Onderzoekers van de Duitse hackersclub CCC hebben op apparatuur die het Amerikaanse leger in Afghanistan en Irak inzette de biometrische gegevens van 2600 personen aangetroffen. De apparatuur kon gewoon via een online veiling worden aangeschaft. Onderzoek wees uit dat alle aangekochte apparaten onversleuteld waren en er via een standaardwachtwoord toegang kon worden verkregen.
Verder bleek dat de gebruikte databases op de apparaten een standaardformaat gebruiken en eenvoudig te exporteren zijn. De databases van de verschillende opgekochte apparaten bleken allerlei gevoelige gegevens te bevatten. Het ging om namen en biometrische gegevens van wee Amerikaanse militairen, gps-coördinaten van eerdere inzetlocaties en een uitgebreide biometrische database met namen, vingerafdrukken, irisscans en foto's van 2.632 mensen. Het apparaat met deze database bleek halverwege 2012 voor het laatst ergens tussen Kabul en Kandahar te zijn gebruikt.
Na de ontdekking van de gevoelige gegevens waarschuwde de CCC de fabrikant dat de apparaten gewoon via internet zijn te bestellen. "Niemand lijkt echter om het datalek te geven", aldus de hackersclub. Ruim twee maanden na de melding bleek het nog steeds mogelijk zijn om de apparatuur online aan te schaffen.
Alles bij de bron; Security
Op een forum voor datalekken worden driehonderdduizend gegevens van Belfius-klanten aangeboden.
De hacker in kwestie biedt zowel de gegevens van 800.000 klanten van een Spaanse bank aan, als de gegevens van 300.000 bij een Belgische Bank. Op basis van de testdata die de dader vrijgeeft kon Data News afleiden dat het om klanten van Belfius gaat. Een snelle controle doet uitschijnen dat de data correct is. Wel bevat de voorbeelddata verschillende dubbele records, waardoor het werkelijk aantal getroffen klanten mogelijk iets lager ligt.
De dataset bevat onder meer de voor- en achternaam van een klant, het volledige adres, telefoonnummer(s), geboortedatum, rekeningnummer en IBAN. De lijst bevat wel geen financiële details zoals rekeningstanden of transacties.
Alles bij de bron; DataNews
De Vrije Universiteit in Amsterdam heeft een datalek gemeld, nadat een laptop van de universiteit is gestolen. Op de ontvreemde computer stonden persoonsgegevens van (oud-)studenten. De universiteit heeft melding gedaan van het datalek bij de Autoriteit Persoonsgegevens.
Op zijn website en via een mail aan alumni maakt de VU bekend dat er op 25 november dit jaar twee laptops zijn gestolen van de campus in Amsterdam. Op een van de laptops stonden persoonsgegevens van studenten, waaronder kopieën van paspoorten en verblijfsvergunningen.
De eerste groep die mogelijk is getroffen, zijn studenten die zich tussen 2003 en 2008 hebben ingeschreven voor een doctoraal-, bachelor- of masteropleiding. Ook studenten die zich hebben proberen in te schrijven zijn mogelijk getroffen. Het gaat om zowel Nederlandse als internationale studenten. Naast een kopie paspoort of verblijfsvergunning is van deze studenten mogelijk ook een cijferlijst, informatie over betalingsachterstand of een bezwaar gelekt.
De tweede groep waarvan data op de laptops staat, zijn internationale studenten die zich tussen 2008 en 2015 hebben ingeschreven voor een studie. Van deze studenten zijn mogelijk ook identiteitsbewijzen en correspondentie zoals bezwaarschriften gelekt.
De derde groep bestaat uit studenten die tussen 2008 en 2019 een bijvak volgden aan de VU of een vooropleiding hadden met een of meer ontbrekende vakken. Van deze studenten zijn mogelijk behaalde certificaten gelekt.
Alles bij de bron; Tweakers
Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman.
Het beveiligingslek was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.
Bouman ontdekte een onbeveiligde API endpoint waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.
Alles bij de bron; Security
De Amerikaanse cryptobeurs Gemini heeft van 5,3 miljoen gebruikers de privégegevens gelekt, die vervolgens voor gerichte phishingaanvallen zijn gebruikt. Het gaat om e-mailadressen en gedeeltelijke telefoonnummers.
De melding van het datalek komt een paar dagen na een soortgelijk datalek bij cryptodienstverlener CoinTracker. Daar werden de gegevens van anderhalf miljoen klanten gelekt.
De 5,3 miljoen e-mailadressen van Gemini-gebruikers zijn toegevoegd aan Have I Been Pwned. Via de zoekmachine is het mogelijk om te kijken of een e-mailadres in een bekend datalek voorkomt. Van de bij CoinTracker buitgemaakte e-mailadressen was 63 procent al via een ander datalek bij de zoekmachine bekend.
Alles bij de bron; Security
Microsoft stelt zakelijke klanten in staat om data op te slaan en te verwerken in de Europese Unie. Vanaf 1 januari gaat hiervoor het zogeheten EU Data Boundary-project van start, waarbij de gegevens gegarandeerd alleen op Europese servers terechtkomen. Het geldt voor data vanuit Microsoft 365, Azure, Power Platform en Dynamics 365.
De softwareleverancier komt met het project tegemoet aan de wens van veel Europese bedrijven, overheden en instellingen. Zij willen liever niet dat de gegevens die zij opslaan en gebruiken, buiten de EU terechtkomen.
