Door een datalek bij de provincie Zuid-Holland zijn de persoonlijke gegevens van Provinciale Statenleden en hun medewerkers 'tijdelijk onvoldoende beschermd' geweest. Om hoeveel politici en hun medewerkers het gaat, is niet duidelijk. Wel is de brief aan alle provinciale fracties gestuurd die momenteel in het provincieparlement actief zijn. Mogelijk zijn ook oud-Statenleden en hun medewerkers aan het lek blootgesteld.
Het ging om een lek in het IT-systeem van de provincie, waarin de persoonsgegevens worden geregistreerd 'voor de salarisverwerking, het verstrekken van toegangspassen en IT-middelen'. Voor zover bekend ging het om een intern lek, dus alleen medewerkers van de provincie hebben informatie kunnen verkrijgen die zij niet voor hun werk nodig hebben.
Het datalek is ontdekt door een alerte medewerker van de provincie, die opmerkte dat hij meer gegevens kon inzien dan nodig was voor zijn werkzaamheden. Hij heeft daarvan melding gedaan bij de provincie.
Statenlid Jeremy Mooiman vroeg onlangs nog aandacht voor de beveiliging van het IT-systeem van de provincie, nadat de provincie voorkwam op de Faalkaart, een lijst met overheden die slecht scoren als het gaat om ICT-beveiliging.
Mooiman: 'Op de Faalkaart is te zien dat onze provincie in de slechtste categorie valt. Als naar de data wordt gekeken blijkt dat op 22-8-2019 (week 34) er 224 risico’s zijn waargenomen, waarvan 29 'hoog risico' en 76 'gemiddeld risico'. Zuid-Holland is hiermee de derde meest kwetsbare provincie.'
Alles bij de bron; Rijnmond
De persoonlijke gegevens, waaronder namen, adressen, telefoonnummers en e-mailadressen van twintig miljoen inwoners van Ecuador zijn opnieuw gevonden op een onbeveiligde server. De onbeveiligde server stond in Duitsland en werd volgens twee Israëlische beveiligingsonderzoekers gebruikt door het Ecuadoriaanse bedrijf DataBook.
Eerder in september ontdekten dezelfde onderzoekers dat de data van 20,8 miljoen Ecuadorianen was te vinden op een onbeveiligde server van een ander bedrijf, Novaestrat. In hoeverre de data uit de twee lekken overeenkomen, is onduidelijk.
Alles bij de bron; NU
Gegevens van deelnemers van de Dam tot Damloop waren gemakkelijk in te zien door derden omdat de app slecht beveiligd was, ontdekte de NOS.
De slechte beveiliging maakte het mogelijk om e-mailadressen, namen en geboortedata in te zien. Het lek zat in het gedeelte van de app waarmee gebruikers deelnemers konden volgen. De zoekfunctie van dit gedeelte was niet goed beschermd tegen misbruik.
NOS wist de e-mailadressen van zo'n vierduizend deelnemers op te vragen. Na melding heeft de app-ontwikkelaar het gat gedicht.
Alles bij de bron; NU
RTL nieuws meldt dat 14.000 slimme camera's in Nederland van de merken Apexis en Sumpple een lek hebben. De database waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken.
Niet alleen is het wachtwoord van de database buitengewoon zwak, maar de database bevat ook de locatiegegevens van het apparaat en het e-mailadres waaraan hij gekoppeld is, waardoor het relatief eenvoudig is om degene die bekeken wordt ook op te sporen. Wie toegang heeft tot de camera, kan niet alleen meekijken, maar ook de camera draaien en door de babyfoonspeaker praten. Omdat de database zelf zo slecht beveiligd is, helpt het voor gebruikers niet om hun wachtwoord te veranderen.
De 14.000 camera's staan in Nederland, maar wereldwijd zou het gaan om 'vele honderdduizenden', aldus de nieuwssite. De camera's werden verkocht bij Bol.com, Amazon en Aliexpress. Ook Trust koopt de camera's in, maar gebruikt zijn eigen inlogsysteem, waardoor het buiten schot blijft.
Apexis is het moederbedrijf van Sumpple, en om die reden delen de twee bedrijven ook een database. De twee hebben niet gereageerd op contactverzoeken van hackercollectief The Arcanum Group, dat het lek in augustus ontdekte, noch op de verzoeken van RTL Nieuws.
Alles bij de bron; Tweakers
Sinds de inwerkingtreding van de meldplicht datalekken ontvangt de AP, naast datalekmeldingen uit de financiële sector en de sector openbaar bestuur, de meeste meldingen uit de zorgsector. Het grootste aantal datalekmeldingen binnen de zorgsector is afkomstig van ziekenhuizen (23 procent) en apotheken (22 procent). De meeste meldingen worden gedaan na het verzenden van persoonsgegevens aan de verkeerde ontvanger. Kleinere zorginstellingen zoals gezondheids- en welzijnsorganisaties (24 procent), maatschappelijke dienstverlening (15 procent) en tandartsen (6 procent) melden vaker datalekken door hacking, malware of phishing dan grotere zorginstellingen.
De meest gemelde oorzaak van een datalek is het versturen van persoonsgegevens aan de verkeerde ontvanger (63 procent). In ruim de helft van alle meldingen gaat het om gegevens van 1 persoon (58 procent). Gemelde datalekken die vijfduizend of meer personen raken, worden vaak (in 47 procent van de gevallen) veroorzaakt door hacking, malware en/of phishing.
