Databeveiliging & Dataverlies

De gemeente Hof van Twente is getroffen door een cyberaanval en sinds dinsdag niet meer bereikbaar, meldt de gemeente op haar website. De gemeente zegt niet om wat voor cyberaanval het gaat, maar het lijkt om ransomware te gaan.

"Onbekende derden hebben toegang gekregen tot al onze systemen en onze servers ontoegankelijk gemaakt. We kunnen veel van deze gegevens als onbruikbaar beschouwen", zegt burgemeester Ellen Nauta.

Volgens de gemeente zijn er bij de aanval ook allerlei persoonsgegevens getroffen. Het gaat om 'soms zeer privacygevoelige informatie', maar de gemeente wil niet zeggen wat daar precies mee gebeurd is. De gemeente zegt dat het mogelijk nog maanden nodig heeft voor het de uitkomsten van het onderzoek naar de aanval kan toelichten.

Ondertussen is er een melding gemaakt bij de Autoriteit Persoonsgegevens, de politie en zelfs het ministerie van Binnenlandse Zaken. De gemeente probeert ondertussen de dienstverlening weer op te starten, al kan het dat sommige aanvragen langer kunnen duren. De gemeente is van plan een compleet nieuwe ict-infrastructuur op te bouwen.

Alles bij de bron; Tweakers


 

De patiëntdossiers van 243 miljoen Brazilianen waren een tijd toegankelijk door een fout van het ministerie van Volksgezondheid. Het aantal getroffen mensen overstijgt de ruim 212 miljoen inwoners van het land. Dat komt volgens de krant doordat er ook gegevens van overleden personen in de database stonden. 

De fout zat in een COVID-19-registratiesysteem. Het wachtwoord voor de dossiers was zes maanden lang eenvoudig te vinden in de code van de site. Daarmee zou een onbevoegde toegang kunnen krijgen tot onder meer de volledige namen, adressen en telefoonnummers van de miljoenen Brazilianen. 

Onder meer de gegevens van de president Jair Bolsonaro en andere hooggeplaatste medewerkers van de Braziliaanse regering stonden in de database. In sommige gevallen voorkwam een speciale VIP-status dat de gegevens open en bloot op straat lagen.

Alles bij de bron; NU


 

Hackers zijn erin geslaagd toegang te krijgen tot persoonlijke gegevens van leden van wielerbond KNWU. Het gaat om een hack in de oude MijnKNWU-omgeving, meldt de bond. De hackers eisen losgeld. De KNWU, die aangifte heeft gedaan bij de politie en de Autoriteit Persoonsgegevens heeft ingeschakeld, zegt daar niet op in te gaan.

"Enerzijds omdat er wel back-ups van deze data zijn gemaakt en deze data alleen historische gegevens bevat. Anderzijds omdat het betalen van dit losgeld op geen enkele wijze de zekerheid geeft dat de data niet alsnog wordt gebruikt voor andere doeleinden", schrijft de KNWU op de website. Daarop staan tips voor de gebruikers, die onder meer wordt geadviseerd zo snel mogelijk hun gebruikersnaam en wachtwoord te wijzigen.

Bron; LeeuwarderCourant


 

De privégegevens van miljoenen Braziliaanse coronapatiënten zijn door een fout op internet gelekt. Het ging om het burgerservicenummer, adresgegevens, telefoonnummer en eventuele bestaande aandoeningen, zoals diabetes, hartproblemen, kanker en hiv, van zestien miljoen mensen die vermoedelijk of bevestigd met corona besmet zijn geraakt. In de dataset werden de gegevens van de Braziliaanse president Jair Bolsonaro en verschillende ministers aangetroffen.

Het datalek ontstond door een medewerker van een ziekenhuis die een spreadsheet met gebruikersnamen en wachtwoorden op zijn GitHub-pagina had geplaatst. Met de inloggegevens kon er toegang tot twee overheidssystemen worden verkregen met daarin de gegevens van de vermoedelijke en bevestigde coronapatiënten.

Na te zijn ingelicht werden de inloggegevens van de GitHub-pagina verwijderd en in de systemen aangepast. Volgens het ziekenhuis gaat het om een menselijke fout en wordt er een onderzoek naar het datalek ingesteld.

Alles bij de bron; Security


 

Antivirusbedrijf Sophos heeft klanten gewaarschuwd voor een datalek dat ontstond door een probleem met toegangsrechten. Dat blijkt uit een e-mail die klanten ontvingen. De virusbestrijder is gewezen op een probleem met een tool die wordt gebruikt voor het opslaan van de gegevens van klanten die contact met de helpdesk opnemen.

Daardoor waren gegevens van een "klein deel" van de Sophos-klanten voor derden toegankelijk. Het gaat om naam, e-mailadres en telefoonnummer. Sophos zegt in de e-mail aan klanten dat het stappen heeft genomen waardoor de informatie inmiddels weer is afgeschermd. 

Alles bij de bron; Security


 

Antwoord: De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline back-up die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Alles bij de bron; Security


 

Staatssecretaris Paul Blokhuis (Volksgezondheid, Welzijn en Sport) is bezorgd over de beveiliging van persoonsgegevens in de jeugdzorg. Tot zijn schrik kwam onlangs opnieuw een groot datalek aan het licht bij Kenter. Notabene op vergelijkbare wijze als in april 2019 konden onbevoegden toegang tot persoonsgegevens krijgen. En dat terwijl het datalek gemakkelijk was te voorkomen. Dat maakt deze affaire extra pijnlijk.

Begin oktober bleek uit onderzoek van RTL Nieuws dat buitenstaanders gemakkelijk toegang konden krijgen tot de dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg. Voor het grijpen lagen de volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.

Naar aanleiding van het vorige datalek bij SAVE Utrecht heeft het expertisecentrum voor cybersecurity in de zorg (Z-CERT) een domein naam check gedaan. De jeugdhulpaanbieders werden opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020. Ze ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam had eenvoudig kunnen worden voorkomen, stelt de staatssecretaris in antwoord op Kamervragen. 

Jeugdzorg Nederland had zijn achterban eerder al gewaarschuwd voor het risico van niet goed afgesloten domeinnamen. 

Alles bij de bron; Computable


Met een gemiddelde van 1,45 miljoen euro betalen Nederlandse bedrijven de hoogste dwangsom voor een ransomware-aanval wereldwijd. Van de Nederlandse bedrijven zegt 44 procent het afgelopen jaar slachtoffer te zijn geweest van ransomware. Wereldwijd ligt dit percentage op 57 procent. Van de Nederlandse bedrijven die slachtoffer zijn geweest van ransomware, zegt slechts een vijfde daadwerkelijk een dwangsom betaald te hebben.

Dit blijkt uit het jaarlijkse Global Security Attitude onderzoek uitgevoerd onder 2200 IT-beslissers en cybersecurity professionals wereldwijd. 

Alles bij de bron; DutchIT


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha