Databeveiliging & Dataverlies
- Gegevens
- Hoofdcategorie: Internet en Telecom
Toyota had de database van een van zijn clouddiensten tien jaar lang online staan zonder wachtwoord. In die database staat informatie van meer dan twee miljoen 2,15 miljoen Japanse gebruikers. Dat zijn bijna alle klanten die zich sinds 2012 hebben ingeschreven voor T-Connect, of G-Link in het geval van Lexus-auto's.
Met T-Connect, dat ook smartphoneapps omvat, kunnen gebruikers navigeren, acculading uitlezen en plannen, het klimaat in de wagen voorbereiden op een rit en hulp onderweg inschakelen indien nodig.
Het is de tweede maal in korte tijd dat Toyota zich in een dergelijke situatie bevindt. Vorig jaar bleek dat een deel van de broncode van de Toyota Connect-website vijf jaar lang beschikbaar is geweest via een openbaar GitHub-account. In de broncode zat een sleutel die toegang verschafte tot een server met klantgegevens van 296.000 mensen. Daarbij ging het om e-mailadressen en klantnummers.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Door een technische fout hebben tientallen inwoners met een betalingsachterstand per ongeluk de brief van een ander ontvangen. Daarbij zijn privacygevoelige gegevens bij de verkeerde personen terechtgekomen. De privacy officer van de gemeente heeft het incident gemeld bij de Autoriteit Persoonsgegevens.
Dat schrijft wethouder van Kansengelijkheid, Jeugd en Onderwijs Abdelhaq Jermoumi in een brief aan de gemeenteraad (pdf).
“Bij het uitprinten van de brieven zijn pagina’s verschoven doordat er een lege scheidingspagina toegevoegd is in het bestand om een splitsing te kunnen maken naar de verschillende wijken. Inwoner A heeft een brief ontvangen met een Engelstalige voorkant voor hem/haar zelf en een Nederlandstalige achterkant voor inwoner B. Vervolgens heeft inwoner B een brief ontvangen met Engelstalige voorkant voor hem/haar zelf en een Nederlandstalige achterkant voor inwoner C. En zo verder.”
Alles bij de bron; VPNGids
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Amerikaanse leverancier van elektronische patiëntendossiers en software voor huisartspraktijken, heeft de gegevens van meer dan een miljoen patiënten gelekt. Het gaat om naam, geboortedatum, adresgegevens en social-securitynummers van 1.049.375 personen die via gestolen inloggegevens konden worden buitgemaakt.
In een verklaring aan gedupeerden stelt NextGen dat het op 30 maart verdachte activiteit op het kantoorsysteem ontdekte. Verder onderzoek wees uit dat een "onbekende derde partij" van 29 maart tot 14 april ongeautoriseerde toegang tot opgeslagen persoonlijke informatie had. Volgens NextGen heeft het onderzoek geen bewijs opgeleverd dat de aanvaller toegang tot elektronische medische dossiers of gezondheidsgegevens had.
Er wordt niets gezegd over de oorzaak, maar in een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine staat dat het datalek mogelijk was doordat de aanvaller over inloggegevens beschikte die ergens anders zouden zijn gestolen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
In verschillende medische apparatuur die bij dna-onderzoek naar onder ander genetische aandoeningen en kanker wordt gebruikt is een kritieke kwetsbaarheid gevonden waardoor het mogelijk is voor een aanvaller om de instellingen, configuraties, software en testresultaten op afstand aan te passen. Het gaat om verschillende producten die van de Universal Copy Service van fabrikant Illumina gebruikmaken en wereldwijd in gebruik zijn, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
De kritieke kwetsbaarheid, aangeduid als CVE-2023-1968, zorgt ervoor dat de apparaten verkeer van elk ip-adres accepteren. Een ongeauthenticeerde aanvaller kan zo ook met de poorten communiceren die remote communicatie mogelijk maken, zonder dat er enige authenticatie is vereist. Voorwaarde is wel dat de aanvaller op hetzelfde netwerk als de apparatuur zit. De impact van dit beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Energieleverancier Vattenfall heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een inhuurkracht toegang tot de persoonlijke gegevens van dertigduizend klanten kreeg en deze mogelijk aan fraudeurs doorspeelde. Ook getroffen klanten zijn inmiddels ingelicht. Eind vorig jaar waarschuwde Vattenfall klanten al voor een datalek nadat een medewerker hun gegevens fotografeerde en deelde met oplichters.
