Databeveiliging & Dataverlies

De Entertainment Software Association (ESA) heeft persoonlijke gegevens van ruim tweeduizend journalisten en analisten gelekt, die dit jaar de belangrijkste gamebeurs ter wereld de E3 bezochten. 

De organisatie bewaarde een lijst van aanwezigen, die iedereen via de openbare ESA-website kon downloaden. Op de lijst stonden bijvoorbeeld namen, telefoonnummers en thuisadressen.

YouTuber Sophia Narwitz ontdekte dat de lijst voor iedereen toegankelijk was, waarna de E3-organisatie ingreep en de gegevens verwijderde. Het is niet duidelijk wie de lijst nu in handen hebben en wat er verder mee gebeurt. In de lijst was onder meer informatie van YouTubers, Wall Street-analisten, aanwezige journalisten en Tencent-medewerkers te vinden.

VentureBeat merkt op dat de lijst waarschijnlijk ook vanuit Europa te bekijken was en dat gegevens van Europese journalisten zijn gelekt. Daarmee is mogelijk ook de privacywet Algemene verordening gegevensbescherming overtreden, wat flinke boetes kan opleveren.
 
Alles bij de bron; NU

De data van miljoenen gebruikers van de Amerikaanse online kledingmarktplaats Poshmark is gestolen. Het gaat om profielgegevens zoals gebruikersnaam, naam, geslacht en woonplaats. Ook accountgegevens waaronder e-mailadres, kledingmaat en gesalte en gehashte wachtwoorden zijn buitgemaakt, alsmede koppelingen met opgegeven socialmedia-accounts.

De website heeft naar eigen zeggen meer dan 50 miljoen gebruikers waarvan er 5 miljoen producten aanbieden. In een verklaring stelt het bedrijf dat de gehashte wachtwoorden bijna niet te kraken zijn. Toch krijgen alle gebruikers uit voorzorg het advies om hun wachtwoord te wijzigen. Ook stelt Postmark dat het de beveiliging heeft aangescherpt om herhaling in de toekomst te voorkomen.

Alles bij de bron; Security


 

Een database met daarin persoonlijke gegevens van 14 miljoen Chilenen was openbaar toegankelijk. Het gaat om gegevens van stemgerechtigden in het land die zijn opgeslagen in 2017. Dat blijkt uit onderzoek van ZDNet.

Het gaat om namen, adressen, geslacht, leeftijd en belastingnummers van 14,3 miljoen individuen. Dat is 80% van de bevolking. Het lek werd ontdekt door een onderzoeker die een journalist bij ZDNet tipte. De site deed een steekproef om de gegevens te controleren en deze bleken juist. De overheid van Chili heeft bevestigd dat de gegevens kloppen, maar ontkent dat de server met het datalek van de overheid is.

Alles bij de bron; NU


 

Honda heeft via een onbeveiligde database allerlei vertrouwelijke netwerkgegevens gelekt, alsmede informatie over medewerkers en het bedrijf. Justin Paine, ontdekte de ElasticSearch-database via zoekmachine Shodan. De database was voor iedereen op internet zonder inloggegevens toegankelijk. 

In het geval van Honda ging het om een database die 40 gigabyte groot was en 134 miljoen documenten bevatte. De opgeslagen informatie bestond uit namen van medewerkers, hun e-mailadres, wanneer ze voor het laatst waren ingelogd, werknemersnummer en accountnaam.

Een andere tabel bevatte wederom de naam van medewerkers, maar ook de naam van hun computer, besturingssysteem en besturingssysteemversie. In een derde tabel vond Paine ip-adressen, mac-adressen, gebruikte beveiligingsleverancier en welke Windows-updates waren geïnstalleerd. De database bevatte ook informatie over de interne ip-adressen van printers. Het lukte Paine ook om in de database informatie over de directeur van Honda terug te vinden. Het ging om zijn e-mailadres, naam, afdeling, mac-adres, gebruikte Windows-versie en patchniveau, ip-adres, accountnaam, wanneer er voor het laatst was ingelogd en werknemers-ID.

