45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Databeveiliging, Encryptie, Versleuteling & Dataverlies

Nieuw datalek raakt 52,5 miljoen gebruikers Google Plus

De privégegevens van 52,5 miljoen gebruikers van het sociale netwerk Google Plus waren door een fout in een programmeerinterface (API) voor apps en ontwikkelaars toegankelijk, zo heeft Google bekendgemaakt. Het probleem werd veroorzaakt door een fout in een software-update die in november werd geïntroduceerd.

Een week na de introductie werd het probleem door Google zelf gevonden en verholpen. Via de fout konden apps profielgegevens van gebruikers opvragen die niet openbaar waren. Daarnaast hadden de apps toegang tot profielgegevens die gebruikers met elkaar hadden gedeeld, maar niet openbaar hadden gemaakt. Google gaat alle getroffen gebruikers informeren.

Alles bij de bron; Security


 

Australisch parlement stemt in met omstreden 'anti-encryptiewet'

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie.

De autoriteiten kunnen straks een technical assistance request, of TAR, doen bij techbedrijven en online diensten. Dit is een verzoek tot vrijwillige hulp, bijvoorbeeld om technische details te verstrekken. Daarnaast zijn er de technical assistance notices, of TAN's, die tot verplichte medewerking leiden op straffe van boetes. Dit kan bijvoorbeeld een verplichting zijn om te helpen bij het inzichtelijk maken van berichtenverkeer, ook al is die versleuteld. Ten slotte zijn er de technical capability notices, kortweg TCN's, die verplichten om het technisch mogelijk te maken voor de autoriteiten om bij data van verdachten te komen.

De bevoegdheden zouden alleen bij ernstige misdaden zoals terrorisme ingezet mogen worden. Een belangrijke waarborg in de wet is dat de verzoeken niet mogen leiden tot systemic weaknesses zoals backdoors of het verzwakken van encryptie, maar volgens critici zal dit onherroepelijk het geval zijn en is de waarborg vaag omschreven. Techbedrijven zoals Apple hebben al zware kritiek geleverd op het wetsvoorstel.

Alles bij de bron; Tweakers


 

Datalek bij accountantbureau 216 Accountants

216 Accountants is getroffen door een datalek. Door het lek zijn klant- en persoonsgegevens van klanten van het bedrijf tijdelijk inzichtelijk geweest voor alle klanten.

In een e-mail gericht aan getroffen klanten meldt het bedrijf op 1 december te zijn overgegaan op een nieuw klantenportaal. Door een menselijke fout bij de leverancier is op het oude klantportaal een bestand met informatie tijdelijk toegankelijk geweest voor alle klanten van het bedrijf. Dit bestand bevatte zowel klant- als persoonsgegevens.

Onderzoek van 216 wijst uit dat een beperkt aantal klanten het bestand heeft aangeklikt wat volgens niet betekent dat zij het bestand hebben gedownload en ingezien. Het bedrijf heeft deze klanten verzocht de informatie permanent te verwijderen. Ook is van het datalek melding gemaakt bij de Autoriteit Persoonsgegevens.

216 adviseert bedrijven personeel te informeren over het mogelijk lek, aangezien het getroffen bestand ook persoonsgegevens van medewerkers kan bevatten. 

Alles bij de bron; DutchIT


 

Hotelketen Marriott meldt diefstal gegevens van half miljard klanten

De Amerikaanse hotelketen Marriott heeft ontdekt dat criminelen een database van reserveringen bij dochterbedrijf Starwood gestolen hebben. Daarmee zijn de gegevens van 500 miljoen klanten op straat komen te liggen, waaronder voor een deel creditcardinformatie. Van 327 miljoen gebruikers betreft het onder andere de naam, adres, e-mailadres, telefoonnummer, paspoortnummer, geboortedatum, geslacht en informatie over het verblijf zoals aankomst en vertrek.

Van 'sommigen' zijn ook creditcardgegevens in handen van criminelen, waaronder de vervaldatum. Volgens Marriott zijn de creditcardnummers met AES-128 versleuteld.