Nu blijkt er opnieuw een dergelijke situatie zich te hebben voorgedaan. Een inhuurkracht van een externe partij kon via het digitale archief dat wordt gebruikt om brieven op te slaan toegang tot de persoonsgegevens van zo'n dertigduizend klanten krijgen. "Hierdoor kunnen klantgegevens bij derden zijn beland, om misbruik van te maken", aldus de energieleverancier in een bericht met de titel "Fraude met klantdata".
De gestolen gegevens bestaan uit naam, e-mailadres, adresgegevens, telefoonnummer, en in verschillende gevallen deels afgeschermde bankrekeningnummers en geboortedatum. Volgens Vattenfall kunnen deze gegevens worden misbruikt voor bankhelpdeskfraude en phishing. Bij meerdere gevallen van bankhelpdeskfraude, waarbij slachtoffers voor tienduizenden euro's werden bestolen, bleek dat oplichters over lijsten met persoonsgegevens van slachtoffers beschikten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Criminelen die wisten in te breken op de systemen van de Australische kredietverstrekker Latitude en daar de gegevens van veertien miljoen klanten wisten te stelen, hebben losgeld geëist. Dat heeft Latitude in een update over de datadiefstal bekendgemaakt. Het gaat om één van de grootste datalekken in de geschiedenis van Australië en Nieuw-Zeeland.
Halverwege maart meldde het bedrijf dat het slachtoffer was geworden van een aanval waarbij klantgegevens waren buitgemaakt. In eerste instantie liet het bedrijf weten dat scans van honderdduizend identificatiedocumenten en 225.000 klantenrecords waren buitgemaakt. In een update meldde Latitude dat de gegevens van veel meer klanten zijn gestolen.
Zo zijn de rijbewijsnummers van 7,9 miljoen Australiërs en Nieuw-Zeelanders in handen van de aanvallers gekomen, alsmede 53.000 paspoortnummers. Verder zijn ook van 6,1 miljoen klanten de "records" gestolen. Het gaat om naam, adresgegevens, telefoonnummer en geboortedatum. Latitude heeft aangegeven dat het klanten zal vergoeden die ervoor kiezen om hun identiteitsdocument vanwege het datalek te vervangen. Hoe de gegevens precies gestolen konden worden is niet bekendgemaakt...
... De Nieuw-Zeelands privacytoezichthouder is niet te spreken over het datalek en de werkwijze van Latitude. "Sommige van de veertien miljoen gestolen Nieuw-Zeelandse en Australische records zijn achttien jaar oud, wat niet oké is." Volgens de databeschermingsautoriteit laat ook dit incident, net als verschillende andere datalekken, het probleem van dataretentie zien, waarbij bedrijven gegevens langer dan noodzakelijk bewaren. " Privacy moet een primair bedrijfsvraagstuk worden, dat net zo belangrijk als gezondheid en veiligheid is."
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Inwoners van de IJmond die bij Omgevingsdienst Noordzeekanaalgebied melding maakten van overlast van Tata Steel, lopen kans dat hun persoonsgegevens op straat liggen. Het meldpunt is onderdeel geweest van een datalek.
Op 29 maart ontving de OD NZKG een e-mail van een ethische hacker, die aangaf dat hij gegevens kon inzien van de personen die een overlastmelding hebben gedaan via de meldingentool en het Meldpunt overlast Tata Steel. Hierbij ging het om voor- en achternaam, woonadres, telefoonnummer, e-mailadres en de coördinaten van de melding van gebruikers.
Samen met de leverancier van de applicaties is onderzoek gedaan naar de kwestie. De kwetsbaarheid is inmiddels verholpen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens. Alle personen die een overlastmelding hebben gedaan via de genoemde tools zijn per mail geïnformeerd.
Alles bij de bron; IJmuiderCourant
- Gegevens
- Hoofdcategorie: Internet en Telecom
Wifi-routers kunnen pakketjes bedoeld voor mobiele telefoons en laptops in een queue plaatsen, bijvoorbeeld als het apparaat in kwestie in de slaapstand staat. Wanneer de client in de slaapstand staat, om zo energie te besparen, zal de router de gebufferde frames later versturen.
