De website van een Nederlandse vermogensbeheerder is lek. Nobel Vermogensbeheer, dat particulieren en ondernemingen bedient die minstens 100.000 euro kunnen beleggen, heeft informatie op internet staan die niet voor de buitenwereld is bedoeld. Zo was op de website een persoonlijke brief aan een klant te lezen. Nobel beheert 260 miljoen euro en werd twee jaar geleden genomineerd als beste vermogensbeheerder van het land.
De brief is gericht aan een winkelier die zijn zaak heeft gesloten en voorbereidingen treft voor zijn pensioen. ‘Persoonlijk’ staat erboven en de ondertekening is van directeur Suzanne Band en een vermogensbeheerder van Nobel. De brief schetst de vermogenspositie van de winkelier en noemt allerlei bedragen. Bijvoorbeeld over de hypotheken van de winkelier zelf en een van zijn kinderen. De brief stond tot gisteren in een map die publiek toegankelijk is en door Google te vinden is.
Ook stond er per abuis een handleiding online waarin Nobel de IT-procedures en de gebruikte computersystemen beschrijft. Deze procedures moeten het risico beheersen “dat dataverlies ontstaat vanwege falende of gebrekkige procedures en systemen in combinatie met tekortschietende interne controles.” Dit document is voor intern gebruik...
...in allerlei mappen zijn computerbestanden zichtbaar, onder meer met een verouderde softwarebibliotheek genaamd ‘PHPExcel’. De ontwikkelaars ervan ontraden al twee jaar om het nog te gebruiken. Opgeteld wijzen deze voorbeelden op een slordige en riskante manier van werken. Nobel heeft de Autoriteit Persoonsgegevens en de Autoriteit Financiële Markten op de hoogte gesteld. Ook heeft Nobel contact gezocht met de klant en de brief verwijderd.
Alles bij de bron; Trouw
Een reserveringssysteem dat door tal van hotels, reisbureaus en accommodaties wordt gebruikt heeft via een open database 179GB aan data van hotelgasten en reizigers gelekt. De database was afkomstig van AutoClerk, een reserveringssysteem dat eigendom van Best Western Hotels is en door allerlei partijen en externe platformen wordt gebruikt.
Onderzoekers van vpnMentor ontdekten de database, die miljoenen records bleek te bevatten. Het ging onder andere om naam, geboortedatum, adresgegevens, telefoonnummer, datums, reiskosten, gemaskeerde creditcardgegevens, kamernummers en inchecktijd.
In één van de databases werden persoonsgegevens en reisplannen van Amerikaanse overheids- en militair personeel gevonden. Het ging onder andere om gegevens van Amerikaanse generaals, waaronder hun e-mailadressen, telefoonnummers en andere gevoelige persoonlijke data.
De database werd op 13 september ontdekt, waarna het United States Computer Emergency Readiness Team (US-CERT) werd benaderd. De onderzoekers stellen dat US-CERT niets met de melding deed. Vervolgens benaderden de onderzoekers op 26 september een contact bij het Pentagon, waarna de database op 2 oktober werd beveiligd.
Alles bij de bron; Security
De gegevens van 250.000 gebruikers van Hookers.nl, een forum waar ervaringen over prostituees en escorts worden uitgewisseld, zijn gestolen en worden op internet te koop aangeboden. Het gaat om e-mailadressen, gebruikersnamen, ip-adressen en gehashte wachtwoorden. Het is onbekend wanneer de gebruikersgegevens van Hookers.nl precies zijn gestolen.
Uit de gegevens die door de NOS werden ingezien blijkt dat veel forumgebruikers een e-mailadres gebruiken waaruit hun echte naam is af te leiden. Naar aanleiding van het datalek hebben tientallen gebruikers op Hookers.nl gevraagd om hun account op te heffen.
Hookers.nl, dat melding bij de Autoriteit Persoonsgegevens heeft gedaan, heeft inmiddels op het eigen forum ook een bericht over het datalek geplaatst: "....Desondanks is er een datalek ontstaan en zijn de e-mailadressen ontvreemd van alle gebruikers."
Alles bij de bron; Security
De namen, adressen, geboortedata en bankrekeningnummers van "naar alle waarschijnlijkheid" alle huidige en voormalige medewerkers van bouwbedrijf Strukton Rail zijn door een ex-medewerker gestolen, maakt het bedrijf woensdag bekend. Het gaat om duizenden mensen, bevestigt een woordvoerder.
Bovendien zijn ook de gegevens van medewerkers van Eurailscout gestolen. Dit bedrijf is voor de helft in handen van Strukton. Om hoeveel gedupeerden het in totaal precies gaat, is onduidelijk.
Uit onderzoek bleek dat de gegevens zouden zijn gestolen door een oud-medewerker die toegang had tot de systemen. Deze persoon zou er foto's van hebben gemaakt.
Een woordvoerder kon geen antwoord geven op aanvullende vragen. Zo is niet bekend waarom de gegevens van oud-medewerkers bewaard werden, en hoe ver terug deze gegevens gaan.
Alles bij de bron; NU
Een Engelse rechtbank gaf dit weekend toestemming voor een massale juridische actie tegen British Airways. Zo’n 5000 getroffen klanten worden gerepresenteerd door SPG Law en 230 andere reizigers door Your Lawyers Limited. Maar dankzij de uitspraak kunnen ook alle andere duizenden getroffen passagiers een aanklacht indienen tegen BA. Zij hebben 15 maanden de tijd om zich te melden bij de advocatenbureaus.
Klanten die tijdens de hack naar de website van British Airways gingen, werden omgeleid naar een frauduleuze website. Via die nepsite werden de gegevens van de passagiers buitgemaakt door de hackers. Dat betrof zowel het inloggen, de gegevens van betaalkaarten, de reisdetails en de persoonlijke gegevens.
De hack zou in juni hebben plaatsgevonden, BA meldde het incident in september bij het Information Commissioner’s Office. De maatschappij riskeert een boete van ruim 183 miljoen pond vanwege het datalek.
Alles bij de bron; Up-in-the-Sky
Persoonlijke gegevens van meer dan twintig miljoen Russische burgers liggen op straat door een groot lek, meldt beveiligingsbedrijf Comparitech. Het gaat om belastinggegevens die maandenlang openbaar op het internet stonden.
Het beveiligingsbedrijf ontdekte de database met gegevens begin september. De eigenaar van de server waarop de database openlijk te raadplegen was, werd ingelicht en inmiddels zijn de gegevens offline gehaald.
De database bevatte gegevens van Russische belastingbetalers tussen 2016 en 2019. De gegevens bevatten de volledige naam, adres, paspoortnummer, telefoonnummer, belastingnummer, naam werkgever en het bedrag dat aan belasting betaald werd.
Alles bij de bron; NU
Door een datalek bij de provincie Zuid-Holland zijn de persoonlijke gegevens van Provinciale Statenleden en hun medewerkers 'tijdelijk onvoldoende beschermd' geweest. Om hoeveel politici en hun medewerkers het gaat, is niet duidelijk. Wel is de brief aan alle provinciale fracties gestuurd die momenteel in het provincieparlement actief zijn. Mogelijk zijn ook oud-Statenleden en hun medewerkers aan het lek blootgesteld.
Het ging om een lek in het IT-systeem van de provincie, waarin de persoonsgegevens worden geregistreerd 'voor de salarisverwerking, het verstrekken van toegangspassen en IT-middelen'. Voor zover bekend ging het om een intern lek, dus alleen medewerkers van de provincie hebben informatie kunnen verkrijgen die zij niet voor hun werk nodig hebben.
Het datalek is ontdekt door een alerte medewerker van de provincie, die opmerkte dat hij meer gegevens kon inzien dan nodig was voor zijn werkzaamheden. Hij heeft daarvan melding gedaan bij de provincie.
Statenlid Jeremy Mooiman vroeg onlangs nog aandacht voor de beveiliging van het IT-systeem van de provincie, nadat de provincie voorkwam op de Faalkaart, een lijst met overheden die slecht scoren als het gaat om ICT-beveiliging.
Mooiman: 'Op de Faalkaart is te zien dat onze provincie in de slechtste categorie valt. Als naar de data wordt gekeken blijkt dat op 22-8-2019 (week 34) er 224 risico’s zijn waargenomen, waarvan 29 'hoog risico' en 76 'gemiddeld risico'. Zuid-Holland is hiermee de derde meest kwetsbare provincie.'
Alles bij de bron; Rijnmond
De persoonlijke gegevens, waaronder namen, adressen, telefoonnummers en e-mailadressen van twintig miljoen inwoners van Ecuador zijn opnieuw gevonden op een onbeveiligde server. De onbeveiligde server stond in Duitsland en werd volgens twee Israëlische beveiligingsonderzoekers gebruikt door het Ecuadoriaanse bedrijf DataBook.
Eerder in september ontdekten dezelfde onderzoekers dat de data van 20,8 miljoen Ecuadorianen was te vinden op een onbeveiligde server van een ander bedrijf, Novaestrat. In hoeverre de data uit de twee lekken overeenkomen, is onduidelijk.
Alles bij de bron; NU
Gegevens van deelnemers van de Dam tot Damloop waren gemakkelijk in te zien door derden omdat de app slecht beveiligd was, ontdekte de NOS.
De slechte beveiliging maakte het mogelijk om e-mailadressen, namen en geboortedata in te zien. Het lek zat in het gedeelte van de app waarmee gebruikers deelnemers konden volgen. De zoekfunctie van dit gedeelte was niet goed beschermd tegen misbruik.
NOS wist de e-mailadressen van zo'n vierduizend deelnemers op te vragen. Na melding heeft de app-ontwikkelaar het gat gedicht.
Alles bij de bron; NU
RTL nieuws meldt dat 14.000 slimme camera's in Nederland van de merken Apexis en Sumpple een lek hebben. De database waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken.
Niet alleen is het wachtwoord van de database buitengewoon zwak, maar de database bevat ook de locatiegegevens van het apparaat en het e-mailadres waaraan hij gekoppeld is, waardoor het relatief eenvoudig is om degene die bekeken wordt ook op te sporen. Wie toegang heeft tot de camera, kan niet alleen meekijken, maar ook de camera draaien en door de babyfoonspeaker praten. Omdat de database zelf zo slecht beveiligd is, helpt het voor gebruikers niet om hun wachtwoord te veranderen.
De 14.000 camera's staan in Nederland, maar wereldwijd zou het gaan om 'vele honderdduizenden', aldus de nieuwssite. De camera's werden verkocht bij Bol.com, Amazon en Aliexpress. Ook Trust koopt de camera's in, maar gebruikt zijn eigen inlogsysteem, waardoor het buiten schot blijft.
Apexis is het moederbedrijf van Sumpple, en om die reden delen de twee bedrijven ook een database. De twee hebben niet gereageerd op contactverzoeken van hackercollectief The Arcanum Group, dat het lek in augustus ontdekte, noch op de verzoeken van RTL Nieuws.
Alles bij de bron; Tweakers