Bij ruim vijfhonderd datalekmeldingen heeft de AP actie ondernomen bij organisaties die een datalek hebben gemeld. In de meeste gevallen (84 procent) wordt telefonisch contact opgenomen voor aanvullende informatie. In andere gevallen geeft de AP de organisatie normuitleg via een brief of dringt zij via een gesprek aan op maatregelen.
Alles bij de bron; BeveilNieuws
Lumin PDF biedt tools voor het bekijken, maken en beheren van pdf-documenten. Een MongoDB-database met de gegevens van gebruikers was voor iedereen op internet toegankelijk. De ontwikkelaar zou hier verschillende keren over zijn geïnformeerd, maar beveiligde de database niet. Daardoor zijn de gegevens van gebruikers in handen van een derde partij gekomen.
Het gaat om Google-authenticatietokens, e-mailadressen, geslacht, namen, gesproken talen, gebruikersnamen en met bcrypt gehashte wachtwoorden van 15,4 miljoen gebruikers. Dat laat datalekzoekmachine Have I Been Pwned weten. Lumin PDF claimt zelf dat het 17 miljoen gebruikers heeft. Via Have I Been Pwned kunnen gebruikers in bijna 8,5 miljard gestolen records kijken of hun data ooit bij een website is gestolen.
Alles bij de bron; Security
Bijna de gehele bevolking van Ecuador is door een open database het slachtoffer van een datalek geworden. De 18 gigabyte grote Elasticsearch-database bevatte de gegevens van 20 miljoen Ecuadorianen, waaronder 7 miljoen kinderen. Ecuador telt naar schatting 17,3 miljoen inwoners. Het grotere aantal Ecuadorianen in de database is te verklaren doordat er ook gegevens van overleden personen in stonden, zo laat het Ecudoriaanse openbaar ministerie weten.
De gegevens in de database, die voor iedereen op internet toegankelijk was, bestaan uit naam, geslacht, geboortedatum, geboorteplaats, adresgegevens, e-mailadres, telefoonnummers, burgerlijke status, huwelijksdatum, sterfdatum, opleidingsniveau en nationaal identiteitsnummer. In een ander deel van de database werden er arbeidsgegevens van personen gevonden, zoals salaris en functieomschrijving.
Ook gegevens van WikiLeaks-oprichter Julian Assange, die van Ecuador politiek asiel kreeg en jaren in de Ecuadoraanse ambassade in Londen verbleef, werden in de database aangetroffen.
Alles bij de bron; Security
Medische afbeeldingen zoals röntgenfoto's en scans van patiënten in minstens vijftig landen blijken op onbeveiligde servers te staan, ontdekten de Amerikaanse onderzoekssite ProPublica en het Duitse Bayerische Rundfunk. Ook sommige Nederlandse patiënten zijn slachtoffer.
In de Verenigde Staten trof ProPublica 187 kwetsbare servers die niet waren afgesloten met een wachtwoord of andere beveiligingsmaatregelen. Duitse journalisten vonden verder vijf onbeschermde servers in Duitsland, waardoor dertienduizend medische dossiers gemakkelijk in te zien waren. De vondst werd later bevestigd door de Duitse privacywaakhond BSI.
Alles bij de bron; NU
Een politieagent uit Capelle aan den IJssel is een GoPro-camera met beelden van verschillende personen verloren, zo heeft de politie zelf bekendgemaakt. De GoPro is waarschijnlijk tijdens een incident waarbij de agent fysiek geweld moest toepassen los van zijn uniform geraakt.
"In het tumult van dat incident, bemerkte de agent pas later dat de GoPro weg was. Op de geheugenkaart staan beelden van verschillende inzetten van de afgelopen dagen", aldus de politie. En beelden die GoPro-camera's maken worden onversleuteld opgeslagen.
De politie vraagt, in het belang van de privacy van de betrokkenen, om bij aantreffen van de camera de politie te bellen.
Alles bij de bron; Security
Bunq en Unicef hebben door een fout met e-mail de gegevens van gebruikers gelekt en melden de voorvallen beiden niet bij de AP.
In het geval van Bunq ging het om de gegevens van meer dan tachtig gebruikers die feedback naar de bank hadden gestuurd. De bank liet in een e-mail aan deze gebruikers weten dat het ging stoppen met het e-mailadres in kwestie, maar had de e-mailadressen in het To-veld geplaatst. Daardoor waren de e-mailadressen van 82 gebruikers voor iedereen zichtbaar. De bank verklaart tegenover BNR dat het geen melding bij de Autoriteit Persoonsgegevens hoeft te doen omdat het alleen om e-mailadressen gaat.
...In het geval van Unicef werden de persoonlijke gegevens van meer dan 8200 gebruikers van een online leerportaal naar bijna 20.000 gebruikers van hetzelfde portaal gestuurd. Door een fout van een medewerker werd een spreadsheet met informatie van 8253 Agora-gebruikers, waaronder namen, e-mailadressen, standplaatsen, geslacht, organisatie, manager, contractvorm en andere profielgegevens, naar bijna 20.000 andere gebruikers gestuurd. Unicef heeft het datalek niet bij toezichthouders gemeld, omdat het naar eigen zeggen als VN-entiteit niet onder de AVG valt.
Alles bij de bron; Security