Eén van de tabellen in de database bevatte informatie over machines waarop geen beveiligingssoftware was geïnstalleerd. Na te zijn ingelicht werd de database door Honda beveiligd. Volgens de autofabrikant zijn er geen aanwijzingen dat de gegevens zijn gelekt. Hoe het kon dat de database onbeveiligd online stond is niet bekendgemaakt.

Alles bij de bron; Security


 

Een datalek bij de Universiteit Utrecht (UU) zorgde ervoor dat persoonlijke gegevens van promovendi inzichtelijk waren voor (oud-)medewerkers. 

De problemen werden gevonden in systemen waarin informatie van promoverende studenten van de UU werd bewaard. Begin 2019 werden verschillende systemen samengevoegd in een nieuw programma, maar daarbij bleven de oude online systemen toegankelijk.

Bepaalde medewerkers van de universiteit hadden toegang tot de systemen, bijvoorbeeld om contact op te kunnen nemen vanwege een promotieonderzoek. Zij hielden ook toegang nadat de oude systemen al gesloten hadden moeten zijn. Gegevens als namen, adressen en telefoonnummers van ruim vierduizend studenten werden in het systeem bewaard. Ook medewerkers die niet meer bij de universiteit werkten of die een andere functie binnen de universiteit kregen, behielden toegang tot de informatie. 

Alles bij de bron; NU


 

Een Brits gezin heeft besloten om te verhuizen en hun namen te veranderen nadat de deelgemeente waar ze woonden hun gegevens had gelekt. Het gezin was bezig met het adopteren van een kind. Tijdens het adoptieproces stuurde een advocaat van de deelgemeente een bericht naar de geboorteouders dat er een hoorzitting voor een familierechtbank zou plaatsvinden.

De advocaat had echter per ongeluk het aanvraagformulier van de adoptieouders toegevoegd, zonder hun gegevens onleesbaar te maken. Daardoor werden de namen van het echtpaar, adresgegevens, telefoonnummers, geboortedata en hun beroepen bij de geboorteouders bekend. Na te hebben overlegd met de gemeente en politie werd besloten dat verhuizen en een naamswijziging de veiligste optie was. Naar aanleiding van het datalek besloot de gemeente een schadevergoeding van omgerekend 118.000 euro uit te keren, onder andere voor de verhuizing en veroorzaakte overlast.

Alles bij de bron; Security


 

Privégegevens uit het kentekenregister van de RDW worden via internet verhandeld. Voor bedragen van 50 tot 150 euro is het mogelijk om de naam en het adres te krijgen dat bij een kenteken hoort. 

De RDW beheert 13,3 miljoen Nederlandse kentekens, zo laat het zelf weten. De kentekens zijn gekoppeld aan privépersonen, bedrijven en adressen. Via kanalen op de chatapp Telegram is het mogelijk om de gegevens op te vragen die bij een kenteken horen. De aanbieders van de gegevens claimen dat ze mensen bij de RDW kennen die toegang tot het kentekenregister hebben.

Na te zijn ingelicht door RTL Nieuws is de RDW, samen met het Landelijk Informatiecentrum Voertuigcriminaliteit en de politie een onderzoek gestart. De organisatie merkt op dat veel partijen gebruik maken van de gegevens die bij de RDW zijn opgeslagen. Bijvoorbeeld de Belastingdienst, de Politie, het CJIB, en partijen zoals gerechtsdeurwaarders en verzekeraars.

Op de eigen site spreekt de RDW van een ernstige kwestie.

Alles bij de bron; Security


 

Kredietbureau Equifax waar criminelen in 2017 de gegevens van meer dan 147 miljoen Amerikanen wisten te stelen, heeft met de Amerikaanse toezichthouder FTC het Consumer Financial Protection Bureau (CFPB) en 50 Amerikaanse staten een schikking getroffen.  Volgens de FTC schoot Equifax tekort in het beveiligen van persoonlijke informatie die op het netwerk was opgeslagen. Daardoor kregen aanvallers namen, geboortedata, social security nummers, adresgegevens en andere persoonlijke informatie in handen.

Eerder moest Equifax wegens het datalek in het Verenigd Koninkrijk al een boete van 560.000 euro betalen, omdat ook de gegevens van 15 miljoen Britten waren gestolen. In mei werd bekend dat het datalek de kredietbeoordelaar al 1,35 miljard dollar had gekost.

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha