niet vanaf openbare computers op socialmedia-accounts in te loggen. Tevens doen gebruikers er verstandig aan om na het gebruik op gedeelde apparaten uit te loggen en niet meer gebruikte oude socialmedia-accounts te sluiten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een meerderheid in de Tweede Kamer heeft voor een motie gestemd die het kabinet oproept om end-to-end encryptie in stand te houden.
Aanleiding voor de motie zijn plannen van de Europese Commissie om bedrijven die online diensten in de EU aanbieden, waaronder chatdiensten en hostingbedrijven, te verplichten om kindermisbruikmateriaal op hun platforms te detecteren, te rapporteren en te verwijderen.
Volgens Ross Anderson, hoogleraar Security Engineering aan de Universiteit van Cambridge en Europese burgerrechtenbeweging EDRi gaat het hier om een aanval op end-to-end encryptie en wordt privacy in de naam van kinderbescherming opgeofferd. Volgens Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, en versleutelde e-maildienst Tutanota gaat het om massasurveillance kan dit tot het ergste surveillanceapparaat buiten China leiden.
Minister Adriaansens van Economische Zaken besloot de motie te ontraden. "Wij staan voor sterke versleuteling. Dat staat ook in het kabinetsstandpunt uit 2016. Het belang van briefgeheim en het vertrouwelijk karakter van elektronische communicatie zijn daarin belicht, alsook de noodzaak van oplossingen voor de opsporing. Bij die opsporing loopt een inventarisatie naar de rechtmatige toegang tot versleuteld bewijs. Daar wil ik niet op vooruitlopen", zo liet de bewindsvrouw tijdens het debat weten.
Afgelopen maandag werd er over de motie gestemd, die met 128 stemmen voor en 22 stemmen werd aangenomen. Alleen het CDA, ChristenUnie en de SGP stemden tegen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een wereldwijd opererende fabrikant van jacuzzi's heeft via twee slecht beveiligde adminpanels de privégegevens van gebruikers en klanten gelekt. Na te zijn ingelicht duurde het maanden voordat het bedrijf de gevonden problemen verhielp. Dat meldt beveiligingsonderzoeker Eaton Zveare die het datalek ontdekte.
Via de SmartTub-app is het onder andere mogelijk om op afstand de temperatuur, stroming en verlichting van de jacuzzi van over de hele wereld te bedienen. De jacuzzi is namelijk voorzien van een module voor een mobiele dataverbinding.
Gebruikers van de SmartTub-feature moeten eerst een account aanmaken. Zveare, die zelf een jacuzzi had aangeschaft, ontving hierbij een e-mail vanaf het domein smarttub.io. De onderzoeker dacht in eerste instantie dat dit een website was om op zijn account in te loggen, maar het bleek het adminpanel te zijn. Alleen door het aanpassen van een HTTP response lukte het Zveare om op het beheerderspaneel in te loggen.
Daar ontdekte hij allerlei gegevens van klanten en gebruikers, waaronder van spa's en sauna's die van de jacuzzi's gebruikmaken, maar ook thuisgebruikers waar de apparaten staan. Het ging onder andere om namen en e-mailadressen. Van hoeveel mensen de gegevens zijn gelekt is onduidelijk. De Android-app alleen telt meer dan tienduizend downloads.
Zveare waarschuwde Jacuzzi Brands december vorig jaar, maar de communicatie verliep moeizaam. Pas deze maand zag de onderzoeker dat beide adminpanels beveiligd waren, waarop hij nu zijn bevindingen openbaar heeft gemaakt.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Van de Gelderse gemeente Buren werden begin april honderden bestanden gestolen na een aanval met gijzelsoftware. Woensdag heeft de gemeente bekendgemaakt dat de aanval ontstond doordat criminelen inloggegevens van een leverancier misbruikten.
Bij de hack werd 130 GB aan bestanden gestolen. Die dataset werd vervolgens te koop aangeboden op het darkweb.
