Het Brits Information Commissioner's Office legt hotelketen Marriott een boete van 18,4 miljoen pond op, omgerekend 20,5 miljoen euro.
De Britse privacyautoriteit komt na onderzoek tot de conclusie dat Marriott niet de juiste technische en organisatorische maatregelen had genomen om de data van klanten voldoende te beschermen, zoals de Europese General Data Protection Regulation wel vereist. Het VK was ten tijde van de ontdekking van het datalek, in 2018, nog onderdeel van de EU, waardoor de GDPR van toepassing was.
Gegevens van 339 miljoen accounts van klanten kwamen in 2018 bij een aanval op Marriotts Starwood Hotels en Resorts Worldwide Inc op straat te liggen, waaronder onversleutelde paspoortdata. Volgens het ICO had Marriott meer moeten doen om het betreffende reserveringssysteem te beveiligen. De aanval vond al in 2014 plaats. In 2016 nam Marriott Starwood over en in 2018 werd het datalek ontdekt.
Alles bij de bron; Tweakers
Het op privacy gerichte sociale netwerk True heeft door een fout de persoonlijke data van gebruikers gelekt. Een dashboard voor één van de databases van de app was sinds begin september voor iedereen op internet zonder wachtwoord toegankelijk.
Zo was het mogelijk om allerlei gegevens van gebruikers te vinden, aldus TechCrunch. Het ging om e-mailadressen, telefoonnummer, inhoud van privéberichten, berichten tussen gebruikers, locatiegegevens en e-mailadressen en telefoonnummers die door gebruikers zelf waren geüpload om contacten op het sociale netwerk te vinden.
True laat aan gebruikers weten dat als ze hun account verwijderen al hun content direct van de servers wordt verwijderd, maar dat bleek niet het geval te zijn. Privéberichten, berichten en foto's bleken na het opheffen van een account nog steeds via het dashboard te bekijken.
True heeft het datalek tegenover TechCrunch bevestigd en het dashboard inmiddels beveiligd. De Android-app van True heeft meer dan 500.000 downloads. Van hoeveel gebruikers de gegevens via het dashboard toegankelijk waren is onbekend.
Alles bij de bron; Security
Een Finse psychotherapiepraktijk die locaties in heel Finland heeft en duizenden patiënten behandelt is afgeperst nadat een aanvaller toegang tot zeer gevoelige patiëntdata wist te krijgen. Een deel van de data, tweehonderd patiënten "records, is inmiddels door de afperser openbaar gemaakt. Het gaat om namen, adresgegevens, persoonlijke identificatienummers en patiëntenrapporten.
Als de psychotherapiepraktijk geen 450.000 euro betaalt zal de afperser elke dag honderd nieuwe records online zetten, zo meldt televisiestation YLE. De afpersers heeft naar eigen zeggen de gegevens van 40.000 patiënten in handen. In een verklaring bevestigt Vastaamo de datadiefstal en afpersing.
Alles bij de bron; Security
Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.
Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte honderden transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand.
In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.
Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.
Alles bij de bron; Security
De Volkbank schakelt de hulp van Schluss in om op een veilige en snelle manier toegang te krijgen tot persoonsgegevens van klanten die nodig zijn om een hypotheekaanvraag doen.
Een hypotheekaanvraag duurt bij de Volksbank gemiddeld zo’n acht weken. In die tijd besteedt de bank vooral veel tijd aan het verzamelen, delen en controleren van de benodigde data van (potentiële) klanten. Denk aan inkomsten, uitgaven, leningen en eigen vermogen. Deze data is afkomstig van verschillende partijen zoals de Belastingdienst, BKR, UWV en DUO. De klanten leveren deze documenten per mail aan bij de Volksbank. Naast het feit dat dit relatief onveilig is, ontvangt de bank ook veel overbodige informatie. Dit terwijl de bank werkt aan dataminimalisatie.
Schluss ontwikkelt een datakluis waarin eindgebruikers persoonsgegevens kunnen opslaan. Zij kunnen deze data via een link openstellen voor individuen, waaronder medewerkers van bepaalde instanties. Deze toegang kan op elk gewenst moment worden stopgezet. Omgekeerd kunnen instanties toestemming vragen om specifieke data in te zien. Hiervoor moeten zij een qr-code genereren en delen met de datakluisbeheerder, die op zijn beurt het verzoek tot inzage kan goedkeuren.
Schluss brengt eind dit jaar een betáversie van hun product op de markt. Voorlopig zijn er nog geen instanties die gebruikmaken van de Schluss-app.
Alles bij de bron; Computable
Staatssecretaris Knops van Binnenlandse Zaken heeft besloten om gegevens in de Basisregistratie Personen (BRP) voorlopig niet versleuteld op te laten slaan. "Op dit moment valt er meer winst te behalen door het nemen van andere maatregelen dan extra versleuteling", zo laat de staatssecretaris in een brief aan de Tweede Kamer weten.
Het kabinet heeft in het Regeerakkoord gesteld om gegevens van burgers in basisadministraties en andere privacygevoelige informatie versleuteld op te slaan (pdf). "De Basisregistratie Personen wordt gemoderniseerd en zal de e-mailadressen van burgers bevatten. Gegevens van burgers in basisadministraties en andere privacygevoelige informatie wordt altijd versleuteld opgeslagen."
