Gegevens

Hoofdcategorie: Internet en Telecom

15 januari 2020

Citrix is een aanbieder van online kantoorsystemen voor organisaties als ziekenhuizen, bedrijven, overheidsinstanties en universiteiten. Het gaat om interne programma's en applicaties die werknemers gezamenlijk kunnen gebruiken. Door in te loggen in het Citrix-systeem, hebben werknemers altijd en overal toegang tot werkgegevens. 

Bij twee diensten van Citrix zijn kwetsbaarheden geconstateerd. Een hacker die de kwetsbaarheden kent, kan zonder autorisatie toegang krijgen tot het Citrix-systeem. Als dat lukt, kunnen ze meteen het computernetwerk van een organisatie op en zelf code uitvoeren, zonder eerst accounts te hoeven kapen. In feite kunnen ze zonder de spreekwoordelijke toegangspas, beveiligingscodes en zonder aanvullende controles de kluis in. 

'Deze kwetsbaarheid wordt qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10', stelt het Nationaal Cyber Security Centrum (NCSC). Op de website van het NCSC vind je meer informatie over het lek en wat je (als organisatie) kunt doen als je gebruik maakt van Citrix-servers.

Citrix heeft nog geen systeemupdate uitgebracht die het lek in de beveiliging moet dichten. Wel heeft het bedrijf een aantal maatregelen gepubliceerd, waarmee de kans om gehackt te worden aanzienlijk afneemt. 

Alles bij de bron; Opgelicht

Gegevens

Hoofdcategorie: Internet en Telecom

15 januari 2020

De Australische P&N Bank heeft klanten gewaarschuwd dat hun gegevens door een datalek in handen van derden zijn gekomen. Op 12 december werd het hostingbedrijf van de bank tijdens een server-upgrade aangevallen en wist de aanvaller toegang tot een systeem van de bank te krijgen.

Op dit systeem stonden namen, adresgegevens, e-mailadressen, telefoonnummers, klantnummers, leeftijd, rekeningnummers en saldo aldus de bank in een verklaring tegenover klanten. De bank stelt dat het centrale banksysteem volledig losstaat van het getroffen systeem. Na ontdekking van de aanval heeft de bank direct "de aard van de kwetsbaarheid" verholpen.

Verdere details over het incident zijn niet door de bank gegeven. Volgens The West Australian zijn de gegevens van 100.000 klanten buitgemaakt.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

14 januari 2020

Microsoft-topman Satya Nadella noemt het bewust toevoegen van achterdeurtjes in de encryptie van software een "vreselijk slecht idee". "Ik denk dat achterdeuren een vreselijk idee zijn, en niet de manier om hiermee om te gaan" en Nadella zegt te geven om twee dingen: privacy en publieke veiligheid. "We hebben een juridische en technische oplossing nodig om in onze democratie beide prioriteiten te hebben."

Gegevens

Hoofdcategorie: Internet en Telecom

10 januari 2020

Een database met persoonlijke gegevens van 56,25 miljoen Amerikaanse burgers is online aangetroffen. De database was vrij toegankelijk en gehost bij het Chinese bedrijf Alibaba.

De dataset is eigendom van het Amerikaanse bedrijf CheckPeople.com. Op deze site kunnen gebruikers tegen betaling informatie zoeken over personen, waaronder telefoonnummers, adresgegevens en e-mailadressen. De database waarin deze informatie is opgeslagen blijkt echter vrij toegankelijk te zijn geweest via internet. De database bereikbaar is via een IP-adres dat gekoppeld is aan het Chinese cloudbedrijf Alibaba, in het specifiek aan een datacenter in het Hangzhou.

De database met 22GB aan gegevens over Amerikaanse burgers is ontdekt door een hacker die schuilgaat onder de naam 'Lynx'. Hij trok aan de bel bij The Register, dat weinig details geeft over de inhoud van de database om de privacy van getroffen personen te beschermen.

De gegevens zijn vermoedelijk afkomstig uit openbare bronnen en door CheckPeople.com verzameld in de database. 

Alles bij de bron; DutchIT

Gegevens

Hoofdcategorie: Internet en Telecom

02 januari 2020

2019 is weer een recordjaar voor datalekken. Hellevoetsluis onderzoekt welke privacygevoelige gegevens in ambtenarenadviezen in te zien waren. Het is monnikenwerk.