Onderzoekers Domien Schepers en Aanjhan Ranganathan van de Northeastern University en Mathy Vanhoef van de KU Leuven hebben nu een aanval ontwikkeld waarbij ze wifi-routers kunnen misleiden om de frames die nog in de queue staan in plaintext te laten lekken, of in versleutelde vorm, maar dan met een all-zero key, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is.
De onderzoekers laten ook zien hoe ze via deze "fundamentele ontwerpfout" een dos-aanval kunnen veroorzaken, waardoor bijvoorbeeld een verbonden smartphone de verbinding met de wifi-router verliest.
Tevens is het mogelijk om de securitycontext van frames te controleren en overschrijven, waardoor frames die nog in de queue moeten worden geplaatst worden versleuteld met een door de aanvaller gekozen key. Op deze manier wordt de wifi-encryptie in zijn geheel omzeild. De onderzoekers roepen dan ook op tot een betere beveiliging ronden het queuen van frames door wifi-apparaten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Het beheer van onze data is de laatste jaren uitgegroeid tot een heet hangijzer. Idealiter zijn onze gegevens in ons eigen bezit én makkelijk te gebruiken. Dat klinkt eenvoudig, maar in de realiteit ligt dit ingewikkelder.
Welke alternatieven zijn er op dit moment? En wat kunnen we verwachten van een initiatief als de Nederlandse Datakluis? De Technoloog gaat in gesprek met journalist Peter Olsthoorn, schrijver van het boek Baas over Eigen Data.
Alles bij de bron; BNR
- Gegevens
- Hoofdcategorie: Internet en Telecom
Stadskanaal heeft per ongeluk persoonsgegevens op straat gegooid van mensen die het niet eens waren met gemeentelijke bestemmingsplannen. Het gaat om adressen, telefoonnummers en bijvoorbeeld e-mailadressen van inwoners. Daardoor waren meningsverschillen tussen buren bijvoorbeeld zichtbaar. Maar ook kunnen die gegevens gebruikt worden voor phishing of fraude.
Een ondernemer van wie de gegevens op straat liggen maakt het in eerste instantie niet uit. Dat zegt hij, maar even later belt hij terug. ,,Ik ben het er eigenlijk helemaal niet mee eens dat mijn nummer is gedeeld.’’
Een ander persoon vindt het vervelend dat zijn naam, contactgegevens en adres aan hem worden voorgelezen. ,,Dat is niet zo netjes. Een slechte zaak, daar gaat je privacy. Ik heb ook niets gehoord van de gemeente, geen belletje of briefje. Niets.’’
De adresgegevens van een raadslid zijn ook gelekt. De politicus wil in de toekomst achter zijn huis een nieuwe aanbouw neerzetten en daarvoor moet een deel van de grond worden herstemd naar een woonbestemming.
De gemeente publiceerde die informatie in een gebundeld document van 642 bladzijden: ‘totaalbestand zienswijzen (geanonimiseerd)’. In een inventarisatie staat dat het om 89 zienswijzen gaat. In werkelijkheid zijn dat er 78. Daarvan zijn bij tenminste 20 persoonsgegevens als adressen, e-mailadressen en 06-nummers niet weggelakt, ofwel geanonimiseerd.
De gegevens stonden tussen de vergaderstukken van de gemeenteraad van Stadskanaal. Die stukken zijn voor iedereen toegankelijk. Journalisten raadplegen die bijvoorbeeld geregeld.
Het document en daarmee de gegevens werden afgelopen woensdag offline gehaald. Donderdag werd een andere versie online gezet, daarin waren persoonsgegevens wel weggelakt.
De gemeente Stadskanaal is op de hoogte van het lek, zegt een woordvoerder. ,,Wij vinden het heel erg.’’ Juist ook omdat de gemeente uiterste voorzichtig met de gegevens omging. Uiteindelijk is er een foutief bestand geüpload, zegt ze. ,,Het was een menselijke fout.’’
Er is binnen 72 uur melding gemaakt bij AP, zegt volgens de woordvoerder. ,,Het heeft van maandagavond tot woensdagochtend online gestaan. Alle mensen die het betreft zullen een brief krijgen."
Alles bij de bron; DVHN