Organisaties wereldwijd maken vandaag de dag steeds meer gebruik van de cloud en het internet of things (IoT). Daardoor het datavolume en het aantal datatypen voortdurend toenemen. Informatietechnologen (IT’ers) zien in dit groeipad de bescherming van persoonlijke klantgegevens door middel van encryptie als hoogste prioriteit.
Bedrijven en instellingen in Nederland vormen daarop een uitzondering, want in dit land wordt de versleuteling van data vooral gebruikt om de regelgeving na te leven.
Dit kun je opmaken uit ‘2020 Global Encryption Trends Study’, een onderzoeksrapport dat gebaseerd is op een onderzoek waarin is vastgelegd hoe organisaties over de hele wereld omgaan met compliance, toegenomen bedreigingen en de implementatie van encryptie om hun bedrijfskritische informatie en applicaties te beschermen. In totaal hebben 6.457 IT-professionals aan het onderzoek deelgenomen.
Voor het eerst staat het beschermen van persoonlijke klantgegevens op nummer 1 als belangrijkste reden om encryptie in te zetten. Dit geldt voor 54 procent van de respondenten. Naleving staat internationaal op de vierde plek (47%). In Nederland is de verdeling echter anders. Daar zien organisaties de naleving van de regelgeving als de belangrijkste drijfveer voor encryptie (63%).
Alles bij de bron; CustomerTalk
De digitale portemonnee Key Ring heeft door een open database de gegevens van miljoenen gebruikers gelekt, waaronder gescande identiteitsbewijzen en creditcards. Key Ring biedt naar eigen zeggen een vervanging voor de fysieke portemonnee, zodat gebruikers al hun klantenpasjes digitaal kunnen opslaan. Dat melden onderzoekers Noam Rotem en Ran Locar van vpnMentor.
Gebruikers kunnen hun bonuskaarten, klantenpasjes en andere loyaliteitskaarten scannen en in de app opslaan. Veel gebruikers gebruiken de app ook om kopieën van hun identiteitsbewijs, rijbewijs en creditcards op te slaan. Een verkeerd ingestelde Amazon Web Services (AWS) S3-bucket zorgde ervoor dat al deze geüploade scans voor iedereen op internet toegankelijk waren.
Key Ring claimt meer dan 14 miljoen gebruikers te hebben en voor de opslag van 60 miljoen gescande kaarten te worden gebruikt. In de database werden meer dan 44 miljoen afbeeldingen van gescande pasjes aangetroffen.
Key Ring werkt daarnaast ook als een marketingplatform voor grote Amerikaanse merken, zoals Mattel, Walmart en Footlocker. In de S3-bucket werden ook CSV-bestanden aangetroffen met abonnementslijsten en rapportages van deze bedrijven. De lijsten zouden de persoonlijke identificeerbare informatie van miljoenen mensen bevatten, zoals naam, e-mailadres, geboortedatum en adresgegevens.
Alles bij de bron; Security
Twitter meldt 'onlangs te hebben ontdekt' dat de manier waarop Mozilla Firefox gegevens van Twitter in de cache opslaat tot de onbedoelde opslag van niet-openbare gegevens kan leiden. Op deze manier kunnen privégegevens zoals informatie uit direct messages op straat komen te liggen, bijvoorbeeld als een Twitter-gebruiker heeft ingelogd op een systeem met Firefox van een derde. Ook zijn er malwaretools die de cache van browsers kunnen doorspitten.
De dienst heeft wijzigingen doorgevoerd om te voorkomen dat de persoonlijke gegevens in de cache van Mozilla's browser belanden. Hoe dan ook is de retentietijd van de cache van Firefox zeven dagen, zodat na die periode gegevens verwijderd worden. Bij Chrome, Safari en andere browsers speelde dit probleem niet, volgens Twitter.
Gebruikers van Firefox kunnen hun cache handmatig legen via Opties, Privacy & Beveiliging, Cookies en websitegegevens en vervolgende de gegevens bij Gebufferde webinhoud wissen.
Alles bij de bron; Tweakers
Marriott International laat weten dat de gegevens van ongeveer 5,2 miljoen hotelgasten gestolen zijn. Het gaat om contactgegevens en klanteninfo maar ook om persoonlijke data zoals geslacht en verjaardag. Wachtwoorden en betaalgegevens zouden niét gestolen zijn. De gegevens zouden gestolen zijn via de logins van twee werknemers.
Het onderzoek loopt nog, maar Marriott denkt dat de diefstal gestart is midden januari. Eind februari werd de datadiefstal pas ontdekt.
Het gaat al om het tweede grootschalige dataprobleem bij Marriott op nog geen twee jaar tijd. In november 2018 bleek dat de volledige gastendatabase lek was waardoor de gegevens van meer dan 500 miljoen gasten potentieel op straat lagen.
Alles bij de bron; Knack
De persoonlijke gegevens van 4,9 miljoen mensen uit Georgië zijn zaterdag online geplaatst. De Amerikaanse nieuwssite ZDNet, die de database heeft ingezien, concludeert dat het deels om gegevens van overleden personen gaat.
De gelekte database bevat volgens ZDNet onder meer voor- en achternamen, adressen, geboortedata, identificatienummers en mobiele telefoonnummers. Vermoedelijk is een groot deel van de Georgische bevolking door het lek getroffen.
Het bestaan van de gelekte database wordt bevestigd door de Georgische kiesraad CEC, die in een verklaring zegt dat de gegevens niet van het orgaan afkomstig zijn. De CEC merkt op dat het geen informatie als telefoonnummers of ID-nummers verwerkt om de kiezerslijst voor Georgische verkiezingen op te stellen. Het is onduidelijk wat de herkomst van de gegevens wel is.
Alles bij de bron; NU
Een beveiligingslek in de webwinkelsoftware Magento zorgde ervoor dat mislukte inlogpogingen van klanten in plaintext in de database werden opgeslagen. Hoewel het probleem inmiddels is verholpen zijn de opgeslagen gebruikersnamen en verkeerde wachtwoorden nooit verwijderd.
Een aanvaller met toegang tot de database zou op deze manier het juiste wachtwoord van gebruikers kunnen afleiden.
De beveiligingsupdate zorgde ervoor dat Magento mislukte inlogpogingen niet meer in plaintext bewaarde. Al opgeslagen inlogpogingen bleven echter gewoon in de database achter. Daarvoor is nu een hotfix verschenen, die al deze inlogpogingen verwijdert. "... raden we aan om de update zo snel als mogelijk te installeren", aldus het Magento Security Team.
Alles bij de bron; Security
Een Brits securitybedrijf dat bedrijven voor datalekken waarschuwt heeft via een onbeveiligde server meer dan 5 miljard records gelekt die van andere datalekken afkomstig waren.
...Het bedrijf biedt "Data Leakage Monitoring" en "Darkweb Digging" waarbij het klanten waarschuwt als hun gegevens in een datalek voorkomen. Het bleek ook een eigen database te hebben met gegevens van datalekken. Deze database was door een fout zonder wachtwoord toegankelijk en was door de zoekmachine BinaryEdge geïndexeerd. Vervolgens werd die gevonden door onderzoeker Bob Diachenko van Security Discovery.
De database bevatte meer dan 5 miljard records, met wachtwoorden, wachtwoordhashes, e-mailadressen, oorsprong van het datalek en jaar van het datalek.
Alles bij de bron; Security
Twee Amerikaanse kredietverstrekkers hebben via een database die voor iedereen op internet toegankelijk was 425 gigabyte aan vertrouwelijke data gelekt. De gegevens van beide bedrijven werden in een onbeveiligde Amazon S3-bucket aangetroffen.
Het gaat onder andere om meer dan een half miljoen gevoelige juridische en financiële documenten, zoals bankafschriften, kredietoverzichten, contracten, kopieën van rijbewijzen, belastingpapieren, bankgegevens, aankoopbewijzen, afschriften van creditcards en andere informatie.
De database was van de bedrijven Advantage Capital Funding en Argus Capital Funding, die kredieten en kortlopende leningen aan het mkb verstrekken. Nadat onderzoekers van vpnMentor de S3-bucket vonden hadden ze in eerste instantie geen idee wie de eigenaar was. Uiteindelijk kwamen ze uit bij Advantage en Argus. Beide bedrijven werden op 30 december gewaarschuwd, maar gaven geen reactie. Daarop werd Amazon zelf op 7 januari ingelicht, waarna de S3-bucket twee dagen later was beveiligd.
Alles bij de bron; Security
Een softwarebedrijf dat een app levert voor aanbieders op Amazon UK, eBay en Shopify heeft via een onbeveiligde database acht miljoen records met persoonlijke informatie van online shoppers gelekt.
De database was verkeerd door de beheerder geconfigureerd. In de database stonden onder andere klantnamen, e-mailadressen, afleveradressen, telefoonnummers, aankopen, betalingen, transactienummers en laatste vier cijfers van creditcardnummers. Het zou met name om data van Britse online shoppers gaan.
Na te zijn ingelicht werd de database binnen een uur gesloten. De naam van het bedrijf is niet bekendgemaakt.
Alles bij de bron; Security
Vpn-provider NordVPN heeft een kwetsbaarheid in de eigen website verholpen waardoor gegevens van klanten hadden kunnen lekken. Alleen het versturen van een HTTP POST request zonder authenticatie naar join.nordvpn.com was voldoende om van gebruikers e-mailadressen, betaalmethode, valuta, bedrag en aangeschafte producten te achterhalen.
De onderzoeker die het beveiligingslek ontdekte meldde dit op 4 december vorig jaar bij het beloningsplatform HackerOne. Twee dagen later rolde NordVPN een update uit en beloonde de onderzoeker met 1000 dollar voor zijn bugmelding.
Een woordvoerder laat tegenover The Register weten dat het hier om een geïsoleerd geval gaat dat alleen een handvol gebruikers had kunnen raken, vanwege de rate-limiting die was geïmplementeerd. "In theorie waren alleen e-mailadressen voor een derde partij zichtbaar geweest", aldus de woordvoerder.
Rond dezelfde tijd rapporteerde een andere onderzoeker dat NordVPN geen rate limiting bij het opvragen van wachtwoorden toepaste. Dit probleem verhielp NordVPN op 11 december.
Alles bij de bron; Security