RTL Nieuws stuitte afgelopen zomer op een lek in het raadsinformatiesysteem (RIS) van de gemeente. In dat systeem konden ambtenaren openbare adviezen, inclusief bijlagen zoals facturen of brieven, aan het college van B en W invoeren. 21.000 documenten stonden op openbaar en een deel daarvan bevatte privacygevoelige informatie. Het ging om namen, telefoonnummers, e-mail- en woonadressen en burgerservicenummers. Hoe groot de schade is, kan niemand op dat moment overzien.

De gemeente slaat groot alarm en doet melding van een datalek bij de Autoriteit Persoonsgegevens (AP). De Zuid-Hollandse gemeente met zo’n veertigduizend inwoners was daarmee een van de bijna 12.000 organisaties die in de eerste helft van dit jaar een datalek moest melden bij de AP. De privacywaakhond verwacht over 2019 24.000 meldingen, een stijging van 14 procent ten opzichte van een jaar eerder...

...Het vaststellen van de omvang en de ernst van het datalek is monnikenwerk, waarvan een half jaar na de melding het einde eindelijk in zicht is. Ambtenaren van de werkgroep spitten één voor één alle openbare adviezen uit 2017, 2018 en de eerste helft van 2019 door, en inventariseren welke privacygevoelige informatie ze bevatten en wat voor risico’s dat geeft.

Het onderzoek naar 2018 en de eerste helft van 2019 is inmiddels afgerond. Burgerservicenummers of paspoortnummers werden niet aangetroffen, bijzondere persoonsgegevens over gezondheid, religie of ras evenmin, concludeert Buis. Slechts in dertien gevallen schat de gemeente in dat de gelekte gegevens een hoog privacyrisico vormen...

...Het is niet uit te sluiten dat nog meer persoonsgegevens opduiken, in oudere documenten. „In 2001 gingen we heel anders om met het raadsinformatiesysteem dan we nu doen,” zegt Buis. Ook die getroffenen moeten geïnformeerd worden.

Extra onderzoek is dus nodig, maar de werkgroep hoeft niet 16,5 jaar Hellevoetsluise raadsgeschiedenis door te vlooien. Op basis van de onderzochte jaren en de resultaten van de steekproeven maakt de gemeente straks een inschatting hoe ver terug de zoektocht nog moet gaan.

Alles bij de bron; NRC

Gegevens

Hoofdcategorie: Internet en Telecom

29 december 2019

Smarthomefabrikant Wyze heeft door een onbeveiligde database de gegevens van 2,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, namen voor webcams, wifi-namen, gebruiksgegevens, Alexa-tokens van 24.000 mensen die hun Alexa-apparaten aan hun Wyze-camera hadden gekoppeld en lichaamsmetingen van 140 externe bètatesters. Wyze werd in 2017 opgericht en leverde in eerste instantie alleen ip-camera's. Sindsdien worden ook bewegingssensoren en smart lampen en stekkers aangeboden.

De database was sinds 4 december voor iedereen op internet toegankelijk en is ook door een derde partij gevonden. Volgens Wyze zijn er geen aanwijzingen dat er ook API-tokens zijn gestolen. Toch is besloten om alle Wyze-gebruikers uit te loggen. Deze gebruikers moeten opnieuw op hun account inloggen, zodat er een nieuw token wordt gegenereerd.

Ook zijn alle koppelingen met Alexa, Google Assistant en webservice IFTTT verbroken, wat inhoudt dat gebruikers die opnieuw moeten opzetten. Tot slot zal Wyze de komende dagen een beveiligingsupdate uitrollen waardoor de camera zal worden herstart.

Alles bij de bron; Security

Gegevens

Hoofdcategorie: Internet en Telecom

28 december 2019

Reverse engineer Jane Manchun Wong stelt dat Facebook de optie om contacten op te sporen via een telefoonnummer uit Messenger aan het halen is, mogelijk omdat de optie het via brute forcing mogelijk maakt om accounts en willekeurige nummers te koppelen.

Onlangs nog kwam een andere security-onderzoeker naar buiten met het nieuws dat hij via Twitter 17 miljoen willekeurige telefoonnummers wist te koppelen aan echte personen door ze in te voeren in de Twitter-app. Onder die 17 miljoen personen zaten ook prominente politici. Het is mogelijk dat Facebook wil voorkomen dat het om dezelfde redenen in het nieuws komt.

In het geval van Twitter werd een randomized set van twee miljard gegenereerde telefoonnummers opgegeven aan de Android-app, die leidde tot de 17 miljoen hits. Twitter zegt eraan te werken om deze bug weg te werken, maar het is nog de vraag hoe het platform gaat bepalen of een opgegeven telefoonnummer willekeurig is of niet. Facebook lijkt met het opofferen van de functie de hele kwestie uit de weg te gaan.

Alles bij de bron; Tweakers

Gegevens

Hoofdcategorie: Internet en Telecom

26 december 2019

De details zijn elke keer weer anders, maar onderzoekers en hackers treffen regelmatig gevoelige data aan in databases die onbeveiligd en openbaar zijn. Hoe kan dat eigenlijk? Waarom zijn er zoveel databases zo gemakkelijk in te zien?

Dat een server of database openbaar is, betekent eigenlijk alleen: deze is in te zien vanaf het open internet waar iedereen bij kan als je het adres hebt en de juiste inloggegevens.

Heeft een bedrijf geen wachtwoord of andere inlogbeveiliging toegevoegd? Dan spreken we van een onbeveiligde database. Een onbeveiligde database hoeft niet eens gehackt te worden, de gelukkige vinder loopt zo naar binnen... ...Het vinden van openbare databases is niet zo ingewikkeld als het lijkt. Er zijn zelfs gespecialiseerde zoekmachines die bepaalde databases voor je kunnen doorzoeken...

De FBI heeft overigens een creatieve nieuwe manier bedacht om misbruik van databases tegen te gaan: de federale politiedienst adviseert bedrijven om nepdata op de servers te plaatsen. De bedoeling? Hackers verwarren, aldus Ars Technica.

Dit soort technieken zullen de komende tijd alleen nog maar belangrijker worden. Het aantal datalekken nam in de eerste drie kwartalen van 2019 met 33 procent toe ten opzichte van dezelfde periode in het jaar ervoor, blijkt uit onderzoek van Risk Based Security. Van de 7,9 miljard stuks data die gestolen werden, was circa 6 miljard te wijten aan "slecht ingestelde databases, backups en diensten".

Alles bij de bron; NU

Gegevens

Hoofdcategorie: Internet en Telecom

25 december 2019

De Android-versie van de Twitter-app heeft een kwetsbaarheid waardoor willekeurige telefoonnummers geüpload kunnen worden, waarna ze door de dienst gematcht worden met gebruikers. Wie genoeg nummers invoert, krijgt vanzelf de nummers van belangrijke personen.

Securityresearcher Ibrahim Blaic probeerde aanvankelijk een sequentiële set nummers te uploaden bij Twitter, maar daar was het systeem al op voorbereid. Een randomized set van twee miljard gegenereerde telefoonnummers kreeg hij er echter wel doorheen. Het resultaat was 17 miljoen matches tussen telefoonnummer en Twitter-account. Balic zou de kwetsbaarheid niet gemeld hebben aan Twitter en de onderzoeker's Twitter-account is intussen geschorst.

In een reactie tegenover TechCrunch zegt Twitter dat het "werkt om ervoor te zorgen dat deze bug niet opnieuw uitgebuit kan worden". Dat was op Kerstavond, dus het lijkt erop dat de bug nog steeds aanwezig is. Het is nog de vraag hoe Twitter dit precies oplost, aangezien niet aan te tonen is of een telefoonnummer echt is of uit de lucht gegrepen is door een kwaadwillende.

Alles bij de bron; Tweakers

Gegevens

Hoofdcategorie: Internet en Telecom

23 december 2019

Bij een inbraak op de website van de Oost-Vlaamse politieschool zijn de persoonlijke gegevens van Belgische politieagenten en rechters gestolen. Het gaat om namen, adresgegevens, telefoonnummers en in aantal gevallen ook bankrekeningnummers van vijftig rechters, driehonderd politieagenten en honderdvijftig leerling-agenten. Hoe de aanvallers op de website konden inbreken is onbekend. De ­politieschool laat de website door een externe firma beheren.

De inbraak vond al begin dit jaar plaats. "Maar omdat de hackers geen sporen nalieten, hadden we dat pas veel later door en konden we pas dan de politie inlichten", zegt Paul Schelleman, verantwoordelijke voor de gegevensbescherming bij de provincie Oost-Vlaanderen. Zo'n vijftig van de personen hebben sindsdien een phishing-sms ontvangen.

Alles bij de bron; Security