45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Onbeveiligde database lekt 200 miljoen cv's van sollicitanten

Een database die voor iedereen op internet toegankelijk was bevatte de persoonlijke cv's van meer dan 200 miljoen sollicitanten uit China, zo ontdekte beveiligingsonderzoeker Bob Diachenko. De cv's bevatten niet alleen de vaardigheden en werkervaring van de sollicitanten, maar ook persoonlijke informatie zoals mobiel telefoonnummer, e-mailadres, burgerlijke staat, kinderen, politieke opvatting, lengte, gewicht, rijbewijs, opleiding, salariswensen en meer.

De 854 gigabyte grote database was zonder wachtwoord en gebruikersnaam benaderbaar.

Alles bij de bron; Security


 

Ruim 25 miljoen paspoortnummers gestolen bij hotelketen Marriott

Hackers hebben ruim 25 miljoen paspoortnummers uit een database van hotelketen Marriott gestolen. Daarvan werden er ruim vijf miljoen onversleuteld bewaard.

Marriott maakte de cijfers bekend in een update over de hack die in november vorig jaar in het nieuws kwam. Het gaat om data van maximaal 383 miljoen klanten. Het gaat om informatie zoals namen, telefoonnummers, e-mailadressen, geboortedata en geslacht.

Alles bij de bron; NU


 

Ook BD'ers en YouTubers getroffen door massale hack

Naast politici zijn ook Duitse beroemdheden, YouTube-persoonlijkheden, media-organisaties en journalisten getroffen door de massale hack die donderdagavond werd ontdekt. Dat blijkt uit een inventarisatie van de gelekte gegevens... 

...Onder de gelekte gegevens bevinden zich volledige namen, geboortedata, woonadressen, telefoonnummers, IP-adressen, e-mailadressen, gegevens van familieleden (waaronder foto's van kinderen en scans van identiteitsdocumenten), declaraties, IBAN-gegevens, chatgesprekken en links naar Twitter-, Instagram- en Skype-profielen. De soorten gelekte gegevens verschillen per slachtoffer.

Ook persoonlijke gegevens van medewerkers van Tube One en Studio71, twee Duitse agentschappen voor YouTubers, staan online. Hetzelfde geldt voor gegevens van medewerkers van de Duitse publieke omroepen ZDF en ARD.

Alles bij de bron; NU


 

Wachtwoordmanager Blur lekt data miljoenen gebruikers na verkeerde cloudconfiguratie

Abine, het bedrijf achter de wachtwoordmanager Blur en de online privacybeschermingsdienst DeleteMe, heeft een data breach onthuld die impact heeft op bijna 2,4 miljoen gebruikers van de wachtwoordmanager. De data van deze gebruikers is online verschenen wegens onjuiste configuratie van een AWS-instance.

Abine stelt dat het bestand dat online beschikbaar was, diverse details bevatte over Blur-gebruikers die zich voor 6 januari 2018 hadden aangemeld. Het gaat onder meer om e-mailadressen, namen en het laatste IP-adres vanaf waar er ingelogd werd. Ook zijn er hints voor wachtwoorden van sommige gebruikers in te zien, maar die komen alleen van het oude MaskMe-product van het bedrijf.

Verder is het versleutelde Blur-wachtwoord te zien van gebruikers. “Deze versleutelde wachtwoorden zijn versleuteld en gehasht voor ze naar onze servers worden verstuurd en dan versleuteld via bcrypt met een unieke salt voor iedere gebruiker. De output van dit proces voor deze gebruikers is mogelijk gelekt, maar niet de daadwerkelijke wachtwoorden”, aldus het bedrijf. 

 “Er is geen bewijs dat de gebruikersnamen en wachtwoorden die door onze gebruikers in Blur zijn opgeslagen zijn gelekt”, aldus het bedrijf. Dat geldt ook voor automatisch ingevulde creditcardgegevens, ‘Masked Emails’, ‘Masked telefoonnummers’ en ‘Masked Creditcardgegevens’. Verder is er geen data van de DeleteMe-dienst van het bedrijf gelekt.

Abine raadt gebruikers aan om hun wachtwoord voor Blur te veranderen en tweestapsverificatie aan te zetten. “Als een op privacy en beveiliging gericht bedrijf is dit incident beschamend en frustrerend”, aldus Abine.

Alles bij de bron; Techzine


 

Persoonlijke gegevens van honderden Duitse politici gelekt

Hackers hebben persoonlijke informatie over honderden Duitse politici verspreid. Er verschenen onder meer telefoonnummers, adressen, chatgegevens, kopieën van identiteitskaarten en creditcardinformatie op internet.

De informatie is verspreid via een soort adventskalender op Twitter. Een account met meer dan 16.000 volgers deelde links naar de gegevens, die soms enkele jaren oud zijn.