De gemeente maakt niet bekend om welke leverancier het gaat. Wel is duidelijk dat de hackers zijn binnengedrongen via een account dat niet extra werd beschermd door tweestapsverificatie. Daardoor hadden de aanvallers aan een accountnaam en wachtwoord genoeg om binnen te dringen in de ICT-omgeving van de gemeente.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
Apeldoorn heeft de inloggegevens van duizenden mensen gelekt die van de Stadspas gebruikmaken.
Een ethische hacker ontdekte dat het via de website mogelijk was om toegang tot een logbestand te krijgen met daarin gebruikersnamen en wachtwoorden van 4.600 personen. Het gaat om gebruikers die bij het inloggen één of meerdere keren foutieve gegevens, bijvoorbeeld een typfout in mailadres of een verkeerd wachtwoord, hadden ingevuld.
Naar aanleiding van het datalek heeft de gemeente de website van de Stadspas offline gehaald, alle getroffen personen ingelicht en melding gemaakt bij de Autoriteit Persoonsgegevens. De leverancier van de website heeft het betreffende logbestand inmiddels verwijderd. Verder is besloten om van alle gebruikers het wachtwoord te resetten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
...De gemeente heeft al mijn gegevens laten stelen door een ransomewaregroep en die heeft ze op het dark web gegooid, waar de bankrover ze kennelijk heeft gevonden. Mijn buren hebben er een excuusbrief van de burgemeester over gekregen zo kon ik lezen dat de burgemeester beloofde onze gegevens zorgvuldig te bewaren en dat ze op het gemeentehuis tot het uiterste gaan om die belofte iedere dag waar te maken.
Nog maar net had ik de brief over de diefstal gelezen en het bericht van de boef beluisterd of ik kreeg opdracht van tijdschrift De Gids om een kopie van mijn paspoort toe te sturen. De overheid had erom gevraagd. Die eist persoonsgegevens van tijdschriftbestuurders opdat zij „zich niet kunnen verhullen achter juridische entiteiten om bijvoorbeeld fraude te plegen, geld wit te wassen, of terrorisme te financieren”. Hm.
Deze rare optelsom van gebeurtenissen is een schoolvoorbeeld van iets dat je een veiligheidsparadox zou kunnen noemen. Om misdaad te voorkomen, tuig je systemen op die de boel niet veilig maken maar juist onveilig op een andere manier. Je komt deze veiligheidsparadox vaker tegen, u kent het verhaal van het systeem dat door de Belastingdienst werd opgetuigd om toeslagenfraude te voorkomen. Het verschijnsel behoort misschien tot het wezen van het overheidsbeleid.
De systemen van de bureaucratie zijn goede antwoorden op lastige vragen, maar ze maken het leven niet vanzelfsprekend veilig. Het gebeurt helaas nogal eens dat „onrechtvaardigheid het systeem binnendringt”, zoals de voorzitter van de Raad voor de rechtspraak het deze week formuleerde. De veiligheidsparadox is via de rechter en wetsaanpassing te bestrijden, maar nooit helemaal uit te bannen.
...In de afgelopen jaren zijn mijn data nogal eens gelekt, gestolen en per ongeluk naar de verkeerde ontvanger opgestuurd: ik heb een stapeltje sorry-brieven in huis. „We doen er alles aan.” Nee, jullie doen er niet alles aan, anders zou je erkennen dat het probleem voortkomt uit je oplossing. Dat het ronddwalen van gegevens geen incident is, maar een uitvloeisel van het online verzamelen. Ook in de private sector wordt het lekken afgedaan als incident. „Programmeerfout.” „Is inmiddels hersteld.”
Geef liever toe dat het geen incidenten zijn, maar kenmerken van het systeem. Het rondzingen van gegevens draagt bij aan de moderne moeilijkheid dat je niet weet welke instantie je nog kunt vertrouwen.
Alles bij de bron; NRC