Marriott International meldt op 8 september een notificatie te hebben gekregen van een beveiligingstool, dat een onbevoegde probeerde om zijn database van klantreserveringen bij zijn dochterketen Starwood binnen te dringen. Na onderzoek bleken criminelen al sinds 2014 toegang te hebben tot die database.

Alles bij de bron; Tweakers


 

Privégegevens 30.000 RTL-accounts op straat

Hackers verschaften zich via eerder gelekte wachtwoorden tot ruim 30.000 RTL-accounts. Ze gebruikten e-mailadressen en wachtwoorden die zij bij eerdere hacks bij onder meer bij LinkedIn, Dropbox en eBay hadden buitgemaakt.

Daarbij hebben ze privégegevens van gebruikers bemachtigd. RTL Nieuws meldt dat in meerdere gevallen volledige namen en woonadressen in handen van hackers zijn gekomen. De hackers konden toegang krijgen tot privégegevens van gebruikers van RTL-diensten als Videoland, Buienradar en RTL Nieuws. 

Alles bij de bron; AGConnect


 

Dataverzamelaar Adapt lekt gegevens van 9,3 miljoen mensen

Het dataverzamelingsbedrijf Adapt biedt naar eigen zeggen "de meest flexibele bedrijfscontactendatabase" ter wereld aan en heeft door een onbeveiligde database de gegevens van ruim 9,3 miljoen mensen gelekt. Het gaat onder andere om namen, e-mailadressen en informatie over de werkgever, zoals bedrijfsnaam en functie.

Beveiligingsonderzoeker Bob Diachenko ontdekte op 5 november een 123 gigabyte grote MongoDB-database van het bedrijf die voor iedereen op internet toegankelijk was. In dit geval is het bijzonder om de database zonder enige vorm van authenticatie op internet aan te treffen, stelt Diachenko. De onderzoeker weet niet of de database opzettelijk voor iedereen toegankelijk was of dat het om een misconfiguratie gaat. Diachenko waarschuwde Adapt voor het datalek, maar kreeg geen reactie.

Diachenko heeft de data nu gedeeld met Have I Been Pwned, een zoekmachine waarmee gebruikers in meer dan 5,5 miljard gestolen records kunnen zoeken of hun data ooit bij een website is gestolen. Van de 9,3 miljoen e-mailadressen was 74 procent al via een ander datalek bij Have I Been Pwned bekend. Het datalek bij Adapt is één van de grotere die de afgelopen maanden aan de zoekmachine is toegevoegd.

Alles bij de bron; Security


 

Black Friday fraude: Amazon meldt lek email adressen klanten

Amazon heeft een deel van zijn gebruikers een bericht gestuurd met de melding dat hun mailadres mogelijk is gelekt. Wat er aan de hand is, wil het bedrijf echter niet zeggen. 

Het probleem zou zowel namen als mailadressen hebben blootgelegd, maar klanten hoeven, volgens Amazon, verder niets te doen. "We hebben het probleem opgelost en klanten die mogelijk gevolgen krijgen daarover geïnformeerd", aldus een woordvoerder. En dat is ook al wat het bedrijf daarover kwijt wilt: wat er gebeurd is, welke sites mogelijk gelekt zijn, aan wie, op welke manier, en hoeveel slachtoffers er zijn wil het bedrijf niet zeggen.

Dat komt Amazon op kritiek te staan van, onder meer, security-onderzoekers, die erop wijzen dat een cryptisch mailtje zonder verdere info voornamelijk angst uitlokt en klanten niet helpt zichzelf beter te beschermen.

Alles bij de bron; DutchIT


 

Inloggegevens 10.000 gebruikers Albert Heijn gelekt

Gebruikersnamen en wachtwoorden van 10.000 gebruikers van ah.nl zijn door een programmeerfout in de site met anderen gedeeld. 

Volgens de supermarktgigant waren de inloggegevens zichtbaar voor online service providers, waarmee Albert Heijn samenwerkt aan onder meer het verbeteren van de website. Inde adresbalk bovenaan het computerscherm zagen zij korte tijd gebruikersnamen en wachtwoorden staan.

Wachtwoorden van die gebruikers zijn uit voorzorg geblokkeerd.

Alles bij de bron; RTLZ