Knops heeft een onderzoek naar de beveiliging van de BRP laten uitvoeren, waarbij er bijzondere aandacht was voor de risico's die door middel van encryptie zijn te verkleinen. De onderzoekers stellen dat het altijd versleuteld opslaan van gegevens slechts één bestaand beveiligingsrisico voor de BRP verhelpt, namelijk diefstal van een fysieke harde schijf met BRP-data vanuit een rack in een datacenter, of het stelen van een kopie of back-up.
Op basis van het onderzoek heeft Knops dan ook besloten om data in de BRP voorlopig niet versleuteld op te slaan.
Alles bij de bron; Security
Aanvallers zijn erin geslaagd om de gegevens te stelen van 293.000 gebruikers van het forum van de gratis online role-playing game Albion Online. Het gaat om profielgegevens, alsmede e-mailadressen en gesalte en met het bcrypt-algoritme gehashte wachtwoorden.
Met het forumwachtwoord is ook op het spel in te loggen. Albion Online heeft gebruikers een e-mail gestuurd waarin wordt geadviseerd het wachtwoord te wijzigen.
Naar aanleiding van het datalek is spelontwikkelaar Sandbox Interactive naar eigen zeggen van plan om externe beveiligingsexperts een extra veiligheidscheck te laten uitvoeren. Afhankelijk van de onderzoeksresultaten zal het aantal en de diepgang van externe security-audits worden vergroot. Sandbox Interactive stelt dat Albion Online ruim 5,8 miljoen spelers heeft.
Alles bij de bron; Security
Bij Dickey's Barbecue Pit, de grootste keten van bbq-restaurants in de Verenigde Staten, hebben criminelen de gegevens van drie miljoen creditcards gestolen. Aanvallers wisten de kassasystemen van de restaurantketen te compromitteren en zo bij 156 locaties in dertig Amerikaanse staten de creditcardgegevens te stelen.
De gestolen creditcarddata werd vervolgens te koop aangeboden op een forum voor cybercriminelen. Het grootste deel van de buitgemaakte creditcardgegevens is afkomstig van Amerikaanse staten, maar volgens de aanbieder van de dataset zit er ook data tussen van Europeanen en Aziaten. Het gaat om "Track 1" en "Track 2" data, waaronder naam van de kaarthouder, verloopdatum, bank en rekeningnummer.
Alles bij de bron; Security
De T2-beveiligingschip van Apple bevat een beveiligingsprobleem. De chip is onder meer aanwezig in MacBook Pro's, MacBook Air's, Mac mini's, iMac's, iMac Pro's en Mac Pro's.
Beveiligingsonderzoekers ontdekten dat de bestaande exploit checkm8 voor het jailbreaken van iPhones ook kan worden gebruikt om de T2-chip aan te vallen. checkm8 wordt hierbij gecombineerd met een tweede kwetsbaarheid in de memory controller genaamd blackbird.
Om het lek uit te buiten hebben aanvallers fysieke toegang nodig tot een systeem. De kwetsbaarheid kan worden misbruikt door aanvallers om in herstelmodus eigen code te draaien. Via deze route kunnen zij beheerdersrechten verkrijgen en zijn onder meer in staat gevoelige data buit te maken, aanpassingen te maken in het besturingssysteem macOS of kernelextensies te laden. Het Belgische beveiligingsbedrijf ironPeak stelt daarnaast dat het lek kan worden misbruikt om firmwarewachtwoorden en functionaliteit om apparaten op afstand te versleutelen uit te schakelen.
Het lijkt niet mogelijk het beveiligingsprobleem te verhelpen. Een beveiliging die wijzigingen voorkomt en bedoelt is om malafide handelingen tegen te gaan, maakt het nu ook onmogelijk de kwetsbaarheid te dichten meldt onderzoek Rick Mark.
Alles bij de bron; DutchITChannel
Beveiligingsonderzoeker Dennis Baaten ontdekte in september een kwetsbaarheid op webshopplatform Mijnwebshoppartner.
De website gebruikte oplopende klantnummers die Baaten kon opvragen via de url. Hij kreeg dan namen, adressen en contactinformatie te zien van gebruikers. Het ging bij dat laatste om e-mailadressen en telefoonnummers. Ook waren in sommige gevallen bedrijfsnamen, KvK-nummers en btw-nummers te zien die tot voor kort waren gebaseerd op hun burgerservicenummer.
Baaten zegt dat het klantbestand op die manier eenvoudig geautomatiseerd te downloaden was. In totaal stonden er 7232 klanten in de database, die verdeeld stonden over vier webshops. Baaten zocht contact met het bedrijf en gaf het datalek via een responsible disclosure-procedure door. Hij kreeg geen reactie van het bedrijf, maar merkte later wel op dat het lek gedicht was.
Of het probleem voor alle webshops die onder Mijnwebshoppartner vallen is opgelost weet hij niet. "Mogelijk zijn er nog meer webshops die op dit platform draaien die ik niet heb gevonden. Dan zou het probleem nog groter in omvang zijn", zegt hij.
Alles bij de bron; Tweakers