Bij de publicaties ontbreekt een systematiek. 'Het lijkt er veel eerder op dat de hackers alles waar zij de hand op hebben weten te leggen, op internet hebben geplaatst', schrijft ARD. Het televisiestation meldt dat ook interne partijdocumenten en adressenlijsten online te grabbel zijn gegooid. Die documenten zijn meestal al ‘enkele jaren’ oud, en zouden naar verluidt geen gevoelige informatie bevatten.

Het is nog onduidelijk wie verantwoordelijk is voor het lek. Ook zijn de motieven van de dader of daders nog een raadsel. Er zijn nog geen bijzonder gevoelige politieke documenten ontdekt, maar de hoeveelheid uitgelekte persoonlijke informatie is wel omvangrijk. Bild merkt op dat het lek, naast informatie van Duitse politici, ook data bevat van Duitse muzikanten en journalisten van de zenders ARD en ZDF. 

Alles bij de bron; Knack & deStandaard


 

Column; De grenzen van privacy

WhatsApp, de berichtendienst die Facebook in 2014 kocht voor ruim 19 miljard dollar, gaat er prat op encryptie - versleuteling - tot een massaproduct te hebben gemaakt, want de communicatie op de dienst is ‘end-to-end’ versleuteld. Simpel gezegd, enkel de gesprekspartners kunnen de berichten lezen. Telecombedrijven en WhatsApp zelf kunnen de gesprekken niet ontcijferen...

... Grote groepen delen, profiterend van die encryptie, zulke foto’s en video’s. Israëlische onderzoekers hadden nochtans niet veel moeite om zulke groepen te identificeren aan de hand van expliciete profielfoto’s en namen zoals ‘cp’ (voor child pornography).

WhatsApp slaat zulke accounts met tienduizenden in de ban, en toch konden journalisten nog makkelijk actieve groepen vinden. Ongetwijfeld zijn op die dienst nog veel andere groepen met misdadige dingen bezig, maar dan veel discreter. 

WhatsApp en soortgelijke berichtendiensten worden het ‘Dark Web voor de massa’. Waarom nog een Tor-browser gebruiken voor anonieme maar moeizame zoektochten als je op een gewone app terechtkan?

De discussie hoeft niet zwartwit te zijn. Experts zeggen dat het mogelijk is een zwakkere vorm van encryptie te gebruiken, waarbij bijvoorbeeld beelden van kindermisbruik kunnen worden gedetecteerd. Maar wat met andere criminele activiteiten?

Hoe ver we met encryptie precies moeten gaan, daar ben ik zelf niet uit. Maar communicatie is een vorm van handelen, een ‘speech act’, waarbij iets gebeurt dat blijvende gevolgen kan hebben. De wereld online is geen cyberwereld die losstaat van de werkelijkheid, maar maakt integraal deel uit van onze realiteit. Verwacht in 2019 alvast zware politieke discussies over de grenzen van privacy en encryptie.

Alles bij de bron; deTijd


 

Privégegevens 540.000 mensen bij Franse overheid gestolen

Aanvallers zijn erin geslaagd om de privégegevens van meer dan 540.000 mensen bij de Franse overheid te stelen. De aanval was gericht tegen de Ariane-database, een dienst waarbij Franse burgers die naar het buitenland reizen zich kunnen aanmelden.

De Franse overheid kan op deze manier burgers in het buitenland waarschuwen voor rampen of noodsituaties in de locatie waar ze zich bevinden. Reizigers kunnen ook de gegevens van personen opgegeven die in noodgevallen moeten worden benaderd. Bij de aanval zijn van deze personen de gegevens buitgemaakt. Het gaat om namen, telefoonnummers en e-mailadressen. De gegevens van Ariane-gebruikers en informatie over reisbestemmingen zijn niet gestolen.

Contactpersonen lopen nu het risico op phishingaanvallen en scams, aldus een uitleg op de website van het ministerie van Buitenlandse Zaken. 

Alles bij de bron; Security


 

Inloggen met behoud van privacy? There's an app for that!

Apps zuigen niet zelden zoveel gegevens op als waar ze mee kunnen wegkomen, en dat is niet lekker voor je privacy. Een uitzondering op deze regel is de app Irma ('I Reveal My Attributes') van de Stichting Privacy By Design.

Deze app kun je 'laden' met gegevens over jezelf, oftewel attributen, en een website of -dienst waar je inlogt kun je deze attributen per stuk overhandigen: niet meer dan ze nodig hebben en niet meer dan ze vragen. Zo weet een derde partij allen wat relevant is en niet méér. De derde partij kan er ook van op aan dat de attributen juist zijn, want de herkomst is bekend: ze kunnen bijvoorbeeld direct afkomstig zijn uit de Basisregistratie Personen (BRP), met andere woorden het bevolkingsregister.

Irma en de Stichting Privacy by Design zijn ontstaan aan de Radboud Universiteit. 

Alles bij de bron; BNR [met podcast]