Buiten de EU is het lastig om Europese regels voor privacy en databescherming na te leven, terwijl Europese organisaties zich daar wel aan moeten houden. Met Amerikaanse leveranciers lopen zij bovendien het risico dat deze door de Amerikaanse autoriteiten worden gedwongen om klantinformatie en klantdata te overhandigen. Dit risico is klein, maar niet nihil.
Alles bij de bron; Computable
Staatssecretaris Vijlbrief (Mijnbouw) informeert de Tweede Kamer over Beantwoording schriftelijke vragen misbruik datalek Instituut Mijnbouwschade..
5; Herkent u dat het bedrijf ‘loket bevingsschade’ aan de gegevens over schademeldingen is gekomen door zich op de website van het Instituut Mijnbouwschade (IMG) voor te doen als gemachtigde terwijl ze dat niet zijn?
Antwoord; Ja. Naar aanleiding van de berichten over een mogelijk datalek heeft EZK direct contact opgenomen met het IMG. Zij hebben aan mij bevestigd dat het inderdaad om een lek ging en dat zij maatregelen hebben genomen om dit te dichten. Het IMG betreurt dat er onterecht gegevens van mensen zijn gedeeld en heeft inmiddels bekend gemaakt aangifte te doen tegen het bedrijf in kwestie.
7; Herkent u dat het IMG de gegevens over of op een adres reeds schade is gemeld niet op deze manier aan derden had mogen verstrekken? Is hier sprake van het tweede datalek bij het IMG in een maand tijd? Wat gaat u doen om te zorgen dat de kans op datalekken vanuit het IMG wordt geminimaliseerd?
Antwoord; Ja, hier is inderdaad sprake geweest van twee datalekken bij het IMG in relatief korte tijd. Het eerste datalek vond plaats medio oktober. Hierbij waren gedurende 48 uur voor maximaal 60 aanvragers ten onrechte de gegevens van andere aanvragers inzichtelijk. Dit vond plaats door een fout in een nieuwe versie van software waar het IMG op haar bewonersportaal gebruik van maakt.
Om dit in de toekomst te voorkomen heeft het IMG een verbetering doorgevoerd in de tests die worden uitgevoerd voorafgaand aan de implementatie van nieuwe software.
Het tweede lek kwam voort uit het feit dat mensen informatie konden opvragen over de schadegeschiedenis van een pand waar zij niet de eigenaar van waren. Deze situatie bestond sinds de introductie van de vaste vergoeding in november 2021. Inmiddels heeft het IMG maatregelen genomen om dit lek te dichten. Het IMG heeft extern laten valideren of er afdoende maatregelen getroffen waren bij het oplossen van dit datalek. Dit bleek het geval. Tenslotte heeft het IMG het datalek gemeld bij de Autoriteit Persoonsgegevens.
Dergelijke lekken schaden het vertrouwen van mensen in de achterliggende ICTsystemen die gebruikt worden voor de schadeafhandeling. Ik ben hierover in contact met het IMG en zal blijven benadrukken dat ik er van uit wil kunnen gaan dat zij werken met veilige en betrouwbare ICT-systemen.
Alles bij de bron; RijksOverheid
Door een open cloudopslag heeft internationale tafeltennisbond International Table Tennis Federation (ITTF) paspoorten en vaccinatiebewijzen van honderden professionele tafeltennissers gelekt. Kopieën van paspoorten en vaccinatiebewijzen waren drie jaar lang voor iedereen op internet toegankelijk.
De ITFF is dit jaar al meerdere keren voor het datalek gewaarschuwd, maar verhielp het probleem niet, zo stelt RTL Nieuws op basis van e-mailverkeer dat het heeft ingezien. De openstaande cloudopslag bevatte duizenden documenten met onder andere kopieën van paspoorten.
Alles bij de bron; Security
In het kader van de General Data Protection Regulation (GDPR) moeten bedrijven als je daarom vraagt alle informatie bezorgen die ze over jou verzameld hebben. Twee onderzoekers van de Universiteit Hasselt gaven zich voor elkaar uit en probeerden zo elkaars persoonlijke gegevens op te vragen. Vijftien van de 55 onderzochte bedrijven lieten zich vrij makkelijk misleiden. "Er zijn dus vijftien bedrijven waar we van eender wie data kunnen gaan stelen", zegt onderzoeker Mariano Di Martino.
In sommige gevallen gaat het zelfs over uiterst gevoelige informatie. "Zo hebben we niet alleen rekeningnummers en financiële transacties ontvangen, maar ook parkeerdata of plekken waar we geweest zijn. Dat is zeer gevoelige informatie, zeker als die in verkeerde handen valt", aldus Di Martino. De 'kwetsbare' bedrijven werden achteraf ingelicht over het experiment.
Bron; DataNews
De politie van de Belgische gemeente Zwijndrecht is het slachtoffer geworden van een cyberaanval. Een hacker brak in september in op een server en plaatste de gestolen gegevens online.
De hacker kon onder meer duizenden processen-verbaal, gevoelige documenten en persoonsgegevens inzien. Het zou gaan om een van de grootste overheidslekken ooit in België.
Belgische kranten konden online onder meer aangiftes van huiselijk geweld, pooierschap en prostitutie inkijken. De hacker had toegang tot alle gegevens van 2006 tot en met september 2022.
Alles bij de bron; NU